Telematik und Datenschutz

Telematik Datenschutz care impuls GmbH

Telematik und Datenschutz

Telematik ist heute für Spediteure und Fuhrparkbetreiber ein nicht mehr wegzudenkender Teil der Digitalisierung.  Die Telematik dient dabei unter anderem der Tourenplanung, der Effizienz der Dienstleistung und der Sicherheit von Fahrer und der Ladung.

Seit 2018 gilt in der Europäischen Union die Datenschutzgrundverordnung (DSGVO) und in Deutschland die Neufassung des Bundesdatenschutzgesetzes (BDSG). Ziel der DSGVO und des BDSG ist der Schutz personenbezogener Daten. Die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten sind grundsätzlich verboten, es sei denn, die Verarbeitung ist explizit erlaubt. Dies kann auf Grundlage von gesetzlichen Bestimmungen, vertraglichen Regelungen oder einer aktiven Zustimmung der betroffenen Person erfolgen.

Telematik und Datenschutz müssen zueinander finden

Bei Telematik Systemen werden eine Vielzahl personenbezogener Daten wie z.B. Arbeitszeit der Fahrer und viele andere, gespeichert. Somit muss der Fuhrparkbetreiber prüfen und nachweisen, auf welcher Grundlage und zu welchem Zweck die Datenverarbeitung erfolgt. Dabei sind die Daten möglichst zu minimieren. Dies ist in einem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Bei Telematik Systemen ist zwingend eine sogenannte Datenschutz Folgeabschätzung zum Schutz der personenbezogenen Daten durchzuführen.

Viele Fragen gilt es, zu beachten

  • Welche Daten werden erfasst, verarbeitet und gespeichert?
  • Wo werden die Daten gespeichert?
  • Wer kann auf die Daten zugreifen?
  • Wann werden die Daten gelöscht?
  • Wird das Telematik System durch einen externen Dienstleister betrieben?
  • Wird das Telematik System durch einen externen Dienstleister gemanagt oder handelt es sich um eine webbasierte Lösung, so ist zu prüfen, ob der Dienstleister oder Portalbetreiber ein sogenannter Auftrags-Datenverarbeiter ist. In diesem Fall sind besondere Vereinbarungen zu treffen.

    Datenschutzkonzept erforderlich

    Der Fuhrparkbetreiber sollte im Rahmen seines Datenschutzkonzeptes auch festlegen, wie Auskunftsbegehren z.B. von ehemaligen Fahrern bearbeitet werden. Hier gilt es, relativ kurze Auskunftsfristen einzuhalten.

    Auf Datenpanne vorbereitet sein

    Es empfiehlt sich einen Prozess zu definiert, in dem der Umgang mit einer Datenpanne geregelt ist. Eine Datenpanne kann vorliegen, wenn Daten des Telematik Systems gestohlen oder Daten an unberechtigte Empfänger gesendet werden. Oftmals ist es ausreichend, wenn Mobiltelefone der Fahrer, auf denen sich Telematikdaten mit personenbezogenen Daten befinden, gestohlen oder verloren werden (meldepflichtiger Vorfall!). Diese Datenpannen müssen den Datenschutzbehörden und ggf. den betroffenen Personen gemeldet werden. Auch hier sind kurze Fristen gesetzlich geregelt.

    Als Datenschutzbeauftragter kann die care impuls GmbH Sie bei der Beantwortung dieser Fragen unterstützen und Ihr Datenschutzkonzept überprüfen und betreuen.

    Sprechen Sie uns an!

    7 Dinge die Sie jetzt zur Umsetzung der DSGVO in Ihrer Einrichtung machen MÜSSEN

    Seit 25. Mai 2018 ist die neue DSGVO (Datenschutz Grundverordnung) und das aktualisierte Bundesdatenschutzgesetz (BDSG neu) in Kraft. Die Verordnung und das BDSG neu regeln den Umgang mit personenbezogenen Daten. Durch die DSGVO wird eine europaweit einheitliche Vorgangsweise beim Umgang mit personenbezogenen Daten geregelt.

    Speziell medizinischen Einrichtungen, Tagepflegeanbieter und stationäre Pflegeeinrichtungen erheben, speichern, verarbeiten und nutzen eine große Menge personenbezogene Daten – zum Teil auf Grund gesetzlicher Vorgaben, zum Teil zur Vereinfachung der Tätigkeiten, aus Qualitätsgründen oder für Marketing- und Vertriebszwecke.

    Neben Patienten- / Bewohnerdaten werden Personaldaten und sonstige personenbezogene Daten in zum Teil erheblichen Umfang bearbeitet.

