Datenschutzgrundverordnung (DSGVO)

Das Wichtigste aus der DSGVO – aufbereitet für den Fachhandel

Das Wichtigste aus der DSGVO – aufbereitet für den Fachhandel - Das Wichtigste aus der DSGVO – aufbereitet für den Fachhandel

Leitfaden zur neuen europäischen Datenschutzgrundverordnung DSGVO

Seit dem 25. Mai 2018 muss jedes Unternehmen die Umsetzung der Datenschutzanforderungen der DSGVO nachweisen können. Wie gehen Sie rechtssicher mit personenbezogenen Daten um? Wie formulieren Sie Ihre Datenschutzerklärung korrekt? Und wann ist es sinnvoll, einen Datenschutzbeauftragten zu Rate zu ziehen?

Sensibilisieren Sie Ihre Führungskräfte und schulen Sie Ihre Mitarbeiter: Wir geben Ihnen einen Leitfaden an die Hand, aus dem Sie die wichtigsten Punkte der DSGVO für den Fachhandel auf einen Blick entnehmen können.

Die Top-9-Umsetzungspunkte der DSGVO für den Sanitätsfachhandel

Die jeweiligen Gesetzestexte zur DSGVO und zum BDSG neu finden Sie hier: https://dsgvo-gesetz.de/
Im Artikel 4 der DSGVO finden Sie die Begriffsbestimmungen, z. B. für personenbezogene Daten, Verarbeitungen, Verantwortlicher etc. Zahlreiche Aufsichtsbehörden bieten Umsetzungsmaterial, Informationen und Vorlagen.

1. Klären: Brauche ich einen Datenschutzbeauftragten?

Laut BDSGneu brauche ich einen Datenschutzbeauftragten, wenn sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Das ist z. B. der Fall, wenn 10 Mitarbeiter auch jeweils ein E-Mail-Postfach haben. 

2. Sensibilisieren

Geschäftsführung und Datenschutzbeauftragte sollten mindestens den Führungskreis insoweit sensibilisieren, dass die DSGVO sich direkt auf Unternehmensprozesse auswirkt. Die Führungskräfte schulen dann wiederum Ihre Mitarbeiter. Man sollte sich klarmachen, dass es sich um personenbezogene und auch sensible Daten handelt: Name, Anschrift, Zugehörigkeit zu einem Unternehmen, Kontaktdaten, Alter, Geschlecht, Sozialversicherungsangaben, Gesundheitsdaten z. B. Maßdaten für die Kompressionsstrumpfversorgung.

3. Bestandsaufnahme

In welchen Verfahren, bei welchen Tätigkeiten gehe ich mit personenbezogenen Daten um?
Wo sind die sensibelsten Daten? Wenn diese verloren gehen würden oder unbefugter Zugriff erfolgt, wo sind die höchsten Konsequenzen zu befürchten? 
Schon haben Sie eine Mini-Risikoabschätzung. Sehen Sie sich zuerst die Prozesse / Tätigkeiten an, in denen Sie kritische Daten verarbeiten.

4. Verarbeitungsverzeichnis erstellen (Rechtsgrundlage prüfen)

Die Daten aus der Bestandsaufnahme übertragen Sie nun z. B. in eine Excel-Tabelle und erfassen, auf welcher Rechtsgrundlage (Einwilligung, Vertrag, Gesetz oder berechtigtes Interesse) die Verarbeitung beruht, welche Daten genau verarbeitet werden, wo die Daten herkommen und wer die Empfänger der Daten sind. Muster findet man z.B. hier: bitkom, LDA  

5. Informations- und Auskunftspflichten prüfen

Bei der Ersterhebung von Daten besteht eine Informationspflicht: Der Verantwortliche teilt der betroffenen Person zum Zeitpunkt der Erhebung mit, zu welchem Zweck die Daten erhoben werden und macht Angaben zu den Empfängern, zur Speicherdauer, zu den Betroffenenrechten und zur Beschwerdestelle. Hier sollte ein Informationsblatt erstellt werden, das Bestandteil des Vertrags wird. So kann man bei Bedarf ebenfalls nachweisen, dass die Informationspflichten eingehalten wurden.
Deshalb muss z. B. die Datenschutzerklärung auf der Webseite angepasst werden oder ein Aushang erfolgen, wenn Videoüberwachung eingesetzt wird. Insbesondere sollte man sich Neukundenformulare o. ä. anschauen und ergänzen.

6. Einwilligung prüfen

Beruht die Verarbeitung der Daten auf einer Einwilligung des Betroffenen, muss geprüft werden, ob alle Anforderungen erfüllt sind: Information über Widerspruchsrecht, bei Widerspruch ggf. das Löschen von Daten.

7. Vertraulichkeitsverpflichtung von Beschäftigten

Auch wenn bestehende Verpflichtungen weiter gelten, sollte man noch einmal alle Mitarbeiter neu verpflichten. Die Verpflichtung auf die Vertraulichkeit löst die Verpflichtung auf das Datengeheimnis ab. Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.

8. Sicherheit der Verarbeitung

Um die sensiblen Patientendaten bei der Verarbeitung zu schützen, sind neben Standardmaßnahmen (z. B. aktuelle Betriebssysteme, Passwortschutz, Virenscanner) weitere Maßnahmen zu treffen. So sollte das Patientendatenverwaltungssystem von anderen PCs getrennt werden und der Zugriff auf Patientendaten auch nur denjenigen gewährt werden, die diesen für ihre Arbeit benötigen. 
Patientendaten dürfen auch nicht unverschlüsselt per E-Mail gesendet werden!

9. Dokumentation des Datenschutzmanagement(system)s

Folgende Fragen sollten Sie sich selber stellen und die Antworten dokumentieren, um ihren Rechenschaftspflichten nachkommen zu können. 
Wie sind die Betroffenenrechte organisiert? Was passiert bei einem Sicherheitsvorfall / Datenpanne? Wie sieht mein Löschkonzept aus? Wie sensibilisiere ich meine Mitarbeiter? Wie gewährleiste ich die technische Sicherheit meiner Daten? Wie weise ich nach, dass ich eine Risikoabschätzung für die Verarbeitung durchgeführt habe?

Fazit

Datenschutz darf nicht mehr klein gehalten werden. Es war schon immer Chefsache und muss es auch bleiben.
Jeder Mitarbeiter, jeder Projektleiter, jede Führungskraft, jeder ist im Unternehmen für die Einhaltung der Regelungen in seinem Bereich verantwortlich.

medi Marketing Center

medi Marketing Center

Top-Marketing für Ihr Sanitätshaus - schnell, einfach und professionell 

medi Marketing Center

medi Lymph-News

Jetzt die medi Lymph-News kostenlos abonnieren

Newsletter für Ärzte, Therapeuten und Fachhändler zum Thema Lymphologie

Jetzt abonnieren

Kontakt Fachhandel

Sie sind Fachhändler und haben eine Frage? Unser medi Service-Center hilft Ihnen gerne weiter.

Bewerte diese Seite

 
 
 
 
 
 
 
Bewerten
 
 
 
 
 
 
0 Bewertungen
0 %
1
5
0