Datenschutznovelle II: Die Auswirkungen für Altenheime und Pflegeeinrichtungen

Datenschutznovelle II

Die Auswirkungen für Pflegeeinrichtungen

Thomas Althammer, 22. Mai 2012

Altenheim-Rechtstag - Vincentz Network

2 © Althammer IT-Beratung

Entwicklung von Datenschutzauflagen

Datenschutz-Auflagen werden sich

verschärfen 86,0%

Datenschutz-Auflagen werden sich

nicht verschärfen 14,0%

Meinung von Leitungskräften zur Entwicklung von Datenschutzauflagen in der Zukunft (n=207)

Quelle: Studie „Mehr schlecht als Recht“, März 2012


Ergebnis Umfrage Datenschutzbeauftragter

6,2%

14,3%

27,5%

51,9%

weiß nicht

nein

ja, extern

ja, intern


Angaben zur Benennung eines Datenschutzbeauftragten in der Einrichtung (n=258)


Ergebnis Umfrage Datenschutzkontrollen

13,0%

84,0%

1,3% (3 Fälle)

1,7% (4 Fälle)

weiß nicht

noch keine Überprüfung

Überprüfung vor Ort

Schriftliche Anfragen

Stand der externen Kontrollen in Pflegeeinrichtungen durch Aufsichtsbehörden (n=231)



Agenda

> Warum Datenschutz?

> Neuerungen beim Datenschutz – die Novelle II • Adresshandel und Werbung (§28 Abs. 1-5 BDSG)

• Beschäftigtendatenschutz (§32 BDSG)

• Informationspflicht bei Datenschutzverstößen (§42a BDSG)

• Gestärkte Datenschutzkontrolle (§4f Abs. 3 und §38 Abs. 5 BDSG)

> Ausblick • Orientierungshilfe KIS?

• EU-Datenschutzverordnung


Warum Datenschutz?

> Beispiel Hamburg, 30.03.2012

• Sensible Unterlagen falsch entsorgt

• Etliche Patientenakten landen im Sperrmüll

> Konsequenzen?

• Keine rechtlichen Schritte

• Immaterieller Schaden: Berichterstattung in der Presse (taz, Abendblatt)


Datenschutz-Probleme 2.0

> Patientendaten bei Facebook

• 2011 tauchten verstärkt Daten in sozialen Netzwerken auf

• Ursache Adressbuch-Import – „Freunde-Finder“

> Rendsburg, 04.11.2011

• Datenleck bei mehreren sozialen Diensten

• Pflegedokumentation selbst nicht, aber viele sensible Dokumente waren frei zugänglich


Ungeahnte Offenheit

> Datenschleuder Smartphone

• 20% der iPhone-Apps greifen auf das Adressbuch zu

• Teilweise werden ganze Telefonbücher „verschickt“ – Beispiel „WhatsApp“ oder Werbenetzwerke

> Konsequenzen?

• Möglicher Datenverlust, ungewollte Übertragung

• Verstoß gegen Bundesdatenschutzgesetz (Auftragsdatenverarbeitung?, Drittstaaten?)

Geänderte Auflagen – die Novelle II in der Praxis


Adresshandel und Werbung (§ 28 Abs. 1-5 BDSG)

> Datennutzung zu Werbezwecken stark eingeschränkt

• Zwecke der Datenerhebung sind konkret festzulegen (Abs. 1)

> Briefwerbung zulässig für

• Bestandskunden (Listendaten + Zuspeicherung)

• Allgemein zugängliche Verzeichnisse

• B2B oder Spendenwerbung


Telefon-/E-Mail-Werbung (§ 7 UWG)

> Werbung per Telefon, E-Mail oder Fax an Verbraucher

• Vorherige ausdrückliche Einwilligung nötig

• Bei Verstoß Bußgelder bis 50.000 EUR

• Rufnummernunterdrückung

> Einwilligung bedarf in der Regel der Schriftform

• Drucktechnisch hervorzuheben

• Alternativ schriftliche Bestätigung bei fehlender Schriftform


Empfehlung zum Belegungsmanagement

> Datenschutzkonforme Verfahrensweise

• Bei Mittler/Multiplikatoren (B2B) gilt mutmaßliche Einwilligung

• Interessenten und Angehörige: Einwilligungserklärung unterschreiben lassen

• Erläuterungen zur Datenschutzerklärung (Zwecke angeben)

• Separate „Kreuzchen“ für Brief, Telefon, E-Mail

> Übergangsfrist 31.08.2012

• Vorhandene Datenbanken prüfen, nachträgliche Einwilligung einholen!


Beschäftigtendatenschutz (§32 BDSG)

> Mit Datenschutznovelle II in 2009 gestärkt

• Datenerhebung zum Beschäftigtenverhältnis definiert

• Enge Grenzen bei Verdacht auf Diebstahl oder Korruption (Videoüberwachung?)

• „Großer Wurf“ zum Beschäftigtendatenschutz noch in Vorbereitung

> Umgang mit Bewerberdaten

• Speicherung zulässig nach §32 BDSG bis Stelle besetzt ist

• 2-4 Monate Aufbewahrung nach Auswahl ( AGG-Ansprüche!)

• Aufbewahrung bis Ende Rechtsstreit bei anhängiger Klage


Umgang mit Bewerberdaten

> Interne Richtlinien definieren

• Problembereich E-Mail-Konten/lokale Archivierung

• Werden die Daten überall und vollständig gelöscht?

> Aufbewahrung für zukünftige Ausschreibungen

• Explizite Einwilligung einholen (Opt-in)


Informationspflichten (§42a BDSG)

> Datenschutzpannen bei

• Übermittlung (Weitergabe oder Verlust) oder

• unrechtmäßige Kenntniserlangung (Einsicht oder Abruf)

> Betrifft folgende Arten

• Personenbezogene Daten oder ein Berufsgeheimnis betreffend

• Telemediengesetz (§ 15a TMG: Internet-/E-Mail-Nutzung)

• Telekommunikationsgesetz (§93 Abs. 3 TKG: Telefonnutzung)


Konsequenzen und Praxisbeispiel

> Unverzügliche Mitteilung

• Information an Betroffene

• Alternativ bundesweite Inserate ;-)

• Bußgelder bis 300.000 EUR

> Problemfelder in der Pflege

• Wartung von Hard- und Software-Systemen

• Wartung von Telefonanlagen/Lichtrufsystemen

• Ohne Vereinbarung nicht rechtmäßig!


> Einrichtung

> ADV-Vertrag

Lösung durch Auftragsdatenverarbeitung

> Dienstleister

„Verantwortliche Stelle“ im Sinne des BDSG

„Dritter“ im Sinne des BDSG

„Verantwortliche Stelle“ im Sinne des BDSG

Kein „Dritter“ mehr im Sinne des BDSG


Beispiele für Auftragsdatenverarbeitung

> Hard- und Software-Lieferanten

> Website-Hoster, Google Analytics

> Rechenzentrum (Outsourcing) – Cloud Computing auch als Konzernmutter-/Tochter

> Steuerberater oder Lohnbüro

> Kopierer-Wartungsunternehmen

> Entsorgung Papierdokumente

> Entsorgung Computer

Was uns erwartet – der Blick über den Tellerrand


Orientierungshilfe KIS

> Für Kliniken seit 2011 bundesweit verbindliche Vorgaben • Rund 200 normative und technische Forderungen

an Hersteller und Betreiber von Krankenhausinformationssystemen

• Datenschutz: Anspruch vs. Realität?

> Könnte das der Vorreiter für eine „Orientierungshilfe Pflegedokumentation“ sein?

> Maßnahmen • Auseinandersetzung mit den Themen

• Vorhandene Systeme kritisch prüfen

• Lücken definieren und klären


Ausblick EU-Datenschutzverordnung

> Verordnung – keine Richtlinie!

• Bindend für alle Mitgliedsstaaten

• vermutlich ab 2014 oder 2015

> Einige geplante Regelungen…

• Recht auf Vergessen im Internet

• Einführung von Umsatz-abhängigen Bußgeldern

• Einwilligung in Datenverarbeitung wird verschärft

• Regelungen zur Übermittlung an Drittstaaten, insbesondere USA (Stichwort „Safe Harbour“)


Zusammenfassung und Ausblick

> Aktuelle Rechtslage verlangt Umdenken

• Umsetzungsgrad Datenschutz prüfen

• Neue rechtliche Vorgaben berücksichtigen

• Andernfalls drohen empfindliche Strafen

> IT-Compliance strategisch angehen

• Datenschutz ist nicht käuflich

• „Privacy by Design“

• „Security by Design“


Studie Datenschutz in der Pflege

> Befragung von 295 Leitungskräften stationärer Einrichtungen

> Veröffentlicht im März 2012

Erhältlich unter

> www.althammer-it.de

http://www.althammer-it.de/



Vielen Dank.

Thomas Althammer [email protected]

T. 05139/9739739-0

Strategie & Risikomanagement

Datenschutz & Datensicherheit

Software-Design

Datenschutznovelle II: Die Auswirkungen für Altenheime und Pflegeeinrichtungen

Business

Transcript of Datenschutznovelle II: Die Auswirkungen für Altenheime und Pflegeeinrichtungen