DSGVO in der Arztpraxis: Eine Zusammenfassung nach einem halben Jahr

https://www.meyer-wagenfeld.de/blog

Knapp ein halbes Jahr ist die neue Datenschutzgrundverordnung (DSGVO) nun für die gesamte EU gültig – Zeit für einen allgemeinen Rückblick und eine kurze Zusammenfassung darüber, was sich seit Inkrafttreten der neuen Regelungen für die Artpraxis geändert hat.

Bereits im April 2016 wurde die Datenschutzgrundverordnung durch das EU-Parlament verabschiedet. Zwei Jahre später sollen die neuen Regelungen wirksam sein und umgesetzt werden – sicherlich ausreichend Vorlaufzeit, um sich dem Schutz personenbezogener Daten, einem so wichtigen Thema, zu widmen und entsprechende Maßnahmen zur Erfüllung der neuen Forderungen zu ergreifen – so zumindest die Theorie.

Tatsächlich kam der 25. Mai dann doch eher plötzlich. Verunsicherung durch die neuen Gesetzestexte machte sich breit und die Befürchtung, hohe Bußgelder zu erwarten, ließ vielen kleinen und großen Betrieben keine Ruhe. Wie sehr auch Arztpraxen und diverse medizinische Einrichtungen durch dieses Thema verunsichert waren, konnten wir von Meyer-Wagenfeld besonders anhand der uns erreichenden Anrufe und E-Mails unserer Kunden deutlich merken. Nicht nur, dass Gesundheitsdaten zu sehr sensiblen Daten gehören und somit besonders zu schützen sind, auch der mit der DSGVO verbundene Aufwand zur Umsetzung neuer Maßnahmen hat viele Praxen stark beansprucht.

Wie viele bzw. wenige Unternehmen zum Stichtag 25. Mai 2018 tatsächlich alle neuen EU-Datenschutzrichtlinien umgesetzt haben, bleibt nur zu mutmaßen. Fest steht: Die erwartete Abmahnwelle ist mild ausgefallen – eine Chance, um durchzuatmen und dennoch eifrig dort weiterzumachen, wo noch Handlungsbedarf besteht, denn das Thema Datenschutz hat an Wichtigkeit und Brisanz nicht abgenommen.

Was sind nun die wichtigsten Neuerungen, die eine Arztpraxis seit Inkrafttreten der DSGVO betreffen? Welche internen technischen und organisatorischen Maßnahmen müssen in der Praxis vorgenommen werden? Hier als Übersicht eine kleine Checkliste:

  • Benennung eines Datenschutzbeauftragten
    „Benötigt unsere Praxis einen internen oder externen Datenschutzbeauftragten?“ wird wohl in den meisten Praxen eine sehr häufig gestellte Frage gewesen sein. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu die relevanten Gesetze unter die Lupe genommen und die einzelnen Rechtsbegriffe für die Anwendung in Arztpraxen übersichtlich erklärt.
    Kurzgefasst: Die Benennung eines Datenschutzbeauftragten ist für Praxen dann verpflichtend, wenn mindestens zehn Personen (einschließlich des/der behandelnden Arztes/Ärzte und unabhängig von Voll- oder Teilzeitbeschäftig, Ausbildung oder Leiharbeit) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das betrifft alle Personen des Praxisteams, die sich schwerpunktmäßig z. B. um die Verwaltung der Patientendaten für Behandlungs- oder Abrechnungszwecke kümmern.
    Ausnahmen bestätigen bekanntlich die Regel: So gilt auch für Praxen mit weniger als 10 Personen die Bestellpflicht für einen Datenschutzbeauftragten, wenn eine Datenschutz-Folgenabschätzung durchgeführt werden muss (z. B. bei Einsatz von Telemedizin).
    Zusätzlich interessant: Nach Angaben der Kassenärztlichen Vereinigung Bayerns gebe es keine gesetzliche Pflicht, den Datenschutzbeauftragten von externer Stelle zu beziehen. So kann diese Aufgabe intern z. B. an fachkundige und zuverlässige Praxismitarbeiter vergeben werden.
  • Patientenaufklärung und Einverständniserklärungen
    Wie wichtig die transparente und leicht verständliche Aufklärung über den Umgang mit den erhobenen personenbezogenen Daten ist, dürfte sicher längst bekannt sein. Die Patientenaufklärung über den Datenschutz in der Praxis kann mithilfe eines Informationsblattes im Wartezimmer abgedeckt werden. Hier sollten mindestens die Rechtsgrundlage sowie der Zweck der Datenverarbeitung, Rechte der Patienten und ggf. Kontaktdaten des Datenschutzbeauftragten offengelegt werden.
    Wer sicher gehen möchte, dass seine Patienten gut aufgeklärt sind, kombiniert die Datenschutzinformation mit der Patienten-Einverständniserklärung auf einem einzigen Formular (wie z. B. hier erhältlich). So können Patienten nach der Auskunft über den Datenschutz in der Praxis auch ihre Einwilligung für die Weitergabe ihrer Daten z. B. an private Verrechnungsstellen unterzeichnen. Das Formular von Meyer-Wagenfeld ist in Zusammenarbeit mit einem Rechtsanwalt erarbeitet worden und auch bequem mit bereits eingedruckten Praxisdaten erhältlich.
  • Verzeichnisse für Verarbeitungsvorgänge
    Dies wird in den meisten Fällen wohl die umfangreichste Aufgabe im Rahmen der neuen Datenschutzrichtlinie sein. Vor Erstellung der Verzeichnisse für die internen Verarbeitungstätigkeiten in der Arztpraxis ist eine Überprüfung aller elektronischen und auf Papier erfolgenden Datenverarbeitungen notwendig. Wird im Rahmen der Prüfung deutlich, dass Verarbeitungsvorgänge nicht DSGVO-konform sind, sind geeignete Maßnahmen zu ergreifen. Anschließend sind die einzelnen Tätigkeiten, in denen die Praxis personenbezogene Daten verarbeitet, in Verzeichnissen zu dokumentieren (Mustervorlagen finden sich in verschiedenen Formen online), die auf Verlangen der Aufsichtsbehörde vorzulegen sind. In diesen Verzeichnissen müssen alle Tätigkeiten aufgeführt sein, in denen Patientendaten sowie Daten des Personals erhoben, gespeichert, bearbeitet oder weitergeleitet werden. Wird bei der Verzeichniserstellung deutlich, dass bestimmte Datenverarbeitungsvorgänge aufgrund z. B. des Datenumfangs einem hohen Datenschutzrisiko unterliegen, wird ggf. eine Datenschutz-Folgenabschätzung erforderlich.
  • Interne Datenschutzrichtlinie
    Zur Unterstützung eines besseren Bewusstseins über den Datenschutz in der Praxis, ist eine interne Datenschutzrichtlinie nützlich. Datenpannen lassen sich besser vermeiden, wenn in der internen Richtlinie klare Verantwortlichkeiten und Abläufe im Umgang mit den personenbezogenen Daten innerhalb des Teams festgehalten werden.

Wer eine etwas umfangreichere Übersicht zu den nötigen Schritten im Rahmen der DSGVO wünscht, kann gerne auch unseren Blogartikel Herausforderung DSGVO: Ein Überblick für Arztpraxen und MVZ besuchen.

Welche Maßnahmen hat unser Meyer-Wagenfeld-Team bereits vorgenommen?

