Tanja Altmaier
Datenschutzbeauftragte
Die Antwort auf diese Frage lässt sich nicht einfach mit einer bloßen Zahl benennen.
Es gibt zwei elementare Kriterien, die hier relevant sind. Das ist einerseits die Trägerschaft einer Einrichtung und andererseits die Art der Daten, die verarbeitet werden.
Schon im Bereich der Grundlagen wurde darauf eingegangen, dass je nach Trägerschaft einer Pflegeeinrichtung unterschiedliche rechtliche Grundlagegen gegeben sind.
Und auch bei der Bestellpflicht für einen Datenschutzbeauftragten gelten unterschiedliche Regelungen.
Handelt es sich um einen öffentlich-rechtlichen Träger (z. B. eine Stadt, Gemeinde oder ein Landkreis) dann ist die Bestellung eines Datenschutzbeauftragten auf alle Fälle verpflichtend (Art. 37 Abs. 1 a DSGVO).
Bei der privaten Wirtschaft gelten andere Spielregeln für eine Benennung.
Normal gilt als Maßstab die Frage nach der Kerntätigkeit und dem Umfang der Verarbeitung. (Art. 37 Abs 1 b DSGVO). Handelt es sich bei der „Kerntätigkeit“ eines Verantwortlichen, um eine umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO), besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO).
Zu beachten ist, dass die Kerntätigkeit nicht mit dem ähnlich klingenden Begriff Kerngeschäft verwechselt werden darf.
Ein Krankenhaus hat primär den Auftrag Patienten medizinisch zu versorgen. Die medizinische Versorgung wäre also quasi das Kern-Geschäft. Und dafür wird das Krankenhaus auch durch die Kostenträger bezahlt.
Doch eine adäquate Patientenversorgung funktioniert nur dann, wenn gesundheitsbezogene Daten von Patienten verarbeitet werden, indem beispielsweise eine Krankenakte geführt wird. Zu dem Versorgungsauftrag, den ein Krankenhaus hat, ist die Kerntätigkeit der Verarbeitung von personenbezogenen Gesundheitsdaten notwendig. Deshalb ist ein Krankenhaus zur Benennung eines Datenschutzbeauftragten verpflichtet. (siehe auch WP243 der Artikel-29-Datenschutzgruppe)
Analog zu Krankenhäusern, wird auch in Pflegeeinrichtungen (Pflegeheime, Pflegedienst, u. s. w.) eine Vielzahl von personenbezogenen Daten erhoben und verarbeitet. Viele davon sind notwendig, um die Versorgung von Patienten oder zu Pflegenden zu gewährleisten. Hier kann man sicher von einer umfangreichen Verarbeitung von Daten sprechen. Noch dazu, wo es sich vielfach um die besonderen Kategorien von Daten gemäß Art. 9 DSGVO handelt.
Somit sind also gleich mehrere Kriterien erfüllt, die die Bestellung eines Datenschutzbeauftragten zur Folge haben – die Kerntätigkeit, der Umfang und die Besonderheit der Daten (Art. 37 Abs. 1 DSGVO).
Zieht man außerdem das BDSG n. F. zu Rate, so wird in §38 dann doch eine Zahl genannt. Wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen (patientenbezogenen) Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden.
Trotzdem gilt letztlich auch bei einer geringeren Anzahl von Mitarbeitern, die ständig mit der automatisierten Verarbeitung von Gesundheitsdaten beschäftigt sind, die Pflicht zur Bestellung eines Datenschutzbeauftragten – wenn:
Zusammengefasst bleibt als Antwort:
Durch die Vielzahl und die Besonderheit der Daten, die im Bereich der Pflege verarbeitet werden, ist unabhängig von der Mitarbeiterzahl ein Datenschutzbeauftragter zu bestellen.
Ob man sich für eine interne Lösung oder den externen DSB entscheidet kann und sollte jede Pflegeeinrichtung für sich abwägen und entscheiden.
