150 150 BFS

DSGVO: Die Datenschutzgrundverordnung

Ein aktueller Einblick

Am 25. Mai 2018 ist die EU-Datenschutzgrundverordnung in Kraft getreten und sorgte für jede Menge Aufregung. Mittlerweile ist es deutlich ruhiger geworden. Was hat sich seitdem geändert? Die befürchtete „Abmahnwelle“ ist jedenfalls ausgeblieben.

Haben Sie in der Praxis alle relevanten Prozesse angepasst?

Die Informationspflichten sind zum festen Bestandteil des Datenschutzrechts geworden. Mithilfe der in Artikel 13 und 14 DSGVO aufgeführten Informationen soll für die von der Datenverarbeitung betroffenen Personen eine angemessene Transparenz gewährleistet werden. Hierbei wird unterschieden, ob die Erhebung der Daten direkt bei dem Betroffenen erfolgt (Art. 13 DSGVO) oder nicht direkt bei der betroffenen Person (Art. 14 DSGVO), in diesem Fall muss zusätzlich angegeben werden, aus welcher Quelle die personenbezogenen Daten stammen. Die Informationen müssen schriftlich oder in elektronischer Form übermittelt und nachgewiesen werden.

Achten Sie in diesem Zuge auch auf die Datenschutzerklärung auf Ihrer Website. Auch hier müssen der betroffenen Person, die Ihre Website besucht, entsprechende Informationen zum Datenschutz zur Verfügung gestellt werden.

Unverzichtbar sind außerdem die Themen Berechtigungs- und Löschkonzept. Die Konzepte sollten in jedem Fall schriftlich vorliegen um einen entsprechenden Nachweis gewährleisten zu können. Regelmäßige Löschroutinen gehen u.a. mit dem Grundsatz der Datensparsamkeit einher. Über Berechtigungsregelungen wird festgehalten, welche Rechte die Mitarbeiter im Rahmen ihrer Funktion innehaben.

Wurden bereits Bußgelder verhangen?

Das erste Bußgeld wurde von einer Aufsichtsbehörde in Portugal verhangen. Hier musste ein Krankenhaus 400.000 € zahlen, weil in der betroffenen Klinik kein funktionierendes Rechte- und Rollenkonzept vorlag. Im Detail gab es circa 1 000 Ärzte-Accounts mit vollumfänglichen Zugriffsrechten, jedoch nur etwa 300 Ärzte.

In Deutschland lagen nahezu alle verhängten Bußgelder unter 10.000 €. Eine Zwei-Personen-Firma beispielsweise hatte mit ihrem Dienstleister keinen Auftragsverarbeitungsvertrag geschlossen und musste deshalb ein Bußgeld in Höhe von 5.000 € zahlen.

Die Frage, die sich nun viele stellen: War es das schon? Die Antwort: Mit hoher Wahrscheinlichkeit nicht, denn nach der Phase der Beratung sind noch immer Prüfungen seitens der Aufsichtsbehörden angekündigt.

Haben Sie weitere Fragen zum Thema Datenschutz? Melden Sie sich gerne unter bei uns.

Über die Autorin

Mandy Strothotte
Datenschutzbeauftragte
BFS health finance GmbH