Mein Name ist Ingo Goblirsch.

Ich "brenne" für Datenschutz und Informationssicherheit.
Lesen Sie meinen Blog, dann glauben Sie mir das.
Externer Datenschutzbeauftragter aus Aachen - Ingo Goblirsch LL.M.

Datenschutz-Aufsichtsbehörden: Konzentierte Aktion gegen Fanpages angekündigt

Datenschutzaufsichtsbehörden gehen gegen Betreiber von Fanpages vor
Datenschutzaufsichtsbehörden gehen gegen Betreiber von Fanpages vor

Etwas untergegangen ist eine Aussage des Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, auf der Jahreskonferenz der Wettbewerbszentrale.

Aus Sicht von Herr Kranig ist es "derzeit gar nicht möglich, eine Facebook-Fanpage DSGVO-konform zu betreiben". Und gleichzeitig kündigt er an, dass in einer konzentrierten Aktion fünf bis sechs Datenschutz-Aufsichtsbehörden Verfahren gegen Unternehmen eröffnen, die eine Facebook Fanpage betreiben.

Weiterlesen ...

Datenschutz am Arbeitsplatz - Arbeit der Datenschutz-Aufsichtsbehörde in NRW

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Nachdem der erste Teil der Darstellung der Arbeit von Datenschutz-Aufsichtsbehörden den Beginn des Berichts der Landesbeauftragten für Datenschutz und Informationsfreiheit von NRW vom 24.05.2019 thematisierte und der zweite Teil praxisnahe Beispiele der Arbeit zeigte, folgen nun die Aussagen der Behörde zu Datenschutz am Arbeitsplatz.
 
Der Teil des Berichts beginnt mit Aussagen zur Einführung einer digitalisierten Personalakten in der Landesverwaltung NRW. Die dort aufgeführten nicht-funktionalen Anforderungen an den Datenschutz und die Informationssicherheit sind rudimentär und kratzen lediglich an der Oberfläche. Inhaltliche Ergänzungen zu einem Einführungs- bzw. Migrationsprojekt eines Personalsystems sollten Projektleiter oder Sponsoren solcher Maßnahmen hier nicht erwarten.
 
Weiterlesen ...

Praxis-Teil - Arbeit der Datenschutz-Aufsichtsbehörde in NRW

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Nachdem der erste Blog-Artikel die allgemeine Arbeit der Datenschutz-Aufsichtsbehörde NRW auf Basis ihres Berichts vom 24.05.2019 thematisierte, geht es nun ans Eingemachte: Ab Seite 47 äußert sich die Behörde zu Internas ihrer Arbeit.
 
Abschnitt 4 des Berichts beginnt mit Aussagen zu Fahrerbewertungsportalen, bei denen das Verhalten von Privatpersonen im Internet bewertet werden (konnte). Ganze drei Jahre hat es gedauert, bis die Behörde die datenschutzkonforme Verarbeitung personenbezogener Daten auf dem entsprechenden Internetportal durchsetzen konnte. Übrigens wird das betroffene Portal selbst seitdem kaum noch genutzt, denn die Denunzierung von Fahrerinnen und Fahrern bietet sie nicht mehr als Funktionalität.
 
Weiterlesen ...

Arbeit der Datenschutz-Aufsichtsbehörde in NRW (Einführung)

Arbeit der Datenschutz-Aufsichtsbehörden.
Arbeit der Datenschutz-Aufsichtsbehörden.
Der Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit von NRW wurde am 24.05.2019 veröffentlicht. Darin enthalten ist die Zusammenfassung der behördlichen Arbeit von zwei Jahren. Es sind jedoch nicht irgendwelche zwei Jahre. Es sind die 1,5 Jahre vor und das halbe Jahr nach dem Wirksamwerden der EU-Datenschutz-Grundverordnung, spricht der Zeitraum der Jahre 2017-2018.
 
Das ist der erste gute Grund, wieso die 145 Seiten des 24. Datenschutz-und Informationsfreiheitsbericht lesenswert sind. Der zweite Grund ist, dass jede Datenschutzaufsichtsbehörde in ihren Berichten praxisnahe Beispiele ihrer Arbeit erläutert, spricht: Wie tickt die Behörde, wenn man mit ihr zu tun hätte. Damit Sie sich nicht durch die 145 Seiten durchzwängen müssen, erhalten Sie im Folgenden einen Auszug wichtiger Aussagen des Berichts.
Weiterlesen ...

Keine Abschaffung der Beauftragten für Datenschutz - Entschließung der Datenschutz-Konferenz

Keine Abschaffung der Datenschutzbeauftragten
Keine Abschaffung der Datenschutzbeauftragten

Im Rahmen der 97. Datenschutzkonferenz vom 03.04.-04.04.2019 der unabhängigen Datenschutzbehörden haben sich die Teilnehmer - alles Datenschutzbeauftragte des Bundes oder der Länder - positiv über die weitere Relevanz von Datenschutzbeauftragten geäußert.

Dies werte ich als klares Signal an die Politik. Es ist für mich eine direkte Reaktion auf die Vorschläge aus dem Bundeswirtschaftsministerium und auf die Initiative von Baden-Württemberg und Bayern im Bundesrat. Diese politischen Vorhaben waren natürlich damals dem Landtagswahlkämpfen geschuldet, trotzdem finde ich es gut, dass sich die Datenschutzkonferenz deutlich dagegen stellt. Wenn die Politik den Datenschutzbeauftragten für KMU oder Vereine abschaffen will, dann sollte sie im selben Atemzug die DSGVO für diese Veranwortlichen der Datenverarbeitung ebenfalls abschaffen. Dies wäre nur konsequent, denn ohne Datenschutzbeauftragte gibt es nunmal keinen angemessenen Datenschutz. Woher sollte der auch kommen?!? Die Abschaffung von Datenschutzbeauftragten für KMU und Vereine (die übrigens aktuell nirgends mehr auf der Agenda steht) würde nicht nur mittelfristig (wie das DSK behauptet) sondern sofort Schaden anrichten.

Die Einschätzung der Datenschutzkonferenz, dass es ohne Datenschutzbeauftragte nicht geht, zeigt sich auch in der täglichen Arbeit. Nur im Datenschutz und der Informationssicherheit ausgebildete Personen können Unternehmen dabei helfen, Haftungsrisiken zu vermeiden und datenschutzform personenbezogene Daten zu verarbeiten.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Viele Grüße aus Bad Aachen.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen

Datenschutz-Basics für Ärzte: Datenschutz-Prinzipien

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Datenschutzprinzipien"

Sie wissen nun was personenbezogene Daten sind, Sie kennen die für die Verarbeitung dieser Daten notwendigen Rechtsgrundlagen. In einem nächsten Schritt geht es darum zu erfahren, nicht welche Daten Sie verarbeiten und ob Sie die Daten verarbeiten dürfen, sondern wie die Verarbeitung der Daten durchzuführen ist. Dieses wie der Datenverarbeitung wird mit dem Begriff „Grundprinzipien der Verarbeitung personenbezogener Daten“ beschrieben.

Weiterlesen ...

Datenschutz-Basics für Ärzte: Rechtsgrundlage der Verarbeitung

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Rechtsgrundlage der Verarbeitung"

Wenn Sie nun personenbezogene Daten verarbeiten möchten, benötigen Sie dafür eine Rechtsgrundlage. Es gibt sechs verschiedene Rechtsgrundlage, die in Frage kommen können. Die wichtigsten Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten in Arztpraxen sind der Vertrag und das Gesetz.

Weiterlesen ...

Datenschutz-Basics für Ärzte: Personenbezogene Daten

Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Personenbezogene Daten"

Der Unterschied zwischen personenbezogenen Daten und nicht personenbezogenen Daten ist einfach zu verstehen. Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet werden können, sind personenbezogen.

Etwas schwieriger ist die Sache, wenn sich Daten nicht direkt auf eine Person beziehen, jedoch der Personenbezug herleitbar ist. Dies kann dadurch sein, dass zu der Kombination aus Vor- und Nachname noch das Geburtsdatum kommt – dann wird aus einem einigermaßen anonymen Hans Müller der Hans Müller, der am 03.05.1962 geboren wurde. Diese Daten nennt man in Kombination personenbeziehbar und sie sind damit genauso schützenswert wie personenbezogene Daten.

Weiterlesen ...

Neues von den Aufsichtsbehörden: Nutzung von Mircosoft-Cloudprodukten (O365, Azure AD etc.) datenschutzform möglich

Datenschutzkonforme (DSGVO) Nutzung von Microsoft Cloud-Diensten
Datenschutzkonforme (DSGVO) Nutzung von Microsoft Cloud-Diensten
Es kann nicht hoch genug geschätzt werden, was die Konferenz der Datenschutzbeauftragten in der Evangelische Kirche in Deutschland (EKD) zur Nutzung von Microsoft-Clouddiensten erlassen haben.
 
Die EKD spricht sich für eine Nutzung von Microsoft-Clouddiensten aus - unter bestimmten Voraussetzungen. Eine gute Nachricht für alle Schülerinnen und Schüler sowie den Digitalpakt in Deutschland.
 
Die EKD macht die Nutzung von Microsoft Clouddiensten von vier Voraussetzungen abhängig:
  • Hold-your-own-key (HYOK)-Technologie wird eingesetzt
  • Telemetrie-Daten werden nicht an Microsoft gesandt (TOM)
  • Microsoft bietet eine Vereinbarung zur Auftragsverarbeitung nach § 30 Abs. 5 EKD (AVV) an. Damit unterwirft sich Microsoft auch der Kirchlichen Datenschutzaufsicht.
  • Durchführung einer Datenschutz-Folgenabschätzung vor Einsatz von Microsoft Clouddiensten
Weiterlesen ...

Neues von den Aufsichtsbehörden: Orientierungshilfe für Anbieter von Telemedien (2019)

Telemedien und DSGVO
Telemedien und DSGVO
Um das hier zu besprechende Dokument "Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" besser einordnen zu können, müssen wir in die datenschutzrechtliche Historie absteigen. Damals, nach Internet-Zeitmessung vor langer Zeit, am 26. April 2018 hat die Datenschutzkonferenz eine "Positionsbestimmung zur Anwendbarkeit des TMG für nicht-öffentliche Stellen" veröffentlicht. Die Positionsbestimmung kam, kurz vor Wirksamwerden der DSGVO, zu einer Unzeit, weil sie der Nutzung von Tracking-Tools (Google Analytics, Facebook Pixel etc.) eine Abfuhr erteilten. Entsprechend waren die Reaktionen im Netz:
  • "Die Konsequenz, welche die Aufsichtsbehörden hieraus ziehen, dürfte für Wirbel sorgen.", schrieb der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
  • "Die Bewertung der Rechtslage (...) durch die Datenschutzkonferenz (DSK) (...) knapp einen Monat vor Anwendbarkeit der DS-GVO ist (...) weder zutreffend noch hilfreich.", schrieb der Bitkom - Bundesverband Informationswirtschaft,Telekommunikation und neue Medien e.V.
  • Andere Autoren witterten durch die damalige Positionsbestimmung Futter für die Abmahnindustrie - Abmahnungen im großen Stil sind jedoch glücklicherweise ausgeblieben.
  • Dr. Stefan Hanloser, veröffentlichte am 30.04.2018 noch den wertvollen Hinweis, dass die Positionsbestimmung "keine Entschließung" ist, im Hinblick auf die rechtliche Einordnung der Aussagen des Datenschutzkonferenz.

Doch nun haben die Aufsichtsbehörden nachgeliefert und aus der Positionsbestimmung eine Orientierungshilfe gemacht. Auch eine Orientierungshife ist keine Entschließung. Sie aus diesem Grund jedoch weiterhin zu ignorieren wäre jedoch die falsche Reaktion.

Weiterlesen ...

Die Hambacher Erklärung zur Künstlichen Intelligenz der Datenschutz-Konferenz

Künstliche Intelligenz und DSGVO

Im Nachgang zur 97. Datenschutzkonferenz vom 03.04.-04.04.2019 der unabhängigen Datenschutzbehörden des Bundes und der Länder wurden mehrere Dokumente veröffentlicht. Eines dieser Dokumente verdient eine detaillierte Beschäftigung.

Es ist die Entschließung "Hambacher Erklärung zur Künstlichen Intelligenz".

Die Hambacher Erklärung zur Künstlichen Intelligenz (KI) postuliert sieben datenschutzrechtliche Anforderungen für den Einsatz von KI. Vorab wird die Relevanz von Datenschutz beim Einsatz von KI/AI (kann das mal bitte einer legal definieren) festgemacht. Dann folgen die sieben Anforderungen.
  1. KI darf Menschen nicht zum Objekt machen
  2. KI darf nur für verfassungsrechtlich legitimierte Zwecke eingesetzt werden und das Zweckbindungsgebot nicht aufheben Weiterlesen ...

    Umsetzung der DSGVO: Der Druck durch Bußgelder von Aufsichtsbehörden und Abmahnungen von "Verbänden" wächst

    Seit Einführung der DSGVO habe ich immer vermieden, eine Drohkulisse aufzubauen. Deswegen habe ich die Thematiken Bußgelder, Abmahnungen und Beschwerden bei Aufsichtsbehörden nie über Gebühr strapaziert. In der letzten Zeit häufen sich jedoch die Meldungen und Hinweise, dass sich Fehler im Datenschutz nicht mehr lohnen.

    Beginnen wir mir dem jüngst veröffentlichten Tätigkeitsbericht des BayLDA, 145 Seiten, vom 22.03.2019:

    • Umfangreiche Datenschutzkontrollen durch das BayLDA.
    • Keine Beratung mehr durch das BayLDA, nur noch Kontrolle und Aufsicht.
    • 3643 Beschwerden beim BayLDA in 2018 (+ 216%).
    • 9212 Beratungen in 2018 (aus Personalmangel werden Beratungen eingestellt).
    • 2471 Datenschutzverletzungen in 2018 (+ 1817%).
    • 216 Bußgeldverfahren im Berichtszeitraum 2017/2018.

    Die Menge an Beschwerden (30 pro Tag) zeigt auch,

    Weiterlesen ...

    Paukenschlag: Windows 10 nicht datenschutz-konform betreibbar - Microsoft Telemetrie und Diagnose-Daten („diagnostic data“) im Fokus

    Kennen Sie Sisyphus? Die Figur aus der griechischen Mythologie? Kennen Sie nicht wirklich…? Ist auch nicht schlimm!

    Kennen Sie denn „SiSyPHuS Win10“? Die „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ vom Bundesamt für Sicherheit in der Informationstechnik? Falls nicht, sollten Sie sich damit beschäftigen. Denn was mit „SySyPHuS Win10“ auf die Windows-Welt zurollt, wird für Systemadministratoren und IT-Systemhäuser eine Menge Arbeit mit sich bringen.

    Denn für Anfang April des Jahres 2019 ist durch die Datenschutzkonferenz der Länder eine datenschutzrechtliche Bewertung zu Windows 10 Telemetrie angekündigt. Diese kommt (nach eigenen Informationen) zu dem Ergebnis, dass Windows 10 ohne zusätzliche Maßnahmen nicht datenschutzkonform betrieben werden kann. Merken Sie sich also den 3.-4. April 2019 an dem die 97. Datenschutzkonferenz stattfindet.

    Weiterlesen ...

    Serie „Aus gegebenem Anlass“ – Auftragsverarbeiter, die keine sind

    Ich weiß nicht genau, woran es liegt. Aber von überall her kriege ich aktuell Anfragen zum Abschluss von Vereinbarungen zur Auftragsverarbeitung (AVV). Entweder kriegen meine Kunden diese von Auftragsverarbeitern (deren Auftragnehmer), die keine sind. Oder Auftraggeber – die keine „Verantwortlichen“ nach DSGVO sind – fordern von meinen Kunden den Abschluss einer AVV.

    Häufig sollen AVV abgeschlossen werden zu Tätigkeiten, die keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO sind. Bisher untergekommen sind mir die beauftragte Warenzusendung, Tätigkeiten von Berufsgeheimnisträgern, Materialuntersuchungen im Auftrag oder die Fertigung individueller medizinischer Produkte.

    Ein anderes Negativ-Beispiel sind AVV zu Tätigkeiten, die im Kern keine Verarbeitung personenbezogener Daten darstellen. Hier zielt der Auftrag auf eine andere Tätigkeit, wie z. B. Bewachungsdienstleistungen, vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten, Druck von Prospekten oder Katalogen mit Bildern von Beschäftigten oder Fotomodellen und sogar die Reinigung von Berufskleidung mit Namensschildern(!).

    Weiterlesen ...

    Datenschutz-Folgenabschätzung mit dem kostenlosen Werkzeug PIA - privacy impact assessment von CNIL (Teil 1)

    Mit dem kostenlosen Werkzeug PIA (privacy impact assessment) der französischen Datenschutz-Aufsichtsbehörde können Sie eine eine strukturierte und nachvollziehbar dokumentierte Datenschutz-Folgenabschätzung erstellen. In diesem Tutorial erläutere ich Ihnen Schritt-für-Schritt, wie Sie die Software bedienen und welche Inhalte Sie befüllen müssen.

    Zuerst laden Sie die Software runter und starten Sie das Programm. Ich empfehlen Ihnen zum Ausprobieren erstmal die Desktop-Version. Falls Sie einen unternehmensweiten Einsatz der Software planen, können Sie später immer noch eine Server-Version installieren. Die erstellten DSFA sind nachträglich in andere Installationen einfach importierbar.

    Weiterlesen ...

    Datenschutz im (Fußball-)Verein - Zusammenarbeit mit dem FVN und dem FVM

    Der Fußballverband Niederrhein und der Fußballverband Mittelrhein vertreten beide die Interessen von Fußballvereinen mit insgesamt über 750.000 Mitgliedern. Bei dieser Vielzahl von Betroffenen sind Fragen und der Bedarf an Lösungen zum Datenschutz vorprogrammiert. Insbesondere auch weil sehr viele Mitglieder der Fußballvereine minderjährig und damit nach der DSGVO besonders schutzwürdig sind.

    In diesem Zusammenhang organisieren beide Fußballverbände einen gemeinsamen Lizenz-Fortbildungslehrgang zum Vereinsmanager B. Neu dabei ist, dass darin auch die Aspekte "Datenschutz und Informationssicherheit im Verein" vermittelt werden. Ich bin stolz, dass mich sowohl der FVM als auch der FVN als Referenten zum Thema Datenschutz angefragt und gebucht haben.

    Weiterlesen ...

    Auftragsverarbeitung durch Dienstleister (AVV) - was Sie beachten müssen

    Der vom Hamburgischen Beauftragten für Datenschutz und Informationssicherheit verhängte Bußgeldbescheid über 5.000 Euro wegen einer Verarbeitung von Daten im Auftrag ohne entsprechende Vereinbarung zeigt einmal mehr, dass die Datenschutzaufsichtsbehörden es nun Ernst meinen. Allen voran Datenverarbeitungen im Auftrag ohne entsprechende Auftragsverarbeitungsvereinbarungen (AVV) scheinen bußgeldbewehrt zu sein. Dies ist ein Grund mehr, sich mit dieser Thematik zu beschäftigen.

    Weiterlesen ...

    Datenschutzerklärung bei der Nutzung von Google-Diensten (Maps, Analytics, ReCaptcha, usw.)

    Sicherlich gehören auch Sie zu den Personen, die im Jahr 2018 die Datenschutz-Erklärungen auf ihren Internetseiten angepasst haben. Darin enthalten sind sicherlich auch Hinweise zu Diensten von Google, also zum Beispiel Google WebFonts, Google Analytics, Google ReCaptcha, Google Maps, usw. Wenn dem so ist, kontrollieren Sie mal die Adresse des Verantwortlichen der Datenverarbeitung: Steht da was von Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA? Ja, dann sollten Sie das zum 22.01.2019 ändern. Denn ab dem Tag führt Google weitreichende Änderungen in der internen Organisation ein.

    Weiterlesen ...

    Datenschutz-Folgenabschätzung - Teil 2: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Muster (freie Software PIA von CNIL)

    Datenschutz-Folgenabschätzung - Teil 2: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Muster (freie Software PIA von CNIL)

    Im letzten Blog-Artikel habe ich die Voraussetzungen erläutert, welche die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO bedingen. Dazu gehörten Ausschlusskriterien (z. B. Whitelist), Zwangskriterien (den möglichen Eintrag in einer Blacklist) sowie die eigene Risikoanalyse in Form einer die Schwellwertanalyse. Wenn Sie nach all diesen Punkten zu dem Ergebnis gekommen sind, dass Sie eine Datenschutz-Folgenabschätzung für den konkreten Verarbeitungsvorgang durchführen müssen, sollten Sie jetzt weiterlesen...

    Weiterlesen ...

    Datenschutz-Folgenabschätzung - Teil 1: Datenschutzrechtliche Anforderungen, Whitelist, Blacklist und Muster-Prüfschema

    Datenschutz-Folgenabschätzung - Teil 1: Datenschutzrechtliche Anforderungen, Whitelist, Blacklist und Muster-Prüfschema

    Den Begriff Datenschutz-Folgenabschätzung (DSFA) habe ich in der Vergangenheit in den Blogartikeln Datenschutzanforderungen bei Videoüberwachung und WhatsApp-Business datenschutzkonform einsetzen wie selbstverständlich verwendet. Dabei ist eine Datenschutz-Folgenabschätzung alles andere als selbsterklärend: Sie ist ein wirkungsvolles Werkzeug, um vor der Verarbeitung personenbezogener Daten effektive und effiziente technisch-organisatorische Maßnahmen auszuwählen, welche die Rechte und Freiheiten natürlicher, betroffener Personen schützen. Aber der Reihe nach…

    Weiterlesen ...

    Datenschutz-Anforderungen bei Videoüberwachung: Über Schilder, Hinweispflicht, Bußgeld und Datenschutz-Folgenabschätzung

    Videoüberwachung – Jetzt übertreiben die Datenschützer aber!

    Wir schreiben den 15.12.2018 - in etwas mehr als einer Woche ist Weihnachten. Sicherlich nicht der ideale Zeitpunkt, um sich mit Datenschutzanforderungen bei Videoüberwachung zu beschäftigen. Eigentlich sollte ich an diesem Samstag in der Aachener Innenstadt sein und die letzten Geschenke einkaufen. Doch auch dort verfolgt mich die DSGVO in Form von Videokameras. Ich erwische mich regelmäßig dabei, wie ich die neuen Informationsschilder bei den Videokameras durchlese und die Welt um mich herum vergesse...

    Weiterlesen ...

    Blogserie Datenschutz in der Arztpraxis - Teil 4: Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter

    Verzeichnis von Verarbeitungstätigkeiten und Auftragsverarbeiter – Vorbereitet sein auf den Ernstfall

    Das Verzeichnis von Verarbeitungstätigkeiten und der Umgang mit Auftragsverarbeitern sind nicht wegzuredende Anforderungen der EU-Datenschutz-Grundverordnung. Diesen Anforderungen müssen sich alle Unternehmen (nicht nur Ärzte), die personenbezogene Daten verarbeiten oder verarbeiten lassen, stellen.

    Weiterlesen ...

    Blogserie Datenschutz in der Arztpraxis - Teil 3: Datenschutz bei Mitarbeiterinnen und Mitarbeitern

    Datenschutz bei Mitarbeiterinnen und Mitarbeitern – Datenschutz kann nur von Innen gelebt werden

    Neben Patientinnen und Patienten gehören auch Mitarbeiterinnen und Mitarbeiter von Arztpraxen zu den betroffenen Personen, deren personenbezogenen Daten zu schützen sind. Hinzu kommt, dass die Praxismitarbeiter die Gesundheitsdaten der Patienten verarbeiten und dabei die Datenschutzgrundsätze, welche der Arzt als Verantwortlicher nach DSGVO für seine Praxis vorgegeben hat, einhalten müssen. Diesen Beitrag teile ich in zwei Kapitel:

    1. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Mitarbeitern
    2. Anforderungen zu Datenschutz bei der Verarbeitung personenbezogener Daten von Bewerbern
    Weiterlesen ...

    Datenschutzprüfungen bei Ärzten - Fragebogen Verschlüsselungstrojaner (Ransomware) in Arztpraxen

    In einer Pressemitteilung hat das Bayerische Landesamt für Datenschutzaufsicht darauf aufmerksam gemacht, dass Sie nun Datenschutzprüfungen bei Unternehmen durchführt.

    Eine der ersten Verantwortlichen, bei denen eine Prüfung durchgeführt wird, sind Arztpraxen. Dort werden mit Hilfe eines "Fragebogen Verschlüsselungstrojaner (Ransomware) in Arztpraxen" folgende Aspekte abgefragt:

    Weiterlesen ...