  • Anpassung der Datenschutzerklärungen auf Praxishomepages
    Besonders von einer Abmahnung bedroht schienen öffentlich einsehbare Informationen zu sein. So zogen es viele Homepage-Inhaber vor, ihre Webseite vorerst offline zu schalten. Ein radikaler Schritt, um einer Abmahnung aus dem Weg zu gehen, die aus der möglicherweise nicht DSGVO-konformen Datenschutzerklärung resultieren könnte. Auch viele Ärzte, die ihre Praxis online präsentieren, hatten Handlungsbedarf. Arztpraxen, die ihre Homepage von Meyer-Wagenfeld beziehen, brauchten sich hier keine Sorgen zu machen: Als Serviceleistung hat sich ein fleißiges Team an sämtliche Praxishomepages von Meyer-Wagenfeld-Kunden gesetzt, die Datenschutzerklärungen entsprechend der EU-DSGVO aktualisiert und nach Bedarf den Kontakt zum Datenschutzbeauftragten der jeweiligen Praxis eingepflegt.
  • Neu im Sortiment: Datenschutzformular für Patienteninformation
    Neben den vielen zu erledigenden Aufgaben, die durch die DSGVO in den Praxen zu erledigen waren (und immer noch sind), sollte ein praktischer Helfer her, der zumindest die Patientenaufklärung über den Datenschutz in der Praxis erleichtert. Somit haben wir von Meyer-Wagenfeld in Zusammenarbeit mit einem Rechtsanwalt ein hilfreiches Datenschutzformular entwickelt. Das zweiseitige DIN A4-Blatt klärt die Patienten zum einen leicht verständlich über den Umgang mit personenbezogenen Daten in der Arztpraxis auf, während es darüber hinaus auch eine Einverständniserklärung enthält. Mit dieser Erklärung können die Patienten auf dem selbigen Formular in die Datenweitergabe an z. B. Krankenkassen, mitbehandelnde Ärzte oder private Verrechnungsstellen einstimmen. Das ausgefüllte Blatt lässt sich dann bequem archivieren und schafft durch seine einfache Handhabung Zeit für den restlichen Praxisalltag.

Quellen und weiterführende Links:

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

DSGVO und Abmahnungen: Erstes Urteil eines Oberlandesgerichts (OLG)

Nach einer Entscheidung des Landgerichts (LG) Würzburg (Az.: 11 O 1741/18) sind Abmahnungen wegen fehlender Datenschutzerklärungen auf einer Homepage zulässig. Das LG Bochum (Az.: O 85/18) hat jedoch genau das Gegenteil entschieden. Die Gerichte haben mit diesen Entscheidungen juristisches Neuland nach Inkrafttreten der DSGVO am 25. Mai 2018 betreten. Nun gibt es ein Urteil des OLG Hamburg (Az. 3 U 66 / 17), das allerdings nicht die gewünschte Klärung bringt.

Datenschutzverstöße können im Einzelfall abmahnfähig sein

Das OLG nimmt eine vermittelnde Position ein:  Die jeweilige Vorschrift der DSGVO muss daraufhin untersucht werden, ob sie auch ein wettbewerblich relevantes Marktverhalten betrifft. Ist dies der Fall, können Mitbewerber sich auf das Gesetz gegen den unlauteren Wettbewerb (UWG) stützen und Verstöße abmahnen. Das OLG hat im konkreten Fall die datenschutzrechtswidrige Nutzung von personenbezogenen Daten zu Webzwecken als abmahnfähigen Verstoß anerkannt. Diese Rechtsauffassung hat zur Folge, dass nun jede DSGVO Norm auf ihre Marktrelevanz hin überprüft werden müsste, ggf. durch mehrere Gerichtsinstanzen.

Es bleibt abzuwarten, ob andere Gerichte sich dieser Rechtsansicht anschließen oder ob es zu einer gesetzgeberischen Klarstellung kommt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

DSGVO – Rechtsunsicherheit: Können Fehler in der Datenschutzerklärung auch von Mitbewerbern abgemahnt werden?

Nach Ansicht des Landgerichts (LG) Bonn fallen Verstöße gegen die DSGVO nicht in den Anwendungsbereich des Wettbewerbrechts. Mitbewerber können daher keine wirksamen Abmahnungen aussprechen. Das LG Würzburg ist anderer Ansicht.

Die Datenschutzgrundverordnung bringt Bewegung in die deutsche Rechtsprechung. Es geht um das Verhältnis zwischen der Datenschutzgrundverordnung (DSGVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Können datenschutzrechtliche Verstöße nur nach den Vorschriften der DSGVO geahndet werden oder sind sie auch unlauter im Sinne des UWG?

Diese Frage ist von großer praktischer Bedeutung. Wenn datenschutzrechtliche Verstöße in den Anwendungsbereich des UWG fallen, dürfen auch Mitbewerber sich untereinander mit Abmahnungen überziehen. Dies könnte einen Ausbruch der befürchteten Abmahnwellen zur Folge haben.

Geht man hingegen davon aus, dass die DSGVO das UWG in diesem Bereich verdrängt, dann obliegt die Ahndung von Datenschutzverstößen vorrangig den Aufsichtsbehörden und qualifizierten Verbänden.

