Inhaltsverzeichnis Neues Bundesdatenschutzgesetz in ... · 5.1.6.3.1 Checkliste Zutrittskontrolle...

1.1 Inhalt

1 Wegweiser

1.1 Inhalt

1.2 Stichwortverzeichnis

1.3 Verzeichnis – Mustervordrucke

1.4 Autorenverzeichnis

2 Aktuelle Hinweise

2.1 Novellierung des Bundesdatenschutzgesetzes (BDSG)

2.1.1 BDSG-Novelle I

2.1.2 BDSG-Novelle II

2.1.3 BDSG-Novelle III

2.1.4 Checkliste zur Novellierung des Bundesdatenschutzgesetzes (BDSG)

2.1.5 Bericht über die Auswirkungen der §§ 30a und 42a des Bundes-

datenschutzgesetzes

2.1.6 Bericht der Bundesregierung über die Auswirkungen der Änderun-

gen der §§ 28 und 29 des BDSG

2.2 Abmahnung von Datenschutzverstößen durch Verbände

2.3 Anforderungen an E-Mail-Diensteanbieter für einen sicheren

Transport von E-Mails

2.4 Positionspapier zu DS-GVO und Gesundheitswesen

2.5 Information des HmbBfDI zu den Einwilligungslösungen von

Google

2.6 Bericht des Bayerischen Landesbeauftragten für den Datenschutz

bezüglich der Beseitigung aufgefundener Mängel beim Outsourcing

2.7 Datenaustausch zwischen stationären und ambulanten Leistungs-

erbringern

2.8 Errichtung einer Stiftung

2.8.1 Grobkonzept zur Errichtung einer Stiftung Datenschutz

2.9 Orientierungshilfe zu Inhalten und Anforderungen an branchen-

spezifischen Sicherheitsstandards gemäß § 8a Abs. 2 BSIG

2.10 Ansichten des EuGH-Generalanwalts zur Vorratsdatenspeicherung

2.11 eIDAS-Verordnung über elektronische Identifizierung und

Vertrauensdienste

2.12 BSI-Bericht zur IT-Sicherheit 2015

Inhalt 1.1 Seite 1

02/17

2.13 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-

erklärung in Formularen

2.14 Patientenrechte müssen umfassend gestärkt werden

2.15 Broschüre „Datenschutz im Krankenhaus“ des Bayerischen

Landesbeauftragten für den Datenschutz

2.16 Entschließung der Datenschutzbeauftragten zur Pseudonymisie-

rung von Krebsregisterdaten

2.17 Entschließung der Datenschutzbeauftragten zur Stärkung des

Datenschutzes im Sozial- und Gesundheitswesen

2.18 Die ärztliche Schweigepflicht im Internet

2.19 Gesetz zur Verbesserung der Rechte von Patientinnen und

Patienten

2.20 Empfehlung der Datenschützer zur Anwendung der neuen generi-

schen Datenschutzkonzepte der TMF

2.21 BSI veröffentlicht Technische Richtlinie „Ersetzendes Scannen“

2.22 Gemäß Information aus dem Bundesministerium des Innern soll

das BfDI-Amt eine eigenständige oberste Bundesbehörde werden

2.23 Informationen zu dem Rentenentwurf eines Gesetzes zur Erhöhung

der Sicherheit informationstechnischer Systeme (sog. „IT-Sicher-

heitsgesetz“)

2.24 Patienten wollen Zugang zu ihren Gesundheitsdaten

2.25 Datenschutzinitiative in Arztpraxen

2.26 Entwurf eines Zweiten Gesetzes zur Änderung des Telemedien-

gesetzes

2.27 Aktionsplan zur Verbesserung der Arzneimitteltherapiesicherheit

2.28 Technische Richtlinie TR-02102: Krypto-Richtlinien

2.29 Untersuchung der Zeitschrift „test“ zur Einhaltung der Schweige-

pflicht in Arztpraxen

2.29.1 Untersuchung zum Recht auf Einblick in die Patientenakten

2.29.2 Untersuchung zum Recht auf Erteilung einer Patientenquittung

3 Einführung in den Datenschutz

3.1 Kurze Historie – Entwicklung und Tendenzen

3.2 Grundlagen des Datenschutzrechts

4 Gesetzliche Regelungen mit Erläuterungen

4.1 Datenschutz international

4.1.1 EU-Vorgaben

4.1.1.1 EG-Datenschutzrichtlinie

1.1 Seite 2 Inhalt

02/17

4.1.1.2 Art. 29-Datenschutzgruppe

4.1.1.2.1 Veröffentlichungen der Art. 29-Datenschutzgruppe

4.1.1.4 EG-Vorgaben für Datenschutz bei Datenverarbeitung in Dritt-

ländern

4.1.2 Datenschutzvorgaben in Drittländern

4.1.3 USA Safe Harbor

4.2 Bundesdatenschutzgesetz

4.2.1 Gesetzeserläuterungen

4.2.1.1 § 1 BDSG: Zweck und Anwendungsbereich des Gesetzes

4.2.1.2 § 2 BDSG: Öffentliche und nicht-öffentliche Stellen

4.2.1.3 § 3 BDSG: Weitere Begriffsbestimmungen

4.2.1.3.1 § 3a BDSG: Datenvermeidung und Datensparsamkeit

4.2.1.4 § 4 BDSG: Zulässigkeit der Datenerhebung, -verarbeitung und

-nutzung

4.2.1.4.1 § 4a BDSG: Einwilligung

4.2.1.4.2 § 4b BDSG: Übermittlung personenbezogener Daten ins Ausland

sowie an über- oder zwischenstaatliche Stellen

4.2.1.4.3 § 4c BDSG: Ausnahmen

4.2.1.4.4 § 4d BDSG: Meldepflicht

4.2.1.4.5 § 4e BDSG: Inhalt der Meldepflicht

4.2.1.4.6 § 4f BDSG: Beauftrager für den Datenschutz

4.2.1.4.7 § 4g BDSG: Aufgaben des Beauftragten für den Datenschutz

4.2.1.5 § 5 BDSG: Datengeheimnis

4.2.1.6 § 6 BDSG: Rechte des Betroffenen

4.2.1.6.1 § 6a BDSG: Automatisierte Einzelentscheidung

4.2.1.6.2 § 6b BDSG: Beobachtung öffentlich zugänglicher Räume mit

optisch-elektronischen Einrichtungen

4.2.1.6.3 § 6c BDSG: Mobile personenbezogene Speicher- und Verarbei-

tungsmedien

4.2.1.7 § 7 BDSG: Schadensersatz

4.2.1.8 § 8 BDSG: Schadensersatz bei automatisierter Datenverarbeitung

durch öffentliche Stellen

4.2.1.9 § 9 BDSG: Technische und organisatorische Maßnahmen

4.2.1.9.1 § 9a BDSG: Datenschutzaudit

4.2.1.10 § 10 BDSG: Einrichtung automatisierter Abrufverfahren

4.2.1.11 § 11 BDSG: Erhebung, Verarbeitung oder Nutzung personen-

bezogener Daten im Auftrag

4.2.1.12 §§ 12 bis 26 BDSG: Zweiter Abschnitt, Datenverarbeitung der

öffentlichen Stellen

Inhalt 1.1 Seite 3

02/17

4.2.1.28 § 28 BDSG: Datenerhebung und -speicherung für eigene Geschäfts-

zwecke

4.2.1.28.1 § 28a BDSG: Datenübermittlung an Auskunfteien

4.2.1.28.2 § 28b BDSG: Scoring

4.2.1.29 § 29 BDSG: Geschäftsmäßige Datenerhebung und -speicherung

zum Zwecke der Übermittlung

4.2.1.30 § 30 BDSG: Geschäftsmäßige Datenerhebung und -speicherung

zum Zwecke der Übermittlung in anonymisierter Form

4.2.1.30.1 § 30a BDSG: Geschäftsmäßige Datenerhebung und -speicherung

für Zwecke der Markt- und Meinungsforschung

4.2.1.31 § 31 BDSG: Besondere Zweckbindung

4.2.1.32 § 32 BDSG: Datenerhebung, -verarbeitung und -nutzung für

Zwecke des Beschäftigungsverhältnisses

4.2.1.33 § 33 BDSG: Benachrichtigung des Betroffenen

4.2.1.34 § 34 BDSG: Auskunft an den Betroffenen

4.2.1.35 § 35 BDSG: Berichtigung, Löschung und Sperrung von Daten

4.2.1.38 § 38 BDSG: Aufsichtsbehörde

4.2.1.38.1 § 38a BDSG: Verhaltensregeln zur Förderung der Durchführung

datenschutzrechtlicher Regelungen

4.2.1.39 § 39 BDSG: Vierter Abschnitt: Sondervorschriften Zweckbindung

bei personenbezogenen Daten, die einem Berufs- oder besonderen

Amtsgeheimnis unterliegen

4.2.1.40 § 40 BDSG: Verarbeitung und Nutzung personenbezogener Daten

durch Forschungseinrichtungen

4.2.1.41 § 41 BDSG: Erhebung, Verarbeitung und Nutzung personen-

bezogener Daten durch die Medien

4.2.1.42 § 42 BDSG: Datenschutzbeauftragter der Deutschen Welle

4.2.1.42.1 § 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntnis-

erlangung von Daten

4.2.1.43 § 43 BDSG: Fünfter Abschnitt mit den Schlussvorschriften Bußgeld-

vorschriften

4.2.1.44 § 44 BDSG: Strafvorschriften

4.2.1.45 § 45 BDSG: Sechster Abschnitt: Übergangsvorschriften Laufende

Verwendungen

4.2.1.46 § 46 BDSG: Weitergeltung von Begriffsbestimmungen

4.2.1.47 § 47 BDSG: Übergangsregelung

4.2.1.48 § 48 BDSG: Bericht der Bundesregierung

4.3 Landesdatenschutzgesetze

4.4 Telekommunikationsgesetz (TKG)

4.4.1 Allgemeine Erläuterungen zum TKG

1.1 Seite 4 Inhalt

02/17

4.4.2 Teil 1: Allgemeine Vorschriften

4.4.2.1 Wichtige Begriffsbestimmungen

4.4.3 Teil 7: Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit

4.5 Telemediengesetz (TMG)

4.5.1 Allgemeine Erläuterungen zum TMG

4.5.2 Allgemeine Bestimmungen

4.5.3 Informationspflichten (Anbieterkennzeichnung)

4.5.4 Verantwortlichkeit

4.5.5 Datenschutzbestimmungen

4.5.6 Hinweise zur Erstellung einer Online-Datenschutzerklärung

4.5.7 Erstellung eines Muster-Impressums

4.5.8 Schulungsunterlagen zu Datenschutzaspekte des Telemedien-

gesetzes

4.5.9 Elektronische Gästebücher und Internet-Foren

4.6 De-Mail-Gesetz

4.6.1 Allgemeine Erläuterungen zum Gesetz zum sicheren E-Mail-

Verkehr (De-Mail-Gesetz)

4.6.2 Nähere Erläuterungen zu den einzelnen Paragrafen

4.7 Signaturgesetz (SigG)

4.7.1 Allgemeines zum Signaturgesetz (SigG)

4.8 Erläuterungen zum Signaturgesetz (SigG)

4.9 IT-Sicherheitsgesetz

4.9.1 Gesetzesbestandteile im Einzelnen

4.10 Gesetz für sichere digitale Kommunikation und Anwendungen im

Gesundheitswesen (E-Health-Gesetz)