    OLG Hamburg: Verstöße gegen die DSGVO können durch Mitbewerber abgemahnt werden!

    Worum geht es?

    Unternehmen, die sich nicht datenschutzkonform verhalten, haben vier Dinge zu befürchten: Reputationsschäden, Bußgelder, immaterielle Schadensersatzforderungen und - im Hinblick auf die nun getroffenen Urteile - auch Abmahnkosten aufgrund klagender Mitbewerber.

    Denn sowohl das OLG Hamburg[1] als auch das LG Würzburg[2] haben entschieden, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen und diese durch Mitbewerber abgemahnt werden können. Leider begründet das LG Würzburg nicht, wie sie zu der Ansicht kommen, dass Verstöße gegen die DSGVO auch Verstöße gegen Marktverhaltensregeln nach dem UWG darstellen. Andererseits hat sich das OLG Hamburg hierzu im Detail geäußert.

    Weiterlesen ...

    Podcast: Accountability nach EU-DSGVO

    Im Rahmen eines Vortrags bei den Versicherungsforen/Softwareforen Leipzig habe ich mich mit dem Geschäftsführer Dr. André Köhler darüber unterhalten, wie man die bestehenden Kontrollsysteme eines Unternehmens mit der Rechenschaftspflicht durch die DSGVO abstimmt.

    Weiterlesen ...

    Blogserie Datenschutz in der Arztpraxis - Teil 2: Patienteneinwilligung und -information

    Patienteneinwilligung und Patienteninformation - es kommt auf die Details an

    Es gibt nicht viele neue Aspekte, welche mit der EU-Datenschutz-Grundverordnung eingeführt wurden. Ein wesentlicher Punkt ist jedoch die Informationspflicht vor der Erhebung von personenbezogenen Daten (nach Art. 13 DSGVO) der Ärzte gegenüber Patienten. Diese Informationspflicht besteht nicht nur bei Ärzten und sie besteht gegenüber alle „Kategorien betroffener Personen“ - also nicht nur gegenüber Patienten. Sie besteht auch gegenüber Nutzer Ihres Internetauftritts oder gegenüber ihren Mitarbeitern.

    Mein Blogartikel ist in zwei Teile gesplittet: Erstens die reine Information über Patienteneinwilligung und Patienteninformation (Was ist zu tun?) und zweitens eine persönliche, kritische Auseinandersetzung mit den Informationspflichten und den Reaktionen verschiedener Stakeholder (Was ist passiert?).

    Weiterlesen ...

    Blogserie Datenschutz in der Arztpraxis - Teil 1: Datenschutz für Ihre Praxis-Webseite

    Datenschutz für Ihre Praxis-Webseite – mehr als nur ein Muster aus dem Generator

    Ich wage eine kühne Behauptung: Annähernd jede Webseite (einer Arztpraxis) ist abmahnfähig. Sei es wegen Cookies, Google Analytics, fehlendem SSL, der fehlenden Information beim Formular bzw. den Stellenanzeigen oder wegen des falschen Verweises zur Datenschutzerklärung nach dem letzten Update … überall kann sich noch ein Fehler eingeschlichen haben oder unerkannt geblieben sein.

    Es reicht nicht aus, die Datenschutzerklärung durch einen Generator erzeugen zu lassen und am Ende zu hoffen, dass Ihre Webagentur oder die Kassenärztliche Vereinigung (von denen haben Sie ja die Vorlage für die Datenschutzerklärung) für die Abmahnung aufkommt. Denn die Webseite ist die Visitenkarte Ihrer Arztpraxis und es soll nicht das Eldorado von Abmahnanwälten werden. Deswegen sollte der Datenschutz für die Webseite Ihrer Arztpraxis auch mit der höchsten Priorität angegangen werden. Sie glauben, Ihre Webagentur hat das schon erledigt? Na, dann müssen Sie ja nicht weiterlesen…

    Weiterlesen ...

    Datenschutz in der Arztpraxis - Ankündigung unserer Blog-Serie

    Datenschutz in der Arztpraxis umzusetzen scheint auf den ersten Blick komplex zu sein, denn

    1. die Verarbeitung personenbezogener Daten in der Arztpraxis ist umfangreich (Tausende Patienten, Mitarbeiter, etc.),
    2. es werden besonders sensiblen Gesundheitsdaten verarbeitet und
    3. die gesetzlichen und regulatorischen Vorgaben (BO, BGB, RöV, StrSchV, TFG) sind vielfältig (und nicht immer zueinander widerspruchsfrei).

    Strukturiert und inhaltlich richtig angepackt ist es jedoch machbar, ein angemessenes Datenschutzniveau in der eigenen Arztpraxis zu etablieren.

    Weiterlesen ...

    Was Sie mit dem Fax der Datenschutzauskunft-Zentrale am besten machen sollten

    Möglicherweise erreicht Sie in den nächsten Tagen ein Fax der Datenschutzauskunft-Zentrale. Beliebte Adressaten des Fax sind Freiberufler wie Ärzte, Physiotherapeuten etc.

    Weiterlesen ...

    Datenschutz-Anforderungen bei Formularen auf Internetseiten

    Kontaktformulare sind auf vielen Internetseiten implementiert. Über diese können Besucher der Seiten mit dem jeweiligen Betreiber in Kontakt treten. Leider erfüllen immer noch viele Kontaktformulare nicht die wichtigsten datenschutzrechtlichen Anforderungen. Aus diesem Grund stelle ich im Folgenden die wichtigsten Aspekte[1] vor, die aus datenschutzrechtlicher Sicht bei Kontaktformularen zu beachten sind. Darüber hinaus stelle ich Lösungen vor, um die Formulare datenschutzkonform zu gestalten.

    Weiterlesen ...

    Referentenentwurf des Gesetzes zur Stärkung des fairen Wettbewerbs

    Auch wenn die große Abmahnwelle zur DSGVO ausgeblieben ist, macht dieser Referentenentwurf aus dem SPD-geführten Justizministerium Sinn: "Gesetz zur Stärkung des fairen Wettbewerbs". Der vorliegende Referentenentwurf führt in den Fällen eine Abmahnbremse ein, in denen Verstöße "in nur unerheblichem Maße" die Interessen der anderen Marktteilnehmer beeinträchtigt. Prima, könnte man meinen.

    Weiterlesen ...

    WhatsApp-Business datenschutzkonform einsetzen

    WhatsApp ist der erfolgreichste Messengerdienst weltweit. Was liegt da näher als WhatsApp auch im geschäftlichen Umfeld zu nutzen. Im folgenden Artikel gehe ich auf die datenschutzrechtlichen Voraussetzungen zur Nutzung von Whatsapp-Business im geschäftlichen Umfeld ein. Dabei werde ich eine Lösung vorstellen, welche in den meisten Fällen betrieblich anwendbar ist. Diese bietet Ihnen Antworten auf die drei kritischsten rechtlichen Probleme bei Einsatz von WhatsApp-Business:

    • Vorheriges Einholen einer Einwilligung zur Kommunikation
    • Nachkommen der Informationspflichten
    • Separate Verwaltung der Kontaktdaten
    Weiterlesen ...

    Top 10 der Quick Wins zu „Datenschutz im Verein“

    Seit ich denken kann bin ich in Vereinen unterwegs: Erst war es der St. Katharina Schützen Aachen-Forst 1700 e.V., dann der Burtscheider Turnerbund Aachen 1908 e.V. und aktuell bin ich Mitglied im FC Inde Hahn e.V.

    Umso wichtiger ist mir „Datenschutz im Verein“. Als Referent für Datenschutz beim Fußballverband Mittelrhein habe ich schon einige Vorträge dazu gehalten und Diskussionen mit Vereinsvorständen und-managern geführt. Alle Vereine haben dieselben Probleme und stecken in der gleichen Unsicherheit in Bezug auf die EU Datenschutz-Grundverordnung fest.

    Weiterlesen ...

    Really 100 days to GDPR?

    I can already see the headlines that move IT managers next week: "100 days until the GDPR is getting valid."

    Do these "100 days" really hit the mark? I do not think so.

    Weiterlesen ...

Sie haben Fragen ?

Rufen Sie uns jetzt an oder schreiben Sie uns eine Nachricht!
Externer Datenschutz­beauftragter
Datenschutz & Informationssicherheit
Ingo Goblirsch LL.M.

Senkestraße 18
52076 Aachen

Daten? Schutz! Ingo Goblirsch LL.M.

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok