Datenschutz in der Pflege E-Book

Thomas Althammer (Hrsg.)

Datenschutz in der Pflege

Sicher und pragmatisch umsetzen nach DSGVO

unter Mitarbeit von Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock

Sämtliche Angaben und Darstellungen in diesem Buch entsprechen dem aktuellen Stand des Wissens und sind bestmöglich aufbereitet.

Der Verlag und der Autor können jedoch trotzdem keine Haftung für Schäden übernehmen, die im Zusammenhang mit Inhalten dieses Buches entstehen.

© VINCENTZ NETWORK, Hannover 2019

Besuchen Sie uns im Internet: www.altenheim.net

Das Werk ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für die Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Gebrauchsnamen, Warenbezeichnungen und Handelsnamen in diesem Buch berechtigt nicht zu der Annahme, dass solche Namen ohne Weiteres von jedermann benutzt werden dürfen. Vielmehr handelt es sich häufig um geschützte, eingetragene Warenzeichen.

Foto Titelseite: AdobeStock, lassedesignen

Satz: Heidrun Herschel, Wunstorf

E-Book-Herstellung und Auslieferung: readbox publishing, Dortmund, www.readbox.net

E-Book 978-3-7486-0109-8

Thomas Althammer (Hrsg.)

Datenschutz in der Pflege

Sicher und pragmatisch umsetzen nach DSGVO

unter Mitarbeit von Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock

VINCENTZ NETWORK

Inhalt

Vorwort

Zur Verwendung des Buchs

Am 25.05.2018 wurde in Europa eine neue Ära im Datenschutz eingeläutet. Die Datenschutz-Grundverordnung (DSGVO) hat weltumspannende Aufmerksamkeit und hitzige Debatten mit sich gebracht. In Deutschland gab es auch vorher schon strenge Auflagen, die jedoch häufig nicht ausreichend in der Praxis umgesetzt wurden. Durch Einführung der DSGVO und der neuen Gesetze zum Datenschutz in den Kirchen hat sich hier einiges getan.

In Zeiten von Big Data, Digitalisierung und Diskussionen rund um „künstliche Intelligenz“ trat die DSGVO gerade im richtigen Moment in Kraft. Daten sind gerade nicht das Öl des 21. Jahrhunderts, auch wenn es oft anders dargestellt wird. Es geht vielmehr um unsere Persönlichkeitsrechte, um die Grundfeste der Demokratie und weniger um personenbezogene Daten als Ware. Denn im Gegensatz zu Rohstoffen und Erzeugnissen lassen sich Daten beliebig vervielfältigen und verteilen.

Das verlangt nach einer angemessenen Regulierung zum Schutz von Persönlichkeitsrechten eines jeden Einzelnen. Doch wie lassen sich die komplexen Vorgaben in der Praxis adäquat umsetzen? Welche Auswirkungen hat die DS-GVO auf Dienste und Einrichtungen zur Pflege und Betreuung von Menschen?

Mit diesem Buch geben wir Ihnen einen Praxisratgeber an die Hand, mit dem Sie die komplexen Vorgaben für Ihre Einrichtung angemessen und pragmatisch umsetzen können. Dabei haben wir ganz bewusst einen anderen Aufbau gewählt, als dies üblicherweise in Fachbüchern zum Datenschutz der Fall ist.

Blättern Sie also ruhig weiter und starten Sie direkt mit unseren Leitfäden, um – nach Priorität geordnet – die notwendigen Dinge für Ihr Unternehmen auf den Weg zu bringen. Im weiteren Verlauf stellen wir die Inhalte für die Datenschutzdokumentation, den Umgang mit IT-Systemen und im letzten Kapitel die rechtlichen Hintergründe im Detail vor. Als Ergänzung haben wir viele Vorlagen und Unterlagen zusammengestellt, die als Download zur Verfügung stehen. Je nach Rechtsform und Trägerschaft gelten unterschiedliche Gesetze im Datenschutz. Für private und öffentliche Einrichtungen sind die Vorgaben der Datenschutz-Grundverordnung (DSGVO) anzuwenden. Einrichtungen und Pflegedienste mit Mitgliedschaft in einem diakonischen Werk haben das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) zu beachten. Im Umfeld der Caritas gilt das Gesetz über den Kirchlichen Datenschutz (KDG) und die Kirchliche Datenschutzgerichtsordnung (KDSGO). Dieses Buch wendet sich an alle Einrichtungen und Dienste im Bereich Pflege. Daher haben wir, wenn möglich, auf alle drei Gesetze Bezug genommen.

