Datenschutz-Management Praxis für Ergotherapie Christine Reff-Richter Stand des Dokuments: 31.05.2018 Die Datenschutz-Grundverordnung DSGVO bzw. EU-DSGVO verpflichtet alle Organisationen, Unternehmen und Freiberufler einen angemessenen Datenschutz für die gespeicherten bzw. „verarbeiteten" personenbezogenen Daten sicherzustellen. Ein Datenschutz-Management ist zu implementieren und zu dokumentieren. Das vorliegende Dokument zeigt, welche Vorkehrungen und Regelungen (Strukturen und Verfahren) in der Praxis für Ergotherapie Christine Reff-Richter eingerichtet wurden, um den Anforderungen des Datenschutzes gerecht zu werden. 1 Einführung Die Verarbeitung personenbezogener Daten unterliegt den Regelungen der Datenschutz-Grundverordnung (DSGVO). Ab dem 25.05.2018 gilt die DSGVO in allen Ländern der Europäischen Union und löst die zuvor geltende Datenschutzrichtlinie sowie das deutsche Bundesdatenschutzgesetz (BDSG) ab. Flankiert wird die DSGVO durch das BDSG-neu, in welchem sich ergänzende Regelungen befinden. Ziel der DSGVO ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere der Schutz der personenbezogenen Daten. Das Recht auf Schutz der personenbezogenen Daten ist jedoch kein uneingeschränktes Recht. Es steht dem gesellschaftlichen Bedarf an freiem Verkehr auch personen-bezogener Daten gegenüber. Ziel und Aufgabe des Datenschutzrechtes ist daher die Schaffung eines gerechten Interessenausgleichs zwischen den Verarbeitern von Daten und den Betroffenen. So muss der Schutz der personenbezogenen Daten unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Die DSGVO verwendet in diesem Zusammenhang den Begriff „Treu und Glauben", im Sinne einer fairen Verarbeitung von Daten. An dieser Stelle soll darauf hingewiesen werden, dass die DSGVO keine Anwendung findet, wenn natürliche Personen personenbezogene Daten ausschließlich zu privaten oder familiären Zwecken verarbeitet werden. Auch umfasst die DSGVO nicht den Schutz der Daten von juristischen Personen oder von Verstorbenen. „Personenbezogene Daten" sind im Sinne der DSGVO alle Informationen, die sich auf eine (identifizierte oder identifizierbare) natürliche Person beziehen. Dies sind z.B. - Name Die DSGVO spricht bei diesen natürlichen Personen von der „etroffenen Person" und formuliert damit den Personenkreis, welcher mir besonderen Informations-, Auskunft und Abwehrrechten ausgestattet wird. Jede Verwendung von personenbezogenen Daten wird in der DSGVO als „erarbeitung" personenbezogener Daten bezeichnet. Die Verarbeitung umfasst so z.B. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Offenlegung, die Bereitstellung, oder das Löschen von personenbezogenen Daten. Im Gegensatz zum früheren BDSG spielt es praktisch keine Rolle, ob die Verarbeitung mit oder ohne automatisierten Verfahren (z.B. EDV) erfolgt. Letztlich kommen heute selbst im privaten Bereich früher oder später immer auch Computer oder andere Datenverarbeitungsanlagen zum Einsatz. Vor diesem Hintergrund beschreibt das vorliegende Dokument die Konzepte sowie die organisatorische Umsetzung des Datenschutzes, also den Schutz „personenbezogener Daten" in der Praxis für Ergotherapie Christine Reff-Richter. 2 Verarbeitungstätigkeit 2.1 Verantwortlicher „Verantwortlicher" ist im Sinne der DSGVO die natürliche oder juristische Person, welche über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dies ist für diesen
