von Uwe Huchler
Fünf Buchstaben haben uns im letzten Jahr stetig verfolgt – DSGVO. Die Datenschutz-Grundverordnung hat alle Unternehmen, Vereine und Non-Profit-Organisationen dazu veranlasst, sich mit dem Datenschutz auseinander zu setzen. Nicht, dass dies irgendwie etwas Neues war oder ist, nein: denn die DSGVO gab es schon 2 Jahre zuvor. Und das Bundesdatenschutz-Gesetz ist bereits seit 40 Jahren in Kraft. Wer also sich bereits an bisherige Regelungen gehalten hatte, der hatte also wenig bis gar nichts zu befürchten.
Es gab in den letzten Monaten viele Spekulationen rund um den Schutz der personenbezogenen Daten, von der Nachweisplicht, Richtlinien, Datenaustausch und der Erstellung notwendiger Verzeichnisse.
Die meisten Unternehmen haben nach einschlägigen Studien den Aufwand unterschätzt.
Viele Propheten oder Schwarzmaler haben die Datenschutz-Grundverordnung dazu benutzt, sich notwendiger aber lästiger Aufgaben zu entledigen. Nach dem Motto: ‚Das darf man aus Datenschutz-Gründen nicht mehr.’ Fotos wurden geschwärzt, Klingelschilder entfernt, Patienten nicht behandelt – und das alles im Namen der DSGVO. Sie musste für vieles herhalten. Im Nachhinein hat sich dann doch gezeigt, daß dies oftmals neu-Deutsch ‚Fake-News’ waren, von selbst ernannten Datenschutz-Experten. In der Zwischenzeit hatte man das Gefühl, dass es nicht nur 1 Million Bundestrainer für den deutschen Fußball auf der Couch gibt, sondern gefühlt 2 Millionen ‚Datenschutz-Experten’ und Datenschutzbeauftragte. Der Datenschutz wurde dabei instrumentalisiert.
Auch die angedrohten Abmahnwellen von (windigen) Geschäftemachern blieben aus. Und erfreulicherweise haben sich Aufsichtsbehörden bislang sehr zurückgehalten mit Bußgeldern. Zumeist sind diese auch gar nicht das Ziel. Überwiegend geht es darum, dass sich Unternehmen den Schutz der personenbezogenen Daten in ihren Fokus nehmen und alle darauf sensibilisiert werden, was mit ihren Daten gemacht wird. Es geht dabei immer um den Schutz der Betroffenen.
Dass Unternehmen dabei nicht immer glücklich sind, wenn sie sich um weitere Vorschriften kümmern müssen, leuchtet ein. Trotzdem ist das die Informationsfreiheit ein hohes Gut und ein wichtiges Grundrecht von Menschen. Jeder soll und darf über die Verwendung von seinen Daten selbst entscheiden.
Was aber haben Sie nun als Pflege- oder Seniorenheim bislang erledigen müssen? Nachfolgend eine kleine Checkliste:
- Haben Sie eine Datenschutzerklärung auf ihrer Homepage, die den Anforderungen der DSGVO entspricht? Diese muss z.B. von jeder Seite erreichbar sein. Am besten als eigenen Reiter neben dem Impressum. Dabei gibt es Pflichtangaben, worauf Sie in einfachen und verständlichen Worten den Umgang mit ihren personenbezogenen Daten beschreiben müssen. Dazu gibt es immer noch eine Reihe von kostenlosen Datenschutz-Generatoren im Internet. Oder Sie verwenden Fachliteratur und sogenannte Formularhandbücher, die Sie zuverlässig und juristisch korrekt beraten und Informationen zur Verfügung stellen (z. B. Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, Verlag C.H. Beck, München 2018, 2. Auflage))
- Haben Sie mit dem Verarbeitungsverzeichnis begonnen und dokumentieren so Ihre Daten, die sie verwenden und die bei Ihnen vorhanden sind? Das Verarbeitungsverzeichnis ist ein zentrales Instrument, denn hier sehen Aufsichtsbehörden, ob Sie sich tatsächlich mit Datenschutz auseinandergesetzt haben. Dort werden alle Bereiche bzw. die Verarbeitung der personenbezogenen Daten in einer vorgegebenen Systematik aufgelistet. Diverse Muster-Verarbeitungsverzeichnisse sind dabei von den Landesdatenschutzbehörden im Umlauf und auf deren Internetseiten (z. B. Bayerisches Landesamt für Datenschutzaufsicht – https://www.lda.bayern.de/de/index.html)
- Haben Sie Ihre Informationspflichten gegenüber Ihren Mitarbeiterinnen ausreichend genüge getan? Dazu gibt es sehr gute und kostengünstige Materialien, Präsentationen oder Kurzbroschüren, die verwendet werden können und die wichtigsten Erst-Informationen erhalten, z. B. von der Gesellschaft für Datenschutz und Datensicherheit e.V. (https://www.gdd.de)
- Haben Sie alle Ihre Verträge auf die neuen Regelungen angepasst? Gibt es dabei ausreichend Informationen zum Datenschutz und wie gehen Sie damit um?
- Haben Sie mit allen Ihren Auftragsdatenverarbeitern Verträge abgeschlossen? Dann benötigen Sie ein Verzeichnis der Auftragsdatenverarbeiter. Auch dort gibt es Muster-Verzeichnisse.
- Haben Sie einen Datenschutzbeauftragten benannt und der Aufsichtsbehörde gegenüber gemeldet? Dieser kann intern oder extern sein. Ein Datenschutzbeauftragter ist nicht nur eine lästige Pflicht, sondern befreit das Management und die Führung von vielen Aufgaben und gibt Sicherheit. Er handelt unterstützend und beratend und im besten Fall lösungsorientiert.
- Haben Sie alle Einwilligungserklärungen von Bewohnern, Angehörigen, Mitarbeitern überprüft?
- Haben Sie Ihre Technisch-Organisatorische Maßnahmen (TOM) zur Einhaltung des Datenschutz-Grundverordnung (Beispiele: Zutritts-/Zugangs- und Zugriffskontrolle, Weitergabe-/Eingabe-/Auftrags- und Verfügbarkeitskontrolle, Trennungsgebot) überprüft und dokumentiert?
Knapp ein Jahr DSGVO – ein Fazit
Nach fast einem Jahr lässt sich sagen, dass die DSGVO nicht das Schreckgespenst ist, als was sie häufig dargestellt wird. Gerade die Aufsichtsbehörden haben bisher sehr massvoll gehandelt, und in der Zwischenzeit werden auch sehr viel kostenlose Materialien sowie Praxishilfen zur Verfügung gestellt. Aber es bliebt auch zu hoffen, dass bei Nichteinhaltung der Auflagen streng im Sinne der betroffenen Menschen – also wir alle – vorgegangen wird. Was nicht geht ist das Motto: ‚Jetzt warten wir mal ab, was passiert’. Es bleibt weiterhin zu raten, sich selbst und freiwillig mit der Umsetzung der DSGVO zu beschäftigen und nicht erst abzuwarten, bis die Aufsichtsbehörden aktiv werden und dazu auffordern.
Bleiben Sie also dabei (oder fangen gleich damit an) – Ihre Mitarbeiter, Angehörigen und Bewohner werden es Ihnen danken, wenn Sie sorgsam mit Ihren persönlichen Daten umgehen. Und nutzen Sie den Datenschutz, um Ihre Prozesse zu überprüfen und zu überdenken.
Dies kann zu Prozessoptimierungen führen und unterm Strich sogar zu Kosteneinsparungen, wenn man ‚alte Zöpfe’ abschneidet und z. B. das Prinzip der Datensparsamkeit konsequent umsetzt.
Kurzinfo
Foto: Huchler
Uwe Huchler, Diplomökonom Univ., ist selbständiger Analyst und Berater in der Gesundheits- und Sozialwirtschaft (www.uwehuchler.de) sowie Chefredakteur von www.social-software.de. Dort werden regelmäßig kostenlos Informationen zum ‚Datenschutz’ und zur ‚Digitalisierung’ veröffentlicht.
Als externer Datenschutzbeauftragter betreut er mehrere soziale Einrichtungen sowie Bildungseinrichtungen.
Kontakt: info@uwehuchler.de
Der Artikel ist in der Ausgabe 01/2019 zu finden.