4.10.1 Erläuterungen der wichtigsten Bestimmungen des Gesetzes

4.11 Datenschutz-Grundverordnung (DS-GVO)

4.11.1 Datenschutz-Grundverordnung in Kraft getreten

4.11.2 Wesentliche Neuerungen

4.11.2.1 Neue Regelungen zur Auftrags(daten)verarbeitung

4.11.2.2 Datenschutz-Folgenabschätzung

4.11.3 Auswirkungen auf Deutschland

4.11.4 Öffnungsklauseln

5 Technisch-organisatorische Umsetzung der gesetzlichen

Vorgaben

5.1 Grundlegende technisch-organisatorische Maßnahmen

5.1.1 Verantwortliche Stelle

5.1.2 Betrieblicher Datenschutzbeauftragter

Inhalt 1.1 Seite 5

02/17

5.1.2.1 Musterformular: Bestellung zum betrieblichen Datenschutz-

beauftragten

5.1.2.2 Merkblatt zur Bestellung eines betrieblichen Datenschutz-

beauftragten

5.1.2.3 Musterformular: Bestellung eines externen Datenschutz-

beauftragten

5.1.2.4 Merkblatt zur Bestellung eines externen Datenschutzbeauftragten

5.1.2.5 Schulungsunterlagen zum betrieblichen Datenschutzbeauftragten

5.1.2.6 Musterformular: Bestellung zum Stellvertreter des betrieblichen

Datenschutzbeauftragten

5.1.2.7 Einzelprobleme

5.1.3 Verpflichtung auf das Datengeheimnis

5.1.3.1 Muster einer Verpflichtungserklärung

5.1.3.1.1 Muster einer Verpflichtungserklärung im Rahmen einer Auftrags-

datenverarbeitung

5.1.3.1.2 Muster einer Geheimhaltungsvereinbarung

5.1.3.2 Datenschutzmerkblatt zur Verpflichtungserklärung

5.1.3.3 Verpflichtung nach dem Verpflichtungsgesetz

5.1.4 Vorabkontrolle

5.1.4.1 Checkliste zur Durchführung einer Vorabkontrolle

5.1.4.2 Musterdokumentation für eine Vorabkontrolle

5.1.5 Führen eines Verfahrensverzeichnisses

5.1.5.1 Musterformblatt zur Verfahrensbeschreibung

5.1.5.2 Musterverfahrensbeschreibung

5.1.5.3 Muster eines Schreibens zur Auskunftserteilung

5.1.5.4 Schulungsunterlagen zum Verfahrensverzeichnis

5.1.5.5 Checkliste zum Verfahrensverzeichnis

5.1.5.6 Fragen zum Verfahrensverzeichnis

5.1.6 Datensicherheitsmaßnahmen gemäß § 9 BDSG mit Anlage

5.1.6.1 Erstellung eines Schutzstufenkonzeptes

5.1.6.2 Strategie bei der Auswahl geeigneter Sicherheitsmaßnahmen

5.1.6.2.1 Checkliste zur Auswahl geeigneter Sicherheitsmaßnahmen

5.1.6.3 Beispiel eines Maßnahmenkatalogs

5.1.6.3.1 Checkliste Zutrittskontrolle

5.1.6.3.2 Checkliste Zugangskontrolle

5.1.6.3.3 Checkliste zur Gebäude- und Einbruchsicherheit

5.1.6.3.4 Checkliste Zugriffskontrolle

5.1.6.4 Schulungsunterlagen zu „Datensicherheitsmaßnahmen

i. S. d. § 9 BDSG mit Anlage“

1.1 Seite 6 Inhalt

02/17

5.1.6.5 Gesetzlich vorgeschriebene technisch-organisatorische Daten-

sicherheitsmaßnahmen

5.1.7 Durchführung von Datenschutzschulungen

5.1.7.1 Einladungsschreiben für eine Datenschutzschulung

5.1.7.2 Muster einer Teilnahmebescheinigung

5.1.8 Durchführung des Meldeverfahrens

5.1.8.1 Musterformular zum Meldeverfahren

5.1.9 Überwachung der ordnungsgemäßen Anwendung der Daten-

verarbeitungsprogramme

5.1.9.1 Prüfungsgerüst für die Kontrolle der Datensicherheitsmaßnahmen

5.1.10 Erstellung eines Tätigkeitsberichts

5.1.11 Mitwirkung bei der Personalauswahl

5.1.12 Bestellung eines IT-Sicherheitsbeauftragten

5.1.12.1 Muster eines Dienstleistungsvertrages für die Bestellung eines

IT-Sicherheitsbeauftragten

5.2 Datenschutz für Arbeitnehmerdaten

5.2.1 Datenschutz bei Zeiterfassungsdaten

5.2.1.1 Biometrische Zeiterfassungssysteme

5.2.1.2 Checkliste Zeiterfassungsdaten

5.2.1.3 Muster einer Betriebsvereinbarung für die automatisierte Erhe-

bung, Verarbeitung und Nutzung von Zeiterfassungsdaten

5.2.1.3.1 Muster-Betriebsvereinbarung Zutritts- und Zeiterfassungssystem


5.2.2 Gesundheitsdaten

5.2.2.1 Betriebsarzt

5.3 Betriebsrat und Datenschutz – Verhältnis zum betrieblichen Daten-

schutzbeauftragten

5.3.1 Muster für eine Betriebsvereinbarung Internet/E-Mail

5.3.1.1 Internetbenutzerrichtlinie

5.3.1.2 Merkblatt zur E-Mail-Nutzung

5.3.1.3 Muster einer Betriebsvereinbarung für die private Nutzung des

Internets

5.3.1.4 Muster einer Einwilligungserklärung

5.3.2 Muster für eine Betriebsvereinbarung Personaldaten

5.3.3 Muster für eine Betriebsvereinbarung über die Einführung und den

Betrieb eines DV-gestützten Betriebserfassungssystems

5.3.4 Muster für eine Gesamtbetriebsvereinbarung zur Einführung eines

Personalverwaltungssystems für alle Mitarbeiterinnen und Mit-

arbeiter

Inhalt 1.1 Seite 7

02/17

5.3.5 Muster für eine Betriebsvereinbarung zum Einsatz von Videoüber-

wachungstechnik für das Werksgelände

5.3.5.1 Muster einer Betriebsvereinbarung zur Videoüberwachung

5.3.6 Muster für eine Betriebsvereinbarung zur Telefonanlage

5.3.6.1 Muster einer Betriebsvereinbarung über die VoIP-Nutzung

5.3.7 Muster einer Betriebsvereinbarung über die Gewährleistung der

Zugriffskontrolle

5.3.8 Muster für eine Betriebsvereinbarung zum Beschäftigten-Daten-

schutz und zur Nutzung von Informations- und Kommunikations-

technologien

5.3.8.1 Betriebsanweisung zur Gewährleistung des Datenschutzes und der

Datensicherheit

5.3.9 Betriebsvereinbarung zur Fernwartung und Fernsteuerung durch

eigene Mitarbeiter

5.3.10 Betriebs-/Dienstvereinbarung über die Protokollierung bei der

automatisierten Verarbeitung personenbezogener Daten

5.4 Sicherheit am Arbeitsplatz

5.4.1 Gewährleistung des Persönlichkeitsschutzes

5.4.1.1 Datenschutz in Großraumbüros

5.4.1.1.1 Checkliste zur datenschutzgerechten Gestaltung von Großraum-

büros

5.4.1.2 Checkliste zum Persönlichkeitsschutz – allgemein


5.4.2 Allgemeine Sicherheitsmaßnahmen beim Einsatz von IuK-Geräten

am Arbeitsplatz

5.4.2.1 IuK-Sicherheitsbelehrung

5.4.2.2 Orientierungshilfe zur Passwortvergabe, Passwortwahl und Pass-

wortverwaltung

5.4.2.2.1 Checkliste zur Passwortvergabe, Passwortwahl und Passwort-

verwaltung

5.4.2.3 Orientierungshilfe zur Protokollierung

5.4.2.4 Checkliste für eine datenschutzgerechte Protokollierung

5.4.2.5 Schulungsunterlagen zur Protokollierung

5.4.2.6 Checkliste zur Erstellung eines Berechtigungskonzeptes

5.4.2.7 Betriebsanweisung zur Gewährleistung des Datenschutzes beim

Einsatz von IuK-Technik


5.4.2.9 Einsatz von Mediaplayern

5.4.3 PC-Sicherheit

5.4.3.1 Checkliste für die Gestaltung von Arbeitsplatzrechnern (PC)

1.1 Seite 8 Inhalt

02/17

5.4.3.2 Checkliste für den sicheren PC-Einsatz (im Stand-alone-Betrieb)

5.4.3.3 Benutzerleitfaden für den Schutz von Computern und Informatio-

nen auf Computersystemen

5.4.4 Datenschutz und Datensicherheit bei mobilen IuK-Geräten

5.4.4.1 Checkliste zur Gewährleistung des Datenschutzes und der Daten-

sicherheit bei mobilen IuK-Geräten

5.4.4.2 Datensicherheit bei USB-Geräten

5.4.4.2.1 Checkliste zum datenschutzgerechten Einsatz von USB-Geräten

5.4.4.3 Einsatz von Smartphones und Tablet-PCs

5.4.4.3.1 Checkliste für den sicheren Einsatz von Smartphones und Tablet-

PCs

5.4.4.3.2 Sicherheitsmaßnahmen für iOS-Geräte

5.4.4.3.3 Schutz von BlackBerrys

5.4.4.3.4 Überblickspapier des BSI zu Smartphones

5.4.4.3.5 Mustervereinbarung bezüglich der Nutzung privater mobiler

Geräte

5.4.5 Datenschutzrechtliche Aspekte beim Einsatz optischer Speicher-

medien

5.4.6 Datenschutzgerechter Einsatz von Outlook

5.4.6.1 Schulungsunterlagen zu Outlook


5.4.7 Schutz- und Sicherheitsmaßnahmen für Multifunktionsgeräte

5.4.7.1 Checkliste für den sicheren Einsatz von Multifunktionsgeräten

5.4.8 Applikationen (Apps)

5.4.8.1 Checkliste zu Apps

5.5 Sicherheit im Netzwerk

5.5.1 Sicherheitsmaßnahmen bei lokalen Netzwerken

5.5.1.1 Checkliste zur Überprüfung der Datensicherheit in einem lokalen

Netzwerk

5.5.1.2 Checkliste zur Überprüfung der baulichen und organisatorischen

Sicherheit

5.5.1.3 Checkliste zum Einsatz von Fernsteuerungsprogrammen

5.5.2 Sicherheit im Wireless Local Area Network (WLAN)

5.5.2.1 Orientierungshilfe Datenschutz in drahtlosen Netzen

5.5.2.2 Checkliste zum WLAN

5.5.3 Sicherheit im Intranet

5.5.3.1 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im

Intranet

5.5.4 Sicherheit im Internet

5.5.4.1 Grundlagen der E-Mail-Sicherheit

Inhalt 1.1 Seite 9

02/17

5.5.4.1.1 Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail

und anderen Internetdiensten am Arbeitsplatz

5.5.4.1.2 Nutzung von Web-Mail-Diensten

5.5.4.1.3 Überwachung der elektronischen Kommunikation von

Beschäftigten

5.5.4.1.4 Checkliste zur E-Mail-Sicherheit

5.5.4.1.5 Archivierung von E-Mails

5.5.4.2 Checkliste für die Anschaffung, die Installation und den Betrieb

einer Firewall

5.5.4.2.1 Betriebsanweisung für die Einrichtung und den Betrieb von Fire-

wall-Systemen

5.5.4.3 Datenschutz bei Suchmaschinen

5.5.4.4 Veröffentlichungen von personenbezogenen Daten im Internet und

Intranet

5.5.4.4.1 Muster einer Einwilligung für Mitarbeiter

5.5.4.4.2 Checkliste zur Veröffentlichung von Mitarbeiterdaten

5.5.5 Absicherung von Rechenzentren und Serverräumen

5.5.5.1 Checkliste bezüglich der erforderlichen Sicherheitsmaßnahmen in

einem Rechenzentrum bzw. Serverraum

5.5.5.2 Fragenkatalog zur Erkennung und Beseitigung von Mängeln und

Schwachstellen

5.5.5.3 Schulungsunterlagen zum Schutz von Rechnerräumen und Servern

5.5.6 Einrichtung eines Benutzerservices

5.5.6.1 Checkliste zum Benutzerservice

5.5.7 Sicheres Datenträgerarchiv

5.5.7.1 Checkliste für ein sicheres Datenträgerarchiv

5.5.8 Einzelprobleme

5.6 Spezielle Anwendungen

5.6.1 Dokumentenmanagementsysteme

5.6.1.1 Schulungsunterlagen zum Datenschutz bei Dokumentenmanage-

mentsystemen

5.7 Datenschutz bei Telekommunikationseinrichtungen und -anlagen

5.7.1 Checkliste bezüglich des Sicherheitsstatus einer Telekommunikati-

onsanlage

5.7.1.1 Checkliste bezüglicher allgemeiner Datenschutzabnforderungen an

Telekommunikationseinrichtungen und -anlagen

5.7.1.2 Checkliste für hybride TK-Anlagen

5.7.2 Sicherheitsmaßnahmen beim Telefax

5.7.2.1 Checkliste bezüglich der Sicherheitsmaßnahmen beim Telefax

1.1 Seite 10 Inhalt

02/17

5.7.3 Voice over IP (VoIP)

5.7.3.1 Checkliste zu Voice over IP


5.8 Gewährleistung der Rechte des Betroffenen


6 Spezielle Bereiche

6.1 Auftragsdatenverarbeitung

6.1.1 Formen der Auftragsdatenverarbeitung

6.1.1.1 Vernichtung von Datenträgern

6.1.1.2 (Fern-)Wartung

6.1.1.3 Outsourcing

6.1.1.4 Managed Desktop Services

6.1.2 Verantwortlichkeiten

6.1.3 Auswahlkriterien und Vertragsgestaltung

6.1.4 Überprüfung der Einhaltung der Regelungen

6.1.5 Abgrenzung zwischen Auftragsdatenverarbeitung und Funktions-

übertragung

6.1.6 Vergabe einer Auftragsdatenverarbeitung ins Ausland

6.1.7 Orientierungshilfe „Wartung, Fernwartung und Fernsteuerung“

6.1.8 Mustervertrag zur Auftragsdatenverarbeitung

6.1.8.1 Mustervertrag zur Fernwartung

6.1.8.2 Mustervertrag zu IT-Dienstleistungen

6.1.8.3 Datenschutz-Vereinbarung bei gegenseitigen Beauftragungen

6.1.8.4 Mustervertrag über die Vernichtung von Datenträgern

6.1.8.5 Mustervertrag zur Auftragsdatenverarbeitung bei Backup-

Leistungen

6.1.8.6 Mustervertrag zur Nutzung eines Rechenzentrums im Rahmen

einer Auftragsdatenverarbeitung

6.1.8.7 Mustervertrag zur Gestaltung des Internet-Auftritts

6.1.8.8 Mustervertrag zur Erstellung von Reisekostenabrechnungen

6.1.8.9 Mustervertrag zur Realisierung eines Live Streamings

6.1.9 Checkliste bezüglich des Datenschutzes und der Datensicherheit im

Rahmen einer Auftragsdatenverarbeitung

6.1.10 Schulungsunterlagen zur „Auftragsdatenverarbeitung aus Sicht des

Datenschutzes“

6.1.11 Schulungsunterlagen zur „Wartung und Fernwartung“

6.1.12 Dokumentation der Kontrolle der Datensicherheitsmaßnahmen

6.1.13 Einzelfragen

Inhalt 1.1 Seite 11

02/17

6.2 Datenschutzgerechte Entsorgung von Datenträgern

6.2.1 Formen der Datenträgerentsorgung

6.2.2 Verfahrensanweisung zur Datenträgervernichtung

6.2.3 Checkliste zur Datenträgervernichtung allgemein

6.2.3.1 Checkliste zur Datenträgervernichtung in Eigenregie

6.2.3.2 Checkliste zur Vernichtung von Datenträgern in Form einer

Auftragsdatenverarbeitung

6.3 Bekämpfung von Schadenssoftware (Malware)

6.3.1 Computerviren

6.3.1.1 Virengeschichte

6.3.1.2 Virenarten

6.3.1.3 Verbreitungswege

6.3.1.4 Abwehr- und Vorbeugemaßnahmen

6.3.1.5 Gegenmaßnahmen nach einem Virenbefall

6.3.1.6 Anforderungen an Antivirenprogramme

6.3.1.7 Virendokumentation

6.3.1.8 Checkliste zum Virenschutz

6.3.1.9 Schulungsunterlagen zu Computerviren

6.3.2 Spam

6.3.2.1 Funktionsweise und Verbreitungswege von Spam-Mails

6.3.2.2 Relevante technisch-organisatorische Sicherheitsmaßnahmen

6.3.2.3 Rechtliche Fragen und datenschutzrechtliche Problematik

6.3.2.4 Empfohlene Schutzmaßnahmen (Lösungsansätze)

6.3.2.5 Schulungsunterlagen zur Spam-Behandlung

6.3.3 Phishing

6.3.3.1 Ziel, Funktionsweise, Verbreitungswege und Erkennungsmerkmale

von Phishing-Angriffen

6.3.3.2 Technisch-organisatorische Sicherheitsmaßnahmen

6.3.4 Pharming

6.3.4.1 Checkliste zum Schutz vor Pharming-Angriffen

6.3.5 Spyware

6.3.5.1 Checkliste zum Schutz vor Spyware

6.3.6 Botnetze

6.3.6.1 Checkliste zu Botnetzen

6.3.7 Scareware

6.3.7.1 Checkliste zum Schutz vor Scareware

6.3.8 Backdoor-Programme

6.3.8.1 Checkliste zum Schutz vor Backdoor-Programmen

6.4 Whistleblowing

6.4.1 Rechtsgrundlagen

1.1 Seite 12 Inhalt

02/17

6.4.2 Datenschutzgerechte Gestaltung eines Whistleblowing-Verfahren

6.5 Data Warehouse und Data Mining

6.6 Soziale Netzwerke

6.6.1 Orientierungshilfe „Soziale Netzwerke“

6.7 Cloud Computing

7 Datenschutzaufsichtsbehörden

7.1 Datenschutzaufsichtsbehörden

7.2 Übersicht der Datenschutzaufsichtsbehörden für den nicht-öffent-

lichen Bereich

7.3 Aufgaben der Aufsichtsbehörden

7.3.1 Ablauf einer Prüfung

7.4 Rechte und Pflichten der Aufsichtsbehörden

7.5 Beschlüsse, Entschließungen und Empfehlungen der Aufsichts-

behörden

7.5.1 Entschließungen des Düsseldorfer Kreises

7.5.1.1 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem

Safe Harbor-Abkommen durch das Daten exportierende Unter-

nehmen

7.5.1.2 Datenschutzkonforme Ausgestaltung von Analyseverfahren zur

Reichweitenmessung bei Internet-Angeboten

7.5.1.3 Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in inter-

national tätigen Unternehmen

7.5.1.4 Datenschutzrechtliche Bewertung von digitalen Straßenansichten

insbesondere im Internet

7.5.1.5 Datenschutzkonforme Gestaltung sozialer Netzwerke

7.5.1.6 Internet-Portale zur Bewertung von Einzelpersonen

7.5.1.7 Datenschutzkonforme Gestaltung der Entwicklung und Anwendung

von RFID-Technologie

7.5.1.8 Mindestanforderungen an Fachkunde und Unabhängigkeit des

Beauftragten für den Datenschutz

7.5.1.9 Umsetzung der Datenschutzrichtlinie für elektronische Kommuni-

kationsdienste

7.5.1.10 Datenschutzgerechte Smartphone-Nutzung ermöglichen

7.5.1.11 Datenschutzkonforme Gestaltung und Nutzung von Krankenhaus-

informationssystemen

7.5.1.12 Mindestanforderungen an den technischen Datenschutz bei der

Anbindung von Praxis-EDV-Systemen an medizinische Netze

7.5.1.13 Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen

7.5.1.14 Anonymes und pseudonymes elektronisches Bezahlen von Inter-

net-Angeboten ermöglichen

Inhalt 1.1 Seite 13

02/17

7.5.1.15 Datenschutz in sozialen Netzwerken

7.5.1.16 Einwilligungs- und Schweigepflichtentbindungserklärung in der

Versicherungswirtschaft

7.5.1.17 Near Field Communikation (NFC) bei Geldkarten

7.5.1.18 Videoüberwachung in und an Taxis

7.5.1.19 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung

von personenbezogenen Daten für werbliche Zwecke

7.5.1.20 Datenübermittlung in Drittstaaten

7.5.1.21 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbst-

regulierung entwickelt und durchgeführt werden

7.5.1.22 Orientierungshilfe „Videoüberwachung durch nicht-öffentliche

Stellen“

7.5.1.23 Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrs-

mitteln“

7.5.2 Beschlüsse und Entschließungen der Datenschutzbeauftragten des

Bundes und der Länder

7.5.2.1 Entschließung der 70. DSK vom 27./28. Oktober 2005 zu VoIP

7.5.2.2 Entschließung der 72. DSK vom 26./27. Oktober 2006 zu RFID

7.5.2.3 Entschließung der 75. DSK vom 3./4. April 2008 zu VoIP

7.5.2.4 Entschließung der 76. DSK vom 6./7. November 2008 zu ELENA

7.5.2.5 Entschließungen der 79. DSK vom 17./18. März 2010

7.5.2.6 Entschließungen der 80. DSK vom 3./4. November 2010


7.5.2.8 Entschließungen der 82. DSK vom 28./29. September 2011




7.5.2.12 Entschließung vom 5. September 2013



7.5.2.15 Entschließungen der 88. DSK vom 8./9. Oktober 2014

7.5.2.16 Entschließung der DSK zur Verfolgung des Nutzerverhaltens im

Internet


7.5.2.18 Entschließung der DSK zum Gesetzentwurf zur Vorratsspeicherung

7.5.2.19 Entschließungen der 90. DSK vom 30.09./01.10.2015

7.6 Standard-Datenschutzmodell

7.7 Internationale Zuständigkeit

1.1 Seite 14 Inhalt

