FAQ – Datenschutzberatung

Der Datenschutz bezieht sich lediglich auf personenbezogene Daten (das sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen gem. Artikel 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO)).

Die Datensicherheit hingegen bezieht sich auf alle möglichen Daten und beinhaltet unter anderem auch den Datenschutz.

Als erstes und wichtigstes Gesetz findet die DSGVO (Datenschutzgrundverordnung) Anwendung.

Danach kommt das BDSG (Bundesdatenschutzgesetz), die verschiedenen Landesdatenschutzgesetze und auch noch bereichsspezifische Gesetze (speziell in der Telekommunikationsbranche und Firmen, die in der Datenverarbeitung tätig sind).

Da die Datensicherheit den Datenschutz enthält, finden alle oben genannten Gesetze Anwendung. Darüber hinaus gibt es allerdings keine weiteren Gesetze, die die Datensicherheit regeln. Die Dokumentationspflicht aus der DSGVO schützt vorrangig datenschutzrechtliche Interessen.

ABER, es gibt die Leitlinie für Informationssicherheit des BSI. Diese ist nicht verpflichtend, sollte aber dringend aus eigenen Interessen eingehalten werden. 

Gem. Art. 4 Nr. 1 Datenschutz-Grundverordnung sind folgende Daten geschützt:

• Genetische Daten,
• biometrische Daten,
• Gesundheitsdaten,
• personenbezogene Daten wie:
  • rassische und/oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit des Betroffenen.

Die Handhabung der CoVid 19 Pandemie unterliegt in großen Teilen den Bundesländern. Sie müssen sich also unbedingt über die Vorgehensweise Ihres Bundeslandes vergewissern.

Grundsätzlich gibt es den Grundsatz, nur so viel Daten preiszugeben wie nötig, aber so wenig wie möglich.

Bundesweit ist man sich darüber einig, dass Fragen bezüglich des Risiko eines Mitarbeiters durch Reisen, Kontakt zu Infizierten oder ob eine Infektion vorliegt,  immer gestattet sind.

Zu den personenbezogenen Gesundheitsdaten gehören laut DSGVO alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.

Aufgrund der umfangreichen Bestimmungen verweisen wir hier auf die Ausführung der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS)

Die Schulung von Mitarbeitern ist nicht verpflichtend. Allerdings ergibt sich die Notwendigkeit einer Schulung im Turnus von 1-2 Jahren, damit die Mitarbeiter rechtssicher nach dem aktuellen Stand der relevanten Gesetze arbeiten können.

Wir empfehlen jede Schulung bzw. Weiterbildung zu dokumentieren und auch zu zertifizieren.

Aus dem Gesetz ergibt sich keine Frist für die Gültigkeit der Einwilligung.

Eine betroffene Person hat allerdings nach Artikel 7 Abs. 3 DSGVO immer das Recht einer sofortigen Kündigung.

Des Weiteren hat das AG Bonn in einem Urteil (AG Bonn, Urteil vom 10.05.2016 – 104 C 227/15) über eine ungenutzte Einwilligung entschieden, dass diese nach 4 Jahren ihre Gültigkeit verloren hat.

Ein Unternehmen hat das Recht Kundendaten so lange zu speichern, wie sich eine Erforderlichkeit der Speicherung ergibt. Die Erforderlichkeit ergibt sich aus dem Verwendungszweck.

Allgemeine Leitlinien sind 6 Jahre für Kundendaten und wenn diese steuerrechtlich relevant sein sollte bis zu 10 Jahren.

E-Mails sind als Handels- oder Geschäftsbriefe einzustufen und daher zehn Jahre aufzubewahren, sofern nicht in anderen Steuergesetzen kürzere Aufbewahrungsfristen zugelassen sind gemäß § 147 Abgabenordnung.