Was sagt das Patientenrechtegesetz zum Datenschutz?

Das seit Februar 2013 gültige Patientenrechtegesetz regelt die rechtliche Beziehung zwischen Patienten und behandelndem Arzt oder Therapeuten. Einige Punkte darin betreffen auch den Datenschutz.

Datenschutz Rechte von Patienten

Bisher war es schwierig, sich einen Überblick über Rechte von Patienten gegenüber Ärzten, Krankenhäusern und Krankenkasse zu verschaffen. Waren sie doch in verschiedenen Gesetzestexten aus unterschiedlichen Rechtsbereichen verstreut und leiteten sich häufig als sogenanntes „Richterrecht“ aus vergangenen Urteilen ab. Das 2013 in Kraft getretene „Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten“ (Patientenrechtegesetz) bündelt und konkretisiert die unterschiedlichen Regelungen und erzeugt damit für die Patienten Transparenz und schafft für die Behandelnden Rechtssicherheit.

Das Patientenrechtegesetz regelt sehr unterschiedliche Bereiche der rechtlichen Beziehung zwischen Patienten und Behandelnden, wie die Ärztehaftung und die Ansprüchen des Patienten bei Behandlungsfehlern. Außerdem legt es in mehreren Bereichen die Pflichten von Leistungsträgern, wie den Krankenkassen fest.

Relevante datenschutzrechtliche Regelungen

Im Folgenden werden die für den Bereich Datenschutz relevanten Regelungen im Patientenrechtegesetz vorgestellt. Über die Bestimmungen des Patientenrechtegesetzes hinaus gelten für Patienten selbstverständlich auch die Regelungen des Bundesdatenschutzgesetzes (BDSG), die allgemein die Rechte von Betroffenen gegenüber privaten und öffentlichen Stellen festlegen.

Informationspflichten (§ 630c Abs. 2 bis 4 BGB)

Ärzte und Therapeuten müssen ihre Patienten zu Beginn der Behandlung und, soweit erforderlich, auch im weiteren Verlauf umfassend über sämtliche Umstände aufklären, die für die Behandlung von Bedeutung sind. Dazu gehören die Diagnose, die Therapie und die voraussichtliche Entwicklung des Gesundheitszustands. Nur in Ausnahmefällen unter besonderen Umständen ist die Informationspflicht entbehrlich.

Auf Nachfrage oder zur Abwendung gesundheitlicher Risiken hat der Behandelnde den Patienten auf einen möglichen Behandlungsfehler hinzuweisen.
Sobald erkennbar ist, dass die Behandlungskosten nicht vollständig von der Krankenversicherung übernommen werden, ist der Patient in Textform über die voraussichtlichen Kosten zu informieren.

Der Therapeut ist nur in Ausnahmefällen von der Informationspflicht befreit – etwa dann, wenn die Behandlung unaufschiebbar ist oder der Patient ausdrücklich auf eine Aufklärung verzichtet.

Einwilligung (§ 630d BGB)

Ein Arzt oder Therapeut ist verpflichtet, vor der Durchführung einer medizinischen Maßnahme, die Einwilligung seines Patienten einzuholen. Ist dieser beispielsweise aufgrund seines Gesundheitszustandes nicht in der Lage, die Folgen einer solchen Entscheidung abzuschätzen, ist die Einwilligung eines Berechtigten einzuholen, sofern keine Patientenverfügung vorliegt, in der der Patient seinen Willen bezüglich der betreffenden Maßnahme zuvor festgehalten hat.

Der Patient kann eine Einwilligung jederzeit formlos widerrufen. Es ist keine Angabe von Gründen dafür erforderlich.

Aufklärung

Eine Einwilligung kann nur dann den Willen des Unterzeichners wiedergeben, wenn davon auszugehen ist, dass dieser tatsächlich darüber informiert war, wozu er sein Einverständnis erklärt. Daher ist eine Einwilligung nur dann gültig, wenn der Patient vorher umfassend und verständlich aufgeklärt worden ist. Die Aufklärung ist mündlich vorzunehmen mit schriftlicher Bestätigung.

Patientenakte (§ 630f BGB)

Informationen, die für die derzeitige oder künftige Behandlung relevant sind, müssen in einer Patientenakte dokumentiert werden. Dazu zählen die Anamnese, Diagnosen, vorgenommene Untersuchungen und deren Ergebnisse, Befunde, durchgeführte Therapien oder Eingriffe und deren Wirkungen. Außerdem gehen Einwilligungen, Unterlagen über die Aufklärung und Information des Patienten und Ärztebriefe in die Patientenakte ein.

Die Patientenakte kann elektronisch oder in Papierform geführt werden und ist für zehn Jahre nach Abschluss der Behandlung aufzubewahren. Dabei ist der Behandelnde verpflichtet, für eine lückenlose nachvollziehbare Dokumentation Sorge zu tragen: Bei Änderungen von Eintragungen muss der ursprüngliche Inhalt erkennbar bleiben und der Zeitpunkt sowie der Bearbeiter protokolliert werden. Wird die Patientenakte elektronisch geführt, muss eine manipulationssichere Software verwendet werden.

Recht auf Einsicht (§ 630g BGB)

Patienten haben ein Recht darauf, alle Informationen einzusehen, die für Ihre Gesundheit von Bedeutung sind. Daher dürfen sie jederzeit ihre Patientenakte einsehen. Auf Anfrage des Patienten hat ein Therapeut oder Arzt die Akteneinsicht ohne schuldhafte Verzögerung zu gewähren.

Die Einsicht kann nur in besonderen Ausnahmefällen verweigert werden – beispielsweise wenn dadurch Rechte Dritter verletzt würden oder wenn die begründete Befürchtung besteht, dass der Patient durch die Informationen schwerwiegenden gesundheitlichen Schaden nehmen könnte. Aufzeichnungen über subjektive Eindrücke des Arztes darf dieser aber grundsätzlich nicht geheim halten. Lehnt ein Arzt eine Einsichtnahme ab, muss er dies plausibel begründen.

Der Patient ist am Aufbewahrungsort der Patientenakte Einsicht zu gewähren, nur bei Vorliegen eines wichtigen Grundes kann die Einsicht an einem anderen Ort erfolgen. Daneben kann der Patient eine Abschrift der Akte anfordern.

Im Falle des Todes eines Patienten können Dritte ein Recht auf Einsicht in die Patientenakte haben. Sofern vermögensrechtliche Interessen bestehen, dürfen Erben die Daten einsehen. Angehörige können auch “immaterielle Interessen” geltend machen. Jedoch gilt das Einsichtsrecht für Angehörige und Erben nur dann, wenn nicht anzunehmen ist, dass dies dem Willen des Patienten widerspricht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutzaufsicht prüft Unternehmen ohne Anlass

Bayernweit werden aktuell (03/2014) 110 Unternehmen auf die Umsetzung datenschutzrechtlicher Anforderungen vom Landesamt für Datenschutzaufsicht geprüft. Anders als im vergangenen Jahr wird das Landesamt bei einigen der zuvor schriftlich geprüften Unternehmen stichprobenartig eine Vor-Ort-Kontrolle durchführen.