02/17

8 Aktuelle Rechtsprechung

8.1 Recht auf informationelle Selbstbestimmung

8.2 Speicherung der IP-Adressen

8.3 Verfassungsmäßigkeit der Vorratsdatenspeicherung

8.4 Personalakte – Aufbewahrung von Gesundheitsdaten

8.5 Keine Auskunftspflicht eines Rechtsanwalts gegenüber Daten-

schutzbeauftragten

8.6 Schutz des Fernmeldegeheimnisses bei abgespeicherten E-Mails

8.7 Veröffentlichung von Gerichtsentscheidungen im Internet

8.8 Urteile zur Videoüberwachung

8.9 Beleidigende Inhalte in Internet-Blogs müssen überprüft werden

8.10 Bundesverfassungsgericht: TKG-Regelungen zur Datenspeicherung

teilweise verfassungswidrig

8.11 Fehlende Transparenz einer Einwilligungserklärung zur Telefon-

werbung

8.12 Bayerischer Verwaltungsgerichtshof: Automatisierte Kennzeichen-

erfassung zulässig

8.13 Personenbezug dynamischer IP-Adressen

8.14 Herausgabe handschriftlicher Therapieaufzeichnungen

8.15 Anspruch des Pflegeheimbewohners auf Einsicht in die Pflege-

unterlagen

8.16 Elektronische Gesundheitskarte verstößt weder gegen den Daten-

schutz noch gegen das Recht auf informationelle Selbstbestimmung

8.16.1 Rechtmäßigkeit der Einführung der elektronischen Gesundheits-

karte

8.17 Patientenfotos auf Facebook (k)ein Kündigungsgrund

8.18 Rechtmäßigkeit der Zeugnisverweigerung

8.19 Speicherung von Verkehrsdaten

8.20 Kündigung bei exzessiver privater Internetnutzung

8.21 Sonderkündigungsschutz für Datenschutzbeauftragte nur bei

schriftlicher Bestellung

8.22 Kein Mitbestimmungsrecht beim Anbringen einer Videokamera-

attrappe auf einem Klinikumgelände

8.23 Vernichtung von Personal- und Patientenakten eines früheren

Krankenhauses

8.24 Einsicht des Arbeitgebers in einen elektronischen Kalender

8.25 Anwesenheitsrecht des Arbeitgebers bei der Befragung von sach-

kundigen Arbeitnehmern

8.26 Anspruch auf Herausgabe von Patientenunterlagen

Inhalt 1.1 Seite 15

02/17

8.27 Keine Kündigung eines Betriebsratsmitglieds wegen Kritik an

geplanten Kontrollen

8.28 Pflichten des Betreibers eines Ärztebewertungsportals

8.29 Abtretung von Honorarforderungen bei der Behandlung Minder-

jähriger an Abrechnungsstellen

9 Praktische Umsetzung im Gesundheitswesen

9.1 Allgemeine Hinweise zur Gewährleistung des Datenschutzes im

Gesundheitsbereich

9.1.1 Grundlegende gesetzliche Bestimmungen

9.1.2 Verpflichtung zur Dokumentation

9.1.3 Bestellung eines Datenschutzbeauftragten im Gesundheitsbereich

9.1.3.1 Musterformular: Bestellung zum Datenschutzbeauftragten im

Gesundheitsbereich

9.1.3.2 Merkblatt zur Bestellung eines Datenschutzbeauftragten im

Gesundheitsbereich

9.1.4 Wahrung des Persönlichkeitsrechts

9.1.5 Die elektronische Gesundheitskarte

9.1.6 Rechte der Betroffenen (Patienten)

9.1.7 Fernwartung

9.1.7.1 Schulungsunterlagen zur Fernwartung von Datenverarbeitungs-

systemen im Gesundheitsbereich

9.1.7.2 Fernwartung medizinischer Geräte mit Einschaltung von Subunter-

nehmern

9.1.8 Datenschutz in der medizinischen Forschung (Epidemiologie)

9.1.8.1 Rechtliche Rahmenbedingungen

9.1.8.2 Lösungsmöglichkeiten

9.1.8.3 Ausblick

9.1.8.4 Orientierungshilfe: Pseudonymisierung in der medizinischen

Forschung

9.1.8.5 Merkblatt zum Datenschutz bei medizinischen Studien mit

Patientendaten

9.1.8.6 Konsenspapier Epidemiologie und Datenschutz

9.1.8.7 Datenschutzrechtliche Aspekte beim Aufbau einer Bio(material)

bank

9.1.8.7.1 Beispiel Blutspenderdatenbank

9.1.9 Vernichtung von medizinischen Unterlagen

9.1.10 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im

Gesundheitswesen

1.1 Seite 16 Inhalt

02/17

9.1.10.1 Schulungsunterlagen zur Auftragsdatenverarbeitung im Gesund-

heitswesen

9.1.11 Musterformulare

9.1.11.1 Entbindung von der ärztlichen Schweigepflicht

9.1.11.2 Verpflichtung auf das Datengeheimnis

9.1.11.2.1 Merkblatt zur Verpflichtungserklärung und Hinweis auf die ärzt-

liche Schweigepflicht

9.1.11.3 Anforderung von bzw. Einsicht in Patientenunterlagen

9.1.11.4 Mustervertrag zur Auftragsdatenverarbeitung im Gesundheits-

wesen

9.1.11.5 Patienteneinwilligung für die Übermittlung von Behandlungs-

unterlagen

9.1.12 Verfahrensverzeichnis und Verfahrensbeschreibung

9.1.13 Arztbewertungsportale im Internet

9.1.13.1 Datenschutzrechtliche Leitlinien

9.1.14 Leitfaden für die elektronische Archivierung von Kranken-

unterlagen

9.1.15 Nutzung externer Wäschereidienstleistungen in Krankenhäusern

und Pflegeeinrichtungen

9.1.16 Mammografie-Screening

9.1.17 Gesetzliche Regelung der Patientenverfügung

9.1.17.1 Regelungen im BGB

9.1.17.2 Änderung des Familienverfahrensgesetzes

9.1.18 Nutzung des E-Postbriefs

9.2 Datenschutz im Krankenhaus

9.2.1 Datenübermittlungen

9.2.1.1 Orientierungshilfe „Anbindung externer Partner an Kranken-

häuser, Zuweiser-/Einweiserportale, elektronische Fall-/Patienten-

akten“

9.2.2 Datenschutz und Datensicherheit bei Krankenhausinformations-

systemen (KIS)

9.2.2.1 Krankenhausinformationssysteme datenschutzgerecht gestalten

9.2.2.2 Orientierungshilfe bezüglich einer Zugriffs-, Sperr- und Lösch-

konzeption für Krankenhaus-EDV-Systeme

9.2.2.3 Risikoanalyse Krankenhaus-IT

9.2.2.4 Orientierungshilfe Krankenhausinformationssysteme (KIS)

9.2.3 Auftragsdatenverarbeitung

9.2.3.1 Outsourcing von DV-Aktivitäten

9.2.3.2 Erledigung von Schreibarbeiten

Inhalt 1.1 Seite 17

02/17

9.2.3.3 Mikroverfilmung bzw. Einscannen von Patientendaten durch einen

Privaten

9.2.3.4 Einschaltung eines Inkassounternehmens

9.2.3.5 Externe Archivierung von Krankenunterlagen

9.2.4 Datenschutzprobleme

9.2.5 Checkliste bezüglich der Gewährleistung des Datenschutzes und

der Datensicherheit in einem Krankenhaus

9.2.6 Betriebs-/Dienstanweisung zum Datenschutz in einem Kranken-

haus

9.2.7 Krankenhaus-Archivordnung

9.2.8 Schulungsunterlagen zur Datensicherheit im Krankenhaus

9.2.9 Videoüberwachung im Krankenhaus

9.3 Datenschutz in Arztpraxen

9.3.1 Datenübermittlungen

9.3.2 Datenschutz und Datensicherheit bei den eingesetzten IT-Systemen

9.3.2.1 Mindestanforderungen an den technischen Datenschutz bei der

Anbindung von Praxis-EDV-Systemen an medizinische Netze

9.3.3 Auftragsdatenverarbeitung (Outsourcing)



der Datensicherheit in einer Arztpraxis

9.3.6 Schriftliche Anweisung zum Datenschutz

9.3.7 Archivordnung einer Arztpraxis

9.3.8 Sonderfall Betriebsarzt

9.3.9 Bauliche und organisatorische Maßnahmen

9.4 Datenschutz in Heimen

9.4.1 Grundlegende gesetzliche Bestimmungen

9.4.2 Verpflichtung zur Pflegedokumentation

9.4.3 Bestellung eines Datenschutzbeauftragten

9.4.4 Datenschutz und Datensicherheit bei den eingesetzten IT-Systemen

9.4.5 Verarbeitung personenbezogener Daten im Auftrag (Outsourcing)

9.4.5.1 Externe Vergabe von Schreibarbeiten

9.4.5.2 (Fern)Wartung von Rechnern

9.4.5.3 Weitere Formen der Auftragsdatenverarbeitung

9.4.5.4 Schulungsunterlagen zum Outsourcing in Heimen



der Datensicherheit in Heimen

9.4.8 Betriebs-/Dienstanweisung zum Datenschutz in Heimen

1.1 Seite 18 Inhalt

02/17

9.4.9 Heim-Archivordnung

9.4.10 Mängelschwerpunkte im Rahmen von Datenschutzprüfungen durch

die Aufsichtsbehörden

9.4.11 Schulungsunterlagen zum Datenschutz und zur Datensicherheit in

Heimen

9.4.12 Verfahrensverzeichnis und Verfahrensbeschreibung

9.4.13 Benotung von Pflegeheimen und Veröffentlichung im Internet

9.5 Datenschutz in der Telemedizin

9.5.1 Rechtliche Voraussetzungen

9.5.2 Gewährleistung der Datensicherheit

9.5.3 Auslagerung der Datenverarbeitung

9.5.4 Anforderungen an Medizinnetze

9.6 Arzneimittelgesetz und zur Arzneimittelprüfung

9.6.1 Datenschutzrechtliche Aspekte im Rahmen einer Arzneimittel-

prüfung

9.6.2 Muster einer Einwilligungserklärung

9.6.2 Muster eines Merkblattes zur Abgabe einer Einwilligungserklärung

9.7 Gendiagnostikgesetz (GenDG)

9.7.1 Erläuterungen zum Gesetz über genetische Untersuchungen bei

Menschen (Gendiagnostikgesetz – GenDG)

9.7.2 Erläuterungen zu den wichtigsten Paragrafen des Gendiagnostik-

gesetzes

9.7.3 Datenschutzrechtliche Bewertung durch die Datenschutzbeauftrag-

ten des Bundes und der Länder

Inhalt 1.1 Seite 19

02/17

Inhaltsverzeichnis Neues Bundesdatenschutzgesetz in ... · 5.1.6.3.1 Checkliste Zutrittskontrolle...

Documents

Transcript of Inhaltsverzeichnis Neues Bundesdatenschutzgesetz in ... · 5.1.6.3.1 Checkliste Zutrittskontrolle...