Seit 25. Mai 2018 ist die neue DSGVO (Datenschutz Grundverordnung) und das aktualisierte Bundesdatenschutzgesetz (BDSG neu) in Kraft. Die Verordnung und das BDSG neu regeln den Umgang mit personenbezogenen Daten. Durch die DSGVO wird eine europaweit einheitliche Vorgangsweise beim Umgang mit personenbezogenen Daten geregelt.
Speziell medizinischen Einrichtungen, Tagepflegeanbieter und stationäre Pflegeeinrichtungen erheben, speichern, verarbeiten und nutzen eine große Menge personenbezogene Daten – zum Teil auf Grund gesetzlicher Vorgaben, zum Teil zur Vereinfachung der Tätigkeiten, aus Qualitätsgründen oder für Marketing- und Vertriebszwecke.
Neben Patienten- / Bewohnerdaten werden Personaldaten und sonstige personenbezogene Daten in zum Teil erheblichen Umfang bearbeitet.
Am 25. Mai 2018 ist es soweit – die DSGVO tritt in Kraft!
Nicht alles ist neu, vieles war bereits im bestehenden Datenschutzgesetz und weiteren Gesetzen und Verordnungen geregelt. Allerdings wurde das Thema Datenschutz oftmals lediglich als lästiges Übel wahrgenommen und Abweichungen von den öffentlichen Stellen nur in Ausnahmefällen sanktioniert. Die Strafen waren bisher gering. Dies wird sich mit dem 25.05.2018 ändern.
Sie sollten folgende 7 Dinge kurzfristig erledigen:
Nutzen Sie die Chance
Die Einführung der DSGVO ist ein guter Anlass, die vorhandenen Daten im Unternehmen genauer unter die Lupe zu nehmen und den Patienten / Bewohnern und Angehörigen zu zeigen „Wir nehmen Datenschutz ernst“. Nutzen Sie die Chance, von „Big Data“ zu profitieren – rechtskonform!
Führen Sie eine Bestandsaufnahme durch
Überprüfen Sie, wo in Ihrer Einrichtung personenbezogene Daten vorliegen. Erfahrungsgemäß werden an unterschiedlichen Orten / Abteilungen Daten erhoben, gespeichert und verarbeitet. Überprüfen Sie, wie Sie an die Daten gekommen sind, zu welchem Zweck die Daten erhoben wurden und wer Zugriff auf diese Daten hat. Überprüfen Sie Ihre Website und ggf. Ihr Newslettersystem.
Erstellen Sie ein Verarbeitungsverzeichnis
In einem Verarbeitungsverzeichnis werden die Prozesse eingetragen, bei denen personenbezogene Daten verarbeitet werden. Darüber hinaus werden in diesem Verzeichnis die Verantwortlichen, der Zweck der Datenverarbeitung und Beschreibungen zu Datensicherheitsmaßnahmen, etc. erfasst. Dieses Verarbeitungsverzeichnis ist neu und erfordert, dass alle Prozesse im Unternehmen geprüft werden müssen.
Führen sie eine Datenschutz-Folgeabschätzung durch
Sofern ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung seiner Daten besteht, muss das Unternehmen eine Datenschutz-Folgeabwägung durchführen. Das Ziel hierbei ist, aufzuzeigen, was gegen dieses Risiko unternommen wird.
Befolgen Sie die Informationspflicht
Die betroffene Person hat das Recht zu hinterfragen, welche Daten über ihn / sie bei Ihnen gespeichert wurden (Auskunftsrecht). Darüber hinaus besteht grundsätzlich das Recht auf Löschung der Daten (ggf. durch gesetzliche Vorgaben eingeschränkt).
Schließen Sie einen Auftragsverarbeitungsvertrag
Haben Sie als Unternehmen externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt bzw. verwenden externe Dienstleister personenbezogene Daten (z.B. Lohnbuchhaltung, IT-Systemhaus, externe Speisenversorgung, etc.) müssen Sie mit diesem Dienstleister einen sog. Auftragsverarbeitungsvertrag schließen, der die Art und Weise sowie Löschung der personenbezogenen Daten regelt.
Regeln Sie den Fall einer Data Breach Notification
Sollte es zu einer Datenschutzverletzung wie z.B. Datenverlust durch Diebstahl, Hackerangriff, etc. kommen, sind Sie verpflichtet zum einen die betroffenen Personen und die zuständigen Behörden binnen 72 Stunden zu informieren. Als Ausnahme gilt hier, wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet. Beachten Sie hierbei ggf. personenbezogene Daten auf Mobiltelefonen, etc.
Neben den oben genannten unbedingt zu prüfenden Punkten besteht für eine Einrichtung relativ schnell die Verpflichtung einen Datenschutzbeauftragten zu benennen. Dies kann entweder durch eine interne oder externe Person erfolgen. Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen.
Die care impuls GmbH hat sich auf die operative Umsetzung der Einführung der DSGVO und des BDSG neu in Einrichtungen der Gesundheits- und Sozialbranche spezialisiert. Bei Bedarf kann die Funktion eines externen Datenschutzbeauftragten übernommen werden.
Sprechen Sie uns an, wir unterstützen Sie bei der Umsetzung der Neuerungen der DSGVO und des BDSG neu – mit Augenmaß und Praxiserfahrung.