    Am 25. Mai 2018 ist es soweit – die DSGVO tritt in Kraft!

    Nicht alles ist neu, vieles war bereits im bestehenden Datenschutzgesetz und weiteren Gesetzen und Verordnungen geregelt. Allerdings wurde das Thema Datenschutz oftmals lediglich als lästiges Übel wahrgenommen und Abweichungen von den öffentlichen Stellen nur in Ausnahmefällen sanktioniert. Die Strafen waren bisher gering. Dies wird sich mit dem 25.05.2018 ändern.

    Sie sollten folgende 7 Dinge kurzfristig erledigen:

    Nutzen Sie die Chance

    Die Einführung der DSGVO ist ein guter Anlass, die vorhandenen Daten im Unternehmen genauer unter die Lupe zu nehmen und den Patienten / Bewohnern und Angehörigen zu zeigen „Wir nehmen Datenschutz ernst“. Nutzen Sie die Chance, von „Big Data“ zu profitieren – rechtskonform!

    Führen Sie eine Bestandsaufnahme durch

    Überprüfen Sie, wo in Ihrer Einrichtung personenbezogene Daten vorliegen. Erfahrungsgemäß werden an unterschiedlichen Orten / Abteilungen Daten erhoben, gespeichert und verarbeitet. Überprüfen Sie, wie Sie an die Daten gekommen sind, zu welchem Zweck die Daten erhoben wurden und wer Zugriff auf diese Daten hat. Überprüfen Sie Ihre Website und ggf. Ihr Newslettersystem.

    Erstellen Sie ein Verarbeitungsverzeichnis

    In einem Verarbeitungsverzeichnis werden die Prozesse eingetragen, bei denen personenbezogene Daten verarbeitet werden. Darüber hinaus werden in diesem Verzeichnis die Verantwortlichen, der Zweck der Datenverarbeitung und Beschreibungen zu Datensicherheitsmaßnahmen, etc. erfasst. Dieses Verarbeitungsverzeichnis ist neu und erfordert, dass alle Prozesse im Unternehmen geprüft werden müssen.

    Führen sie eine Datenschutz-Folgeabschätzung durch

    Sofern ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung seiner Daten besteht, muss das Unternehmen eine Datenschutz-Folgeabwägung durchführen. Das Ziel hierbei ist, aufzuzeigen, was gegen dieses Risiko unternommen wird.

    Befolgen Sie die Informationspflicht

    Die betroffene Person hat das Recht zu hinterfragen, welche Daten über ihn / sie bei Ihnen gespeichert wurden (Auskunftsrecht). Darüber hinaus besteht grundsätzlich das Recht auf Löschung der Daten (ggf. durch gesetzliche Vorgaben eingeschränkt).

    Schließen Sie einen Auftragsverarbeitungsvertrag

    Haben Sie als Unternehmen externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt bzw. verwenden externe Dienstleister personenbezogene Daten (z.B. Lohnbuchhaltung, IT-Systemhaus, externe Speisenversorgung,  etc.) müssen Sie mit diesem Dienstleister einen sog. Auftragsverarbeitungsvertrag schließen, der die Art und Weise sowie Löschung der personenbezogenen Daten regelt.

    Regeln Sie den Fall einer Data Breach Notification

    Sollte es zu einer Datenschutzverletzung wie z.B. Datenverlust durch Diebstahl, Hackerangriff, etc. kommen, sind Sie verpflichtet zum einen die betroffenen Personen und die zuständigen Behörden binnen 72 Stunden zu informieren. Als Ausnahme gilt hier, wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet. Beachten Sie hierbei ggf. personenbezogene Daten auf Mobiltelefonen, etc.

    Neben den oben genannten unbedingt zu prüfenden Punkten besteht für eine Einrichtung relativ schnell die Verpflichtung einen Datenschutzbeauftragten zu benennen. Dies kann entweder durch eine interne oder externe Person erfolgen. Prüfen Sie, ob Sie einen Datenschutzbeauftragten benennen müssen.

    Die care impuls GmbH hat sich auf die operative Umsetzung der Einführung der DSGVO und des BDSG neu in Einrichtungen der Gesundheits- und Sozialbranche spezialisiert. Bei Bedarf kann die Funktion eines externen Datenschutzbeauftragten übernommen werden.

    Sprechen Sie uns an, wir unterstützen Sie bei der Umsetzung der Neuerungen der DSGVO und des BDSG neu – mit Augenmaß und Praxiserfahrung.

    Nehmen Sie hier Kontakt mit uns auf.