Praxisbetrieb: 2.2 Datenschutzbeauftragter Der vom Unternehmen
benannte Datenschutzbeauftragte ist: 3 Verarbeitungsverzeichnis 3.1 Einführung Nach Artikel 30 DSGVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungs-tätigkeiten (personenbezogener Daten) zu erstellen. Das Verarbeitungsverzeichnis soll folgende Angaben enthalten: - Name
und Kontaktdaten des Verantwortlichen und ggf. des
Datenschutzbeauftragten (siehe hierzu Kapitel 2) Die Darstellung orientiert sich an Ausführungsbeispielen des Bayerischen Landesamts für Datenaufsicht. Im Folgenden sind verschiedene Sachverhalte zu dieser Aufstellung ergänzend dokumentiert. 3.2 Patienten-/Kundenverwaltung und Auftragsabwicklung 3.2.1 Zweck der Verarbeitung Wie in fast jedem Dienstleistungsbetrieb mit qualifizierten und ggf. auch dauerhaften Kundenbeziehungen ist die Verarbeitung der Kundendaten sowie der Daten der Geschäftsbeziehung ein wichtiges Element des Geschäftsmodells. Dabei ist die Verarbeitung der Daten nicht das Kerngeschäft, sondern eine Nebentätigkeit. Sie ist erforderlich, um mit Kunden und Interessenten in Kontakt zu treten und über die üblichen Kommunikationskanäle kommunizieren zu können. Dies ist Voraussetzung der Geschäftsanbahnung, Geschäftsabwicklung und Pflege der Geschäftsbeziehung. Wie in der Tabelle dargestellt, können im Bereich der Kunden-/Patientenverwaltung und Auftragsabwicklung die Verarbeitungen differenziert werden, insbesondere im Bereich der Abrechnung von Leistungen. In der Tabelle sind
folgende Verarbeitungen explizit ausgewiesen: 3.2.2 Kategorie betroffener Personen Verarbeitet werden
personenbezogene Daten zu folgenden Kategorien von Personen: Branchentypisch werden Personen, welche ärztliche oder andere medizinische Leistungen in Anspruch nehmen als „Patienten" bezeichnet. Kunden sind dann jene Personen, die Leistungen erhalten, welche keine ärztlichen oder medizinischen Leistungen erhalten, wie z.B. Therapiemittel aus dem Reffina ErgoShop. Kunden können auch Patienten sein. 3.2.3 Kategorie betroffener Daten Folgende Daten sind
betroffen: Bei dem Großteil der in der Praxis für Ergotherapie Christine Reff-Richter verarbeiteten Daten handelt es sich um sogenannte Daten besonderer Kategorien (Art. 9 DSGVO) in Form von Gesundheitsdaten (Art. 4 Nr. 15 DSGVO), welche unter dem besonderen Schutz der Rechtsordnung und der DSGVO stehen. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO). 3.2.4 Erlaubnistatbestand Die Verarbeitung erfolgt aufgrund der Erfüllung einer vertraglichen Verpflichtung (Art. 6 Abs. 1 b, Art. 9 Abs. 2 h, Abs. 3 DSGVO), ggf. auch auf Basis vorvertraglicher Maßnah-men. Für die Speicherung der Daten und für die Kommunikation mit Ärzten und Krankenkassen erfolgt die Verarbeitung teilweise aufgrund gesetzlicher (rahmen-vertraglicher) Verpflichtung (Art. 6 Abs. 1 c DSGVO). Die Weitergabe der Gesundheitsdaten an das Rechenzentrum (i.S. § 302 Abs. 2 S. 2 SGB V) und der Bankverbindungsdaten an die Hausbank ist zur Wahrung unserer berechtigten Interessen erforderlich (Art. 6 Abs. 1 f DSGVO). 3.2.5 Empfänger Die Weitergabe der Daten erfolgt je nach Zweck der Verarbeitung an den Kostenträger, welche die Leistungen bezahlt und ggf. an den Arzt, der die Verordnung ausgestellt hat. Eine Datenweitergabe erfolgt ferner an das Rechenzentrum. Details siehe Tabelle der Verarbeitungstätigkeiten. Die Weitergabe der Bankverbindungsdaten an die Hausbank der Praxis erfolgt zum Zweck des SEPA-Lastschrifteinzugsverfahrens zur Begleichung von Eigenanteil- oder Privatrechnungen. Eine Weitergabe an Drittländer oder internationale Organisationen erfolgt nicht. 3.2.6 Löschfristen Eine Löschung der Daten
erfolgt, wenn sowohl Die Löschfristen können mit einem konkreten Zeitraum / Zeitpunkt angegeben werden oder im Form von Bedingungen, zu deren Eintritt die Löschung erfolgt. Der letztgenannte Punkt wurde hier gewählt. So liegt es in der Regel im Interesse der Behandlungsqualität und damit des Patienten, wenn auf die Kranken- / Behandlungshistorie bei erneuter Therapie, auch nach längerer Zeit, noch zurückgegriffen werden kann. Nach dem Patientenrechtegesetz sind Behandlungsunterlagen 10 Jahre nach Abschluss der Behandlung aufzubewahren. Buchhaltungsrelevante Unterlagen sind 10 Jahre aufzubewahren. Zur Beweissicherung (Abwehr von Rechtsansprüchen) bei Schadensersatzverlangen wegen der Verletzung von Leib oder Leben können Unterlagen ggf. 30 Jahre aufzubewahren sein (vgl. § 199 Abs. 2 BGB). 3.3 Zusammenarbeit mit Ärzten 3.3.1 Zweck der Verarbeitung Die Erbringung von medizinischen Leistungen erfolgt in der Regel auf Veranlassung (Verordnung) eines Arztes und oder im Dialog mit dem Verordner oder anderen beteiligten Leistungserbringern. Daher sind im Geschäftsbetrieb auch Daten von Ärzten zu verarbeiten. 3.3.2 Kategorie betroffener Personen Verarbeitet werden die Daten von Ärzten und ggf. von Personen, welche in den Arztpraxen Ansprechpartner sind. 3.3.3 Kategorie betroffener Daten Folgende Daten sind
betroffen: 3.3.4 Erlaubnistatbestand Die Zusammenarbeit der Heilmittelerbringer mit Ärzten ist in den GKV-Rahmenverträgen als auch in der Heilmittelrichtlinie vorgeschrieben. Die Verarbeitung erfolgt insofern auf Grund gesetzlicher (rahmenvertraglicher) Verpflichtung (Art. 6 Abs. 1c DSGVO i.V.m. mit dem GKV-Rahmenvertrag und der Heilmittelrichtlinie HeilMRl). 3.3.5 Empfänger Die Weitergabe der Daten erfolgt je nach Zweck der Verarbeitung an den Kostenträger, welche die Leistungen bezahlt und ggf. an den Patienten, für den eine Verordnung ausgestellt wurde und ggf. an andere Ärzte und Leistungserbringer, die an der Behandlung des Patienten beteiligt sind, für die ein Arzt eine Verordnung ausgestellt hat. Eine Datenweitergabe erfolgt ferner an das Rechenzentrum. Details siehe Tabelle der Verarbeitungstätigkeiten. Eine Weitergabe an Drittländer oder internationale Organisationen erfolgt nicht. 3.3.6 Löschfristen Eine Löschung der Daten
erfolgt, wenn sowohl 3.4 Personalverwaltung 3.4.1 Zweck der Verarbeitungen Organisation und Abwicklung des Beschäftigungsverhältnisses, Erfüllung steuerlicher und sozialversicherungsrechtlicher Pflichten. 3.4.2 Kategorie betroffener Personen Verarbeitet werden die Daten der Mitarbeiterinnen des Betriebes. 3.4.3 Kategorie betroffener Daten Folgende Daten sind
betroffen: 3.4.4 Erlaubnistatbestand Unterschiedliche
Tatbestände sind hier relevant: Die durch Art. 88 DSGVO i.V.m. § 26 BDSG aufgezeigten Grenzen der Verarbeitung von personenbezogenen Daten in Beschäftigungsverhältnissen werden beachtet. 3.4.5 Empfänger Die Weitergabe der Daten erfolgt je nach Zweck der Verarbeitung an das Lohnbüro, die Buchhaltung, die zuständige Krankenkasse oder die gesetzliche Sozialversicherung. Details siehe Tabelle der Verarbeitungstätigkeiten. Eine Weitergabe an Drittländer oder internationale Organisationen erfolgt nicht. 3.4.6 Löschfristen Eine Löschung der Daten
erfolgt, wenn sowohl 3.5 Bewerbungs- und Auswahlverfahren 3.5.1 Zwecke Gewinnung neuer Mitarbeiter, Durchführung des Auswahlverfahrens. 3.5.2 Kategorien betroffener Personen Bewerberinnen und Bewerber. 3.5.3 Kategorien betroffener Daten Folgende Daten sind
betroffen: 3.5.4 Erlaubnistatbestand Vorvertragliches Rechtsverhältnis durch Eingang der Bewerbungsunterlagen (Art. 6 Abs. 1 b DSGVO i.Vm. § 26 Abs. 1 S. 1 BDSG). Die Speicherung der Bewerbungsunterlagen bis zu drei Monate nach der Mitteilung der Nichteinstellung erfolgt in Wahrnehmung unserer berechtigten Interessen (Art. 6 Abs. 1 f DSGVO) zur Abwehr von ungerechtfertigter Inanspruchnahme aus AGG. 3.5.5 Empfänger Eine Weitergabe der Daten erfolgt nicht. 3.5.6 Löschfristen Eine Löschung der Daten
erfolgt, wenn sowohl 3.6 Lieferanten und Sonstige 3.6.1 Zweck der Verarbeitung Im Rahmen des Geschäftsbetriebes bestehen verschiedenste Beziehungen zu anderen Wirtschaftssubjekten wie Vermieter, Verbände, Kollegenpraxen, Lieferanten. 3.6.2 Kategorien betroffener Personen Lieferanten und bei Lieferanten beschäftigte Kontaktpersonen. 3.6.3 Kategorien betroffener Daten Folgende Daten sind
betroffen: 3.6.4 Erlaubnistatbestand Vertragliches Verhältnis (Art. 6 Abs. 1 b DSGVO) und Wahrung berechtigter Interessen (Art. 6 Abs. 1 f DSGVO). 3.6.5 Empfänger Die Weitergabe der Daten erfolgt je nach Zweck der Verarbeitung an das Vermieter, Verbände, Kollegenpraxen oder Lieferanten. Details siehe Tabelle der Verarbeitungstätigkeiten. Eine Weitergabe an Drittländer oder internationale Organisationen erfolgt nicht. 3.6.6 Löschfristen Eine Löschung der Daten
erfolgt, wenn sowohl 4 Grundsätze der Verarbeitung 4.1 Rechtmäßigkeit der Verwendung Die Verarbeitung personenbezogener Daten natürlicher Personen ist nur rechtmäßig, wenn ein Erlaubnistatbestand gegeben ist. Die Geschäftsprozesse der Praxis zielen auf die Anbahnung, Durchführung und Pflege von Geschäftsbeziehungen entsprechend dem Geschäftszweck des Unternehmens. Zu diesem Zwecke werden Daten von Geschäftspartnern und potentiellen Geschäftspartnern verarbeitet. Dies sind in der Regel Patienten, Kunden, Ärzte, Kostenträger, Mitarbeiter, Bewerber, Lieferanten sowie sonstige Wirtschaftssubjekte zu denen Kontakte bestehen oder geplant sind. Für diese Verwendung besteht in der Regel ein Erlaubnistatbestand nach Artikel 6. Abs. 1 lit (b) DSGVO. Er umfasst die Erfüllung eines Vertrages sowie auch die vorvertraglichen Maßnahmen. Dies ist in der Regel der zwischen der Praxis und den Patienten bestehende Behandlungsvertrag gem. § 630a BGB. Abweichende Erlaubnistatbestände sind in Kapitel Fehler! Verweisquelle konnte nicht gefunden werden.3 sowie in der Tabelle (Verarbeitungsverzeichnis) ausgewiesen. Nach Artikel 6 Absatz 1
DSGVO sind folgende Erlaubnistatbestände möglich. 4.2 Fairness Bei den verarbeiteten Daten handelt es sich um die Minimaldaten, welche für eine qualifizierte Geschäftsanbahnung und Geschäftsabwicklung üblich und erforderlich sind. Die Verarbeitung entspricht im Umfang und im Inhalt dem, was der betroffene Personenkreis erwarten würde oder aus vergleichbaren Beziehungen kennt. 4.3 Transparenz Die betroffenen Personen sind Patienten bzw. Kunden oder Vertreter dieser Personen. Die Verarbeitung erfolgt in einem von diesem Geschäftskreisen erwartbaren Umfang. Die Praxis stellt allen betroffenen Personen bereits bei Erhebung der Daten (spätestens einen Monat nach Erhebung, wenn die Daten nicht von der Person selbst erhoben worden sind) umfassende und verständliche Informationen über die Datenverarbeitung (Art. 12 ff DSGVO) zur Verfügung. Auskunftsersuchen werden entsprechend der gesetzlichen Bedingungen bedient. 4.4 Zweckbindung Der Zweck der Verarbeitung ist die Anbahnung, Durchführung und Pflege von Geschäftsbeziehungen entsprechend dem Geschäftszweck des Unternehmens. Die Zwecke der Verarbeitung sind in Kapitel 3 sowie in der Tabelle (Verarbeitungsverzeichnis) dokumentiert. Eine Datenverarbeitung erfolgt nur zu den hier ausgewiesenen Zwecken. 4.5 Datenminimierung Es werden nur die Daten verarbeitet, welche im Rahmen der Leistungserbringung, der Dokumentation, der Abrechnung und für die Pflege der Geschäftsbeziehungen erforderlich sind. Daten, die zur Erfüllung der jeweiligen Zwecke nicht mehr benötigt werden und für die keine gesetzlichen Pflichten zur Speicherung bestehen, werden gelöscht. 4.6 Richtigkeit Die Richtigkeit der Daten liegt bereits im Interesse des Unternehmens, da sonst die Unternehmenszwecke nicht erreicht werden können. Aus falschen Daten entstehen der Person in der Regel keine Nachteile. Hinweise auf unrichtige Daten werden vom Unternehmen aufgenommen. Die Angaben werden sodann verifiziert. Die Datensätze werden entsprechend umgehend korrigiert. 4.7 Speicherbegrenzung Personenbezogene Daten werden in Ansehung des Verarbeitungszweckes nur so lange wie unbedingt notwendig gespeichert. Für alle Datenkategorien werden allgemeine Löschfristen festgelegt. Alle Datensätze werden in regelmäßigen Abständen auf Löschungsreife hin untersucht und gegebenenfalls einer sicheren Löschung zugeführt. Bei jeder Löschung von Daten sind durch technische und organisatorische Maßnahmen angemessene Garantien zur Wahrung der Rechte und Freiheiten der Betroffenen implementiert. So lange Daten in öffentlichen Quellen verfügbar sind, ist auch eine Speicherung in eigenen Datenbeständen angemessen. Widerspricht eine Person der Verwendung ihrer Daten z.B. zu Werbezwecken, kann es erforderlich sein, diese Daten mit der Information des Löschungsbegehrens weiter zu speichern. Andernfalls besteht die Gefahr, diese Daten erneut aus öffentlichen Quellen zu beziehen und zu nutzen. Die Speicherung ist auf ein Minimum begrenzt und erfolgt im Interesse der Betroffenen selbst. Bei bestehenden Geschäftsbeziehungen werden Daten so lange gespeichert, wie dies aus handels- und steuerrechtlichen Gründen erforderlich ist. Aus einer Geschäftsbeziehung könnten bis zu 30 Jahren Schadensersatzansprüche aus der Verletzung des Lebens, des Körpers, der Gesundheit oder der Freiheit resultieren. So lange eine Person Schadensersatzansprüche geltend machen kann, kann es gerechtfertigt sein, Daten aus der Geschäftsbeziehung zu Beweiszwecken zu speichern. 