Das Landgericht Bonn (AZ: 12 O 85/18) hat sich positioniert und sieht in der DSGVO eine ausschließende und abschließende Regelung. Mitbewerber haben mit datenschutzrechtlichen Abmahnungen vor diesem Gericht also keinen Erfolg.

Fliegender Gerichtsstand
Das deutsche Recht lässt aber in einigen Fällen einen sog. fliegenden Gerichtsstand zu. Fehlerhafte Datenschutzerklärungen auf Webseiten können in ganz Deutschland online eingesehen werden und fallen damit in den Anwendungsbereich dieses Gerichtsstands. Ein Mitbewerber kann sich also ein Gericht aussuchen, das eine andere Position in dieser Frage einnimmt. Und nach Ansicht des Landgerichts Würzburg (Az.: 11 O 1741/18) sind fehlerhafte Datenschutzerklärungen auf einer Webseite auch wettbewerbswidrig/unlauter im Sinne des UWG und Abmahnungen durch Mitbewerber daher zulässig.

Abschließende Klärung
In Deutschland gibt es mit ca. 115 Landgerichten ein großes Potential für divergierende Entscheidungen. Eine endgültige Klärung dieser Streitfrage kann nur durch ein höchstrichterliches Urteil oder der Klarstellung durch den Gesetzgeber geschehen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Urteil: eine fehlende Datenschutzerklärung auf der Webseite ist ein Fehler!

Das Landgericht Würzburg betritt damit juristisches Neuland nach Inkraftreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018. Es wurde bislang nur diskutiert, ob datenschutzrechtliche Verstöße auch wettbewerbsrechtlich abgemahnt werden können. Nun liegt eine erste Entscheidung (Az.: 11 O 1741/18) vor und es bleibt abzuwarten, ob sich andere Gerichte dieser Auffassung anschließen.

Verhältnis zwischen DSGVO und UWG
Neben der DSGVO gilt auch weiterhin das Gesetz gegen den unlauteren Wettbewerb (UWG). In den beiden Gesetzen findet sich aber keine konkrete Antwort auf die Frage, ob datenschutzrechtliche Verstöße unlauter im Sinne des UWG sind oder nur nach den Vorschriften der DSGVO geahndet werden können. Nach der DSGVO werden primär die durch Datenschutzverstöße betroffenen Personen und die Aufsichtsbehörden ermächtigt, nicht die Wettbewerber. Vor Inkrafttreten der DSGVO haben einige Gerichte entschieden, dass auch Wettbewerber gegen solche Verstöße vorgehen können. An diese Rechtsprechung knüpft das Landgericht Würzburg mit seiner Entscheidung an.

Vorsicht:  Abmahngefahr durch Verbraucherverbände

Neben dem DSGVO und dem UWG sollte man nicht das Unterlassungsklagegesetz (UKlaG) aus den Augen verlieren. Dort ist in § 2 Abs. 2 Nr. 11 UKlaG  geregelt, das bestimmte Verbraucherverbände einige Datenschutzverstöße als Verbraucherschutzgesetzverstöße abmahnen können. Verbraucherschutzgesetze im Sinne des UKlaG sind insbesondere

die Vorschriften, welche die Zulässigkeit regeln

  1. a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder
  2. b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer,

wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.

Der Anwendungsbereich ist damit sehr weit und erfasst ohne Weiteres Datenerhebungen über eine kommerzielle Webseite.

Fazit
Eine vollständige Datenschutzerklärung ist daher ein Muss.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Achtung: Fax der „Datenschutzauskunft-Zentrale“ ist ein Abzock-Trick

Es ist gar nicht lange her, da waren amtlich wirkende Schreiben von der Gewerbeauskunft-Zentrale im Umlauf, in denen Gewerbetreibende aufgefordert Daten zu ergänzen und mit einer Unterschrift zu bestätigen. Nach der geleisteten Unterschrift folgte dann das böse Erwachen: im Kleingedruckten der Dokumente war eine Kostentragungspflicht versteckt, die die Unterzeichner zur Zahlung von mehreren Hundert Euro verpflichtete.

Aktuell erhalten Unternehmer in ganz Deutschland tagtäglich Faxe der Datenschutzauskunft-Zentrale (DAZ), die denen der Gewerbeauskunftszentrale ähneln. Diesmal nutzen die Betreiber die Unsicherheit der Unternehmen nach Einführung der neuen EU-DSGVO aus und fordern unter dem Deckmantel des Datenschutzes Angaben zum Betrieb.

Das auf den ersten Blick amtlich scheinende Schreiben arbeitet mit der gleichen Masche, wie die Dokumente der Gewerbeauskunft-Zentrale. Nur aus dem Kleingedruckten der beigelegten Dokumente geht hervor, dass man durch die Unterschrift und das Zurücksenden der Dokumente einen dreijährigen Vertrag eingeht, bei dem ein jährlicher Betrag von 489 € an die DAZ gezahlt werden soll.

In dem Schreiben wird der Eindruck vermittelt, dass die Angaben unter der neuen EU-DSGVO eine Pflicht sind, was allerdings nicht der Fall ist. Es gibt nach der neuen Datenschutzgrundverordnung keine Pflicht Angaben über den Betrieb gegenüber einer „Datenschutzauskunft-Zentrale“ zu machen.

Die Polizei rät Betroffenen die Dokumente nicht zu unterschreiben und Mahnungen sowie Zahlungsaufforderungen zu ignorieren. Diejenigen, die die Dokumente bereits unterschrieben und zurückgesendet haben, sollten eingehende Rechnungen der DAZ nicht zahlen und umgehend einen Anwalt kontaktieren.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

AFNOR Guide for personal data protection

Unser Mutterkonzern AFNOR hat ein nützliches Handbuch zu den freiwilligen Standards veröffentlicht, die für den Schutz personenbezogener Daten unerlässlich sind.

Dieses möchten wir Ihnen nicht vorenthalten!

U.a. wird die ISO 27001 (Informationssicherheitsmanagementsysteme) mit einem risikobasierten Ansatz genannt. Die GUTcert bietet Audits nach ISO 27001 an und hilft Ihnen dabei, das Thema Datenschutz nach EU-DSGVO zu bewerten. Im Rahmen eines Audits wird im Unternehmen untersucht, inwieweit die eingeführten Prozesse und Abläufe zur Bearbeitung personenbezogener Daten die Anforderungen erfüllen. Dabei können Inhalte und Methoden bereits bestehender Managementsysteme ggf. angepasst oder sogar übernommen werden.

Den AFNOR-Artikel lesen und das Handbuch (englisch) herunterladen.

Für alle Fragen zum Thema steht Ihnen gerne Herr Nico Behrendt (+49 30 2332021-81) zur Verfügung.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Neue Add-On-Lösung für Microsoft Dynamics 365 for Sales zur Einhaltung der Datenschutzgrundverordnung

COSMO CONSULT ermöglicht mit ihrem neuen Add-Ons cc|crm dsgvo prozess und daten package Anwendern von Microsoft Dynamics 365 for Sales relevante Teile der Europäischen Datenschutz-Grundverordnung (DSGVO) einzuhalten.

Im April 2016 verabschiedete das Europäische Parlament in Straßburg – weitgehend unbemerkt von der allgemeinen Öffentlichkeit – ein Gesetz, das die Rechte der Verbraucher stärkt: die Europäische Datenschutz-Grundverordnung (Verordnung 2016/679). Die mit der DSGVO zusammenhängende zweijährige Übergangsperiode endete im Mai 2018. COSMO CONSULT nutzte diese Periode, um ein Add-On für Microsoft Dynamics 365 for Sales zu entwickeln, das Unternehmen bei der Einhaltung der neuen Regelungen mit ihren IT-Prozessen im Vertrieb und im Marketing unterstützt.

Auch wenn die DSGVO eine europäische Verordnung ist, hat sie Auswirkungen auf Unternehmen weltweit, da jedes Unternehmen, das mit europäischen Einzelpersonen kommunizieren muss, die Verordnung einzuhalten hat. Die meisten Anforderungen der DSGVO können am besten in enger Zusammenarbeit mit Partnern aus dem juristischen und technischen Bereich gelöst werden. Immerhin betreffen die notwendigen Prozessänderungen im Allgemeinen beide Bereiche.

