Am 25. Mai 2018 tritt die europäische Datenschutzgrundverordnung in Kraft. Wir hatten in Deutschland bereits ein strenges Datenschutzgesetz, die neue Rechtslage stellt unseren Berufsstand aber vor zusätzliche Aufgaben und Pflichten, die nicht vernachlässigt werden können. Im folgenden Artikel erhalten einen kurzen Abriss über die Handlungsfelder, die sich für Sie ergeben.

Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.

Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.

Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht)

Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.

Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.

Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.

Speicherbegrenzung
Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.

Integrität und Vertraulichkeit
Die DS-GVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).

Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.

Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich.

• brauche ich einen Datenschutzbeauftragten ?
• legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an
• beschreiben Sie ihre Prozesse und erstellen Sie Arbeitsanweisungen mit Löschfristen
• Beschreibung der Prozesse und Erstellung von Arbeitsanweisungen „ohne Einwilligungserklärung“
• prüfen Sie ob eine Datenschutzfolgeabschätzung notwendig ist
• Dokumentieren Sie ihre Datenschutzanstrengungen
• unterweisen und verpflichten Sie ihre Mitarbeiter
• Überarbeiten Sie Ihre Einwilligungserklärung zur Speicherung von Kundendaten
• holen Sie bei jedem Kontakt eine Einwilligungserklärung zur Datenspeicherung ein!

Nutzung von WhatsApp

DIe DSGVO untersagt die Weitergabe von Daten an Drittstaaten. Wenn Sie also WhatsApp oder Facebook nutzen und gleichzeitig Kunden(kontakt)daten auf Ihrem Smartphone speichern haben Sie ein Problem. Die Daten dürfen anhand der Nutzungsvereinbarungen ausgelesen werden und gehen verbotswidrig in Drittstaaten. Vorsicht – hier helfen auch keine Einwilligungserklärungen! Die Weitergabe an Drittstaaten ist generell untersagt. Wenn Sie den Punkt in einer Einwilligung erwähnen dokumentieren Sie selbst den Verstoß.

Dem Kunden steht es frei selbst Nachrichten per WhatsApp zu schicken. Bis also Business-Versionen ohne Datenweitergabe zur Verfügung stehen empfiehlt es sich ein Gerät im Büro nur zum WhatsApp Empfang bereit zu stellen, darauf keine Daten zu halten und keine Nachrichten an Kunden zu verschicken.

Wie ein Smartphone für den Empfang von WhatsApp mit der normalen Festnetznummer installiert werden kann finden Sie in dieser Beschreibung

Gesundheitsdaten sollten nicht dauerhaft gespeichert werden. Dennoch kommt es immer wieder mal zu Rückfragen. Wenn der Vorgang dann nachvollziehbar ist erleichtert das Reklamationen ungemein.
Der Vorschlag; Richten Sie sich einfach einen Archivordner “Löschvorgänge” in Outlook ein. Aller versandten Mails mit sensiblen Daten werden dorthin verschoben und nicht mehr im Agentursystem gespeichert. Damit haben Sie die Gelegenheit die Unterlagen regelmäßig von hinten her enbloc zu löschen. Ggf können auch mehrere Ordner bei unterschiedlich gewünschten Löschfristen eingerichtet werden. Das Verfahren hat auch den Vorteil die Datenbank des Agentursystems übersichtlicher zu halten und es nicht aufzublähen.