Die Kontrolldichte im Datenschutz nimmt weiter zu. Wie bereits früher vermutet, nehmen anlasslose und stichprobenartige Kontrollen durch Datenschutzbehörden zu und sind auch in den nächsten Jahren vermehrt zu erwarten. Über die erste anlasslose Kontrolle im Januar 2013 hatten wir letztes Jahr berichtet: http://www.activemind.de/landesamt-datenschutz-aufsicht-anlasslose-kontrolle/. Wie viele der im Jahr 2013 geprüften Unternehmen letztendlich ein Bußgeld bezahlen mussten und in welcher Höhe dies gegebenenfalls ausfiel, ist nicht bekannt. Fest steht, dass die Kontrollen strenger werden.

Eine Verschärfung der Kontrolle erfolgt in Bayern dieses Jahr in Form von Vor-Ort-Audits durch das Landesamt. Dabei werden einige der vorab schriftlich geprüften Unternehmen im Nachgang einem Audit durch die Aufsichtsbehörde unterzogen. Welche Fragen bei dem Audit gestellt und in welcher Detailtiefe die Unternehmen geprüft werden, ist derzeit noch unklar. Zu erwarten ist eine detaillierte und gründliche Prüfung.

Spätestens hierbei wird sich auch herausstellen, wie die Behörde mit der Verhängung von Bußgeldern von bis zu € 50.000.- umgeht, die nach § 43 Abs. 1 Nr. 10 BDSG möglich sind, wenn eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht geduldet wird.

Welche Prüfpunkte enthält der schriftliche Fragebogen?

Die diesjährigen schriftlichen Prüfpunkte entsprechen denen aus dem letzten Jahr. Der Fragebogen umfasst folgende Themenblöcke:

  • Datenerhebung/ Datennutzung
  • Datenschutzbeauftragter
  • Verfahrensverzeichnis
  • Verpflichtung auf das Datengeheimnis
  • Auftragsdatenverarbeitung
  • Videoüberwachung
  • Private Nutzung dienstlicher Kommunikationsmittel
  • Dienstliche Verwendung privater Kommunikationsmittel (BYOD)
  • Sperrung bzw. Löschung von Daten
  • Technische und organisatorische Maßnahmen

Den Originalfragebogen finden Sie hier | PDF. Das Anschreiben hier | PDF.

Benötigen Sie Unterstützung bei der Umsetzung datenschutzrechtlicher Anforderungen?
Wir helfen: www.activemind.de

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Dropbox: Datenschutz und Datensicherheit

An der Dropbox scheiden sich die Gemüter: Wer schon eimal ausprobiert hat, wie praktisch das Tool für die tägliche Arbeit ist, will kaum wieder darauf verzichten. Andererseits ist nach zahlreichen Negativschlagzeilen immer ein mulmiges Gefühl dabei, wenn man an die Sicherheit der Daten denkt, die man dem Unternehmen anvertraut. Sie müssen aber nicht auf die Vorteile der Dropbox verzichten, wenn Sie mit eigenen Maßnahmen für die Sicherheit ihrer persönlichen Daten sorgen.

Im Web-Interface von Dropbox kann man Dateien hochladen, kopieren, umbenennen und mit anderen teilen. Kopiert man Dateien in diesen Ordner, sind diese für von überall über den Browser abrufbar.

Die eigentliche Stärke von Dropbox liegt aber in der Integration ins Betriebssystem. Dropbox lässt sich in Mac OS X, in Windows und in Linux integrieren und ist damit sehr einfach zu benutzen. In der Stärke liegt aber auch zugleich die große Schwäche.

Wird nun eine Datei von jemanden hochgeladen, dann prüft Dropbox, ob diese Datei bereits von jemand anderem hochgeladen wurde. Existiert eine Datei mit der Prüfsumme, dem passenden Datum und Namen schon auf den Servern von Dropbox, dann muß Dropbox die eigentliche Datei gar nicht mehr bekommen, denn Dropbox hat ja bereits passende Daten. Es genügt also serverseitig, die Datei auf dem Dropbox-Server für diesen Kunden sichtbar zu machen. Das ist schnell, spart Bandbreite und für Dropbox spart es Speicherplatz.

Durch die Installation des Dropbox-Clients wird auf dem Rechner ein neuer Ordner erstellt: die Dropbox. Alle darin gespeicherten Dateien werden auf einen zentralen Server kopiert. Bei Änderungen innerhalb einer Datei werden nur die geänderten Bereiche übertragen. Als zentrales Speichersystem wird hierbei S3 von Amazon verwendet. Serverseitig werden die Dateien mit einer AES-Verschlüsselung versehen. Die Nutzer können für diese Verschlüsselung keine eigenen Schlüssel anlegen.

Bis vor einiger Zeit hatten die Betreiber von Dropbox noch behauptet, dass die hochgeladenen Dateien von niemandem eingesehen werden könnten und somit die anvertraute Daten sicherer seien als auf dem eigenen Computer. Nach einer massiven Datenpanne ist das Unternehmen vorsichtiger mit solchen Aussagen geworden.

Wenn aber Dropbox schon staatlichen Behörden uneingeschränkten Zugang zu den Daten der Kunden gestattet, sollte man generell skeptisch sein. Jetzt hat sich aber auch noch das Onlinemagazin Weird bei der amerikanischen Handelsbehörde Federal Trade Commision (FTC) über das Geschäftsgebaren und den offensichtlich mangelhaften Datenschutz bei Dropbox beschwert, wie hier im PDF dokumentiert ist.

Dropbox selbst ist aktuell auch nicht nach gängigen internationalen Normen zertifiziert. Auf der Webseite sagt das Unternehmen dazu folgendes:

Frage: „Is Dropbox HIPAA, FERPA, SAS 70, Safe Harbor, ISO 9001, ISO 27001, or PCI compliant?“

Antwort: „Unfortunately, Dropbox does not currently have any of these certifications. We are working on getting EU Safe Harbor certification. We’ll update this page with any new certifications as we receive them, so please do check back.“

Wer seine persönlichen Daten einem Onlinespeicherdienst anvertraut, geht generell ein Risiko ein und somit ist es auch nicht verwunderlich, dass die Betreiber von Dropbox allen möglichen Behörden und staatlichen Institutionen Zugriff auf die gespeicherten Dateien seiner Nutzer gewährt.

Aber wie macht man die Dropbox sicherer?

Ist es nötig, jedesmal abzuwägen, ob die Daten, mit denen ich heute arbeite zu sensibel sind, um sie in die Dropbox zu kopieren? Besser ist es, die Daten egal wie wichtig sie sind, grundsätzlich immer zu verschlüsseln.

Es besteht die Möglichkeit, beispielsweise mit Truecrypt verschlüsselte Dateien über den Dropbox-Dienst zu synchronisieren. Dieses systemübergreifende Programm ist open source und kostenlos. Im einfachsten Fall verschlüsselt man seine Daten, bevor man sie in den Dropbox-Ordner legt und entschlüsselt sie, wenn man sie wieder lesen will. Der Umgang mit den Dateien wird dadurch nur ein wenig umständlicher, der Schutz der eigenen Informationen sollte es aber Wert sein, sich diesen kleinen Umweg anzugewöhnen. Dropbox selbst empfiehlt, mit wichtigen Daten so umzugehen.

Nachtrag im Februar 2014:
Aktuell plant ein Team von Sicherheitsforschern, Truecrypt einer umfassenden Prüfung zu unterziehen. Sie haben keinen konkreten Verdacht, aber wollen kontrollieren, ob die von Truecrypt bereitgestellten Binärversionen tatsächlich ausschließlich aus dem veröffentlichten Quellcode bestehen. Vielen Dank an unseren Leser Martin für den Hinweis!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Bring Your Own Device: So begegnen Sie den Herausforderungen

Die Qualitätsansprüche von Endnutzern an mobile IT-Geräte wachsen – damit auch der Unwille, sich am Arbeitsplatz mit weniger leistungsfähigem Equipment zufrieden zu geben. Immer mehr Arbeitnehmer bringen daher ihre eigenen Geräte mit ins Unternehmen. Da sich die Arbeitgeber dadurch ebenfalls Vorteile erhoffen, hält das Phänomen „Bring Your Own Device“ (BYOD) auf breiter Fläche Einzug in deutsche Unternehmen. Damit dabei mehr Nutzen als Schaden entsteht, sind einige technische und organisatorische Vorkehrungen jedoch unerlässlich.

Die meisten Unternehmen erkennen darin einen Mehrwert für sich, wenn ihre Mitarbeiter private Endgeräte für die Arbeit nutzen. Neben Kostenvorteilen ist auch die dadurch gesteigerte Flexibilität der Beschäftigten ein Plus für das Unternehmen: Der Übergang zwischen Arbeits- und Freizeit wird durchlässiger, die Mitarbeiter arbeiten oft effektiv länger, weil sie mit den privaten Geräten auch die Arbeit aus dem Büro mitnehmen. Außerdem wollen Firmen insbesondere für hart umworbenes, qualifiziertes Fachpersonal attraktiv bleiben, das eine Einschränkung der erlaubten Arbeitsmittel schon jetzt weitgehend nicht mehr für akzeptabel hält.

Wie jede Neuerung bringt BYOD auch Herausforderungen mit sich, denen auf Unternehmensebene sinnvoll zu begegnen ist. Vor allem werden über Jahre mühevoll entwickelte und oft auch teure Datenschutz- und Datensicherheits-Mechanismen bedeutungslos, wenn vertrauliche Daten über private Geräte verarbeitet werden, auf denen die unternehmensinternen Schutzmechanismen schlicht nicht greifen.

Die meisten Unternehmen sind sich bewusst, dass eine Verletzung der Datensicherheit teuer bis existenzgefährdend für sie sein kann. Deshalb wird auch unabhängig von Compliance-Anforderungen viel Energie in den Schutz von Daten investiert. Daher ist es erstaunlich, dass sich viele Verantwortliche in Organisationen, in denen BYOD längst gelebte Praxis ist, bisher kaum Gedanken über die Absicherung in diesem Bereich gemacht haben.

Einer Studie von Dimensional Research zufolge betrachten 72 % der Befragten unvorsichtige Beschäftigte als eine größere Gefahr für die Datensicherheit als Hacker-Angriffe. Dennoch ist ein grundsätzliches Verbot, private Geräte zu nutzen, nicht notwendig – zumal häufig gegen ein solches Verbot verstoßen wird. Sinnvoller ist eine praktikable BYOD-Policy. Dabei muss ein Unternehmen nicht nur eine Richtlinie formulieren und kommunizieren, sondern auch Lösungen für deren praktische Umsetzung anbieten, indem beispielsweise notwendige Sicherheitssoftware zur Verfügung gestellt und die Möglichkeit gegeben wird, dass die IT-Abteilung sich um die Implementierung kümmert. Um Unstimmigkeiten zu vermeiden, sollte eine transparente Kostenregelung für solche Maßnahmen existieren, die auch ihre steuerliche Behandlung zwischen Mitarbeiter und Arbeitgeber eindeutig klärt.

Auf folgende Punkte sollten Sie achten:

Zunächst muss definiert werden, auf welche Daten mit unternehmensfremder Hardware überhaupt zugegriffen werden kann und wo das nicht erforderlich ist. Daten, die nicht über private Geräte erreicht werden müssen, sollten auch in einem Bereich liegen, auf den ein solcher Zugriff technisch nicht möglich ist.
Zugriffe sollten zuordenbar sein. Mitarbeiter sollten sich immer über ein Anmeldeverfahren mit individuellem Passwort identifizieren, um über eigene Geräte Zugang zum Firmennetzwerk zu erhalten. Um die Integrität der Unternehmensdaten zu gewährleisten, sollten die Zugriffe und vorgenommenen Änderungen nachvollziehbar protokolliert werden.

Ebenso wie innerhalb des Unternehmens müssen vertrauliche Daten auf privaten Geräten und während der Übermittlung zwischen dem Firmennetzwerk und dem Endgerät des Mitarbeiters vor unbefugtem Zugriff geschützt werden. Die gleichen Sicherheitsanforderungen bezüglich Virenschutz, Verschlüsselung und gesicherter Datenverbindung, die innerhalb des Unternehmens gültig sind, müssen daher auch auf den privaten Geräten umgesetzt werden. Richtlinien für Backups und Löschfristen sind auch auf Privatgeräten einzuhalten.

Eine besondere Herausforderung stellt sich in diesem Zusammenhang bei mobilen Geräten, die sowohl privat als auch geschäftlich genutzt werden, durch Apps, die oft unbemerkt durch den Nutzer Daten an ihre Hersteller und verbundene Unternehmen übertragen. Sehr häufig greifen Apps beispielsweise auf das Adressbuch von Smartphones und Tablets zu. Auch wenn ein Mitarbeiter für sich in Kauf nimmt, durch die Nutzung solcher Apps seine privaten Daten preiszugeben, kann er die gleiche Entscheidung natürlich nicht für Unternehmensdaten treffen, sondern ist verpflichtet, diese vor einem solchen Zugriff zu schützen.

Eine technische Lösung dafür bieten Datencontainer für mobile Geräte. Alle geschäftlichen Daten werden innerhalb dieses abgetrennten Containers verarbeitet und gespeichert. Die Lösung der Firma Good Dynamics beispielsweise bietet auch ein separates E-Mail-Programm, einen eigenen Browser und einen getrennten Personal Information Manager (PIM) für die Verwaltung von Kontakten, Aufgaben und Terminen an. Sämtliche Daten, die über diese Programme verarbeitet werden, bleiben im geschützten Datencontainer und kommen nicht mit privaten Anwendungen in Berührung.

Ein weiteres Problem, das die Trennung von privaten und geschäftlichen Daten erforderlich macht, ist der gesetzlich vorgeschriebene Schutz der Privatsphäre des Arbeitnehmers. Das Unternehmen muss im eigenen Interesse beispielsweise die Möglichkeit haben, über private Geräte verarbeitete Daten automatisiert zu sichern beziehungsweise über Remote-Funktionen zu löschen, wenn es deren Vertraulichkeit gefährdet sieht. Dabei ist aber zu vermeiden, dass von den Maßnahmen auch die privaten Daten des Mitarbeiters betroffen sind. Auch deshalb ist eine Container-Lösung, die die strikt getrennte Behandlung von privaten und geschäftlichen Daten erlaubt, von Vorteil.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Inkassodienste und Datenschutz: Rechtskonformes Forderungsmanagement

Hohe Außenstände können empfindliche Auswirkungen auf die Liquidität haben. Daher beauftragen Unternehmen gerne Inkassobüros mit der der Beitreibung ausstehender Forderungen. Notwendigerweise werden dabei personenbezogene Daten der Schuldner verarbeitet, die teils sensibler Natur sind. Darum gelten hier besondere Regelungen zum Schutz dieser Informationen.

Welche Bestimmungen bei der Durchführung des Forderungsmanagements zu beachten sind, hängt von der Vertragsgestaltung zwischen dem Gläubiger und dem Inkassounternehmen ab:

Factoring: Übertragung der Forderung

Tritt ein Gläubiger seine Forderung in Form eines Verkaufs an ein Inkassounternehmen ab, handelt es sich datenschutzrechtlich um den Fall einer Funktionsübertragung. Das Inkassobüro macht die Forderung anschließend im eigenen Namen geltend und handelt nicht weisungsgebunden. Bei diesem Verfahren wählt das Inkassounternehmen die Maßnahmen zur Beitreibung der Forderung eigenverantwortlich.

Die Erhebung und Verarbeitung der Daten durch das Inkassounternehmen erfolgt in dem Fall für eigene Geschäftszwecke und unterliegt somit den Vorschriften des § 28 Abs. 1 Bundesdatenschutzgesetz (BDSG).

Der Gläubiger kann sich bezüglich der Übermittlung der Daten an das Inkassounternehmen ebenfalls auf die genannte Regelung berufen. Die Begleichung der Forderung kann als berechtigtes Interesse des übermittelnden Unternehmens angesehen werden. So schätzt etwa der Datenschutzbeauftragte des Landes Rheinland-Pfalz den Sachverhalt in seinem 23. Tätigkeitsbericht ein.

Die Vorschrift greift jedoch nur so lange, wie kein schutzwürdiges Interesse des Schuldners überwiegt. Vorsicht ist beispielsweise dann geboten, wenn das beauftragte Inkassounternehmen gleichzeitig als Auskunftei tätig ist. In einem solchen Fall sind vor allen Dingen zwei Punkte zu beachten:

  • Zweckgebundenheit der Datenübermittlung an das Inkassounternehmen: Das Inkassounternehmen darf die ihm zum Zwecke des Forderungseinzugs übermittelten Daten ausschließlich dafür verwenden. Die Informationen dürfen keinesfalls in die Tätigkeit als Auskunftei mit einfließen.
  • Besondere Sorgfalt bei der Übermittlung durch den Gläubiger: Da dem Betroffenen durch die Übermittlung seiner Daten an eine Auskunftei erhebliche Einschränkungen drohen, gelten für die Weitergabe besondere Regelungen. Hier können Sie mehr über die in dem Zusammenhang relevanten Vorschriften des § 28a BDSG erfahren.

Reiner Forderungseinzug: Datenverarbeitung im Auftrag

Ist das Vertragsverhältnis zwischen dem Gläubiger-Unternehmen und dem beauftragten Inkassobüro so gestaltet, dass letzteres im Rahmen des Forderungseinzugs lediglich weisungsgebundene Hilfstätigkeiten ausführt, liegt der Fall der Auftragsdatenverarbeitung vor. Zu den lediglich unterstützenden Tätigkeiten können die Erstellung von Mahnungen, Feststellung der aktuellen Anschrift oder Überwachung des Zahlungseingangs gehören. In dem Fall greifen die Vorschriften des § 11 BDSG.

Der Gesetzgeber betrachtet die Übermittlung der Daten bei der gegebenen Sachlage nicht als Weitergabe an Dritte – das Inkassobüro wird vielmehr als dem beauftragenden Unternehmen zugehörig angesehen. Dies bedeutet eine Erleichterung im Bezug auf die Datenübermittlung. Jedoch sind mit der Auftragsdatenverarbeitung einige Implikationen verbunden, die beachtet werden müssen.

  • Die Voraussetzung für eine Einstufung als Auftragsdatenverarbeitung ist, dass das beauftragte Inkassounternehmen strikt weisungsgebunden agiert. Daher trägt das beauftragende Unternehmen die Verantwortung für die Prozesse und hat somit auch den Schutz der personenbezogenen Daten des Schuldners zu verantworten. Dies gilt auch während der Speicherung und sonstigen Verarbeitung beim beauftragten Inkassobüro. Bei eventuellen Verstößen des Inkassounternehmens gegen datenschutzrechtliche Bestimmungen ist der beauftragende Gläubiger zu belangen.
  • Der Gläubiger ist dazu verpflichtet, mit dem Dienstleister einen Vertrag über die Datenverarbeitung im Auftrag zu schließen, der genau regelt, wie mit den übermittelten Daten umzugehen ist. Dieser muss unter anderem Regeln zur Sperrung oder Löschung von Daten, Vorgaben zu den technischen Maßnahmen, die zum Schutz der übermittelten Daten zu treffen sind und die Definition der Kontrollbefugnisse des Auftraggebers beinhalten.
  • Das Gläubiger-Unternehmen ist verpflichtet, sich zu vergewissern, dass der beauftragte Dienstleister die gesetzlichen Anforderungen zum Datenschutz tatsächlich erfüllt. Bereits vor der ersten Übermittlung von Schuldnerdaten an den Dienstleister muss eine sogenannte Erstkontrolle erfolgen.

Fazit

Die Beauftragung eines Inkassounternehmens zur Beitreibung einer Forderung ist grundsätzlich zulässig. Dabei sollten Sie jedoch die Rechte des betroffenen Schuldners berücksichtigen.

Im Falle einer Forderungsübertragung liegt eine Datenübermittlung an Dritte vor. Besondere Vorsicht ist geboten, wenn das Inkassounternehmen gleichzeitig als Auskunftei tätig ist.

Handelt es sich dagegen um die bloße Hilfstätigeit der Forderungseinziehung, liegt eine Datenverarbeitung im Auftrag vor – mit der Folge, dass das Inkassounternehmen nicht als dritte Stelle betrachtet wird. Als Auftraggeber bleiben Sie in diesem Fall jedoch weiterhin dazu verpflichtet, dafür Sorge zu tragen, dass die Daten des Schuldners – auch während der Verarbeitung durch den Dienstleister – ausreichend geschützt sind.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

VoIP und Datenschutz: So funktioniert sichere Internettelefonie

Das Telefonieren über die Internetverbindung kann nicht nur preiswerter sein, es bringt auch eine größere Flexibilität und allerlei praktische Zusatzfunktionen mit sich. Doch ihre Vielseitigkeit macht diese Technologie auch angreifbarer. Wir haben für Sie zusammengefasst, welches die größten Gefährdungen bei der Voice-over-IP-Telefonie sind und wie Sie diese ausräumen können.

Seitdem mit breitbandigen Datenleitungen und einheitlichen Standards die technischen Bedingungen für die Internettelefonie vorhanden sind, erlebt diese Kommunikationsform einen Boom. Die Vorteile liegen auf der Hand: Eine Gesprächsverbindung lässt sich zwischen beliebigen Internetanschlüssen herstellen, egal wo auf der Welt sich Ihre Gesprächspartner befinden. Unkomplizierte Konferenzgespräche mit mehreren Teilnehmern ohne die Notwendigkeit von spezieller Hardware sowie die Möglichkeit der gleichzeitigen Videoübertragung sind sicherlich die wichtigsten Funktionen, die die Beliebtheit von VoIP-Diensten wie Skype ausmachen. Auch wenn die Qualität der Datenübertragung vor allem bei kostenlosen Anwendungen für den privaten Bereich noch Wünsche übrig lässt, gibt es zahlreiche professionelle Lösungen, die auch den Ansprüchen von Unternehmen bereits genügen.

Wie bei jeder neuen Technologie sind aber auch mit der Nutzung von VoIP neue Risiken verbunden. Die Begeisterung über die Vorteile der Internettelefonie sollte Sicherheitsabwägungen nicht in den Hintergrund drängen. Sind eventuelle Gefährdungen erkannt und beseitigt, lassen sich die Möglichkeiten der Technologie schließlich unbeschwerter nutzen.

Sicherheit bei der Internettelefonie

Anders als bei der herkömmlichen Telefonie werden bei VoIP die Gesprächsdaten über das Internet transportiert. Damit sind die Nutzer auch den Gefährdungen der Datenübertragung über öffentliche oder auch lokale Netzwerke ausgesetzt. Viren, Trojaner und DoS-Attacken werden damit auch ein Problem bei Telefonaten. Diese Angriffe können nicht nur die Sicherheit der per VoIP übertragenen Informationen gefährden. Die Nutzung von ungenügend abgesicherten VoIP-Diensten kann auch eine Schwachstelle darstellen, über die das gesamte Netzwerk angegriffen werden kann.

Vertraulichkeit der Gesprächsinhalte

Die meisten Anbieter übermitteln VoIP-Gespräche meist unverschlüsselt über das Internet. Diese Dienste sind somit ungeeignet, um vertrauliche Informationen wie Zahlungsdaten oder auch persönliche Daten etwa von Kunden, Mitarbeitern oder Patienten zu übertragen. Im Netz kursiert bereits leicht zugängliche Software zum Abhören von unverschlüsselten VoIP-Gesprächen. Wenn Sie VoIP professionell einsetzen möchten, bestehen Sie darauf, dass der Dienstanbieter eine verschlüsselte Datenübertragung gewährleistet. Auch die eingesetzte Hardware, wie beispielsweise VoIP-Telefone, sollte eine Verschlüsselung ermöglichen.

Schutz vor Schadprogrammen und Attacken

Für VoIP-Endgeräte sollten die gleichen Sicherheitsregeln wie für alle Geräte im Netzwerk gelten. Auch hier sollte ein angemessener Zugriffschutz eingerichtet sein, die Betriebssoftware sollte regelmäßig aktualisiert werden und Anwendungen sollten stets den Sicherheitsanforderungen genügen.

Identität des Anrufers

Bei der Einführung von VoIP im Unternehmen sollten Sie auch die Möglichkeit der Rufnummernunterdrückung in Ihre Überlegungen mit einbeziehen. Nutzen beide Teilnehmer VoIP, funktioniert die Rufnummernunterdrückung nicht immer. Die meisten Dienstanbieter bauen VoIP-Verbindungen über das sogenannte Session-Initiation-Protokoll (SIP) auf. Dabei werden nicht selten sogar umfassendere Protokolldaten übermittelt und können vom Gesprächspartner eingesehen werden.

Sie sollten Ihre Mitarbeiter auch darüber informieren, dass sich die angezeigte Rufnummer bei VoIP-Gesprächen manipulieren lässt. Fragt der Anrufer vertrauliche Daten ab, sollten Sie sich daher nie auf die Rufnummer allein zur Identifizierung des Gesprächspartners verlassen.

Unterschiedliche Datenschutz-Standards

Bei der Auswahl eines Dienstanbieters sollte unbedingt auch beachtet werden, welchen Datenschutz-Bestimmungen dieser verpflichtet ist. Ein Anbieter mit Sitz in Deutschland unterliegt den hiesigen Gesetzen und Sie können Ihre Betroffenenrechte geltend machen. Deutsche Behörden haben dagegen keine Handhabe bei Unternehmen, die Ihren Sitz im Ausland haben. Insbesondere bei Anbietern außerhalb der EU sollten Sie darauf achten, welches Datenschutzniveau Sie zu erwarten haben.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Smartphones und Profilbildung

Der große Reiz von Smartphones liegt in den zahllosen nützlichen oder spaßigen Funktionen, die diese Geräte neben dem Telefonieren haben können. Ihre vielseitige Nutzung macht sie aber auch zu idealen Datenkraken, die in einem Maß Informationen über Ihre Nutzer sammeln, welches diese meist kaum erahnen.

Statistisch gesehen ist jeder dritte Deutsche laut einer Bitkom-Studie Besitzer eines Smartphones, unter den jüngeren Bundesbürgern ist der Anteil tatsächlich weit höher. Das Telefonieren ist bei den mobilen Alleskönnern inzwischen nur noch eine von vielen Funktionen. Vom Surfen im Internet über intelligente Einkaufszettel bis hin zu verrückten Funktionen wie dem Ausblasen von Kerzen mit der „Blower“ App schätzen Nutzer ihre Smartphones für allerlei praktische oder unterhaltsame Anwendungen.

Kein Wunder also, dass die Geräte ständige Begleiter ihrer Besitzer sind und auch viel häufiger genutzt werden als herkömmliche Mobiltelefone. Doch bei der vermehrten Nutzung der Geräte mit Anbindung ans Internet und Standortermittlung per GPS geben die Nutzer auch ungemein mehr Informationen über sich preis – meist mehr als sie ahnen. Dabei lässt die Euphorie über die immer neuen Möglichkeiten der bunten Smartphone-Welt die Anwender allzu häufig eine kritische Auseinandersetzung damit vergessen.

Wie vielen Nutzern ist es wohl bewusst, dass manche teilweise recht simple Anwendung, etwa wie eine Taschenlampenfunktion, möglicherweise umfassende Daten über ihren Anwender wie Adressbuch, Standortdaten, Anruflisten oder angesurfte Webseiten weitergibt?

Die Entwicklung und der Vertrieb von Apps erfordern oft einen großen Aufwand. Bei der regelrechten Flut an sehr preiswerten bis kostenlosen Anwendungen muss man sich fragen, wie sich das für die Anbieter rechnet. Die Antwort lautet: Man bezahlt mit seinen persönlichen Daten und unter Umständen auch mit denen der Freunde und Bekannten, mit denen man kommuniziert oder die man in seinem Adressbuch führt.

Der Wert von Nutzerprofilen

Mehr als 6 Milliarden Euro wird dem Onlinevermarkterkreis im BVDW zufolge dieses Jahr in Deutschland mit Onlinewerbung umgesetzt. Dabei steigt im Internet die Bedeutung von personalisierter Werbung. Je genauer Werbung einen potenziellen Kunden erreicht, desto mehr ist sie wert. Dabei wird nicht mehr in groben Zielgruppen gedacht, Werbung soll an die Vorlieben, Gewohnheiten und Wünsche einzelner Personen angepasst werden.

Noch effektiver ist Werbung, wenn das soziale Umfeld eines Nutzers mit einbezogen wird. Wenn das Verkaufsargument als vermeintliche „Empfehlung“ eines Bekannten oder Freundes verpackt wird, steigt die Wahrscheinlichkeit, dass das Produkt wahrgenommen und gekauft wird enorm.

Der gläserne Smartphone-Nutzer

Um maßgeschneiderte Werbung platzieren zu können, wollen Anbieter möglichst alles über einen Nutzer erfahren und ihn auch immer wiedererkennen können. So kommt es zu einer ausufernden Datensammlung und umfassenden Protokollierung jedes digitalen Schrittes, den ein Anwender macht. Dabei ist den meisten von ihnen gar nicht bewusst, dass sie von ihren mobilen Begleitern regelrecht ausspioniert werden.

Allein schon die Nutzung mancher Betriebssysteme für Smartphones setzt voraus, dass man dem Anbieter gestattet, umfassende Informationen aufzuzeichnen. Den Datenschutzbestimmungen des Android-Anbieters Google ist etwa zu entnehmen, dass bei der Nutzung seiner Dienste unter anderem folgende Informationen ermittelt und gespeichert werden können: eindeutige Gerätekennungen, Hardware-Einstellungen, Browser-Typ und -Sprache, die eindeutige IP-Adresse, aufgerufene Seiten, eingegebene Suchbegriffe, Telefonnummer, Anrufprotokolle inklusive der Nummern der Anrufer, Datum und Uhrzeit und Dauer von Anrufen, SMS-Routing-Informationen sowie Standortdaten selbst wenn kein GPS genutzt wird. Auch andere Systeme zeigen sich nicht unbedingt weniger datenhungrig.

Die Verantwortung liegt beim Einzelnen

Die deutsche und europäische Gesetzgebung versucht, das Persönlichkeitsrecht von Bürgern weitgehend zu schützen. So unterliegen Anwendungen für Smartphones – theoretisch – ebenfalls gesetzlichen Regelungen. Das Bundesdatenschutzgesetz (BDSG) erlaubt beispielsweise die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn dies ein Gesetz für bestimmte Zwecke vorsieht oder eine wirksame Einwilligung des Betroffenen vorliegt. Grundsätzlich gilt dabei das Gebot der Datensparsamkeit: Es dürfen nur genau die Daten erhoben werden, die für die Erfüllung des vorbestimmten Zweckes zwingend erforderlich sind und diese sind grundsätzlich auch zu löschen, sobald dieser Zweck entfällt. Weiterhin haben Nutzer umfangreiche Rechte gegenüber Anbietern, beispielsweise auf Auskunft über die über sie gespeicherten Informationen, auf Löschung bestimmter Daten oder auf den Widerruf zuvor erteilter Einwilligungen.

Doch in der Praxis ist die Durchsetzung dieser Rechte denkbar schwierig, wenn die Anbieter-Unternehmen ihren Sitz im Ausland haben. Dann können auch deutsche Datenschutzbehörden keinen Einfluss nehmen. Darum weicht die Realität der Datensammlung durch Smartphone-Anwendungen gravierend vom Soll-Zustand der deutschen Gesetzgebung ab.

An dieser Tatsache können nur die Anwender selbst etwas ändern, indem sie ein Bewusstsein für ihre Nutzung von mobilen Geräten und den damit verbundenen Konsequenzen entwickeln. Erst wenn immer mehr Anwender Angebote ablehnen, die zu weit in ihr Persönlichkeitsrecht eingreifen, sehen die Anbieter eine Notwendigkeit, ihr Verhalten anzupassen.

Darauf sollten Nutzer von Smartphones achten:

Freiwillige Angaben

Viele Informationen über einen Nutzer werden direkt bei diesem erfragt. Das kann im jeweiligen Moment nicht nach einer allzu großen Datenmenge aussehen, aber wenn man bedenkt, dass viele Unternehmen bei der Profilbildung alle verfügbaren Informationen zusammenführen möchten, sieht das Bild anders aus: Die Kombination daraus, was Sie freiwillig als Ihre Hobbies angeben, mit welchen Personen Sie online kommunizieren, welche Suchanfragen Sie stellen, wie Ihre Telefonie- und Surfgewohnheiten sind, was Sie online einkaufen sowie zahlreichen anderen Daten ergibt schon ein detailliertes Profil, von dem Sie vielleicht nicht unbedingt möchten, dass es existiert. Darum hinterfragen Sie die Notwendigkeit von Angaben, um die Sie gebeten werden. Häufig sind viele Angaben beispielsweise bei Anmeldevorgängen optional. Denken Sie also daran, dass Sie in einem Webformular nicht sämtliche Felder ausfüllen müssen und lassen Sie es auch einen Anbieter wissen, wenn Ihnen nicht gefällt, dass dieser Angaben zwingend verlangt, die nicht erforderlich sind.

Datenschutzbestimmungen von Apps

Nehmen Sie genauer unter die Lupe, welche Daten eine Anwendung an wen weitergibt und was damit gemacht wird. In der Vergangenheit ist zwar bekannt geworden, dass manche Anbieter auch heimlich bestimmte Daten sammeln, ohne darüber in irgendeiner Form zu informieren, aber in der Regel sollten Sie aus den Datenschutzhinweisen wertvolle Informationen ableiten können. Auf welche Punkte Sie dabei besonders achten sollten, erfahren Sie in unserem separaten Überblick hier.

Sicherheitseinstellungen am Gerät

Je nachdem, welches Gerät Sie verwenden, gibt es unterschiedliche Grundeinstellungen am Smartphone, mit denen Sie Ihre Daten schützen können. Anleitungen für Ihren speziellen Gerätetyp finden sich im Internet. Grundsätzlich sollten die Browsereinstellungen überprüft werden. Beispielsweise sollten Cookies regelmäßig gelöscht werden. Innerhalb von Anwendungen sollten Einstellungen vorgenommen werden, die verhindern, dass diese eine Internet- oder GPS-Verbindung aufbauen, wenn dies nicht notwendig ist. Ortungsdienste wie GPS sollten nur dann überhaupt eingeschaltet sein, wenn sie tatsächlich genutzt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Datenschutz im Krankenhaus

Informationstechnik im Krankenhaus ist ein sensibles Thema. Es geht hier nicht nur um Datenschutz, auch nicht nur um den Schutz der Vertraulichkeit der Arzt-Patienten-Beziehung, sondern auch um Gesundheitsschutz: Fehlende oder falsche Daten können fatale medizinische Konsequenzen für die Patienten haben. Dagegen schützt nur ein durchdachtes Datenschutzmanagement.

Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise chaotische Zustände: Patientenunterlagen liegen für Besucher einsehbar im Stations- oder Behandlungszimmer. In Patientenaktenarchiven gehen Menschen unkontrolliert ein und aus. EDV-Dienstleister können ungehindert auf Daten zugreifen und diese lesen, sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per E-Mail verschickt. In der Klinik findet keine Abschottung der sensiblen Informationen statt.

Aus dem Datenschutzrecht ergeben sich für die Zugriffsrechte auf Patientendaten im Krankenhaus die folgenden Grundsätze: Patientendaten dürfen nur im Rahmen der Zweckbestimmung des Behandlungsvertrages und den damit verbundenen gesetzlichen Regelungen erhoben und verarbeitet, nicht aber uneingeschränkt – d. h. über die unmittelbare Zweckbindung hinaus – ausgetauscht und verwendet werden, auch nicht innerhalb des Krankenhauses. Das Krankenhaus ist in diesem Sinne keine informationelle Einheit.

Das Prinzip der Erforderlichkeit ist hier streng zu beachten, das auch als Prinzip der minimalen Rechte oder „need-to-know“-Prinzip bezeichnet wird. Insbesondere ist hier zwischen dem Arzt und seinen berufsmäßig tätigen Gehilfen einerseits sowie den sonstigen Gehilfen andererseits zu unterscheiden. Das medizinische Fachpersonal trägt die Verantwortung für die korrekte Verwendung der Daten. Der Patient hat, sofern das zuständige Krankenhausgesetz nichts anderes bestimmt, das Recht, Daten für bestimmte Zugriffe sperren zu lassen, wobei er auf eventuell für ihn entstehende Nachteile hinzuweisen ist. Er hat andererseits auch ein Anrecht darauf, daß seine Daten zur rechten Zeit am rechten Ort verfügbar sind, insbesondere nicht gegen seinen Willen oder seine Interessen zurückgehalten oder außerhalb der gesetzlichen Pflichten vernichtet werden.

Daher ist es unverzichtbar, dass der Umgang mit Patientendaten genau geregelt ist. Mindestens für folgende wichtige Abläufe sollten eindeutige Bestimmungen existieren:

  •  Lauf eines Patienten von der Aufnahme bis zur Entlassung
  •  Neueinstellung von Mitarbeitern mit Einweisung in die IT, Schulung zur Datensicherheit und Verpflichtung auf das Datengeheimnis
  •  Beauftragung von Drittfirmen
  • Datenschutzkontrollen
  • Datenübermittlungsanforderungen von Dritten (zum Beispiel Versicherungen, Polizei)

Über ein Berechtigungskonzept kann gewährleistet werden, dass alle Mitarbeiter die für ihre Aufgabenwahrnehmung nötigen Daten zur Verfügung haben.

Zugriffsrechte werden in Form eines eines abteilungsspezifischen Regelwerkes festgelegt, das mit dem Datenschutzbeauftragten abzustimmen ist. Bei Bedarf wird für den einzelnen Patienten eine Rechteliste in der Patientenakte mitgeführt, z. B. wenn er von seinem Widerspruchsrecht gebrauch gemacht hat. Die Rechte werden je nach Anwendungsfall vergeben an:

  • Fachabteilungen
  • Rolleninhaber
  • Einzelpersonen

Im Krankenhausbetrieb sind hierarchisch geordnete, rollenbasierte Zugriffsrechte meistens angemessen. Den unterschiedlichen Aufgaben und Zielen entsprechend ist der Zugriff nach der Art der Daten und der Art des Zugriffs zu gewährleisten. Die Definition der Rollen und der ihnen zugeordneten Zugriffsrechte sollte durch durch den Kliniksvorstand vorgenommen und durch eine zentrale verfahrensbetreuende Stelle umgesetzt werden. Die Zuweisung von Rollen zu bestimmten Personen erfolgt durch die Fachabteilung. Soweit lediglich abteilungsinterne Zugriffsmöglichkeiten betroffen sind, können eigene Rollen auch durch die Fachabteilung definiert werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

GPS-Peilsender am Auto zur Ortung rechtmäßig?

Weil er kontrollieren möchte, wo sich seine Frau aufhält, bringt ein Mann einen Peilsender an ihrem Auto an: Was klingt, wie eine Szene aus einem schlechten Film, hat vor kurzem tatsächlich die Gerichte in Minnesota (USA) beschäftigt. Und auch in Deutschland scheint es eine Nachfrage nach dieser Form der Überwachung zu geben.

Der kontrollsüchtige Amerikaner hat sich mit seinem Verhalten in zweiter Instanz lediglich eine Verurteilung wegen Stalkings eingehandelt. Auch die deutsche Gesetzgebung kennt mit § 238 StGB den Tatbestand der Nachstellung. Hierzulande steht der ungefragten Ortung einer Person aber auch das Bundesdatenschutzgesetz entgegen. Eine solche unbefugte Erhebung und Verarbeitung von personenbezogenen Daten stellt gemäß § 44 Abs. 1 BDSG in Verbindung mit § 43 Abs. 2 BDSG eine Straftat dar. Dass die Ortung über einen am Pkw befestigten Peilsender diesen Tatbestand erfüllt, hat das Landgericht Lüneburg in einem Urteil (http://openjur.de/u/168230.html) klargestellt.

Auslöser für den verhandelten Fall war die Geschäftsidee eines deutschen Privatdetektivs: Ohne das Wissen des Fahrers einen GPS-Sender an dessen Fahrzeug anzubringen und mit den gewonnen Daten ein Bewegungsprofil zu erstellen, hielt er für eine attraktive Dienstleistung und auch für so unbedenklich, dass er sogar öffentlich dafür warb.

Eine Zielperson des Detektivs, die einen solchen Peilsender an ihrem Fahrzeug fand, schaltete die Behörden ein. In der Verhandlung stellte das Gericht klar, dass es sich bei den durch den Peilsender gewonnen Daten um personenbezogene Daten handelt. Zwar wird dabei die Position eines Fahrzeuges erfasst. Aber da das Fahrzeug sich nicht selbständig bewegt, sondern von einer Person gefahren wird, lassen sich die Ortungsdaten dieser Person zuordnen. Im Urteil hält das Gericht fest, dass die „vollständige Überwachung der Fahrzeugbewegungen und somit auch des Fahrzeugführers“ ja auch die erklärte Absicht des Detektivs waren. Schließlich hatte er genau diese Leistung in einem Flyer beworben.

Eine Erhebung und Verarbeitung solcher Daten ohne das Einverständnis des Betroffenen ist nicht erlaubt. Dem steht das Recht auf informationelle Selbstbestimmung der Zielperson entgegen. Dieses Persönlichkeitsrecht überwiegt zweifelsfrei vor dem geschäftlichen Interesse einer Detektei. Selbst Justizbehörden können nicht ohne weiteres GPS-Sender zur Strafverfolgung einsetzen. Gemäß § 100h Abs. 1 Nr. 2 StPO ist eine solche Maßnahme nur dann zulässig, wenn „eine Straftat von erheblicher Bedeutung“ vorliegt.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Wann ist eine Datenschutz-Richtlinie wirkungsvoll?

Datenschutz ist in Zeiten immer schnelleren Datenaustausches für Unternehmen ein wichtigeres Thema als jemals zuvor. Immer mehr Unternehmen entscheiden sich daher ganz bewusst dafür, einen verantwortungsbewussten Umgang mit Daten mit Hilfe einer Datenschutzrichtlinie durchzusetzen. Doch viele Datenschutzrichtlinien erfüllen nicht die in sie gesetzten Erwartungen. Wir zeigen, was Sie bei Formulierung und Umsetzung einer Datenschutzrichtlinie beachten müssen, damit diese nicht nur auf dem Papier existiert, sondern wirklich Wirkung beim Datenschutz in Ihrem Unternehmen zeigen kann.

1. Die richtige Formulierung: Je klarer, desto besser

Je klarer und eindeutiger die Datenschutzrichtlinie gefasst ist, umso leichter wird es Ihren Mitarbeitern fallen, Sie im Entscheidungsfall richtig anzuwenden. Vor allem auf folgende Punkte sollte unbedingt geachtet werden:

Anschaulich formulieren

Viele Datenschutzrichtlinien sind zu abstrakt formuliert und bleiben für die meisten Anwender daher unverständlich. Eine gute Datenschutzrichtlinie ist so formuliert, dass der Leser nicht von juristischen und technischen Fachbegriffen erschlagen wird, sondern erklärt bekommt, in welchem konkreten Fall eine bestimmte Regel Anwendung findet.

Beispiele nennen

Zum besseren Verständnis trägt es bei, Beispiele für eine Regel und Ihren Anwendungsfall zu nennen.

Umsetzungshilfen aufzeigen

Eine gute Datenschutzrichtlinie sollte nicht nur aus Geboten und Verboten bestehen, sondern konstruktiv Mittel und Wege aufzeigen, wie diese umgesetzt werden können. So können Mitarbeiter motiviert werden, während reine Gebote und Verbote demotivierend wirken.

2. Für Akzeptanz sorgen

Gelegenheit für Feedback geben

Um die Akzeptanz der Richtlinie zu steigern, sollten den Mitarbeitern Möglichkeiten eingeräumt werden, Anregungen und Wünsche zu äußern. Denn einerseits kennen Ihre Mitarbeiter datenschutzrechtlich relevante Probleme, die in den internen Betriebsabläufen auftreten können, besser als jeder andere. Und zum anderen steigert es die Akzeptanz Ihrer Datenschutzrichtlinie, wenn Sie Ihren Mitarbeitern das Gefühl geben, in ihre Formulierung einbezogen zu werden. So machen Sie klar, dass sich die Datenschutzrichtlinie nicht gegen Ihre Mitarbeiter richtet, sondern dem Gesamtinteresse des Unternehmens dient.

Verstöße sanktionieren

Verstöße gegen die Datenschutzrichtlinie müssen Konsequenzen haben – andernfalls wird die Richtlinie nicht ernst genommen. Für den Anwender ist es wichtig, dass die Folgen eines Verstoßes gegen die Datenschutzrichtlinie genau benannt werden und nicht nur allgemein von „Sanktionen“ gesprochen wird, denn nur so entsteht ein Bewusstsein dafür, dass die Datenschutzrichtlinie mehr ist als eine bloße Absichtserklärung, sondern vielmehr im Unternehmensalltag geltendes internes Recht, das zwingend umzusetzen ist.

3. Auf die Umsetzung kommt es an

Auch die beste Datenschutzrichtlinie nützt Ihnen nicht, wenn sie nicht umgesetzt wird. Vor allem zwei Maßnahmen verhindern, dass Ihre Datenschutzrichtlinie totes Papier bleibt: Das Datenschutztraining und die Datenschutzkontrolle.

Datenschutztraining

Ihre Mitarbeiter können im Unternehmensalltag nur die Regeln anwenden, die sie auch verstanden haben – und nicht jeder Mitarbeiter ist im gleichen Maße in der Lage, eine juristische Regel auf den konkreten Anwendungsfall herunter zu brechen. Im Datenschutztraining wird die Anwendung der Datenschutzrichtlinie am konkreten Beispiel trainiert. Im Idealfall erfolgen die Formulierung der Datenschutzrichtlinie und das Datenschutztraining aus einer Hand, denn so können Sie sich sicher sein, dass im Datenschutztraining genau die Fälle geübt werden, auf die es in der Datenschutzrichtlinie ankommt.

Datenschutzkontrolle

Gerade bei einem so sensiblen Thema wie dem Datenschutz gilt: Vertrauen ist gut, Kontrolle ist besser. Mit technischen Kontrollmechanismen und manuellen Stichproben können Sie überprüfen, ob Ihre Datenschutzrichtlinie auch in der Praxis umgesetzt wird und gegebenenfalls Verstöße feststellen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.