Für das Add-on cc|crm dsgvo prozess und daten package hat COSMO CONSULT die Unterstützung von Thiemo Sammern, Geschäftsführer der data.mill GmbH, und Bernhard Rastorfer, Division Manager CRM von COSMO CONSULT SI in Österreich eingeholt. Zusammen haben COSMO CONSULT und data.mill ein Paket geschnürt, das Unternehmen hilft, Microsoft Dynamics 365 for Sales (früher Microsoft Dynamics CRM) und die Vertriebs- und Marketingprozesse eines Unternehmens DSGVO-konform zu gestalten.

„Die DSGVO zieht einen massiven Handlungsbedarf im CRM-Bereich nach sich. cc|crm dsgvo prozess und daten package hilft Microsoft Dynamics 365 Anwendern sich an die neuen Anforderungen anzupassen. Arbeitsprozesse und Arbeitsanweisungen können nun auf die neuen Datenschutzgesetze angepasst werden“, sagte Rastorfer. „Das Recht auf Löschung zum Beispiel kann nun per Knopfdruck ausgeführt werden.“

Das Add-On umfasst zwei Lösungen und deckt die folgenden Artikel der DSGVO ab:

cc|crm dsgvo prozess und daten package von COSMO CONSULT:

  • Recht auf Auskunft (Artikel 15)
  • Recht auf Datenübertragbarkeit (Artikel 20)
  • Recht auf Löschung (Artikel 17)
  • Recht auf Einschränkung der Verarbeitung (Artikel 18)

Die Lösung von data.mill:

  • Recht auf Berichtigung (Artikel 16)
  • Prinzip der Richtigkeit (Artikel 5 Abs. 1 (d))

„Der Umfang und die Vielfalt der Änderungen infolge der DSGVO stellen für mittelständische Unternehmen eine große Herausforderung dar. Diesen Unternehmen hilft COSMO CONSULT mit dem neuen Add-on“, sagte Winston Hait, Senior Product Marketing Manager, Dynamics 365. „Wir freuen uns, dass die Lösung von COSMO CONSULT Kunden von Microsoft Dynamics 365 hilft, die DSGVO einzuhalten.“

Weitere Informationen finden Sie über Microsoft AppSource (hier klicken)

Die Änderungen, die über neue Gesetze wie die DSGVO, über digitale Technologien und künstliche Intelligenz an uns herangetragen werden, sind so fundamental, dass sich Geschäftsmodelle, Unternehmen und sogar ganze Industrien verändern werden. Es ist wichtig, dass nicht nur das Potenzial dieser Entwicklung nutzbar gemacht wird, sondern dass es aktiv geformt und sichergestellt wird, dass Menschen im Unternehmen davon profitieren – denn es sind die Menschen, die den Erfolg eines Unternehmens mit ihrer Kreativität und Leidenschaft ausmachen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Die EU-DSGVO ist in Kraft getreten

Am 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. In der Pressemitteilung vom 02.05.2018 hat die Adiccon GmbH bereits über Aufgabenschwerpunkte berichtet, die vor Inkrafttreten der DSGVO elementar waren, wie z.B. die Datenschutzerklärung des Unternehmens oder die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten. Ziel in dieser Phase war vor allem die Minimierung der juristischen Angreifbarkeit des Unternehmens, insbesondere gegen Abmahnungen.

Es stellt sich also die Frage:  Worauf sollte man als Unternehmen jetzt am dringlichsten vorbereitet sein?

Nach Einschätzung der Adiccon sind dies vor allem zwei Punkte:

  • Prüfungen der Aufsichtsbehörden
  • Auskunftsanfragen von Dateneigentümern

Soweit bekannt ist, werden Aufsichtsbehörden Prüfungen stichprobenweise oder aufgrund von konkreten Hinweisen in Unternehmen durchführen. In der jetzigen Phase wird zunächst sicherlich Wert darauf gelegt, dass die wichtigsten Anforderungen bereits erfüllt und die weiteren notwendigen Maßnahmen identifiziert und systematisch weitergeführt werden.

Wichtige Anforderungen sind unter anderem:

  • MUSS: Eine DSGVO konforme Datenschutzerklärung liegt vor.
  • MUSS: Ein initiales Verzeichnis der Verarbeitungstätigkeiten liegt vor.
  • MUSS: Die Notwendigkeit eines Datenschutzbeauftragten wurde geklärt bzw. er ist benannt und übt die Funktion bereits aus.
  • Eine Liste der relevanten Auftragsverarbeiter liegt vor und die Verträge mit den Auftragsverarbeitern wurden oder werden hinsichtlich der DSGVO geprüft.
  • Es liegt ein DSGVO-Aktionsplan mit einer Zeitplanung und der Priorisierung der Aktionen und Themen vor, der schrittweise umgesetzt wird.
  • Die Notwendigkeit einer Datenschutzfolgeabschätzung wurde geprüft.
  • KANN:Es existiert schon ein initiales Datenschutzkonzept, das schrittweise weiterentwickelt wird.

Mit Inkrafttreten der DSGVO wurden die Rechte der Betroffenen (Dateneigentümer) erheblich gestärkt. Daher ist es ratsam, auf mögliche Auskunftsersuche so gut wie möglich vorbereitet zu sein. Hierzu sind insbesondere die folgenden Fragestellungen wichtig:

  • sind die dafür erforderlichen Prozesse wie z.B. die Speicherung und Löschung von Bewerberdaten etabliert und beschrieben?
  • sind die Zuständigkeiten und Verantwortlichkeiten geklärt (bzw. die betreffenden Personen geschult und eingewiesen)?
  • sind die Datenquellen bekannt und der Zugriff darauf geklärt?

Natürlich gibt es noch viele Detailfragen, die zu klären sind und entsprechende Maßnahmen, die sich bereits in der Umsetzung befinden. Die Adiccon GmbH kann Sie als IT-Beratungsunternehmen mit einem Fokus auf Datenschutz und Informationssicherheit hier kompetent und zeitnah bei der Bewältigung der anstehenden Aufgaben unterstützen.

Kommen sie gerne auf uns zu, wir freuen uns auf Sie.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Testurteil: sehr gut – der HSM SECURIO AF100 im Redaktionstest von „Das Büro“

Die Redaktion von "Das Büro" hat das Modell mit automatischem Papiereinzug getestet. Gerrit Krämer, Redakteur von Das Büro berichtet.

Durch seine kompakten Abmessungen von 37,5 cm Breite, 26 cm Tiefe und 62 cm Höhe sowie sein geringes Leergewicht von nur 7 kg ist der Aktenvernichter relativ unproblematisch an den jeweiligen Einsatzort zu befördern. Das Volumen des Schnittgutbehälters beträgt 20 Liter.

Inbetriebnahme

Zwischen dem Auspacken des Geräts und der ersten Inbetriebnahme haben bei uns in der Redaktion nur wenige Augenblicke gelegen. Einfach den im Gehäuseoberteil verbauten Schneidkopf auf den Schnittgutbehälter setzen, Autofeedablage montieren, Netzstecker auf der Rückseite des Aktenvernichters einstecken, das andere Ende in die Steckdose und den Netzschalter auf „I“ schalten. Das war‘s schon.

Die Bedienung des Aktenvernichters ist ebenfalls denkbar einfach. Auf seiner Oberseite befinden sich zwei gut sichtbare Tasten. Eine zum Starten und Stoppen des automatischen Papiereinzugs, eine für den Auswurf von Dokumenten bei Papierstau, die „Reversiertaste R“.

Aufgabengebiet

Die Kernkompetenz eines Aktenvernichters liegt im zuverlässigen Zerkleinern von Dokumenten. Und hier gab sich der HSM SECURIO AF100 bei uns keine Blöße. Die Start-Stopp-Automatik startet das Schneidwerk automatisch, sobald Papier in die manuelle Zuführöffnung geschoben wird. Papier wird im Partikelschnitt zu 4 mm breiten und 25 mm langen Teilchen geschreddert, was der Sicherheitsstufe P-4 entspricht. Der manuelle Einzug schafft maximal sechs bis sieben Blätter à 80 g/m2 auf einmal, ab dem achten Blatt ist der Stapel zu dick für die Zuführöffnung. Auch das Vernichten von gehefteten und mit Büroklammern versehenen Blätterstapeln funktionierte über den manuellen Einzug problemlos. Die Autofeedfunktion ist für maximal 100 Blatt ausgelegt. Während des Autofeedbetriebs konnten wir parallel auch den manuellen Einzug ohne Einschränkungen nutzen. Nicht ganz so praktisch ist, dass dem Autofeeder keine Büroklammern oder geheftete Blätter zugeführt werden dürfen, da sonst das Gerät beschädigt werden könnte. Hier ist beim Einlegen von Dokumenten Vorsicht geboten.

Wurde dem Schredder versehentlich ein noch benötigtes Dokument zugeführt, ließ sich der Zerkleinerungsvorgang jederzeit mit der Bedientaste abbrechen. Das Schneidwerk stoppte sofort, sobald wir die Taste drückten. Durch ein längeres Drücken der Reversiertaste, und mit etwas Kraftaufwand, ließen sich die zugeführten Dokumente wieder herausziehen.

Unser Fazit

Der HSM SECURIO AF100 verbindet kompakte Maße mit guter Leistung. Er ist leicht zu transportieren und kann somit flexibel an verschiedenen Büroarbeitsplätzen benutzt werden. Moderate Lautstärke beim Vernichten und 0 Watt Stromverbrauch im Stand-by-Modus (Herstellerangabe) sind weitere Pluspunkte des Schredders.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

EU-DSGVO und Abmahnungen: Schreckgespenst oder Phantom?

Die seit 25. Mai verbindlich geltende EU-Datenschutzgrundverordnung sorgt bei vielen Unternehmen für Unruhe und Angst vor Abmahnwellen. Besonders ausgeprägt ist die Unsicherheit bei kleineren Organisationen wie Arztpraxen, Stiftungen, Vereinen und Freiberuflern, die nicht auf eine eigene Rechtsabteilung mit entsprechendem Fachwissen zurückgreifen können.

Inzwischen gibt es erste Abmahnungen wegen formaler Verstöße gegen die DSGVO. Aus Sicht vieler Experten stellen diese jedoch kaum ein lukratives Geschäft dar, weil die rechtliche Grundlage dafür doch recht fragwürdig ist.

Im Fokus der DSGVO stehen natürliche Personen

Die EU-DSGVO beinhaltet zwar auch Passagen, die im Sinne des Gesetzes gegen den unlauteren Wettbewerb anwendbar sind und Klagen von Mittwettbewerbern ermöglichen, im Wesentlichen enthält sie aber gemäß Art. 1 Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Um weder Wettbewerbern noch den Personen, deren Daten bei ihnen verarbeitet werden, Anlass für Klagen zu geben, ist eine überschaubare Anzahl von Anforderungen zu bearbeiten. Dazu gehört vor allem, betroffene Personen rechtzeitig und umfassend über den Umgang mit ihren Daten zu informieren.

Verfahrenskataster: nötig und hilfreich

Um in Betrieben eine Übersicht zu bekommen, wo überhaupt personenbezogene Daten verarbeitet werden, ist ein Verfahrenskataster anzulegen. Auf dieser Grundlage können weitere Anforderungen ermittelt und mit entsprechenden Maßnahmen zur Gewährleistung des Datenschutzes versehen werden. Zum Aufstellen eines solchen Katasters bedarf es keiner juristischen Spezialkenntnisse – verschiedene Hilfestellungen von Behörden und Verbänden (z.B. der Europäischen Kommission oder der Bundesdatenschutzbeauftragten) klären bereits viele Fragen, die beim Lesen der Verordnung auftauchen.

Tagesseminar und Zertifizierung

Um Zeit bei der Einarbeitung zu sparen und Zugriff auf geprüfte Vorlagen zu erhalten, können Verantwortliche den eintägigen Praxiskurs „EU-DSGVO kompakt: Rechtslage und Umsetzung für kleine Unternehmen“ der GUTcert Akademie besuchen. Zur Zielgruppe der Schulung gehören insbesondere Betriebe, die unterhalb der Schwelle zur Benennungspflicht eines Datenschutzbeauftragten liegen. Für größere Organisationen bieten wir eine viertägige Intensivausbildung zum Beauftragten an. Bei Fragen zum Kursangebot erreichen Sie uns unter akademie@gut-cert.de oder +49 30 2332021-21.

Sie möchten das Datenschutzsystem Ihres Unternehmens von den GUTcert Fachexperten prüfen lassen? Dann stellen Sie eine unverbindliche Angebotsanfrage an unsere Fachabteilung. Ihr Ansprechpartner ist Nico Behrendt (+49 30 2332021-81).

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox