Die neue EU-Datenschutz-Grundverordnung (DSGVO) seit dem 25.05.2018

Durch die rasante Entwicklung der Informationstechnologie und die daraus entwachsenden vielfältigen Möglichkeiten zur Erhebung, Verarbeitung und Nutzung von Daten gewinnt der Schutz unserer personenbezogenen Daten eine immer größere Bedeutung.

Sowohl die europäische Datenschutzregelung 95/46/EG von 1995 als auch das Bundesdatenschutzgesetz (BDSG) in seiner Fassung von 2003 stammen aus Zeiten, in denen über Social Media, Big Data und Internet of Things noch nicht einmal nachgedacht wurde. Sie wurden den aktuellen Anforderungen nicht mehr gerecht und deshalb wurde mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) das Privatsphären- und Datenschutzrecht auf europäischer Ebene vereinheitlicht. Nach einer Übergangsfrist trat die DSGVO am 25. Mai 2018 endgültig in Kraft.

Was kommt auf Unternehmen zu?

Die DSGVO gilt für alle Unternehmen, die auf dem europäischen Markt tätig sind und ihre Angebote an Bürger innerhalb der EU richten. Auf Grund ihres Wesens einer Verordnung gilt sie unmittelbar und einheitlich in allen EU-Mitgliedsstaaten. Auf nationaler Ebene sind nur geringe Anpassungen möglich.

Für die bisher dem BDSG unterworfenen Unternehmen ergeben sich mit der neuen DSGVO teils erhebliche Anpassungen, vor allem in der Prozessorientierung, der Risikobetrachtung und den Dokumentationsanforderungen. Zur Sicherstellung der Umsetzung wurden die zuständigen Aufsichtsbehörden mit erheblich gestiegenen Kontroll- und Sanktionsmöglichkeiten ausgestattet.

Die wichtigsten Neuerungen im Überblick

Die DSGVO konkretisiert und erweitert die Rechte von Personen, deren Daten verarbeitet werden und gibt ihnen mehr Kontrollrechte über ihre personenbezogenen Daten. Dazu zählt unter anderem eine klare Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten, ein einfacherer Zugang der betroffenen Personen zu ihren personenbezogenen Daten und das Recht auf Berichtigung, Löschung (Right to be Forgotten) von personenbezogenen Daten.

Konkrete Auswirkungen auf Unternehmen

Die Rechte der Betroffenen haben maßgeblich Auswirkungen auf die Prozesse in Unternehmen, denn sie müssen geeignete Maßnahmen umsetzen, um diese Rechte sicherzustellen.

Für die Umsetzung wird vom Gesetzgeber eine prozessorientierte und risikobasierte Vorgehensweise gefordert, mit Hilfe derer geeignete Strategien und Maßnahmen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet werden. Dazu werden explizit Nachweise gefordert, die das belegen.

Die Realisierung dieser erweiterten Dokumentations- und Nachweispflichten in sämtlichen Datenverarbeitungsprozessen (Privacy Impact Assessment) wird für die Unternehmen den größten Anteil am gesamten Umsetzungsaufwand beinhalten. Dies gilt sowohl beim Aufbau als auch bei den nachfolgenden laufenden Pflege- und Anpassungsmaßnahmen.

Gemeinsam machen wir Ihr Unternehmen fit für die neue DSGVO

Der Schwerpunkt von VETBERATUNG liegt in der Beratung von Tierkliniken und Tierarztpraxen im Praxismanagement und der Organisationsentwicklung bis hin zur Zertifizierung. Deshalb kennen wir die Unternehmensprozesse aus dem Effeff und wissen, worauf bei der Umsetzung der DSGVO geachtet werden muss. Mit unserem abgestimmten Vorgehen machen wir Sie fit für die neue Verordnung und damit für einen zeitgemäßen Datenschutz.

Das leisten wir für Sie...

Wir betrachten die aktuelle Umsetzung des Datenschutzes in Ihrem Unternehmen im Hinblick auf die Anforderungen der DSGVO und stimmen mit Ihnen ab, mit welchen gezielten Maßnahmen Sie den zukünftigen Anforderungen der DSGVO entsprechen.

...in der Organisation

Wir erarbeiten mit Ihnen ein Datenschutzkonzept für Ihr Unternehmen und überarbeiten bzw. legen Verantwortlichkeiten, Regelungen und Standards fest.

...bei den Prozessen

Wir entwickeln und dokumentieren gemeinsam mit Ihnen neue notwendige Prozesse und passen bestehende an die gesetzlichen Anforderungen im Hinblick auf Transparenz- und Informationspflichten an - inklusive der notwendigen Dokumente.

...in der Technik

Wir erarbeiten Optimierungsmöglichkeiten für die Technik, wie zum Beispiel der Schutz personenbezogener Daten durch Verschlüsselung nach gültigen Maßstäben.

Wir prüfen Ihre Webseite und koordinieren entsprechend notwendige Anpassungen.

...bei den Aufsichtsbehörden

Wir initiieren den Kontakt mit der zuständigen Aufsichtsbehörde und stellen die Übermittlung sämtlicher notwendiger Informationen sicher.

