Veröffentlichungen

Am 25.05.2018, mithin in einem Monat, tritt die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Zeitgleich dazu wird auch das geänderte Bundesdatenschutzgesetz (BDSG) in Kraft treten. Es ergeben sich für Unternehmen aber auch Freiberufler, vorallem für medizinische Berufe, wesentliche Änderungen. Bei Verstößen gegen die Neuregelung können Bußgelder erhoben werden, die nach einer deutlichen Anhebung des Strafrahmens bis zu 20.000.000,00 € oder 4 % des weltweiten Jahresumsatzes des Unternehmens erreichen können. Weiter ist mit einer Abmahnungswelle zu rechnen.

Die neue Datenschutz-Grundverordnung sieht dabei vor, dass sich die Beweislast zu Lasten des Unternehmers / der Freiberufler ändert. Der Unternehmer / Freiberufler muss nachweisen, dass er alle Anforderungen nach den gesetzlichen Bestimmungen erfüllt hat. Um diesen Nachweis führen zu können, sind erhöhte Dokumentations- und Nachweispflichten zu beachten, u. a. ist ein Verzeichnis von Verarbeitungstätigkeiten, das sogenannte Verarbeitungsverzeichnis zu führen und soweit notwendig, eine sogenannte Datenschutz-Folgenabschätzung vorzunehmen. Eine Erstellung nach Anfrage ist nicht mehr ausreichend.

Bis zum 25.05.2018 muss eine Dokumentation vorliegen. Die Kunden, Patienten müssen vom Unternehmen / Freiberufler klar und verständlich über den Umfang und den Zweck der Datenverarbeitung informiert werden. Ihnen muss ein Widerrufsrecht eingeräumt werden, über das sie zu informieren sind. Die Einwilligung zur Datenverarbeitung durch den Nutzer muss ohne Zwang und ohne Nachteil erfolgen. Auch Verträge mit Dienstleistern sind auf Konformität mit der neuen Datenschutz-Grundverordnung zu überprüfen. Wird z.B. eine elektronische Patientenakte geführt, wird eine Praxissoftware, ein elektronisches Diktier- oder Spracherkennungsprogramm genutzt, wird mit einer Buchhaltungssoftware bearbeitet oder eine Software zur Versendung und Verwaltung von E-Mails benutzt und eine Adressdatenbank geführt, handelt es sich dabei jeweils um eine Datenverarbeitungstätigkeit nach der Grundverordnung. Es müssen daher jeweils Verarbeitungsverzeichnisse erstellt werden. Eine bestimmte Form schreibt das Gesetz nicht vor. Es können Word- oder Excel-Dateien geführt werden. Auch die handschriftliche Aufzeichnung ist möglich. Folgende Angaben müssen im Verarbeitungsverzeichnis enthalten sein:

• Name und Kontaktdaten der Praxis, des Unternehmens
• Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten (immer dann notwendig, wenn mindestens 10 Personen ständig mit elektronischer Daten-verarbeitung befasst sind)
• Zweck der Datenverarbeitung
• Art der Personen, deren Daten verarbeitet werden (z. B. Patient)
• Art der verarbeiteten Daten
• möglicher Empfänger der Daten, denen die Daten offen gelegt worden sind oder noch offen gelegt werden
• Löschfristen
• Maßnahmen der Datensicherheit, wie in Art. 32 DSGVO geregelt.

Alle Unternehmen und Freiberufler müssen technische oder organisatorische Maßnahmen ergreifen, um die Sicherheit der im Unternehmen oder Praxis bearbeiteten Personendaten zu gewährleisten und damit die Entwicklung des § 32 DSGVO zu erfüllen. Personenbezogene Daten können beispielsweise durch Verschlüsselungsprogramme bei der E-Mail-Kommunikation gesichert werden. Es muss eine dauerhafte Sicherungsstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme im Dienst gewährleistet sein und eine regelmäßige Überprüfung stattfinden. Die Homepage muss kurzfristig geprüft und angepasst werden, in der die Datenschutzhinweise integriert werden.  Zur Meidung von Rechtsnachteilen ist die rechtliche Beratung dringend zu empfehlen.