Ganz herzlich danken möchte ich meinem Autorenteam Daniela Hörnicke, Simon Lang, Julian Lang und Kristin Bock, die mit ihren Beiträgen zum Gelingen dieses Buches beigetragen haben. Dieser Dank gilt auch unseren Familien und Partnern für ihre Geduld und Unterstützung in den vergangenen Monaten.

Hannover im Februar 2019Thomas Althammer

P.S. Ihr Feedback ist uns ein wichtiges Anliegen. Für Ihre Anregungen, Lob und Kritik erreichen Sie uns unter [email protected]. Herzlichen Dank!

Unter der Überschrift „Weitere Informationen“ finden Sie unter anderem hilfreiches Material wie etwa bestimmte Vorlagen. Immer, wenn dort keine Internetadresse direkt genannt wird, finden Sie diese Materialien in einem speziellen Downloadbereich zu diesem Buch auf folgender Seite:

http://www.altenheim.net/Produkte/Downloads-zu-Buechern

In diesem Buch wird zugunsten der besseren Lesbarkeit auf die Nennung der weiblichen Schreibformen verzichtet.

Kapitel 1 // Vorgaben umsetzen

Die wichtigsten Vorgaben auf einen Blick

Die folgenden Seiten führen Sie in Form von Leitfäden durch die wichtigen Aufgaben im Datenschutz aus Sicht einer Einrichtung bzw. eines Pflegedienstes in der Altenpflege.

Sie erhalten zu jedem Thema eine kurze Übersicht mit Hintergrundwissen und Auszügen aus den relevanten gesetzlichen Grundlagen, eine Checkliste anhand derer Sie Ihren Stand zum Thema selbst überprüfen können, sowie Vorlagen und Hinweise zu weiteren Materialien und Informationen.

Mit den folgenden Leitfäden möchten wir Ihnen risikoorientiert die wichtigten Aufgaben im Datenschutz für Ihre Organisation an die Hand geben:

1. Datenschutzbeauftragter

2. Webseite und Social Media

3. Datenschutzrichtlinie

4. Sensibilisierung Mitarbeitende

5. Informationspflichten

6. Verzeichnis von Verarbeitungstätigkeiten

7. Technische und organisatorische Maßnahmen

8. Auftragsverarbeitung

9. Bildrechte

10. Videoüberwachung

11. Datenpanne

12. Betroffenenrechte

13. Datenschutz-Folgenabschätzung

1.   Datenschutzbeauftragter

Auf einen Blick

– In vielen Fällen muss ein Datenschutzbeauftragter benannt werden.

– Aufgaben, Funktionen und Fachkunde des Datenschutzbeauftragten sind gesetzlich definiert.

– Der Datenschutzbeauftragte muss an die Aufsichtsbehörde gemeldet werden.

Worum geht es?

Unternehmen, in denen regelmäßig mindestens zehn Beschäftigte personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten (DSB) benennen.

Ein DSB ist bei bestimmten Verarbeitungstätigkeiten auch unabhängig von der Beschäftigtenzahl zu benennen. Hierzu gehören z. B.

– Markt- und Meinungsforschung

– Verarbeitungen die einer Datenschutz-Folgenabschätzung unterliegen

– Umfangreiche Verarbeitungen besonderer Arten von Daten

Wenn kein DSB benannt ist, werden die Aufgaben von der Geschäftsführung übernommen.

Warum ist das wichtig?

Der Datenschutzbeauftragte berät Geschäftsführung und Mitarbeitend. h. nsichtlich ihrer Pflichten aus den geltenden Datenschutzgesetzen und anderer Datenschutzvorschriften. Er überwacht und prüft die im Unternehmen durchgeführten Verarbeitungen personenbezogener Daten.

Weiter führt er Sensibilisierungsmaßnahmen durch und unterstützt bei der Umsetzung datenschutzrelevanter Maßnahmen. Ein DSB unterliegt der Verschwiegenheit und ist in seiner Tätigkeit weisungsfrei.

Der Datenschutzbeauftragte ist an die zuständige Aufsichtsbehörde zu melden.

Welche Möglichkeiten gibt es?

Ein Unternehmen kann einen Beschäftigten zum Datenschutzbeauftragten benennen. Hierbei ist aber darauf zu achten, dass es zu keinem Interessenskonflikt kommt.

Folgende Funktionen scheiden deshalb regelmäßig aus

– Mitglieder der Geschäftsführung, Inhaber

– Beschäftigte der IT-Abteilung

– Beschäftigte der Personalabteilung

Datenschutzbeauftragte haben einen besonderen Kündigungsschutz und müssen sich regelmäßig fortbilden. Eine Alternative zur Benennung eines internen DSB ist die Benennung eines externen Datenschutzbeauftragten.

Aus dem Gesetz

§  38 BDSG

(1) Ergänzend (…) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung (…) unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Vergleichbare Vorgaben finden sich unter §§ 36 ff. DSG-EKD und §§ 36 ff. KDG.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– Vorlage Benennung Datenschutzbeauftragter

– DSK-Kurzpapier Nr. 12 – Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern (https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf (letzter Abruf 12.12.2018))

– Leitlinie der Artikel 29 Gruppe zur Benennung des DSB (https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp243_rev01.pdf (letzter Abruf 17.12.2018))

2.   Webseite und Social Media

Auf einen Blick

– Ein vollständiges Impressum schützt vor Abmahnungen.

– Die Datenschutzerklärung muss transparent und leicht zu erreichen sein.

– Vergleichbare Vorgaben sind für Seiten auf Social Media-Diensten zu beachten.

Worum geht es?

Unternehmen müssen auf ihren Internetpräsenzen ein Impressum und eine Datenschutzerklärung haben, um Besucher der Seite zu informieren und über ihre Rechte aufzuklären.

Außerdem sollte man sich als Unternehmen darüber im Klaren sein, welche Technologien man auf seiner Webseite einsetzt, um diese beurteilen zu können. Das Tracking von Besuchern spielt dabei eine besondere Rolle (Analyse der Besucherströme und des Klick-Verhaltens auf einer Website).

Besonders zu beachten sind hierbei auch sogenannte Fanpages, z. B. bei Facebook, ein YouTube-Kanal, eine Verkäuferseite auf eBay oder ein gewerbliches Verkäuferprofil bei Amazon.

Warum ist das wichtig?

Vollständige Angaben sind gesetzlich vorgeschrieben und verringern das Risiko, abgemahnt zu werden.

Die deutschen Datenschutzaufsichtsbehörden haben im April 2018 beschlossen, dass Tracking nur noch mit Einwilligung des Nutzers möglich sein soll.

Welche Möglichkeiten gibt es?

Unrechtmäßige Verarbeitungen sollten abgeschaltet werden.

Werden mehrere Seiten betrieben, für die das gleiche Impressum und die gleiche Datenschutzerklärung gelten, bietet es sich an, die Daten an einer Stelle zentral zu pflegen und auf diese zu verlinken.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– Vorlage Datenschutzerklärung

– Vorlage Impressum

– DSK-Entschließung zu Facebook vom 6. Juni 2018) https://www.datenschutzkonferenz-online.de/media/en/20180605_en_fb_fanpages.pdf (letzter Abruf 17.12.2018))

3. Datenschutzrichtlinie

Auf einen Blick

– Die Datenschutzrichtlinie gibt dem Unternehmen und den Mitarbeitenden einen klaren Handlungsrahmen.

– Bei der Erfüllung der Rechenschaftspflichten ist die Datenschutzrichtlinie sehr hilfreich.

Worum geht es?

Unternehmen und Verbände stehen vor vielen Aufgaben bei der Umsetzung der weitreichenden Vorgaben der DSGVO bzw. entsprechender Kirchengesetze.

Hierfür sollte ein „geordneter Prozess“ implementiert werden, um den gesetzlichen Vorgaben nachzukommen und um haftungs- und sanktionsrechtlich einen Fahrlässigkeitsvorwurf abweisen zu können. Solche „geordneten Prozesse“ werden häufig als Qualitätsmanagement bzw. Management-Systeme bezeichnet.

Eine Datenschutzrichtlinie oder ein Datenschutzhandbuch unterstützen das Unternehmen bei der Einhaltung und Sicherstellung der Qualität und geben den Mitarbeitenden einen Handlungsrahmen.

Warum ist das wichtig?

Eine vergleichsweise knapp formulierte Vorschrift der Datenschutz-Grundverordnung hat es besonders in sich, die sogenannte „Rechenschaftspflicht“. Dabei müssen Verantwortliche den Datenschutz nicht nur einhalten, sondern dies auch nachweisen können (Art. 5 DSGVO bzw. § 5 DSG-EKD und § 7 KDG).

Dadurch ergibt sich eine Beweispflicht, teils sogar eine Umkehr der Beweislast gegenüber der bisherigen Rechtslage.

