Datenschutzgrundverordnung (DSGVO)

Das Wichtigste aus der DSGVO – aufbereitet für das Sanitätshaus: Wir haben die Top-9-Maßnahmen für Sie zusammengestellt. Nutzen Sie den Leitfaden auch um Ihre Mitarbeiter:innen zu sensibilisieren und zu schulen.

Das Wichtigste aus der DSGVO – aufbereitet für den Fachhandel

Leitfaden zur neuen europäischen Datenschutzgrundverordnung (DSGVO)

Seit dem 25. Mai 2018 muss jedes Unternehmen die Umsetzung der Datenschutzanforderungen der DSGVO nachweisen können. Wie gehen Sie rechtssicher mit personenbezogenen Daten um? Wie formulieren Sie Ihre Datenschutzerklärung korrekt? Und wann ist es sinnvoll, eine:n Datenschutzbeauftragte:n zu Rate zu ziehen?

Sensibilisieren Sie Ihre Führungskräfte und schulen Sie Ihre Mitarbeiter:innen: Wir geben Ihnen einen Leitfaden an die Hand, aus dem Sie die wichtigsten Punkte der DSGVO für den Fachhandel auf einen Blick entnehmen können.

Die Top-9-Umsetzungspunkte der DSGVO für den Sanitätsfachhandel

Die jeweiligen Gesetzestexte zur DSGVO und zum neuen Bundesdatenschutzgesetz (BDSG neu) finden Sie hier: https://dsgvo-gesetz.de/

Im Artikel 4 der DSGVO finden Sie die Begriffsbestimmungen, zum Beispiel für personenbezogene Daten, Verarbeitungen, Verantwortliche:r. Zahlreiche Aufsichtsbehörden bieten Umsetzungsmaterial, Informationen und Vorlagen.

1. Klären: Brauche ich eine:n Datenschutzbeauftragte:n?

Laut BDSG (neu) brauche ich eine:n Datenschutzbeauftragte:n, wenn sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Das ist beispielsweise der Fall, wenn zehn Mitarbeiter:innen auch jeweils ein E-Mail-Postfach haben. 

2. Sensibilisieren

Geschäftsführung und Datenschutzbeauftragte sollten mindestens den Führungskreis insoweit sensibilisieren, dass die DSGVO sich direkt auf Unternehmensprozesse auswirkt. Die Führungskräfte schulen dann wiederum Ihre Mitarbeiter:innen. Man sollte sich klarmachen, dass es sich um personenbezogene und auch sensible Daten handelt: Name, Anschrift, Zugehörigkeit zu einem Unternehmen, Kontaktdaten, Alter, Geschlecht, Sozialversicherungsangaben, Gesundheitsdaten zum Beispiel Maßdaten für die Kompressionsstrumpfversorgung.

3. Bestandsaufnahme

In welchen Verfahren, bei welchen Tätigkeiten gehe ich mit personenbezogenen Daten um?
Wo sind die sensibelsten Daten? Wenn diese verloren gehen würden oder unbefugter Zugriff erfolgt, wo sind die höchsten Konsequenzen zu befürchten? 
Schon haben Sie eine Mini-Risikoabschätzung. Sehen Sie sich zuerst die Prozesse / Tätigkeiten an, in denen Sie kritische Daten verarbeiten.

4. Verarbeitungsverzeichnis erstellen (Rechtsgrundlage prüfen)

Die Daten aus der Bestandsaufnahme übertragen Sie nun beispielsweisein eine Excel-Tabelle und erfassen, auf welcher Rechtsgrundlage (Einwilligung, Vertrag, Gesetz oder berechtigtes Interesse) die Verarbeitung beruht, welche Daten genau verarbeitet werden, wo die Daten herkommen und wer die Empfänger:innen der Daten sind.
Muster gibt es zum Beispiel hier: bitkom, LDA  

5. Informations- und Auskunftspflichten prüfen

Bei der Ersterhebung von Daten besteht eine Informationspflicht: Die:der Verantwortliche teilt der betroffenen Person zum Zeitpunkt der Erhebung mit, zu welchem Zweck die Daten erhoben werden und macht Angaben zu den Empfänger:innen, zur Speicherdauer, zu den Betroffenenrechten und zur Beschwerdestelle. Hier sollte ein Informationsblatt erstellt werden, das Bestandteil des Vertrags wird. So kann man bei Bedarf ebenfalls nachweisen, dass die Informationspflichten eingehalten wurden.
Deshalb muss zum Beispiel die Datenschutzerklärung auf der Webseite angepasst werden oder ein Aushang erfolgen, wenn Videoüberwachung eingesetzt wird. Insbesondere sollte man sich Neukundenformulare oder Ähnliches anschauen und ergänzen.

6. Einwilligung prüfen

Beruht die Verarbeitung der Daten auf einer Einwilligung der:des Betroffenen, muss geprüft werden, ob alle Anforderungen erfüllt sind: Information über Widerspruchsrecht, bei Widerspruch gegebenenfalls das Löschen von Daten.

7. Vertraulichkeitsverpflichtung von Beschäftigten

Auch wenn bestehende Verpflichtungen weiter gelten, sollte man noch einmal alle Mitarbeiter:innen neu verpflichten. Die Verpflichtung auf die Vertraulichkeit löst die Verpflichtung auf das Datengeheimnis ab. Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.

8. Sicherheit der Verarbeitung

Um die sensiblen Patientendaten bei der Verarbeitung zu schützen, sind neben Standardmaßnahmen (beispielsweise aktuelle Betriebssysteme, Passwortschutz, Virenscanner) weitere Maßnahmen zu treffen. So sollte das Patientendatenverwaltungssystem von anderen PCs getrennt werden und der Zugriff auf Patientendaten auch nur denjenigen gewährt werden, die diesen für ihre Arbeit benötigen. 
Patientendaten dürfen auch nicht unverschlüsselt per E-Mail gesendet werden!

9. Dokumentation des Datenschutzmanagement(system)s

Folgende Fragen sollten Sie sich selber stellen und die Antworten dokumentieren, um Ihren Rechenschaftspflichten nachkommen zu können. 
Wie sind die Betroffenenrechte organisiert? Was passiert bei einem Sicherheitsvorfall / Datenpanne? Wie sieht mein Löschkonzept aus? Wie sensibilisiere ich meine Mitarbeiter:innen? Wie gewährleiste ich die technische Sicherheit meiner Daten? Wie weise ich nach, dass ich eine Risikoabschätzung für die Verarbeitung durchgeführt habe?

Fazit

Datenschutz darf nicht mehr klein gehalten werden. Es war schon immer Chef:innensache und muss es auch bleiben.
Jede:r Mitarbeiter:in, jede:r Projektleiter:in, jede Führungskraft, jeder ist im Unternehmen für die Einhaltung der Regelungen in seinem Bereich verantwortlich.