Ihre Rechenschaftspflicht
"Das haben wir schon immer so gemacht. Reicht das nicht?"
Gemäß Art. 5 Abs. 2 der DSGVO muss der für die Datenverarbeitung Verantwortliche (Praxisinhaber:in o.ä.) die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO) nachweisen können. Daraus ergibt sich eine umfassende Rechenschaftspflicht. Können Sie diese Rechenschaft unkompliziert ablegen?
Ihre Verantwortung für die Verarbeitung:
- Sie setzen technische und organisatorische Maßnahmen um, die Ihrer Verantwortung und der Sensibilität der von Ihnen verarbeiteten Daten gerecht werden.
- Dabei beachten Sie besondere Risiken und den Schweregrad der Auswirkung von Datenschutzverstößen auf die Betroffenen.
- Sie können jederzeit einen Nachweis erbringen, dass Sie dies alles getan haben, fortlaufend tun und bei veränderten Risiken stets (nachweisbar) Ihre Vorgaben, Maßnahmen und Prozesse anpassen.
Der Beste Nachweis Ihrer Pflichterfüllung ist natürlich ein umfassendes Datenschutzmanagementsystem (DSMS).
Ihr Weg zum umfassenden Datenschutzmanagement:
- Dokumentieren Sie Ihre Daten-Verarbeitungstätigkeiten.
- Erstellen Sie interne Vorgaben und Arbeitsanweisungen.
- Weisen Sie die Rechtmäßigkeit der Datenverarbeitung nach.
- Klären Sie die Betroffenen über Ihre Rechte auf.
- Etablieren Sie Prozesse um Verletzungen des Datenschutzes systematisch zu erfassen und ggf. zu melden.
- Ergreifen Sie technische und organisatorische Maßnahmen.
- Erarbeiten Sie ein Löschkonzept und stellen Sie die Datenlöschung sicher.
- Schulen Sie Ihre Mitarbeiter:innen!!!
- Erarbeiten Sie Prozesse, um diese Dokumente und Verfahrensweisen stets akuell und deren Einhaltung im Blick zu behalten.
- Überprüfen Sie kritisch Ihre Maßnahmen!
Das kann guter Datenschutz:
Der Datenschutz erfüllt neben seinem wörtlichen Zweck für die Praxis die Aufgabe der Risikominimierung und der Unterstützung der Qualitätssicherung. Üblicher Weise ist der Datenschutzbeauftragte die einzige Person im Unternehmen, die sich nicht mit der operativen Einhaltung des Datenschutzes befasst. Das soll einer Selbstkontrolle und damit Aufweichung in der Auslegung der Anforderungen vorbeugen.
Datenschutz und IT-Sicherheit sind untrennbar miteinander verbunden. Wenn Sie einen kompetenten Datenschutzberater engagieren, erhöhen Sie automatisch den Schutz vor Cyberattacken in Ihrer Praxis. Natürlich senken Sie die Fehleranfälligkeit Ihrer Prozesse und der Handlungen Ihrer Mitarbeiter:innen.
Aus meiner eigenen Erfahrung kann ich Ihnen eine quartalsweise Kontrolle aller getroffener Regelungen und Vorgaben empfehlen. Zumindest zu Beginn. Das gibt Ihnen Zeit die Vereinbarungen und Prozesse zu dokumentieren und schrittweise anzupassen. Danach können Sie diese „leben“ und anschließend schauen, ob sie praktikabel waren und ggf. nachsteuern. Wenn Sie nach 12 Monaten merken, dass Sie alles im Griff haben und aus der Umstellung Routine wurde, könnten Sie das Review halbjährlich durchführen. Dokumentieren Sie es bitte immer, dann können Sie problemlos nachweisen, Ihrer Pflicht nachgekommen zu sein.
„Wer schreibt, der bleibt“ 😊
Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Der folgende Text ist ein Auszug und eine Zusammenstellung der relevanten Textpassagen der DSGVO.
Quelle: https://dsgvo-gesetz.de/art-9-dsgvo/
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.