Zwei Begriffe, die ähnlich klingen, aber dennoch verschiedene Bedeutungen haben. Das Ziel im Datenschutz, ist der Schutz von personenbezogenen oder patientenbezogenen Daten. Es geht immer um den Schutz der Privatsphäre außerdem die Auswirkung auf Rechte und Freiheiten einer natürlichen Person. Deshalb wird schon im Vorfeld genau abgewogen, ob Daten überhaupt erhoben und verarbeitet werden dürfen.
Der Begriff Datensicherheit ist da deutlich weiter gefasst. Zwar geht es auch hier um den Schutz von Daten – aber anders als beim Datenschutz ist es hier unerheblich ob es sich um personenbezogene Daten oder z. B. Konstruktionsdaten hält.
Datensicherheit soll, wie der Name bereits zum Ausdruck bringt, sicherstellen dass alle Daten eines Unternehmens ausreichend geschützt sind.
Die Schnittstelle zwischen dem Datenschutz von personenbezogenen Daten, und der Datensicherheit sind die sogenannten technischen-organisatorischen Maßnahmen. (Art. 32 DSGVO).
Jeder Verantwortliche – und vor allem jeder Verantwortliche im Bereich der Pflege – hat geeignete Maßnahmen zu treffen, um die Verarbeitung der Daten sicherzustellen. Dabei spielen folgende Überlegungen eine Rolle:
Ziel dieser Überlegungen und Abwägungen ist immer, ein dem Risiko angemessenes Schutzniveau für personenbezogene oder patientenbezogene Daten zu gewährleisten.
Ziel der technischen-organisatorischen Maßnahmen (kurz TOMs) ist ein dem Risiko angemessenes Schutzniveau zu erreichen. Um das sicherzustellen gibt es eine Menge von Möglichkeiten, die je nach Branche, Unternehmensgröße oder sonstiger spezifischer Unterschiede einer Einrichtung natürlich variieren.
Doch der Grundgedanke ist immer derselbe: es geht, um den Schutz der Daten – insbesondere der personenbezogenen und im Speziellen der patientenbezogenen Daten eines Betroffenen.
Art. 32 DSGVO liefert wichtige Grundsätze, die für den Datenschutz relevant sind. Einige davon sind für die eigentliche technische Verarbeitung wichtig (technische Maßnahmen) – wie z. B. eine Verschlüsselung von Daten oder Datenträgern, die Benutzung von Firewalls. Selbst die Bereitstellung eines Notstromaggregates fällt unter die Rubrik „technische Maßnahme“.
Geht es um das „O“ in den TOM´s – also die organisatorischen Maßnahmen – so wird hier im nichttechnischen Bereich Vorsorge getroffen. Beispielsweise durch regelmäßige Schulung und Sensibilisierung der Mitarbeiter, durch Vergabe von Zugriffsberechtigungen auf bestimmte Daten, usw…
Welche Eckpunkte nennt die DSGVO konkret:
Das klingt alles sehr theoretisch. Darum ist es wertvoll, dass das BDSG n. F. im §64 den Bereich ebenfalls aufgreift. Doch insbesondere §64 Abs. 3 liefert die Oberbegriffe, auf die es wirklich ankommt.
Wichtig ist auf jeden Fall, alle Maßnahmen, die gemäß §64 BDSG n. F. erforderlich sind, unbedingt schriftlich festzuhalten. Dokumentation und regelmäßige Evaluation sind hier essenziell.
Vergleichbare Anforderungen wie das BDSG, sind auch in den Vorgaben für kirchliche Einrichtungen zu finden (§27 DSG-EDK oder §26 KDG).
Auf den Bereich der Pflege bezogen, muss man zugegebenermaßen sagen, dass nur zu schnell viele der oben genannten Schritte im ersten Moment als nicht realisierbar abgetan werden.
Doch gerade im Pflegebereich, ist es umso wichtiger sich zu überlegen, wie die patientenbezogenen Daten, die besonders schützenswert sind, vor dem unberechtigten Zugriff, einer versehentlichen Veränderung oder einem Verlust geschützt werden können.
Darum ist es unabdingbar, entsprechende Maßnahmen zu entwickeln und deren Wirksamkeit regelmäßig zu prüfen. Am besten wird dazu ein fester Prozess etabliert, der regelmäßig alles unter die Lupe nimmt – quasi von der Maßnahme bis zur Durchführung.
