Wichtig: Der Datenschutz wurde neu geregelt!
Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung, kurz EU-DSGVO in Kraft und soll erstmals in Europa ein einheitliches Datenschutzrecht gewährleisten. Mit Inkrafttreten der DSGVO sind eine Reihe von neuen Vorschriften im Zusammenhang mit dem Umgang von personenbezogenen Daten zu beachten. Der Bundesgesetzgeber hat aufgrund der DSGVO ein neues Bundesdatenschutzgesetz aufgesetzt. Dessen Regelungen treten überwiegend am 25.05.2018 in Kraft.
Die DSGVO enthält insbesondere Vorschriften zum Schutz natürlicher Personen und deren (personenbezogenen) Daten im Kontext mit der Datenverarbeitung. Personenbezogene Daten sind Daten, die sich auf eine natürliche Person beziehen oder auf diese beziehbar sind (z.B. Anrede, Vorname, Name, Anschrift, Telefon, E-Mail-Adresse, Gesundheitsdaten). Verarbeitet werden Daten z.B., wenn diese erhoben, erfasst, organisiert, geordnet oder gespeichert werden.
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, das Datenschutzrecht erlaubt es (Verbot mit Erlaubnisvorbehalt). Zulässig ist die Datenverarbeitung immer dann, wenn diese durch das Datenschutzrecht selbst (z.B. Art. 6 DSGVO), eine andere Rechtsvorschrift (z.B. Steuerrecht) erlaubt wird oder eine Einwilligung des Betroffenen vorliegt. Betroffen ist immer diejenige Person, deren Daten verarbeitet werden.
Dies bedeutet, dass der für die Datenverarbeitung Verantwortliche (z.B. Praxisinhaber) sicherstellen muss, dass die Daten der Kunden/Patienten verarbeiten werden dürfen. Verantwortlich ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Bei der Verarbeitung von personenbezogenen Daten sind insbesondere die allgemeinen Grundsätze für die Verarbeitung zu beachten. In Art. 5 DSGVO werden nachfolgende Grundsätze normiert: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Abs. 1 lit. a), Zweckbindung (Abs. 1 lit. b), Datenminimierung (Abs. 1 lit. c), Richtigkeit (Abs. 1 lit. d), Speicherbegrenzung (Abs. 1 lit. e) und Integrität und Vertraulichkeit. In Verbindung mit diesen Grundsätzen sind insbesondere die Betroffenenrechte (Art. 15 bis 22 DSGVO) zu beachten.
Der Verantwortliche für die Verarbeitung von personenbezogenen Daten muss im Rahmen seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen, dass er die Grundsätze für die Verarbeitung der personenbezogenen Daten einhält. Dieser Nachweis kann durch eine entsprechende Dokumentation (z.B. Verfahrensverzeichnis) erbracht werden.
Der Verantwortliche muss bei der Erhebung von personenbezogenen Daten seinen Informationspflichten gemäß Art. 13 DSGVO nachkommen. Die Vorschrift enthält eine Reihe von Informationen, welche den Kunden/Patienten im Zeitpunkt der Datenerhebung mitgeteilt werden müssen. Zu diesen Informationen zählen z.B. Namen und die Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Dauer der Verarbeitung und die Rechte der Betroffenen.
Zu den wichtigsten Rechten der Kunden/Patienten gehören:
- Auskunftsrecht, Artikel 15 DS-GVO, §§ 29,34 BDSG-neu
- Recht auf Berichtigung, Artikel 16 DS-GVO
- Recht auf Löschung (Recht auf Vergessenwerden), Artikel 17 DS-GVO, § 35 BDSG-neu
- Recht auf Einschränkung der Verarbeitung, Artikel 18 DS-GVO, § 35 BDSG-neu
- Recht auf Datenübertragbarkeit, Artikel 20 DS-GVO
- Widerspruchsrecht, Artikel 21 DS-GVO, § 36 BDSG-neu
Die Betreiber von Webseiten und Online-Shops müssen bis zum 25.05.2018 Ihre Datenschutzerklärungen anpassen und für den Fall, dass auf den Seiten Cookies eingesetzt werden, muss auf diesen ein entsprechender Cookie-Hinweis aufgenommen werden. Des Weiteren müssen diese sicherstellen, dass ihr Impressum die notwendigen Pflichtangaben beinhaltet.
Im Zusammenhang mit der Beauftragung von externen Dienstleistern (z.B. EDV-Dienstleistern, Newsletter-Shops Softwarehersteller und Serverbetreibern) ist zu prüfen, ob sog. Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden müssen. Art. 28 DSGVO ist immer zu beachten, wenn eine Datenverarbeitung im Auftrag des Verantwortlichen erfolgt. Dieser darf nur einen Auftragsverarbeiter einsetzen, der die entsprechenden technischen- und organisatorischen Maßnahmen (TOMs) vorhält, die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Auftragsverarbeiter den Schutz der Rechte der betroffenen Person gewährleistet.
Da im Zuge der DSGVO die Strafen und Bußgelder drastisch verschärft werden, sind die Vorgaben der DSGVO bis zum 25.05.2018 umzusetzen. Die DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes (bisher lagen die Bußgelder bei 50.000 Euro bis 300.000 Euro) vor.
Um sicherzustellen, dass Sie sicher für die DSGVO aufgestellt sind, sollten Sie Ihre Prozesse und Abläufe im Zusammenhang mit der Datenverarbeitung analysieren und an die Anforderungen der DSGVO anpassen. Das dafür erforderliche Know-How können Sie durch Datenschutzschulungen und/oder die Beauftragung eines Datenschutzexperten erlangen. Auf den Webseiten der jeweiligen Landesdatenschutzbeauftragten können Sie weitere Informationen erhalten.