Zurück zur Startseite

Zertifizierter Datenschutzbeauftragter
Fachkraft für Datenschutz in Marburg


Zertifizierter Datenschutzbeauftragter in Marburg, Datenschutz für Artzpraxen in Marburg, Datenschutz für Zahnärzte in Marburg, Datenschutz für Ärzte in Marburg, Datenschutz für Zahnarztpraxen in Marburg, Datenschutz für kleine Unternehmen in Marburg, Datenschutz für Handwerker in Marburg, Datenschutz in Marburg, Datenschutz in Lahntal, Niederweimar, Ebsdorfergrund, Cölbe, Kirchhain, Datenschutzbeauftragte in Marburg, Datenschutzbeauftragte in Hessen

Zurück zur Startseite






Datenschutzbeauftragter-Marburg.de  

 
   
Häufig gemachte Fehler im Bereich des DSGVO-konformen Datenschutzes

Nachdem im Frühjahr 2018 wegen des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) erstmals ein "Datenschutz-Hype" in den Medien aufkam und viele Kleinunternehmer, Artzpraxen, Zahnärzte, Vereine etc. im Internet oder bestenfalls bei der IHK oder ihrer Ärztekammer versucht haben, sich dazu schlau zu machen, kamen viele von ihnen zu dem Schluss, dass sie sich nicht sonderlich um das Thema Datenschutz kümmern müssen (zum Beispiel weil sie weniger als 10 Mitarbeiter/innen haben).

Das ist aber in jedem Fall ein Trugschluss!

Denn das Thema Datenschutz ist erstens nicht erst seit Inkrafttreten der DSGVO für ALLE Gewerbetreibenden relevant (es gab ja schließlich auch vorher schon das Bundesdatenschutzgesetz) und zweitens ist gerade in Bezug auf die DSGVO auch für kleine Unternehmen (und insbesondere für Artzpraxen, Zahnarztpraxen und Apotheken, die mit besonders sensiblen Gesundheitsdaten umgehen) unglaublich vieles zu beachten, wenn man alles richtig machen möchte und damit zudem Abmahnungen und ggf. hohe Strafen vermeiden will!

Dabei kursieren gerade im Internet sehr viele Gerüchte und gefährliche Halbwahrheiten und etwas zu tun, "weil es jetzt alle so machen", kann mitunter auch völlig falsch sein (das beste Beispiel dafür sind diverse Einwilligungen, die sich viele Arztpraxen jetzt unnötigerweise unterschreiben lassen)!

Ich darf und möchte hier keine Rechtsberatung machen und auch nicht in gesetzliche Details gehen, aber ein paar allgemeingültige Hinweise bzw. meine persönliche Meinung zu häufig gemachten Fehlern möchte ich dennoch auf dieser Seite Preis geben.

ACHTUNG, WICHTIG:
Ich reiße hier nur ein paar wesentliche Punkte des DSGVO-konformen Datenschutzes und damit verbundenen Fehlern, die häufig gemacht werden, ganz grob an! Bitte glauben Sie nicht, dass es genügt, das zu wissen (und umzusetzen), was Sie hier lesen!!!
Die DSGVO ist weitaus komplexer und man sollte bei allem, was mit Datenverarbeitung und Datenschutz zu tun hat, sehr genau Bescheid wissen, bevor man handelt. Das sogenannte "Halbwissen" kann hier in der Tat "gefährlich" sein!
Ich meine es wirklich ehrlich (und nicht bloß aus Marketing-Zwecken!!!), wenn ich empfehle, dass Sie einen geschulten (externen) Datenschutzbeauftragten bestellen sollten (das muss ja nicht ICH sein - sie können ja zum Beispiel auch intern eine/n interessierte/n Mitarbeiter/in schulen lassen) oder eine/n Anwältin/Anwalt (am besten aus dem Fachgebiet Datenschutzrecht, IT-Recht und/oder Medienrecht) zu Rate ziehen sollten!



Erwägungsgrund für die Datenverarbeitung

In Bezug auf eine DSGVO-konforme Datenverarbeitung ist zunächst wichtig zu wissen, aus welchen Erwägungsgründen man Daten verarbeiten darf. Das kann zum Beispiel durch die Erteilung einer Einwilligung der Fall sein. In den allermeisten gerwerblichen Fällen ist der wichtigste Erwägungsgrund, der das Verarbeiten von personenbezogenen Daten erlaubt, aber die Tatsache, dass die Daten zur Ausübung eines Vertrages (oder auch zur Anbahnung eines Vertrages) erforderlich sind.

Typischer "Fehler" in vielen Arztpraxen:
Arztpraxen bräuchten in den meisten Fällen (außer bei Selbstzahlung mit Abrechnung über ein Abrechnungsbüro) gar keine Einwilligung zur Datenverarbeitung von ihren Patienten, denn sie dürfen im Rahmen des Behandlungsvertrages (welcher nicht schriftlich sein muss) die Daten eh verarbeiten.
Und nun kommt es noch dicker: da DSGVO-konforme Einwilligungen jederzeit widerrufen werden können, hat man ein Problem, wenn ein Patient diese Einwilligung widerruft... Dann darf man die Daten nämlich eigentlich gar nicht mehr verarbeiten/speichern, hat dadurch automatisch einen Konflikt mit den gesetzlich vorgeschriebenen Aufbewahrungspflichten und darf den Patienten im Normalfall gar nicht mehr behandeln. Denn im Nachhinein kann man den Erwägungsgrund, warum man Daten speichert, nicht mehr einfach ändern (das ist jedenfalls die aktuell am meisten vertretene Rechtsauffassung der Fachanwälte). Hätte man sich gleich auf den Behandlungsvertrag berufen, gäbe es für den Patienten gar nichts zu widerrufen und man bräuchte sich über solche Konflikte (und somit über diesbezügliche Abmahnungen und Strafen) gar keine Gedanken machen.

Vor allem aber: sollten Sie jemals etwas an Ihren Datenschutzhinweisen ändern (und davon ist auszugehen, da sich schon alleine durch die Rechtssprechung und Änderung der DSGVO immer mal etwas ändern wird), so müssen Sie von ALLEN Patienten eine NEUE Einwilligung einholen! Das können Sie verhindern, wenn Sie sich gar keine Einwilligung geben lassen, sondern sich auf den Behandlungsvertrag berufen.


Ich würde daher dringend empfehlen, sich für Arztpraxen, in der besonders sensible medizinische Daten verarbeitet werden, von einem Fachanwalt beraten zu lassen oder auch dann einen externen Datenschutzbeauftragten zu bestellen, wenn es gar nicht unbedingt erforderlich wäre.

Typischer "Fehler" in Webshops und auf Internetseiten:
Das Thema "Einwilligung" ist auch bei vielen Webshops und in Kontaktformularen auf Internetseiten ein großes Problem. Auch hier gilt: Einwilligungen sind sehr oft gar nicht nötig, da man die Daten meist eh verarbeiten darf, um einen Vertrag oder eine Vertragsanbahnung zu erfüllen (ich rede hier NUR vom Datenschutz, nicht von AGB und Widerrufsrecht!). Lässt man sich bei einer Online-Bestellung zum Beispiel separat genehmigen, dass sie Daten verarbeitet werden und widerruft der Kunde später die Einwilligung (was er jederzeit darf), kann der ganze Kaufvertrag platzen, weil sie die Daten des Kunden gar nicht verarbeiten dürfen, also nicht mal seine E-Mail-Adresse speichern dürften, um ihm mitzuteilen, dass sie ihm die Ware nun gar nicht mehr schicken können, weil sie ja auch seine Adresse sofort löschen mussten... ;-)

Es macht also Sinn, sich vor einer eventuellen Datenverarbeitung zunächst zu überlegen, ob wirklich eine Einwilligung erforderlich ist oder ob nicht einer der anderen Erwägungsgründe des Art. 6, Abs. 1 DSGVO zum Tragen kommt. Schon hierfür kann es durchaus sinnvoll sein, einen (externen) Datenschutzbeauftragten zu bestellen, der sich damit auskennt und Sie entsprechend beraten kann, oder sich an einen versierten Juristen zu wenden.



Hinweispflicht

Typische "Fehler" beim Informieren der Kunden/Patienten:
Während man bei Banken, Apotheken etc. als Kundin/Kunde inzwischen oft ein riesiges Pamphlet mit ausführlichen Datenschutzhinweisen in die Hand gedrückt bekommt, haben viele kleinere Unternehmen offensichtlich noch nicht verstanden, dass jede Person, von der Daten verarbeiten werden, bereits zum Zeitpunkt der Datenverarbeitung darüber informiert werden muss.
Das kann streng genommen zum Beispiel sogar schon dann gelten, wenn Ihnen jemand seinen Namen und seine Rufnummer auf den Anrufbeantworter spricht und sie diese "verarbeiten" (natürlich immer nur im gewerblichen Bereich). Deswegen bieten Unternehmen, die den Datenschutz ernst nehmen und es absolut richtig machen wollen, zum Beispiel per Bandansage zunächst den Hinweis an, wo die Datenschutzhinweise zu finden sind. Es ist nämlich ein sogenannter "Medienbruch" erlaubt - man muss also nicht unbedingt die Datenschutzhinweise vorlesen, sondern kann auch sagen, wo sie zu finden sind.
ABER: wenn irgend möglich, sollten die betroffenen Personen DIREKT auf die Datenverarbeitung inklusive der rechtlich vorgegebenen Hinweise hingewiesen werden. Es genügt nicht, zum Beispiel nur einen Aushang im Wartezimmer zu machen!!! Das scheint sich in Arztpraxen so eingebürgert zu haben und vielleicht wird die Rechtssprechung dies künftig als ausreichend ansehen, aber bei strenger Auslegungung der DSGVO reicht dies nicht aus.


Und hierbei geht es auch nicht um die gleichen Datenschutzhinweise, die auf Ihrer Webseite (hoffentlich) zu finden sind, sondern eher um so eine Art allgmeine Datenschutzgrundsätze Ihres Unternehmens.
Auch diesbezüglich sollten Sie sich, wenn Sie unsicher sind, unbedingt von einer/einem Fachanwältin/-anwalt beraten lassen oder eine/n (externe/n) Datenschutzbeauftragte/n bestellen!




Und so gibt es unzählige andere Dinge, die man bei der Umsetzung des Datenschutzes falsch machen kann und die man auch gar nicht wissen kann, wenn man diesbezüglich nicht eingehend geschult wurde.

Welcher Laie soll denn auch wissen, welche genauen rechtlichen Vorgaben einzuhalten sind, wenn man zum Beispiel die Anfrage eines Kunden beantwortet, welche Daten von ihm gespeichert sind? Dabei könnte eine solche Anfrage aber durchaus auch nur gestellt werden, weil der Kunde tatsächlich bewusst vor hat, "Ärger" zu machen... Und gerade DESHALB sollte man eben wissen, dass es NICHT ausreichen würde, dem Kunden einfach nur mitzuteilen, welche seiner Daten warum gespeichert wurden - obwohl das doch eigentlich so einfach klingt.

Daher würde ich den meisten Unternehmen, Arztpraxen, Vereinen etc. wirklich ernsthaft empfehlen, einen Datenschutzbeauftragten zu bestellen (entweder in dem Sie eine/n Mitarbeiter/in schulen lassen oder eine/n externe/n Datenschutzbeauftragte/n engagieren) oder sich von einer/einem Anwätin/Anwalt beraten zu lassen!








.

.





E-Mail: mail@datenschutzbeauftragter-marburg.de  (auf Wunsch auch verschlüsselt) Telefon: (0 64 21) 9 17 55 82

  Impressum Datenschutzhinweise für diese Webseite

Als zertifizierter Datenschutzbeauftragter darf ich Sie (nach Benennung!) gem. Art. 37 - 39 DSGVO zum
Thema Datenschutz beraten, unterstützen und prüfen, jedoch darf ich keine Rechtsberatung durchführen.
Wenden Sie sich bei sehr rechtsspezifischen Detailfragen daher bitte an eine/n Fachanwältin/-anwalt.

   (c) Prunk Media | Manfred Hilberger

.

.
.