Nun wurde in dieser Rubrik schon mehrfach darauf hingewiesen, dass personenbezogene Daten unter Umständen besonders schützenswert sind, und zwar dann, wenn es sich um Datenkategorien handelt, wie Art. 9 DSGVO beschrieben wird.
Nichtsdestoweniger gilt der Schutz der personenbezogenen Daten nicht nur für Patienten oder Betreute einer Pflegeeinrichtung, sondern selbstverständlich auch für alle Mitarbeiterinnen und Mitarbeiter.
Auch Mitarbeiter- und Personaldaten, die im Rahmen des Beschäftigtenverhältnisses erhoben werden, unterliegen dem Datenschutz nach DSGVO und BDSG n. F.
Denn selbstverständlich hat auch der Mitarbeiter Rechte und Freiheiten, die durch eine Datenpanne in Gefahr sein könnten. Und genau, wie beim Patienten, gibt es auch beim Personal Stammdaten (Name, Adresse, Telefonnummer) und besondere Kategorien von Daten (Gesundheitsdaten, Gewerkschaftszugehörigkeit, Biometrische Daten, …).
Die Datenschutzgrundverordnung hat das Ziel, den Schutz von personenbezogenen Daten zu gewährleisten. Deshalb sind Unternehmen, aber auch alle Einrichtung aus dem Bereich der Gesundheit und Pflege, in der Pflicht verantwortungsvoll mit diesen Daten umzugehen – unabhängig davon, ob es sich um Mitarbeiter, Patienten oder Betreute handelt.
Vor allem geht es inzwischen nicht mehr nur darum, dass sich das Unternehmen bzw. die Einrichtung selbst schützt. Vielmehr müssen dem jeweiligen Betroffenen gegenüber eine Reihe von Rechten gewahrt und gewährt werden.
Die DSGVO erläutert ab Art. 15 die verschiedenen Ansprüche, die eine betroffene Person oder in unserem Fall ein Patient oder Betreuter an die Pflegeeinrichtung haben kann.
Und selbstverständlich gehört auf das Recht auf Information grundlegend dazu. Art. 13 und 14 DSGVO unterscheiden hierbei zwischen der Informationspflicht, die ein Verantwortlicher hat, wenn er die Daten entweder direkt beim Betroffenen oder beim Patienten erhoben hat, oder wenn Daten durch einen Dritten übermittelt wurden.
Im Detail werden die Betroffenenrechte in einem separaten Artikel behandelt (Betroffenenrechte >>>).
Wie sieht es mit diesen Rechten im Bereich der Pflege aus, wo obendrein patientenbezogene Daten verarbeitet werden?
Die Wahrung der Betroffenenrechte hat selbstverständlich den gleich hohen Stellenwert, wie in jeder anderen Unternehmung auch – wenn nicht sogar einen noch höheren, durch die Besonderheit der verarbeiteten Daten.
ABER: Wer kennt das nicht, dass beispielsweise ein Patient oder Heimbewohner, der an Demenz erkrankt ist, selbst nicht mehr adäquat Antwort geben kann. Somit frägt man Familienangehörige oder Betreuer nach Auffälligkeiten und Besonderheiten der letzten Zeit. Häufig sind es gerade biographische Daten oder Angaben zum Gesundheitszustand, die von „Dritten“ abgefragt (sprich erhoben) und dokumentiert (also gespeichert) werden.
Und schon wird deutlich, dass die Informationspflicht eines Verantwortlichen in diesem Fall gar nicht so einfach ist. Er muss nämlich strenggenommen hier seiner Informationspflicht nach Art. 14 DSGVO nachkommen – und den Demenzkranken darüber informieren, von wem er Auskünfte über ihn eingeholt hat.
Dieses Recht auf Information gehört zu den elementaren Betroffenenrechten eines Jeden – unabhängig davon, ob er jung oder alt, gesund oder krank, allein entscheidungsberechtigt oder unter Betreuung steht. Genauso, wie auch alle anderen Rechte, die dem Betroffenen zustehen.
Ein Betroffener kann jederzeit eine Anfrage an seine Pflegeeinrichtung, oder seinen Pflegedienst stellen. Der Umgang mit solchen Anfragen ist gesetzlich geregelt und es gilt unbedingt die festgesetzten Reaktionszeiten zu berücksichtigen.
Möchte ein Betroffener beispielsweise Auskunft, welche Daten von ihm erhoben und verarbeitet sind, so muss ihm die Antwort in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Die Übermittlung erfolgt schriftlich – ob in Papierform oder elektronisch, ist hierbei unerheblich.
Wichtig ist nur, die Identität der Person, die die Anfrage stellt, zweifelsfrei zu klären. (Art. 12 DSGVO Abs. 1)
Als Frist über die Übermittlung der Antwort ist in Art. 12 Abs. 3 DSGVO festgelegt, dass innerhalb eines Monats nach Eingang des Antrags die gewünschten Informationen zur Verfügung gestellt werden müssen. Unter bestimmten Voraussetzungen gibt es eine Fristverlängerung. Wobei dies nicht die Regel sein sollte.
Ähnliche Vorgaben für Einrichtungen unter kirchlicher Trägerschaft sind in §§16-25 DSG-EKD und §§14-25 KDG nachzulesen. Es lohnt sich also, im Speziellen noch einmal einen Blick in die ergänzenden Regelungen zu werfen.
Hilfreich ist auch ein Blick in das DSK-Kurzpapier Nr. 6 zum Thema Auskunftsrecht der betroffenen Person, Art. 15 DSGVO (zu finden auf www.datenschutzkonferenz-online.de)
Ein Beispiel soll zeigen, wie unterschiedlich das Verhalten einer Pflegeeinrichtung bei ein und demselben Anliegen sein kann. Nehmen wir die Pflegedokumentation unter die Lupe:
Fazit daraus – obwohl in allen drei Fällen Einsicht, bzw. Auskunft gewünscht ist, muss immer sorgsam überprüft werden, wer hinter der Anfrage steht. Je nachdem muss dann entsprechend vorgegangen werden.
Dieser Abschnitt soll grundsätzlich dafür sensibilisieren, dass es in der Praxis nicht immer einfach ist, die Rechte der Betroffenen zu wahren. (Weitere Informationen zu Betroffenenrechten finden Sie hier.)
Was das Thema Einwilligungen angeht – darauf wird im Bereich Dokumentation detaillierter eingegangen.
Nun ist die Schweigepflicht für patientenbezogene Daten nicht ausdrücklich in der DSGVO geregelt. Dennoch gilt es die Schweigepflicht, die grundsätzlich im §203 Strafgesetzbuch (StGB) fixiert ist, stets zu berücksichtigen. Dieser Paragraf macht deutlich, dass es bestimmten Berufsgruppen nicht erlaubt ist, anvertraute Geheimnisse unbefugt an Dritte weiterzugeben. Laut §203 Abs. 1 StGB gehören zu diesen Berufsgruppen Ärzte, Apotheker und Angehörige eines anderen Heilberufes. Und ein Blick in §203 Abs. 3 und 4 nennt ergänzend „berufsmäßig tätige Gehilfen“ oder auch „mitwirkende Personen“. Daraus ergibt sich, dass auch Pflegeberufe davon betroffen sind.
In der DSGVO ist in erster Linie immer der Verantwortliche, also der Geschäftsführer oder die Heimleitung verantwortlich für den Datenschutz. Über die Mitarbeiter-/Arbeitnehmerhaftung dann auch die einzelnen Arbeiter und Angestellten.