4.8 Integrität und Vertraulichkeit Die Praxis für Ergotherapie hat in Ansehung des Schutzbedarfs der verarbeiteten Daten und des mit den Verarbeitungstätigkeiten einhergehenden Risikos technische und organisatorische Maßnahmen getroffen, um einen angemessenen Schutz der Rechte und Freiheiten der Betroffenen zu erreichen. Dies ist zum einen der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung. Zum anderen ist dies der Schutz vor dem Verlust und der Zerstörung personenbezogener Daten. Diese Aspekte sind weiter unter den Stichworten Zugriffsschutz und Daten-sicherung behandelt. Die Grundziele der Informationssicherheit, Vertraulichkeit, Integrität und Verfügbarkeit werden beachtet. 4.9 Rechenschaft Das vorliegende Dokument beschreibt die Konzeption und Organisation des Umgangs mit „ersonenbezogenen Daten" im Unternehmen. Alle Mitarbeiter des Unternehmens werden auf diese Konzepte und organisatorischen Vorkehrungen sensibilisiert. In regelmäßigen Audits wird überprüft, ob Konzeption und Organisation im Alltag umgesetzt werden und ob diese noch den rechtlichen Anforderungen genügen. 5 Beurteilung des Schutzbedarfs Für die Schutzbedürftigkeit von personenbezogenen Daten können diese in Schutzstufen eingeordnet werden. Stufe A Stufe B Stufe C Stufe D Stufe E Patientendaten bzw. Daten zur Gesundheit / Krankheit von Personen wird in der Regel der Schutzklassen D zugeordnet. Alleine die Tatsache, z.B. in ergotherapeutischer Behandlung zu sein, führt zwar in der Regel zu keiner Schädigung des Ansehens oder zu andern Nachteilen. Im Gegenteil gehört ergotherapeutische Behandlung eher zu gesellschaftlich positiv bewerteten Leistungen. Nachteile könnten aber ggf. durch die Bekanntgabe der Diagnose entstehen, wenn diese ein Hinweis auf geistige oder körperliche Einschränkungen ergibt. Je nach Inhalt der Gesundheitsinformation erwartet der Betroffene eine hohe Vertrau-lichkeit. Da jedoch sämtliche Informationen über die Behandlung dem Berufsgeheimnis (§ 203 Abs. 1 Nr. 1 StGB) unterliegen, ist die generelle Einordnung von Patientendaten in die Schutzklasse D gerechtfertigt. Verarbeitet werden: Personenstammdaten, Verordnungsdaten, Daten der Behandlungshistorie oder Daten von Anamnese und Diagnose. Der Verlust dieser Daten stellt in der Regel keine wirtschaftliche oder gesundheitliche Bedrohung für die Person dar. Diese Daten können in der Regel von anderer Stelle wieder ermittelt werden, z.B. von der betroffenen Person, dem verordnenden Arzt, dem Kostenträger und dem behandelnden Therapeuten. Hier entsteht im Wesentlichen ein Aufwand für die Praxis. Dauerhafte Schäden sind für die Betroffenen bei einer Verletzung der Vertraulichkeit nur in Ausnahmefällen zu erwarten. In der Regel besteht auch kein Interesse Dritter an diesen Daten. Es ist anzunehmen, dass Einbrüche in Praxen in der Regel nicht zum Diebstahl von Patientendaten erfolgen, da Patientendaten in der Regel wirtschaftlich nicht verwertbar sind. Einbrüche in Praxen zielen meist auf Bargeldbestände oder elektronische Geräte ab. Jeder Betroffene hat Anspruch auf den Schutz seiner nicht allgemein bekannten personenbezogenen Daten. Die von einer Heilmittelpraxis verarbeiteten „Gesundheitsdaten" unterliegen einem erhöhten Schutzbedarf. 6 Technische und Organisatorische Maßnahmen Der Datenschutz wird durch die folgenden technischen und organisatorischen Maßnahmen (TOMs) sichergestellt. 6.1 Sensibilisierung und Schulung Ein wesentlicher Risikofaktor ist der Mensch. Datenschutz beginnt mit der Auswahl geeigneter Mitarbeiter. Bereits im Bewerbungsprozess werden die Unterlagen der Bewerber systematisch analysiert und auf Plausibilität geprüft. Bei Anzeichen auf Unzuverlässigkeit oder Unregelmäßigkeiten bei vorherigen Arbeitgebern, werden diese hinterfragt. Bereits im Arbeitsvertrag werden Mitarbeiter auf die Einhaltung von Vertraulichkeit und Datenschutz verpflichtet. Nach Eintritt in das Unternehmen werden alle Mitarbeiter des Unternehmens auf das Thema Datenschutz sensibilisiert. Die Konzepte und organisatorischen Vorkehrungen zum Datenschutz werden systematisch vermittelt. In regelmäßigen Audits wird überprüft, ob Konzeption und Organisation im Alltag umgesetzt werden. In regelmäßigen Abständen erfolgt eine Schulung bzw. Wiederholungsschulung der Themen des Datenschutzes, der Umsetzung des Unternehmens sowie der Handlungsanweisungen, die von den Mitarbeitern zu beachten sind. 6.2 Verhalten im Tagesgeschäft Zur Gewährleistung eines Basisschutzes werden folgende Maßnahmen im Betrieb durchgeführt. Alle Mitarbeiter sind darauf geschult und verpflichtet, diese Handlungsanweisungen zu befolgen. - Akten
und Dokumente werden im laufenden Geschäftsbetrieb immer so bewegt und
abgelegt, dass Unbefugte diese nicht einsehen können. 6.3 Zutrittskontrolle Zur Gewährleistung der
Zutrittskontrolle werden folgende Maßnahmen im Betrieb durchgeführt: 6.4 Zugangskontrolle Zur Gewährleistung der
Zugangskontrolle werden folgende Maßnahmen im Betrieb durchgeführt: 6.5 Zugriffskontrolle Zur Gewährleistung der
Zugriffskontrolle werden folgende Maßnahmen im Betrieb durchgeführt: 6.6 Weitergabekontrolle Zur Gewährleistung der
Weitergabekontrolle werden folgende Maßnahmen im Betrieb durchgeführt: 6.7 Eingabekontrolle Zur Gewährleistung der
Eingabekontrolle werden folgende Maßnahmen im Betrieb durchgeführt: 6.8 Auftragskontrolle Zur Gewährleistung der Auftragskontrolle werden folgende Maßnahmen im Betrieb durchgeführt: Das Unternehmen stellt sicher, dass Dritte nicht auf die Daten des Unternehmens zugreifen können. Für die Fälle, in denen Dritte berechtigt Zugriff auf die Daten erlangen, z.B. da sie im Auftrag Daten verarbeiten oder im Rahmen von z.B. Servicemaßnahmen in Kenntnis von personenbezogenen Daten erlangen könnten, verpflichtet das Unternehmen diese Dritte schriftlich zur Einhaltung der Datenschutzstandards im Einklang mit der DSGVO. (AV-Vertrag gem. Art. 28 DSGVO). Die Datenweitergabe an den Steuerberater für die Lohnbuchhaltung ist zur Wahrung unserer berechtigten Interessen erforderlich (Art. 6 Abs. 1 f DSGVO) bzw. als zulässige Weiterverarbeitung (Art. 6 Abs. 4 DSGVO) zu bewerten. In diesem Sinne wurden mit folgenden Unternehmen entsprechende Vereinbarungen
getroffen: 6.9 Verfügbarkeitskontrolle Zur Gewährleistung der Verfügbarkeitskontrolle werden folgende Maßnahmen im Betrieb durchgeführt: Mögliche Ursache für den Verlust und oder die Zerstörung von Daten liegen in technischen Defekten der Systeme, in Schadsoftware (Viren), in Fehlbedienung, in Vandalismus, in Diebstahl oder in der Zerstörung der Systeme durch Naturgewalten (z.B. Feuer, Hochwasser). Neben der Abwendung dieser Ursachen, liegt der wesentliche Schutz darin, regelmäßig Kopien der Daten herzustellen. Daher erstellt das Unternehmen von den wesentlichen Daten täglich eine Kopie auf ein getrenntes System. - Es
wird jeden Tag eine verschlüsselte Sicherungskopie (Datensicherung)
aller relevanten Daten in die Cloud gespeichert. Jede Sicherungskopie wird
30 Tage aufbewahrt. |
|
Startseite |