Die Umsetzung der DSGVO am Beispiel des ambulant betreuten Wohnens für psychisch kranke Menschen

Inhaltsverzeichnis

1. Einleitung

2. Begriffsklärungen
2.1 EU Datenschutzgrundverordnung
2.2 Datenverarbeitung
2.3 Personenbezogene Daten
2.4 Bundesdatenschutzgesetz

3. Änderungen durch die Einführung der EU DSGVO am 25.05.2018

4 Umsetzung der DSGVO am Beispiel von XXX
4.1 Um welche Daten handelt es sich?
4.2 Was passiert mit den Daten?
4.3 Verzeichnis der Verarbeitungstätigkeiten
4.4 Einwilligung in die Datenverarbeitung
4.5 Datenminimierung und Löschung
4.6 Privacy by Design und Privacy by Default
4.7 Datenportabilität und Auskunft

5. Fazit

1. Einleitung

Die Einführung der neuen EU Datenschutzgrundverordnung (DSGVO) im Mai 2018 sorgte sowohl in den Medien als auch in der Praxis für ein großes Echo und sorgte für ebenso großes Halbwissen, Gerüchte und Unbehagen bei den Trägern des ambulant betreuten Wohnens. Von Ansprüchen, die man als kleines Unternehmen überhaupt nicht erfüllen könne war die Rede, sowie von hohen Strafen, die einen in den wirtschaftlichen Ruin treiben würden.

Niemand wusste so richtig wo man anfangen sollte und dennoch musste ein Anfang gefunden werden.

Ich arbeite als stellvertretende Leitung und QM-Beauftragte bei XXX in Wesel. XXX betreut derzeit 38 Klienten mit psychischer oder geistiger Behinderung und/ oder Suchterkrankung in ihren eigenen Wohnungen im Rahmen der Eingliederungshilfe. Bei XXX arbeiten vier Sozialarbeiter und ein Erzieher in Festanstellung, zwei weitere Fachkräfte und eine Bürokraft als Minijobber sowie zwei Klienten im Zuverdienstprojekt des LVR (Büro und Reinigung).

Es gibt keine IT-Abteilung oder speziell für IT abgestellte Mitarbeiter mit einem entsprechenden Stundenkontingent. Alle IT Leistungen wurden bisher von ortsansässigen Computerservicefirmen eingekauft. Ein Datenschutzkonzept lag bisher nicht vor und auch keiner der Mitarbeiter war bisher auf dem Gebiet geschult worden.

In meiner Hausarbeit möchte ich beschreiben, wie wir begonnen haben die DSGVO umzusetzen und in den beruflichen Alltag zu inplementieren.

Dafür möchte ich zunächst die Begriffe „Datenverarbeitung“, „Personenbezogene Daten“ sowie „Bundesdatenschutzgesetz“ und „EU Datenschutzgrundverordnung“ erläutern.

Im Folgenden beschreibe ich die Änderungen die die DSGVO im Mai 2018 mit sich gebracht hat.

Desweiteren gehe ich darauf ein, an welchen Stellen und auf welche Art in meiner beruflichen Praxis personenbezogene Daten erhoben werden, in welchen Punkten die bisherige Arbeitsweise der DSGVO widerspricht und welche Lösungen und Änderungen in den entsprechenden Abläufen gefunden worden sind.

Da es nicht für jede zu ändernde Arbeitsweise eine gut umzusetzende Lösung gibt (oder wir sie noch nicht gefunden haben), stelle ich auch die sich ergebenden Umsetzungsschwierigkeiten vor.

2. Begriffsklärungen

2.1 EU Datenschutzgrundverordnung

Die EU Datenschutzgrundverordnung (DSGVO) ist am 25.05.2018 in Kraft getreten.

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“¹

Die wesentlichen Bezugspunkte der DSGVO sind also die Verarbeitung sowie die Speicherung von personenbezogenen Daten.

2.2 Datenverarbeitung

Die DSGVO versteht unter Datenverarbeitung „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“²

2.3 Personenbezogene Daten

Neben dem Begriff „personenbezogene Daten“ existieren in der DSGVO außerdem die Begriffe „besondere personenbezogene Daten“ sowie der Begriff „Gesundheitsdaten“.

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“³

Gesundheitsdaten beziehen sich auf „die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen“⁴ aus ihnen gehen Informationen über den Gesundheitszustand der Person hervor.

Unter besonderen personenbezogenen Daten versteht die DSGVO Daten, aus denen die „rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“⁵

Deren Verarbeitung ist grundsätzlich untersagt, es werden jedoch eine Reihe von Ausnahmefällen definiert.

Für die praktische Sozialarbeit in meinem Arbeitsumfeld insbesondere relevant ist, dass die betroffene Person die Zustimmung zu der Verarbeitung für einen oder mehrere festgelegte Zwecke geben kann.⁶

Desweiteren ist die Verarbeitung erlaubt, wenn sie dazu dient, dass die datenverarbeitende Stelle oder die betroffene Person ihre Rechte und Pflichten ausüben kann z.B. in den Bereichen Arbeitsrecht, Soziale Sicherheit und Sozialschutz⁷

Außerdem ist die Verarbeitung „für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich“⁸ erlaubt, sofern diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden. Dieses Fachpersonal muss dem Berufsgeheimnis unterliegen. Nicht-Fachkräfte müssen ebenfalls der Geheimhaltungspflicht unterliegen.

2.4 Bundesdatenschutzgesetz

Gleichzeitig mit der EU DSGVO trat auch das Bundesdatenschutzgesetz in neuer Fassung (BDSG-neu) in Kraft. Die DSGVO ist unmittelbar geltendes Recht und steht über dem BDSG-neu, daher scheint es auf den ersten Blick überflüssig.

Die DSGVO enthält jedoch zahlreiche Öffnungsklauseln, also Stellen an denen Regelungen offengehalten werden. Diese werden im BDSG-neu auf nationaler Ebene konkretisiert.⁹

3. Änderungen durch die Einführung der EU DSGVO am 25.05.2018

Die DSGVO löst die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr von 1995 und das BDSG-neu löst entsprechend das alte BDSG ab.

Die DSGVO bringt Neuerungen, die besonders die Rechte der Betroffenen Personen stärken sollen.

Folgende Neuerungen und Änderungen bringt die Einführung der DSGVO

Anwendungsbereich:

Die DSGVO gilt auch für außereuropäische Unternehmen, die in der EU tätig sind bzw. Daten von EU-Bürgern verarbeiten.¹⁰

Sanktionen:

Die Geldbußen können bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweiten Jahresumsatz betragen.¹¹

Privacy by Design und Privacy by Default:

Die DSGVO fordert, dass geeignete technische Maßnahmen zum Datenschutz bereits bei der Entwicklung von Vorgängen mit einbezogen werden sollen, damit Datenschutz von vornherein zum Standard gehört. (Privacy by Design)

Voreinstellungen z.B. bei Programmen sollen bereits datenschutzfreundlich sein, damit personenbezogene Daten bereits ohne besondere Anpassungen geschützt sind (Privacy by Default).¹²

[...]

¹ Art. 2 Abs. 1 DSGVO

² Art. 4 Abs. 2 DSGVO

³ Art. 4 Abs. 1 DSGVO

⁴ Art. 4 Abs 15 DSGVO

⁵ Art. 9 Abs. 1 DSGVO

⁶ Vgl. Art. 9 Absatz 2 a) DSGVO

⁷ Vgl. Art. 9 Absatz 2 b) DSGVO

⁸ Art. 9 Absatz 2 h) DSGVO

⁹ Vgl. https://www.datenschutz.org/bdsg-neu/ entnommen am 25.11.2018

¹⁰ Vgl. Art. 3 DSGVO

¹¹ Vgl. Art. 83 DSGVO

¹² Vgl. Art. 25 DSGVO und https://dsgvo-gesetz.de/themen/privacy-by-design/ abgerufen am 25.11.2018