FAQ – Datenschutzberatung Fragen und Antworten. 1. Was ist der Unterschied zwischen Datenschutz und Datensicherheit? Der Datenschutz bezieht sich lediglich auf personenbezogene Daten (das sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen gem. Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO)). Die Datensicherheit hingegen bezieht sich auf alle möglichen Daten und beinhaltet unter anderem auch den Datenschutz. 2. Welche Gesetze finden Anwendung im Datenschutz? Als erstes und wichtigstes Gesetz findet die DSGVO (Datenschutzgrundverordnung) Anwendung. Danach kommt das BDSG (Bundesdatenschutzgesetz), die verschiedenen Landesdatenschutzgesetze und auch noch bereichsspezifische Gesetze (speziell in der Telekommunikationsbranche und Firmen, die in der Datenverarbeitung tätig sind). 3. Welche Gesetze finden Anwendung in der Datensicherheit? Da die Datensicherheit den Datenschutz enthält, finden alle oben genannten Gesetze Anwendung. Darüber hinaus gibt es allerdings keine weiteren Gesetze, die die Datensicherheit regeln. Die Dokumentationspflicht aus der DSGVO schützt vorrangig datenschutzrechtliche Interessen. ABER, es gibt die Leitlinie für Informationssicherheit des BSI. Diese ist nicht verpflichtend, sollte aber dringend aus eigenen Interessen eingehalten werden. 4. Was fällt unter das Datenschutzgesetz? Gem. Art. 4 Nr. 1 Datenschutz-Grundverordnung sind folgende Daten geschützt: Genetische Daten, biometrische Daten, Gesundheitsdaten, personenbezogene Daten wie: rassische und/oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen. 5. Darf der Arbeitgeber Corona Gesundheitsdaten abfragen? Die Handhabung der CoVid 19 Pandemie unterliegt in großen Teilen den Bundesländern. Sie müssen sich also unbedingt über die Vorgehensweise Ihres Bundeslandes vergewissern. Grundsätzlich gibt es den Grundsatz, nur so viel Daten preiszugeben wie nötig, aber so wenig wie möglich. Bundesweit ist man sich darüber einig, dass Fragen bezüglich des Risiko eines Mitarbeiters durch Reisen, Kontakt zu Infizierten oder ob eine Infektion vorliegt, immer gestattet sind. 6. Was sind Gesundheitsdaten im Sinne der DSGVO? Zu den personenbezogenen Gesundheitsdaten gehören laut DSGVO alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. 7. Was ist zu beachten bei der Auftragsverarbeitung von Gesundheitsdaten? Aufgrund der umfangreichen Bestimmungen verweisen wir hier auf die Ausführung der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) 8. Wie oft müssen Datenschutz-Schulungen durchgeführt werden? Die Schulung von Mitarbeitern ist nicht verpflichtend. Allerdings ergibt sich die Notwendigkeit einer Schulung im Turnus von 1-2 Jahren, damit die Mitarbeiter rechtssicher nach dem aktuellen Stand der relevanten Gesetze arbeiten können. Wir empfehlen jede Schulung bzw. Weiterbildung zu dokumentieren und auch zu zertifizieren. 9. Wie lange gilt eine Einwilligung zu einer Datenschutzerklärung? Aus dem Gesetz ergibt sich keine Frist für die Gültigkeit der Einwilligung. Eine betroffene Person hat allerdings nach Artikel 7 Abs. 3 DSGVO immer das Recht einer sofortigen Kündigung. Des Weiteren hat das AG Bonn in einem Urteil (AG Bonn, Urteil vom 10.05.2016 – 104 C 227/15) über eine ungenutzte Einwilligung entschieden, dass diese nach 4 Jahren ihre Gültigkeit verloren hat. 10. Wie lange dürfen Kundendaten gespeichert werden? Ein Unternehmen hat das Recht Kundendaten so lange zu speichern, wie sich eine Erforderlichkeit der Speicherung ergibt. Die Erforderlichkeit ergibt sich aus dem Verwendungszweck. Allgemeine Leitlinien sind 6 Jahre für Kundendaten und wenn diese steuerrechtlich relevant sein sollte bis zu 10 Jahren. 11. Wie lange dürfen E-Mails gespeichert werden? E-Mails sind als Handels- oder Geschäftsbriefe einzustufen und daher zehn Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind gemäß § 147 Abgabenordnung.