Bei der Schweigepflicht ist es anders. Hier ist in erster Linie immer die handelnde Person, z. B. die Pflegefachkraft verantwortlich, nicht die Einrichtung an sich. Eine Pflegekraft, die unbefugt Daten über Patienten oder Betreute weitergibt, ohne auf DSGVO und StGB zu achten, macht sich einerseits strafbar – und kann andererseits dadurch obendrein auch einen
Datenschutzverstoß auslösen. Dafür ist zwar offiziell der Verantwortliche haftbar – doch über die Arbeitnehmerhaftung ist selbstverständlich der Mitarbeiter in der Pflicht und Verantwortung. Schlussendlich kann eine Verletzung der Schweigepflicht arbeitsrechtliche Konsequenzen oder sogar Geld- oder Freiheitsstrafe bedeuten. Und für eine Pflegeeinrichtung kann so ein Vorfall unter Umständen einen Imageverlust mit sich bringen.
Daten von Patienten oder Betreuten, unabhängig davon ob es sich um „normale“ personenbezogene Daten handelt (wie Name, Adresse) oder ob die besonderen Kategorien von Daten nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten) betroffen sind, dürfen ausschließlich dann weitergegeben werden, wenn
Und nun mal ein Blick auf die Schweigepflicht unter Berücksichtigung von Art. 13 und 14 DSGVO. Der Betroffene muss informiert werden, wenn Daten direkt von ihm oder über Dritte erhoben werden. Wie vorher schon erwähnt – und wie später noch detaillierter ausgeführt wird muss ein Betroffener dann darüber in Kenntnis gesetzt werden, wer Empfänger der verarbeiteten Daten sein wird. Eine unbedachte Weitergabe von Daten sollte also unbedingt vermieden werden – denn wie ließe sich diese triftig gegenüber dem Betroffenen argumentieren?
Um in Sachen Schweigepflicht als Arbeitgeber Vorsorge zu treffen, lohnt es sich, in Arbeitsanweisungen explizit auf die, für alle in der Einrichtung Tätigen, Schweigepflicht hinzuweisen.
Außerdem ist es notwendig, mit allen im Unternehmen beschäftigten Mitarbeiterinnen und Mitarbeitern (wozu auch Auszubildende, Teilzeitkräfte, geringfügig Beschäftigte, externe Mitarbeiter, … zählen) eine „Verpflichtung zur Einhaltung datenschutzrechtlicher Anforderungen nach Datenschutz-Grundverordnung (DS-GVO) und zur Wahrung Vertraulichkeit“ abzuschließen. In vielen Arbeitsverträgen ist zwar schon von einer Verschwiegenheitspflicht die Rede. Expliziter geregelt ist die Verpflichtung auf die Wahrung der Vertraulichkeit jedoch in einer extra Vereinbarung.
Hat man früher Informationen aus der pflegerischen Versorgung von Patienten oftmals mündlich weitergegeben und nur relevante Daten in einem Übergabebuch erfasst – so geht es heute um einen lückenlosen und vollständigen Informationsfluss. Die Notwendigkeit einer aussagekräftigen Dokumentation ist heute alles andere als umstritten, sondern gängige Praxis.
Wirft man einen Blick in das Berufsrecht für Pflegefachberufe, gehört die Pflicht zur Dokumentation dazu. Sie gilt heute als Nebenpflicht aus dem Arbeitsvertrag und fällt unter die Sorgfaltspflicht eines jeden in der Pflege Tätigen.
Die Rahmen-Berufsordnung des deutschen Pflegerates schreibt Folgendes fest:
Ergänzt wird die Dokumentationspflicht außerdem im Altenpflegegesetz (AltPflG), dem Krankenpflegegesetz (KrPflG), dem Sozialgesetzbuch (SGB XI) und durch Urteile des Bundesgerichtshofs (BGH). Nach einem Grundsatzurteil vom 18.05.1986 macht das BGH z. B. deutlich, dass Maßnahmen, die nicht dokumentiert wurden, als nicht durchgeführt gewertet werden.
Fazit: Dokumentation läuft heute oftmals unter dem Motto „Je mehr, desto besser“. Denn bevor es Ärger gibt, weil nicht alles dokumentiert wurde, schreibt man lieber etwas mehr auf.
Wie sieht das aber die DSGVO? Die Antwort fällt im Prinzip kurz und knapp aus. Schon zu den Grundsätzen der Datenverarbeitung nach DSGVO gehört das Prinzip der Datensparsamkeit und Speicherbegrenzung. (Art. 5 Abs. 1 DSGVO). Hier wird verlangt, dass so wenig Daten wie möglich erhoben werden und diese auch nur so lange aufbewahrt werden, wie nötig.
Und, es bedarf immer einem festgelegten Zweck, überhaupt Daten zu verarbeiten.
Hier wird deutlich, dass es unter Umständen eine echte Herausforderung ist, den rechtlichen Anforderungen gerecht zu werden. Auf der einen Seite lückenlose Dokumentation, insbesondere auch zur eigenen Absicherung, auf der anderen Seite Datensparsamkeit.
Ein ständiger Spagat zwischen der Pflicht zur Dokumentation und der Beurteilung, wie viel wirklich nötig und gerechtfertigt ist.
Was genau meint also Datensparsamkeit oder Datenminimierung? Der „Verantwortliche“ einer Pflegeeinrichtung ist dafür zuständig, zu regeln, dass so wenig wie möglich personen- oder patientenbezogene Daten verarbeitet werden. Dazu braucht es grundlegend eine datensparende Organisation des Pflegebetriebes. Es muss sichergestellt werden, dass nur Daten erhoben, gesammelt und gespeichert werden, die für die adäquate Pflege und Versorgung notwendig sind – sowie genug, um nachweisen zu können, dass Leistungen ausreichend erbracht wurden.
Die Frage ist also „braucht“ man die Daten, um einen Vertrag zu erfüllen, einer gesetzlichen Verpflichtung nachzukommen, oder zum Schutz lebenswichtiger Interessen des Betroffenen?
Falls keine der oben genannten Bedingungen zutrifft, muss man sich fragen, ob man dem Betroffenen begreiflich machen kann, dass man zusätzlich personenbezogene Daten von ihm erhebt, so dass er seine Einwilligung dazu gibt?!
Eine Pflegeeinrichtung soll ihren Auftrag erfüllen, und sich um das Wohl und die Gesundheit von Patienten, Bewohnern, Betreuten kümmern – aber keine Datenkrake sein.
Für Daten, die tatsächlich erforderlich sind, sollte der Zweck der damit verbunden Datenverarbeitung genau beschrieben und klar definiert sein. Gibt es dafür keine Rechtsgrundlage, oder ist der Zweck der Verarbeitung nicht mehr gegeben – so dürfen personen- oder patientenbezogene Daten nicht mehr verarbeitet werden.
Und gibt es keine gesetzliche Pflicht zur Aufbewahrung, so sind solche Daten zu löschen.
Sinn und Zweck ist immer ein sparsamer Umgang mit personenbezogenen Daten – umso leichter ist es, diese anvertrauten Daten zu schützen.
Neben der DSGVO, gelten natürlich auch die speziellen Vorgaben der Kirchengesetze.
Datenschutzverstöße dürfen nicht einfach unter den Tisch gekehrt und bagatellisiert werden. Insbesondere seit Einführung der DSGVO gibt es für bestimmte Vorfälle sogar eine Meldepflicht gegenüber den Aufsichtsbehörden und teils sogar gegenüber Betroffenen. Sinn und Zweck ist, die Rechte und Freiheiten der Betroffenen besser zu schützen und dem Grundsatz der Transparenz besser nachzukommen.
Die Praxis zeigt, dass Mitarbeiter vielfach mit dem Begriff Datenschutzverstoß oder Datenpanne nichts anfangen können.
Per Definition liest man aus der DSGVO heraus Folgendes: Die Verletzung des Schutzes personenbezogener Daten kann unbeabsichtigt oder unrechtmäßig erfolgen. Sie kann Vernichtung, Verlust oder auch Veränderung von personenbezogenen Daten zur Folge haben. Es kann sein, dass es zu einem technisch oder einem physischen Zwischenfall gekommen ist.
Die DSGVO regelt in Art. 33 Abs. 1 klar, dass es im Fall einer Datenschutzverletzung unverzüglich zu einer Prüfung des Vorgangs kommen muss. Unter Umständen muss darüber hinaus innerhalb von 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Auch im §33 KDG findet man den Hinweis auf eine Meldepflicht innerhalb von 72 Stunden. Im §32 DSG-EKD hingegen stößt man nur auf den Begriff „unverzüglich“, der sonst nicht näher definiert ist.
