DATENSCHUTZBEAUFTRAGTER

Externer Datenschutzbeauftragter
- wir schaffen Vertrauen und Sicherheit

Der gelebte Datenschutz in Ihrem Unternehmen ist angesichts der fortschreitenden Transformation in die digitalisierte Welt der IT nicht länger nur eine Option. Die Datenschutzgrundverordnung schreibt für Unternehmen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten vor. Der Datenschutzbeauftragte schafft Vertrauen bei Kunden und Partnern.

Ihre Investition in den Datenschutz ist nicht nur die Absicherung möglicher Risiken, sondern zugleich eine notwendige und sinnvolle Investition in Ihr Unternehmen. Sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, haben sie die Wahl: Entweder sie bestimmen einen internen Mitarbeiter, den sie zum Datenschutzbeauftragten ausbilden und anschließend regelmäßig schulen, oder sie entscheiden sich für uns als externen Datenschutzbeauftragten.

Wir können Ihnen folgendes Vorgehen anbieten:

  • Vorgespräch bei Ihnen vor Ort zur Definition Ihrer Leitlinien und Datenschutzziele,
  • Bestandsaufnahme Ihrer Verarbeitungstätigkeiten bei Ihnen vor Ort,
  • Erstellen eines Verzeichnisses Ihrer Verarbeitungstätigkeiten,
  • Umsetzungsberatung für einen entsprechenden Maßnahmenplan,
  • Unterstützung bei der Erstellung der notwendigen Dokumentationen Ihrer Tätigkeiten bzw. Folgeabschätzungen (Risiken),
  • Unterstützung bei internen und externen Kommunikation,
Gerne setzen wir uns mit Ihnen zur Diskussion eines individuellen Angebotes zu Aufwand und Kosten eines externen Datenschutzbeauftragten in Verbindung. Dazu haben Sie hier die Möglichkeit, Ihre Kontaktdaten sowie die wichtigsten Eckdaten hinsichtlich Ihres Datenschutzes anzugeben.
Sollten Sie im Vorfeld Fragen haben, zögern Sie nicht, uns auch hierzu zu kontaktieren.
  • Was unterscheidet interne und externe Datenschutzbeauftragte?

    Wird ein Mitarbeiter mit der Aufgabe betraut, spricht man von einem internen Datenschutzbeauftragten. Der Mitarbeiter steht unter Kündigungsschutz und hat das Recht zum Beispiel auf eine eigene Ausstattung oder Fortbildung. 

    Firmen bzw. Inhaber können aber auch einen externen Dienstleister beauftragen. Bei dieser Variante fallen zusätzliche Kosten an.

  • Muss ich einen Datenschutzbeauftragten (DSB) benennen?

    Nach der DSGVO sowie ergänzend dem BDSG besteht eine Verpflichtung zur Benennung eines DSB, wenn

    • die Verarbeitung von Patientenddaten durch 10 oder mehr Personen erfolgt (die Berechnung erfolgt dabei nach Köpfen und auch der/die Praxisinhaber ist/sind einzube-rechnen.)

    ODER

    • eine umfangreiche Verarbeitung von Daten erfolgt;

    • eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO zu erstellen ist.


    Die Aufsichtsbehörde vertritt die Auffassung, dass in der Regel bei einer Datenverarbeitung von bis zu 9 Personen nicht von einer umfangreichen Verarbeitung auszugehen ist. Auch eine Datenschutzfolgenabschätzung ist in einer durchschnittlichen Arztpraxis regelmäßig nicht vorzunehmen. Die Landesdatenschutzbeauftragte für den Datenschutz hat nunmehr auf ihrer Website eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine Datenschutzfolgenabschätzung zwingend erfolgen muss. Ärzte müssen danach beispielsweise eine Datenschutzfolgenabschätzung vornehmen, wenn sie eine Telefonsprechstunde über ein Webportal oder eine App anbieten. Damit hat jeder Arzt, der eine Videosprechstunde nach Anl. 31b BMV-Ä anbietet, eine Datenschutz-Folgenabschätzung vorzunehmen. Ebenfalls erfordert die umfangreiche Weitergabe anonymisierter Daten im Rahmen der medizinischen Forschung die Durchführung einer Datenschutzfolgenabschätzung. 


  • Was ist ein Datenschutzvorfall?

    Verlust des aptops, Hackerangriff oder unbewusste Veröffentlichung von personenbezogenen Daten im Internet: Von einem Datenschutzvorfall spricht man, wenn die Sicherheit der personenbezogenen Daten, für die der Arzt oder Psychotherapeut verantwortlich ist, verletzt wird oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten auftreten - also die Daten nicht mehr sicher sind. Dabei spielt es keine Rolle, ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist.

