Datenschutznovelle II Die Auswirkungen für Pflegeeinrichtungen Thomas Althammer, 22. Mai 2012 Altenheim-Rechtstag - Vincentz Network
Datenschutznovelle II
Die Auswirkungen für Pflegeeinrichtungen
Thomas Althammer, 22. Mai 2012
Altenheim-Rechtstag - Vincentz Network
2 © Althammer IT-Beratung
Entwicklung von Datenschutzauflagen
Datenschutz-Auflagen werden sich
verschärfen 86,0%
Datenschutz-Auflagen werden sich
nicht verschärfen 14,0%
Meinung von Leitungskräften zur Entwicklung von Datenschutzauflagen in der Zukunft (n=207)
Quelle: Studie „Mehr schlecht als Recht“, März 2012
3 © Althammer IT-Beratung
Ergebnis Umfrage Datenschutzbeauftragter
6,2%
14,3%
27,5%
51,9%
weiß nicht
nein
ja, extern
ja, intern
Quelle: Studie „Mehr schlecht als Recht“, März 2012
Angaben zur Benennung eines Datenschutzbeauftragten in der Einrichtung (n=258)
4 © Althammer IT-Beratung
Ergebnis Umfrage Datenschutzkontrollen
13,0%
84,0%
1,3% (3 Fälle)
1,7% (4 Fälle)
weiß nicht
noch keine Überprüfung
Überprüfung vor Ort
Schriftliche Anfragen
Stand der externen Kontrollen in Pflegeeinrichtungen durch Aufsichtsbehörden (n=231)
Quelle: Studie „Mehr schlecht als Recht“, März 2012
5 © Althammer IT-Beratung
Agenda
> Warum Datenschutz?
> Neuerungen beim Datenschutz – die Novelle II • Adresshandel und Werbung (§28 Abs. 1-5 BDSG)
• Beschäftigtendatenschutz (§32 BDSG)
• Informationspflicht bei Datenschutzverstößen (§42a BDSG)
• Gestärkte Datenschutzkontrolle (§4f Abs. 3 und §38 Abs. 5 BDSG)
> Ausblick • Orientierungshilfe KIS?
• EU-Datenschutzverordnung
6 © Althammer IT-Beratung
Warum Datenschutz?
> Beispiel Hamburg, 30.03.2012
• Sensible Unterlagen falsch entsorgt
• Etliche Patientenakten landen im Sperrmüll
> Konsequenzen?
• Keine rechtlichen Schritte
• Immaterieller Schaden: Berichterstattung in der Presse (taz, Abendblatt)
7 © Althammer IT-Beratung
Datenschutz-Probleme 2.0
> Patientendaten bei Facebook
• 2011 tauchten verstärkt Daten in sozialen Netzwerken auf
• Ursache Adressbuch-Import – „Freunde-Finder“
> Rendsburg, 04.11.2011
• Datenleck bei mehreren sozialen Diensten
• Pflegedokumentation selbst nicht, aber viele sensible Dokumente waren frei zugänglich
8 © Althammer IT-Beratung
Ungeahnte Offenheit
> Datenschleuder Smartphone
• 20% der iPhone-Apps greifen auf das Adressbuch zu
• Teilweise werden ganze Telefonbücher „verschickt“ – Beispiel „WhatsApp“ oder Werbenetzwerke
> Konsequenzen?
• Möglicher Datenverlust, ungewollte Übertragung
• Verstoß gegen Bundesdatenschutzgesetz (Auftragsdatenverarbeitung?, Drittstaaten?)
Geänderte Auflagen – die Novelle II in der Praxis
10 © Althammer IT-Beratung
Adresshandel und Werbung (§ 28 Abs. 1-5 BDSG)
> Datennutzung zu Werbezwecken stark eingeschränkt
• Zwecke der Datenerhebung sind konkret festzulegen (Abs. 1)
> Briefwerbung zulässig für
• Bestandskunden (Listendaten + Zuspeicherung)
• Allgemein zugängliche Verzeichnisse
• B2B oder Spendenwerbung
11 © Althammer IT-Beratung
Telefon-/E-Mail-Werbung (§ 7 UWG)
> Werbung per Telefon, E-Mail oder Fax an Verbraucher
• Vorherige ausdrückliche Einwilligung nötig
• Bei Verstoß Bußgelder bis 50.000 EUR
• Rufnummernunterdrückung
> Einwilligung bedarf in der Regel der Schriftform
• Drucktechnisch hervorzuheben
• Alternativ schriftliche Bestätigung bei fehlender Schriftform
12 © Althammer IT-Beratung
Empfehlung zum Belegungsmanagement
> Datenschutzkonforme Verfahrensweise
• Bei Mittler/Multiplikatoren (B2B) gilt mutmaßliche Einwilligung
• Interessenten und Angehörige: Einwilligungserklärung unterschreiben lassen
• Erläuterungen zur Datenschutzerklärung (Zwecke angeben)
• Separate „Kreuzchen“ für Brief, Telefon, E-Mail
> Übergangsfrist 31.08.2012
• Vorhandene Datenbanken prüfen, nachträgliche Einwilligung einholen!
13 © Althammer IT-Beratung
Beschäftigtendatenschutz (§32 BDSG)
> Mit Datenschutznovelle II in 2009 gestärkt
• Datenerhebung zum Beschäftigtenverhältnis definiert
• Enge Grenzen bei Verdacht auf Diebstahl oder Korruption (Videoüberwachung?)
• „Großer Wurf“ zum Beschäftigtendatenschutz noch in Vorbereitung
> Umgang mit Bewerberdaten
• Speicherung zulässig nach §32 BDSG bis Stelle besetzt ist
• 2-4 Monate Aufbewahrung nach Auswahl ( AGG-Ansprüche!)
• Aufbewahrung bis Ende Rechtsstreit bei anhängiger Klage
14 © Althammer IT-Beratung
Umgang mit Bewerberdaten
> Interne Richtlinien definieren
• Problembereich E-Mail-Konten/lokale Archivierung
• Werden die Daten überall und vollständig gelöscht?
> Aufbewahrung für zukünftige Ausschreibungen
• Explizite Einwilligung einholen (Opt-in)
15 © Althammer IT-Beratung
Informationspflichten (§42a BDSG)
> Datenschutzpannen bei
• Übermittlung (Weitergabe oder Verlust) oder
• unrechtmäßige Kenntniserlangung (Einsicht oder Abruf)
> Betrifft folgende Arten
• Personenbezogene Daten oder ein Berufsgeheimnis betreffend
• Telemediengesetz (§ 15a TMG: Internet-/E-Mail-Nutzung)
• Telekommunikationsgesetz (§93 Abs. 3 TKG: Telefonnutzung)
16 © Althammer IT-Beratung
Konsequenzen und Praxisbeispiel
> Unverzügliche Mitteilung
• Information an Betroffene
• Alternativ bundesweite Inserate ;-)
• Bußgelder bis 300.000 EUR
> Problemfelder in der Pflege
• Wartung von Hard- und Software-Systemen
• Wartung von Telefonanlagen/Lichtrufsystemen
• Ohne Vereinbarung nicht rechtmäßig!
17 © Althammer IT-Beratung
> Einrichtung
> ADV-Vertrag
Lösung durch Auftragsdatenverarbeitung
> Dienstleister
„Verantwortliche Stelle“ im Sinne des BDSG
„Dritter“ im Sinne des BDSG
„Verantwortliche Stelle“ im Sinne des BDSG
Kein „Dritter“ mehr im Sinne des BDSG
18 © Althammer IT-Beratung
Beispiele für Auftragsdatenverarbeitung
> Hard- und Software-Lieferanten
> Website-Hoster, Google Analytics
> Rechenzentrum (Outsourcing) – Cloud Computing auch als Konzernmutter-/Tochter
> Steuerberater oder Lohnbüro
> Kopierer-Wartungsunternehmen
> Entsorgung Papierdokumente
> Entsorgung Computer
Was uns erwartet – der Blick über den Tellerrand
20 © Althammer IT-Beratung
Orientierungshilfe KIS
> Für Kliniken seit 2011 bundesweit verbindliche Vorgaben • Rund 200 normative und technische Forderungen
an Hersteller und Betreiber von Krankenhausinformationssystemen
• Datenschutz: Anspruch vs. Realität?
> Könnte das der Vorreiter für eine „Orientierungshilfe Pflegedokumentation“ sein?
> Maßnahmen • Auseinandersetzung mit den Themen
• Vorhandene Systeme kritisch prüfen
• Lücken definieren und klären
21 © Althammer IT-Beratung
Ausblick EU-Datenschutzverordnung
> Verordnung – keine Richtlinie!
• Bindend für alle Mitgliedsstaaten
• vermutlich ab 2014 oder 2015
> Einige geplante Regelungen…
• Recht auf Vergessen im Internet
• Einführung von Umsatz-abhängigen Bußgeldern
• Einwilligung in Datenverarbeitung wird verschärft
• Regelungen zur Übermittlung an Drittstaaten, insbesondere USA (Stichwort „Safe Harbour“)
22 © Althammer IT-Beratung
Zusammenfassung und Ausblick
> Aktuelle Rechtslage verlangt Umdenken
• Umsetzungsgrad Datenschutz prüfen
• Neue rechtliche Vorgaben berücksichtigen
• Andernfalls drohen empfindliche Strafen
> IT-Compliance strategisch angehen
• Datenschutz ist nicht käuflich
• „Privacy by Design“
• „Security by Design“
23 © Althammer IT-Beratung
Studie Datenschutz in der Pflege
> Befragung von 295 Leitungskräften stationärer Einrichtungen
> Veröffentlicht im März 2012
Erhältlich unter
> www.althammer-it.de
Vielen Dank.
Thomas Althammer [email protected]
T. 05139/9739739-0
Strategie & Risikomanagement
Datenschutz & Datensicherheit
Software-Design