...falls notwendig
(mind. 10 MA mit Zugriff auf Daten und kein DSB mit Fachkunde bestellt)

Wir übernehmen die Funktion des (externen) Datenschutzbeauftragten in Ihrem Unternehmen mit entsprechendem Nachweis der dazu notwendigen Fachkunde.

Treten Sie mit uns in Kontakt:
0 62 45 - 9 94 55 72
mail@vetberatung.de

Fragen und Antworten zur DSGVO

Weshalb gibt es die DSGVO?

Ab 25.05.2018 gilt in ganz Europa ein neues Datenschutzrecht. Die EU-Datenschutzgrundverordnung (DSGVO) verfolgt das Ziel einer EU-weiten Harmonisierung des Datenaustauschs und der Zusammenarbeit bei der Verarbeitung personenbezogener Daten.

Durch stärkere und präzisere Rechte für betroffene Personen und verschärfte Verpflichtungen für Verarbeiter von Daten, soll ein EU-weiter wirksamer Schutz personenbezogener Daten möglich werden.

Ab wann und für wen gilt die DSGVO?

Die DSGVO wurde am 4. Mai 2016 im Europäischen Amtsblatt veröffentlicht und trat 20 Tage später in Kraft. Nach einer zweijährigen Übergangsfrist kommt die DSGVO ab dem 25.05.2018 zur Anwendung.

Sie gilt für alle Unternehmen (also auch mit weniger als zehn Mitarbeitern), die Produkte und/oder Dienstleistungen innerhalb der EU anbieten, und für alle Behörden in ganz Europa.

Sie ersetzt in weiten Teilen das aktuell in Deutschland geltende Bundesdatenschutzgesetz (BDSG) sowie die Datenschutzgesetze der Bundesländer.

Wer ist „Verantwortlicher“ und welche Pflichten hat er?

Ein Verantwortlicher ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ die für eigene Zwecke personenbezogene Daten verarbeitet (also die Tierklinik/Tierarztpraxis bzw. der/die Inhaber). Der „Verantwortliche“ entscheidet „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“ (Art. 4 (7) DSGVO).

Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend des jeweiligen Schutzbedarfs gewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und die Zweckbindung der Datenverarbeitung sicherstellen sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, gewährleisten. Er muss zudem die Einhaltung der EU-DSGVO nachweisen.

Hinweis
Der „Nachweis der Einhaltung der DSGVO“ ist nunmehr detaillierter geregelt und begründet eine Rechenschaftspflicht. Siehe „Welche wesentlichen Änderungen gibt es für die Verantwortlichen?“

Welche wesentlichen Änderungen gibt es für die Verantwortlichen?

Die Pflichten des Verantwortlichen (also des Klinik-/Praxisinhabers bzw. des Unternehmens) werden durch die EU-DSGVO ausgeweitet. Dies sind die wesentlichen Neuerungen:

  • Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können (sog. Rechenschaftspflicht). Dafür müssen unter anderem die Datenverarbeitungsprozesse dokumentiert sowie die Prozesse zur Gewährleistung der Betroffenenrechte im Unternehmen etabliert werden.
  • Zusätzlich zur Dokumentation der Datenverarbeitungsprozesse müssen betroffene Personen, deren Daten verarbeitet werden, umfassender informiert werden.
  • Maßnahmen zum Schutz der Daten müssen grundsätzlich den aktuellen Stand der Technik widerspiegeln. Die Schutzmaßnahmen müssen entsprechend des jeweiligen Schutzbedarfs gewählt werden. Dieser risikobasierte Ansatz macht die Forderung nach einem Prozess für Risikomanagement zur Festlegung geeigneter technisch-organisatorischer Maßnahmen deutlich.

Hinweis
Alle aufgeführten Punkte unterliegen einer erweiterten Rechenschaftspflicht. Die DSGVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf.
Verantwortliche sollten ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen in ihrem Unternehmen integrieren und vor allem die einzelnen Schritte dokumentieren, sodass sie - auch gegenüber einer Aufsichtsbehörde - nachweisen können, dass geeignete Strategien und Maßnahmen ergriffen wurden. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der EU-DSGVO kann sich zukünftig maßgeblich auf die Anwendung eines Sanktionstatbestands auswirken.

Benötige ich einen Datenschutzbeauftragten?

Um es vorweg zu nehmen: Wenn in Ihrer Tierärztlichen Klinik bzw. Tierärztlichen Praxis mehr als neun Personen am Computer arbeiten, sollten Sie davon ausgehen, dass Sie einen Datenschutzbeauftragten benötigen.

Die EU-DSGVO differenziert in Artikel 37 bei der Benennung eines Datenschutzbeauftragten in „Muss“- und „Kann“-Fälle und legt bei den „Kann“-Fällen im Rahmen einer sog. Öffnungsklausel (Absatz 4) die detaillierte Regelung in die Hände der nationalen Gesetzgeber.

Der Bundesgesetzgeber hat in § 38 BDSG-neu an die Regelungen des § 4f BDSG-alt angeknüpft und die Pflicht zur Bestellung eines Datenschutzbeauftragten fortgeschrieben.

Hinweis
Für Tierkliniken/Tierarztpraxen ist dies relevant, wenn mindestens zehn Personen im Unternehmen mit automatisierter Datenverarbeitung beschäftigt sind.

Mit der Formulierung „mindestens zehn Personen“ macht der Gesetzgeber weder eine Unterscheidung, ob es sich um Angestellte oder Auszubildende handelt noch ob es sich um Teilzeit- oder Vollzeitkräfte handelt.

Zu „mit automatisierter Datenverarbeitung beschäftigt“ zählt jede Person, die Zugriff auf das Praxisverwaltungsprogramm hat (auch das reine Betrachten von Daten - also ein Nicht-Verändern - ist eine Form der Datenverarbeitung) oder in der internen computergestützten Lohnbuchhaltung tätig ist.

Eigentlich hat sich also an den Kriterien für die Bestellung eines Datenschutzbeauftragten nichts geändert. Neu ist jedoch, dass ab dem 25.05.2018 der Datenschutzbeauftragte der Aufsichtsbehörde gemeldet werden muss.

Welche Voraussetzungen muss der Datenschutzbeauftragte erfüllen?

Der Datenschutzbeauftragte muss folgende Voraussetzungen erfüllen (Artikel 37 Absatz 5 DSGVO):

  • berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGVO

Im Rahmen der beruflichen Qualifikation sollte der eingesetzte Datenschutzbeauftragte über ausreichende Kenntnisse und/oder Berufserfahrung im betreffenden Wirtschaftsbereich verfügen und im Stande sein, die verschiedenen Verarbeitungsprozesse zu erfassen.

Der Datenschutzbeauftragte sollte darüber hinaus ein solides Fachwissen in Bezug auf das IT-System und IT-Sicherheitsmaßnahmen verfügen und die damit einhergehenden datenschutzrechtlichen Bedürfnisse erkennen und im Arbeitsalltag berücksichtigen können.

Können auch externe Datenschutzbeauftragte benannt werden?

Die Benennung von externen Datenschutzbeauftragten ist zulässig. Der Datenschutzbeauftragte kann seine Aufgaben auch auf Grundlage eines Dienstleistungsvertrages erfüllen (Artikel 37 Absatz 6 DSGVO).

Innerhalb welcher Frist ist der Datenschutzbeauftragte zu benennen?

Da - anders als bisher in § 4f Absatz 1 Satz 2 BDSG-alt - keine Frist geregelt ist, ist die Pflicht sofort zu erfüllen, sobald die Voraussetzungen vorliegen.

Das bis 24.05.2018 geltende BDSG sieht die Bestellung des Datenschutzbeauftragten spätestens einen Monat nach Erfüllung der Voraussetzungen vor. Dies bedeutet, dass sämtliche Unternehmen, welche die Voraussetzungen erfüllen, bereits heute nach altem Recht schon einen Datenschutzbeauftragten bestellen müssen. Der Unterschied zur DSGVO ist, dass er ab dem 25.05.2018 der Aufsichtsbehörde zu melden ist.

Bereits erfolgte Benennungen nach dem BDSG werden vor diesem Hintergrund Bestand haben. Stellung und Aufgaben des Datenschutzbeauftragten werden nun aber nach der DSGVO auszurichten sein. Zusätzlich hat die Meldung zu erfolgen.

Wer ist verantwortlich für die Einhaltung der DSGVO im Unternehmen?

Auch wenn ein Datenschutzbeauftragter bestellt ist, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen, d. h. beim Klinik-/Praxisinhaber bzw. der Unternehmensleitung. Der Datenschutzbeauftragte berät und unterstützt lediglich bei der Umsetzung.

Was muss veröffentlicht und mitgeteilt werden?

Anders als bisher müssen Verantwortliche und Auftragsverarbeiter die Kontaktdaten ihres Datenschutzbeauftragten

  1. veröffentlichen und
  2. diese der zuständigen Aufsichtsbehörde mitteilen (Artikel 37 Absatz 7 DSGVO).

Hinweis
Es ist davon auszugehen, dass die Behörden die Umsetzung der DSGVO vorantreiben werden. Und die Mitteilung der Kontaktdaten des Datenschutzbeauftragten ist hierfür ein sehr effizienter Steuerungsmechanismus in zweierlei Hinsicht: zum einen kann nach dem 25.05.18 relativ einfach ermittelt werden, welche Unternehmen noch nicht gemeldet haben (und es mit der Umsetzung vielleicht nicht so genau nehmen wollen) und zum anderen kann die Aufsichtsbehörde z.B. bei Meldungen von Betroffenen direkt mit den jeweiligen Datenschutzbeauftragten kommunizieren - unter Umgehung des Verantwortlichen…

Lesenswert

SPIEGEL ONLINE 02.02.18
"Es wird kein Pardon geben"
Interview mit EU-Parlamentarier Jan Philipp Albrecht
Verpflichtende Fragebogenaktion des Landesbeauftragten für Datenschutz Mecklenburg-Vorpommern an zufällig ausgewählte Ärzte zum Stand der Anpassungen. (Ein Schelm, wer Böses denkt...)