Die Vorgaben werden in Art. 24 Abs. 1 DSGVO präzisiert, in dem Verantwortliche „angemessene technische und organisatorische Maßnahmen“ treffen müssen, um die Einhaltung der DSGVO sicherzustellen und um hierfür auch den Nachweis erbringen zu können.

Die Nichterfüllung der Rechenschaftspflicht kann zu Bußgeldern führen.

Welche Möglichkeiten gibt es?

Die relevanten Themen sollten im Rahmen einer Richtlinie geregelt werden.

Ein bewährtes Set von Richtlinien in einem Datenschutzmanagementsystem (DSMS) beinhaltet z. B. folgende Dokumente:

– Leitlinie zu Datenschutz und Informationssicherheit

– Richtlinie zum Datenschutz (für Beschäftigte)

– Richtlinie zur Umsetzung von Datenschutzmaßnahmen

– Richtlinie für die Umsetzung von Betroffenenrechten

– IT-Richtlinie für Nutzer

– Richtlinie für die Nutzung mobiler IT-Systeme

– Richtlinie für die Nutzung mobiler Datenträger

– Richtlinie für Sicherheitsvorfälle – Notfallplan

Aus dem Gesetz

Art. 24 DSGVO (Auszug)

(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

Vergleichbare Vorgaben finden sich unter §§ 27 DSG-EKD und §§ 26 KDG.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– Vorlage Datenschutzrichtlinie

– Vorlage Vertraulichkeitsverpflichtung/Datengeheimnis

4.   Sensibilisierung Mitarbeitende

Auf einen Blick

– Die Sensibilisierung der Mitarbeitenden ist eine essenzielle Aufgabe zur Erfüllung der Rechenschaftspflichten.

– Es gibt verschiedene Möglichkeiten der Sensibilisierung wie z. B. Präsenzschulungen, E-Learning, Merkblatt.

– Zusätzlich sind alle Mitarbeitenden auf die Vertraulichkeit bzw. das Datengeheimnis zu verpflichten.

Worum geht es?

Mitarbeitende, die mit personenbezogenen Daten arbeiten oder in Kontakt kommen, sollen auf die Vertraulichkeit verpflichtet und mit den ihren Tätigkeitsbereich betreffenden Datenschutzregeln vertraut gemacht werden, um diese anwenden und einhalten zu können. Im Bereich der Kirchengesetze ist neben der allgemein gegebenen Vertraulichkeit das „Datengeheimnis“ zu beachten.

Warum ist das wichtig?

Nur wenn Regeln und Gesetze bekannt sind, können diese eingehalten werden. Zugleich erfüllt das Unternehmen durch Sensibilisierung und Verpflichtung seine Rechenschaftspflichten aus Art. 5 DSGVO.

Welche Möglichkeiten gibt es?

Die Datenschutz-Grundverordnung macht hierzu keine konkreten Vorschriften. Das DSG-EKD und das KDG schreiben eine schriftliche Verpflichtung auf das Datengeheimnis vor.

Folgendes Vorgehen hat sich bewährt

– Die Verpflichtung auf die Vertraulichkeit sollte bereits bei der Einstellung durch ein entsprechendes Formular durchgeführt werden.

– Es empfiehlt sich, Mitarbeitenden ergänzend ein Merkblatt mit Hinweisen zum Datenschutz zu übergeben, kombiniert mit einer persönlichen Erläuterung oder einem E-Learning-Modul.

Aus dem Gesetz

Art. 32 Abs. 4 DSGVO

Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Noch konkreter ist das Datengeheimnis in § 26 DSG-EKD und § 5 KDG formuliert.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– DSK-Kurzpapier Nr. 19 – Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DSGVO

– Bezugshinweise zu Merkblättern und E-Learning-Angeboten

5.   Informationspflichten

Auf einen Blick

– Unternehmen müssen Betroffene schon bei der Erhebung personenbezogener Daten transparent informieren.

– Zu den Betroffenen zählen z. B. Mitarbeitende, Bewerber, Kunden und Interessenten eines Unternehmens.

– Art und Umfang der Informationspflichten sind gesetzlich vorgegeben. Alle Prozesse mit personenbezogenen Daten müssen berücksichtigt werden.

Worum geht es?

Betroffene Personen sollen über die mit ihren Daten durchgeführten Verarbeitungen aufgeklärt und informiert werden. Dies soll transparent und in einer einfachen Sprache geschehen.

Die Informationen müssen nicht bereitgestellt werden, wenn sie der betroffenen Person bereits vorliegen, wenn also anzunehmen ist, dass ein typischer, durchschnittlich verständiger Teilnehmer am Rechtsverkehr über diese Informationen verfügt.