  • Darf ich für berufliche Belange Fax, E-Mail oder WhatsApp nutzen?

    Die Versendung von Faxen wird seitens der Landesbeauftragten für den Datenschutz zunehmend als problematisch erachtet. Vor dem Hintergrund der nahezu flächendeckenden Umstellung auf VoiceoverIP sei das Fax ähnlich wie eine unverschlüsselte Email zu betrachten. Die Landesbeauftragte empfiehlt daher, das Fax nur noch im eilbedürftigen Notfall einzusetzen. Bitte stellen Sie in diesem Fall ergänzend sicher, dass organisatorische Sicherheitsmaßnahmen eingehalten werden (richtige Faxnummer, Fax steht außerhalb von Patientenzugriff etc.). 

    Die Versendung von Daten per E-Mail darf nur verschlüsselt erfolgen. Verlangt der Patient nach Hinweis für die erheblichen Risiken des unverschlüsselten Emailversands gleichwohl die Übersendung per Mail, kann dies auf sein Risiko erfolgen. 

    Die Nutzung von WhatsApp ist unzulässig, da WhatsApp Ihr gesamtes Telefonbuch ausliest und die Daten in die USA übermittelt. 


  • Was muss ich bei einem Datenschutzvorfall tun?

    Der erste Schritt ist, dass der Inhaber der Praxis informiert wird. Dieser muss den Vorfall dokumentieren und gegebenenfalls geeignete Gegenmaßnahmen einleiten. Sofern ein Datenschutzbeauftragter bestellt ist (ab 10 Mitarbeiter, siehe oben), kann dieser durch die Praxis hinzugezogen werden. Zudem muss die verantwortliche Stelle,  entscheiden, ob der Vorfall an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss (eine Übersicht finden Sie hier). Eine solche Meldung muss innerhalb von 72 Stunden erfolgen.

  • Wann müssen Datenschutzvorfälle gemeldet werden?

    Wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Was „Risiko“ bedeutet, muss im Einzelfall entschieden werden. Ein Beispiel wäre ein Hackerangriff auf die Patientendatenbank. Werden dagegen Daten aus Versehen von einem Mitarbeiter gelöscht, aber sofort wieder hergestellt, muss ein solcher Vorfall zwar dokumentiert, aber eher nicht gemeldet werden. 

  • Muss ich ein Verzeichnis von Verarbeitungstätigkeiten nur einmal erstellen oder in regelmäßigen Abständen?

    Sie sollten Ihr Verzeichnis immer auf dem aktuellen Stand halten und hin und wieder prüfen, ob es angepasst werden muss. Treten Sie zum Beispiel einem neuen Versorgungsvertrag bei, bei dem Daten von Patienten erhoben, gespeichert oder an Dritte weitergeleitet werden, prüfen Sie, ob Sie Ihr Verzeichnis um diese Tätigkeit ergänzen müssen. 

    So sind Sie immer auf der sicheren Seite, falls die Datenschutzbehörde sich Ihr Verzeichnis vorlegen lässt.

  • Wir bekommen oft Anfragen von Krankenkassen oder Gesundheitsämtern: Dürfen wir hier Auskunft geben?

    Personenbezogene Daten dürfen nur übermittelt werden, wenn eine Rechtsgrundlage es erlaubt. Dies kann eine Einwilligung des Patienten sein, mit der er einer Schweigepflichtentbindung zustimmt, oder eine Rechtsnorm, zum Beispiel eine gesetzliche Bestimmung im SGB V oder eine Regelung im Bundesmantelvertrag-Ärzte. 

    Anfragen von Krankenkassen auf einem vertragsärztlichen Formular beruhen auf so einer Rechtsnorm, deshalb müssen Praxen solche Anfragen beantworten. Anders bei formlosen Anfragen: Bei diesen muss die Krankenkasse angeben, aufgrund welcher Rechtsgrundlage sie Auskunft haben will. Ansonsten sind Praxen nicht verpflichtet zu antworten.

    Auch Anfragen anderer Stellen, etwa von Berufsgenossenschaften, Sozialgerichten oder Gesundheitsämtern, müssen eine Rechtsgrundlage haben. Es kann zum Beispiel sein, dass personenbezogene Daten an Gesundheitsämter übermittelt werden müssen, weil für bestimmte Krankheiten Meldepflicht aufgrund des Infektionsschutzgesetzes besteht.


Weitere Fragen? Kontaktieren Sie uns

Share by: