Datenschutz in der Arztpraxis

Eine Arztpraxis hat die datenschutzrechtliche Besonderheit, dass sie unausweichlich höchst sensible Daten verarbeitet. Zudem unterliegt sie der ärztlichen Schweigepflicht nach §203 Abs. 1 StGB. Daher haben sowohl Patienten als auch Ärzte ein großes Interesse daran, dass beim Umgang mit personenbezogenen Daten größtmögliche Sorgfalt angewandt wird. Allein die Tatsache, dass eine Person in ärztlicher Behandlung ist, reicht aus, um als besondere personenbezogene Daten zu gelten. Deshalb ist bereits diese Information besonders schützenswert. Der Datenschutz beginnt daher nicht erst an der Tür zum Behandlungszimmer, sondern ist in der gesamten Praxis angemessen umzusetzen. Folgende sechs Tipps helfen Ihnen dabei.

Datenschutz bei WLAN Zugängen von Gästen

Viele Unternehmen bieten den Gästen Ihres Hauses als Service einen kostenlosen WLAN-Zugang an. Aus rechtlicher Sicht ist dies nicht ganz unbedenklich, da das Unternehmen für rechtswidrige Handlungen verantwortlich ist, die über diesen WLAN-Anschluss begangen werden. Unternehmen sollten daher darauf achten, stets individuelle Zugangskennungen zu vergeben.

Ohne Datenschutzbeauftragten droht Bußgeld

Noch immer scheinen es viele Verantwortliche nicht zu wissen, aber so gut wie jedes Unternehmen muss einen betrieblichen Datenschutzbeauftragten bestellen. Bei Zuwiderhandlung droht ein Bußgeld von bis zu 50.000 Euro. Die Aufsichtsbehörden wollen verstärkt die ordentliche Bestellung eines Datenschutzbeauftragten in Unternehmen überprüfen.

Die Fachkunde des Datenschutzbeauftragten

Viele Unternehmen sehen die gesetzliche Vorgabe zur Bestellung eines Datenschutzbeauftragten als lästige Pflicht an. Daher wird oftmals ein Mitarbeiter, der der Geschäftsführung nahesteht oder dem sonst großes Vertrauen entgegengebracht wird, zum Datenschutzbeauftragten bestellt – und eben nicht derjenige mit der größten Fachkunde. Die Bestellung eines nicht fachkundigen Mitarbeiters zum Datenschutzbeauftragten stellt jedoch eine Ordnungswidrigkeit dar und kann mit bis zu 50.000 € Bußgeld geahndet werden. Leider lässt das Gesetz unklar, was genau unter dem Begriff der Fachkunde zu verstehen ist. Genauere Anforderungen haben sich jedoch inzwischen in der Praxis herauskristallisiert und werden im Folgenden dargelegt.

Aufsichtsbehörde prüft E-Mailsicherheit

Das Bayerische Landesamt für Datenschutzaufsicht prüft aktuell erneut zufällig ausgewählte Unternehmen auf die Beachtung datenschutzrechtlicher Vorgaben. Diesmal geht es um ein sehr konkretes Thema: die Sicherheit der eingesetzten E-Mailserver.

Canvas Fingerprinting – Tracking mit Bildern

Auf zahlreichen Webseiten wird ein neues Trackingverfahren eingesetzt, dessen datenschutzrechtliche Zulässigkeit noch ungeklärt ist. Der Einsatz des Verfahrens erfolgt teilweise ohne das Wissen der Webseitenbetreiber, die daher ihre Informationspflicht gegenüber den Nutzern verletzen.

Verfahrensverzeichnis und Vorabkontrolle: unterschätzte Pflichten

Verantwortlichen in Unternehmen ist die rechtliche Bedeutung von vollständigen Verfahrensverzeichnissen und nachweisbar durchgeführten Vorabkontrollen häufig nicht bewusst: Alle Verfahren innerhalb eines Unternehmens, mit denen personenbezogene Daten verarbeitet werden, müssen in einem sogenannten Verfahrensverzeichnis abgebildet sein. Damit möchte der Gesetzgeber sicherstellen, dass das Unternehmen sich ausreichend mit dem notwendigen Schutz dieser Daten auseinandergesetzt hat. Selbst wenn für die Art der in Frage stehenden Datenverarbeitung eine gültige Rechtsgrundlage vorhanden ist, wird sie dennoch rechtswidrig, wenn kein oder ein nur unvollständiges Verfahrensverzeichnis vorliegt oder wenn keine Vorabkontrolle dokumentiert durchgeführt wurde.

Sicherer Umgang mit mobilen Endgeräten im Unternehmen

Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.

Aufsichtsbehörde prüft Unternehmen vor Ort

"Überwachung nach § 38 Bundesdatenschutzgesetz - Fokussierte Datenschutzprüfung" durch das bayerische Landesamt für Datenschutzaufsicht Wie wir bereits mehrfach berichteten, überprüft die bayerische Aufsichtsbehörde bereits seit einiger Zeit Unternehmen anlasslos auf die Einhaltung des Datenschutzes. Während dies aber bisher vorwiegend auf Papierbasis erfolgte, kommen nun offenbar auch anlasslose – und recht kurzfristig angekündigte – Prüfungen bei und in Unternehmen vor Ort hinzu

Urteil: Datenschutzhinweise Webseite und Tracking

Das Landgericht Frankfurt wies in einem Urteil (18.02.2014, Az 3-10 O 86-12) darauf hin, dass die Kürzung einer IP-Adresse rechtlich eine Pseudonymisierung darstellt. Daneben betont das Gericht, dass ein unmittelbarer Zugriff auf die Datenschutzhinweise gewährleistet sein muss, d.h. dass diese auf den Webseiten klar und deutlich wahrnehmbar verlinkt sein müssen.