Im Bereich des DSG-EKD sind Informationspflichten nur auf Verlangen des Betroffenen zu erfüllen.

Warum ist das wichtig?

Betroffene können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch nur wahrnehmen, wenn sie darüber informiert sind, wer welche Daten verarbeitet, an wen weitergibt und wann löscht.

Welche Möglichkeiten gibt es?

Zum einen können Informationsblätter erstellt werden, die Betroffenen überreicht bzw. als Anlage zu einem Vertrag gegeben werden.

Eine weitere Möglichkeit ist die elektronische Information – also der Hinweis an den Betroffenen, an welcher Stelle die entsprechenden Informationen zur Verfügung gestellt werden.

Aus dem Gesetz

Art. 13 DSGVO

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Weitere Informationspflichten sind in Art. 14 DSGVO geregelt. In den Kirchengesetzen finden sich vergleichbare – leicht abgemilderte – Regelungen in §§ 17 f. DSG-EKD und §§ 15 f. KDG.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– Vorlage Information für Mitarbeitende

– Vorlage Information für Kunden

– Vorlage Information für Bewerber

– DSK-Kurzpapier Nr. 10 – Informationspflichten bei Dritt- und Direkterhebung (https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_10.pdf (letzter Abruf 17.12.2018))

6.   Verzeichnis von Verarbeitungstätigkeiten

Auf einen Blick

– Alle Vorgänge im Umgang mit personenbezogenen Daten sind in einer Verarbeitungsübersicht mit Zweck, Gesetzesgrundlage und weiteren Details zu dokumentieren.

– Die Verarbeitungsübersicht hilft bei vielen Datenschutzpflichten wie bspw. Auskunftsersuchen und Informationspflichten weiter.

– Eine vollständige Verarbeitungsübersicht kann dem Unternehmen helfen, unstrukturierte Prozesse zu erkennen und Maßnahmen zur IT-Sicherheit zu verbessern.

Worum geht es?

Das Verzeichnis der Verarbeitungstätigkeiten dient dazu, die Prozesse des Unternehmens zu dokumentieren, in denen personenbezogene Daten verarbeitet werden. In Art. 30 DSGVO sind die Mindestinhalte definiert.

Das Gesetz macht keine Angaben dazu, in welcher Form das Verzeichnis zu führen ist. Es gibt Erleichterungen für Unternehmen mit weniger als 250 Beschäftigten, sofern keine besonderen Datenkategorien verarbeitet werden und die Verarbeitung kein Risiko für die Rechte und Freiheiten von Betroffenen birgt. In der Pflege ist häufig auch für kleine Unternehmen ein Verzeichnis zu führen.

Warum ist das wichtig?

Die Dokumentation muss auf Verlangen der Aufsichtsbehörde vorgelegt werden. Wenn diese Aufstellung fehlt oder unvollständig ist, kann das zu Bußgeldern führen.

Zum anderen hilft es dem Unternehmen selbst, den Fachabteilungen, den Mitarbeitenden und dem Datenschutzbeauftragten, die Rechtmäßigkeit der Verarbeitungen zu beurteilen.

Wobei hilft es dem Unternehmen?

Wenn das Verzeichnis erstellt ist, hat man automatisch die Informationen verfügbar, die zur Erfüllung der Informationspflichten, der Beantwortung von Auskunftsersuchen und im Fall einer Datenpanne zur Risikoabschätzung notwendig sind.

Außerdem hilft es auch dabei, Verarbeitungen aufzuspüren, die überflüssig (geworden) sind und somit Arbeitsabläufe zu vereinfachen. Anhand des Verzeichnisses können diejenigen Prozesse und Verarbeitungen leichter identifiziert werden, die im Rahmen einer Datenschutz-Folgenabschätzung besonders betrachtet werden müssen.

Aus dem Gesetz

Anforderungen nach Art. 30 DSGVO

Die Regelungen in den Kirchengesetzen finden sich in § 31 DSG-EKD und § 31 KDG.

  KURZ-CHECK – AN ALLES GEDACHT?

Weitere Informationen

– Vorlage Erhebungsbogen Verzeichnis von Verarbeitungstätigkeiten

– Vorlage Verzeichnis von Verarbeitungstätigkeiten mit Beispieleinträgen

– DSK-Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten –

– Art. 30 DS-GVO (https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf (letzter Abruf 17.12.2018))

7.   Technische und organisatorische Maßnahmen

Auf einen Blick

– Zum Schutz personenbezogener Daten müssen angemessene technische und organisatorische Maßnahmen getroffen und dokumentiert werden.

–