Wichtig ist, immer daran zu denken, dass die genannten 72 Stunden ab dem Bekanntwerden gezählt werden. Das heißt – unabhängig davon, welche Uhrzeit, welcher Wochentag, welcher Feiertag – ab Bekanntwerden sind 72 Stunden Zeit, eine aussagekräftige Meldung an die Aufsichtsbehörde zu senden. Sollte dies nicht möglich sein, ist in Ausnahmefällen der Meldung eine Begründung für die Verzögerung beizufügen. Aber Achtung – es sollte nicht im Voraus damit kalkuliert werden, eine verspätete Meldung abzugeben. Besser eine unverzügliche und inhaltlich vielleicht noch nicht vollständige Meldung abgeben als eine vollständige, aber verspätete Erklärung. Deshalb sehen DSGVO, KDG und DSG-EKD auch vor, Informationen schrittweise zur Verfügung zu stellen, falls es nicht möglich ist alle geforderten Auskünfte zeitgleich bereit zu stellen. (Art. 33 Abs. 4 DSGVO, § 33 Abs. 4 KDG, §32 Abs. 4 DSG-EKD).
Je höher das Risiko für die Rechte und Freiheiten Betroffener ist, desto zügiger sollte vorgegangen werden. Zum einen, um eine eventuelle Meldung an die Aufsichtsbehörde zu übermitteln, zeitgleich aber auch um dafür zu sorgen, dass dem Vorgang, der die Datenschutzverletzung ausgelöst hat, Einhalt geboten wird.
Wann muss eine Meldung erfolgen? Art. 33 Abs. 1 DSGVO sieht eine einzige Ausnahme vor, aufgrund derer keine Meldung an die Aufsichtsbehörde erfolgen muss. Und zwar ausnahmslos nur dann, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten von Betroffenen geführt haben kann. Dabei gilt es neben der aktuellen Entwicklung eine Prognose für die Zukunft zu erstellen – denn unter Umständen könnte der Verlust, oder die Veränderung von Daten künftig negative Folgen für einen Betroffenen haben. In diesem Fall müsste ebenfalls eine Meldung erfolgen.
Liegt ein Verstoß vor, der KEINE Meldepflicht gegenüber der Aufsichtsbehörde nach sich zieht, so gibt es dennoch die Pflicht des Verantwortlichen, den Vorfall ordentlich zu dokumentieren. (Art. 33 Abs. 5 DSGVO, § 32 Abs. 5 DSG-EKD, §33 Abs. 5 KDG)
Diese Dokumentation kann von einer Aufsichtsbehörde im Fall einer Überprüfung ebenfalls eingesehen werden.
In die Dokumentation gehört eine genaue Beschreibung des Vorfalls, sprich alle Fakten, die die Verletzung näher beschreiben, die Art und der Umfang der betroffenen personenbezogenen Daten sowie die Anzahl der vermeintlich betroffenen Personen. Darüber hinaus sollte der Verantwortliche eine Risikoeinschätzung erfassen und beschreiben, welche Maßnahmen ergriffen wurden, um den Vorfall zu beenden. Und es lohnt sich, Maßnahmen aufzunehmen, die künftig verhindern sollen, dass es erneut zu einer Datenschutzverletzung kommt.
Für den Fall, dass mit einem hohen Risiko für die Rechte und Freiheiten von Betroffenen zu rechnen ist, muss – wie bereits erwähnt – eine Meldung an die Aufsichtsbehörde erfolgen. Wie so oft, wird zur Schriftform geraten.
DSGVO, KDG und DSG-EKD regeln darüber hinaus die Anforderungen, die eine Meldung erfüllen muss:
Ein Vergleich zeigt, dass es durchaus sinnvoll ist, die rechtlichen Vorgaben, die für eine Meldung an die Aufsichtsbehörde gelten, bereits bei der Dokumentation nicht meldepflichtiger Vorfälle anzuwenden. So ist gewährleistet, dass alle Vorfälle sauber und nachvollziehbar dokumentiert sind.
Unter bestimmten Voraussetzungen muss neben der Aufsichtsbehörde auch der Betroffene informiert werden, dass es zu einer Datenschutzverletzung gekommen ist. Das ist der Fall, wenn der Wahrscheinlichkeit nach, ein hohes Risiko für persönliche Rechte und Freiheiten des Betroffenen besteht. Warum ist das wichtig? Die Person oder die Personengruppe, deren Daten von der Panne betroffen sind, soll die Möglichkeit haben, geeignete Schutzmaßnahmen zu treffen. Dafür erhält der Geschädigte ebenfalls eine Beschreibung des Vorfalls. (Art. 34 DSGVO, §34 KDG, §33 DSG-EKD)
Die Pflicht zur Unterrichtung Betroffener entfällt dann, wenn der Verantwortliche unverzüglich technische-organisatorische Maßnahmen getroffen hat, die direkten Einfluss auf die von der Verletzung betroffenen Daten hatten. Wenn darüber hinaus das Risiko aller Wahrscheinlichkeit nach nicht mehr besteht. Oder wenn die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden wäre. An deren Stelle sollte dann z. B. eine öffentliche Bekanntmachung treten.
Weitere Informationen zur Datenpanne bzw. zur Meldung von Datenschutzverstößen finden Sie hier.
Neben vielen Unternehmen aus der Wirtschaft, wird auch im sozialen und medizinischen Bereich Präsenz in Internet und sozialen Medien immer wichtiger. Das hat mit Sicherheit Vorteile, allein schon was Bekanntheit und zum Teil das Marketing angeht. Doch trotz allem ist Vorsicht geboten.
Denn ein Online-Auftritt im Netz, oder die Nutzung sozialer Medien bringt noch zusätzliche Herausforderungen in puncto Datenschutz mit sich.
Im Detail auf alle relevanten Punkte einzugehen, würde den Rahmen an dieser Stelle definitiv sprengen. Zumal gerade der Bereich Webauftritt, social-media und Co. einem ständigen Wandel und permanenten Neuerung unterworfen sind.
Deshalb hier nur die wichtigsten Eckdaten. Details sind in eigenen Artikeln, bzw. bei unseren Fachleuten für IT-Sicherheit zu erfragen.
Überblick über die wichtigsten To-Do´s für den „online“-Einsatz:
Neben der datenschutzkonformen Gestaltung einer Homepage, bringen neue Medien viele Herausforderungen mit sich.
Der Einsatz von Diensten, wie beispielsweise WhatsApp, ist in vielen Einrichtungen gängige Praxis, um kurz und schnell Informationen auszutauschen. Eine tolle Möglichkeit. Aber auch sehr gefährlich. Denn wenn man überlegt, wer z. B. hinter WhatsApp steckt, dann weiß man, dass es durchaus ausländische Dienstleister gibt, die dem Wort Daten-„Schutz“ nicht unbedingt den richtigen Stellenwert beimessen.
Interessante Überlegungen liefert das „Whitepaper“ der Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder vom 07.11.2019.
Gerade weil im Bereich Krankenhaus und Pflege häufig besondere Kategorien von Daten (Art. 9 DSGVO) verarbeitet werden, sollte man eine Nutzung von Diensten wie WhatsApp sehr kritisch überdenken.
Zumal es Alternativen gibt, die den Anforderungen der DSGVO eher gerecht werden.
Fazit: Ein Online-Auftritt oder die Nutzung von Onlinediensten ist selbstverständlich möglich – aber mit Aufwand verbunden. Gerade, um in Sachen Datenschutz immer aktuell zu sein, hilft es nicht, jeden neuen Trend sofort mitzumachen, sondern gründlich abzuwägen, welche Risken der Einsatz unter Umständen für die Rechte und Freiheiten Betroffener haben mag, vor allem, falls es doch einmal zu einer Datenpanne kommt.
Wenn Sie nicht sicher sind, ob Ihre Pflegeeinrichtung alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!