Es gibt viel zu tun,
was die DSGVO jetzt abverlangt. Weil man mit viel Werbung von „Experten,
Juristen, EDV-Fachleuten usw.“ zu tun bekommt und weil mit dem Thema
Datenschutz enorm viel Geld verbrannt werden kann, braucht es einen ersten
Ansatz.
Es gibt meiner
Ansicht nach zwei Punkte, die man als erstes angehen sollte:
Man sollte sich mit
seinem eigenen Webauftritt befassen, weil so etwas immer ein Angriffspunkt für
Abmahner ist. Doch dann muss es ins Detail gehen und man braucht einen
Beauftragten, der etwas erarbeitet, was wirklich gebraucht wird.
Was jetzt zu tun
ist
Zuerst einmal sich genauer informieren und vielleicht
sogar eine Fortbildung besuchen, um sich die Sache einmal „angehört“ zu haben.
Die Verbände der Sozialleistungs-Leistungserbringer bieten derzeit noch
Seminare dazu an. Es gibt auch andere Quelle, z.B. die Webseiten der
verschiedenen Landesdatenschützer (siehe unten).
Weil es aber jetzt eilig wird, müssen Prioritäten
festgelegt werden. Und eine erste Prüfung sollte bei den zahlreichen
Online-Auftritten liegen:
- Gibt es eine Webseite mit Fotos und Namen von
Mitarbeitern, Bewohnern oder Angehörigen?
In dem Fall muss für jede
Person eine Einwilligungserklärung vorliegen, in der ganz klar die Einwilligung
zur Veröffentlichung des „veröffentlichten Bildes“ abgegeben worden ist. Das
Format der Einwilligung sollte zwar nach dem neuesten DSGVO-Stand erfolgen,
aber eine Aktualisierung muss jetzt nicht schnellstens erfolgen. Man kann davon
ausgehen, dass die abgebildeten Personen im Prinzip mit der Veröffentlichung
einverstanden sind.
- Können sich Besucher eintragen in eine
Bewerberliste (Stellen oder Plätze)?
Die Verarbeitung dieser Daten,
vom Zeitpunkt der Erfassung bis hin zur Weiterleitung an interne Stellen, ist darzulegen.
Doch weil damit eine sehr technische Arbeit zu leisten ist, bieten sich
Web-Entwickler und IT-Administratoren für eine Aufarbeitung an. Zu bedenken ist,
dass sich unter Umständen sogenannte „Tester“ eintragen werden. Das Erfordernis zu einem unverzüglichen
Handeln wäre damit gegeben. .
- Enthält die Webseite ein Impressum und eine
Datenschutzerklärung? Sind die darin enthaltenen Erklärungen rechtskonform?
Das neue Datenschutzrecht
verlangt eine umfassende Aufklärung. Es geht dabei nicht nur um „juristisches“,
es geht ebenfalls um sehr technische Aspekte, die mit dem Aufruf einer Webseite
zu tun haben. Gerade dann, wenn einfach nur Besucher-Daten erfasst werden, die
z.B. aus IP-Adresse und Browser-Daten bestehen, oder wenn ein sogenanntes Cookie verwendet wird, muss eine
Aufklärung erfolgen. Auch hier ist mit „Testern“ zu rechnen, so dass ein Erfordernis zum unverzüglichen Handeln
gegeben ist.
Und weitere
Schritte
Es geht bei der Leistungserbringung im sozialen Bereich
um sehr persönliche, familiäre und kritische Informationen (z.B. Gesundheitsdaten).
Von daher ist der Umgang mit diesen Daten sehr wichtig und muss verantwortlich
erfolgen. Der Datenschutzbeauftragte ist aber nur „eingeschränkt“ haftend für
Fehler; Schadensersatzansprüche und Bußgelder werden sich nicht gegen ihn
richten, sondern die Geschäftsführung treffen.
Der Datenschutzbeauftragte muss aber dennoch einiges tun:
-
Anfragen bezüglich der Datenverarbeitung
bearbeiten,
-
Anlaufstelle sein für Aufsichtsbehörden,
-
Schulungen durchführen und beraten,
-
Die Einhaltung der DSGVO überwachen,
-
Datenverarbeitungsverzeichnisse erarbeiten und
immer wieder prüfen,
Diese Aufzählung ist nicht abschließend, sondern nur
ein Anfang.
Die weiteren Tätigkeiten beziehen sich auf die
Herstellung einer Datenschutzrichtlinie sowie der Mitwirkung an notwendigen
Folgeabschätzungen, die wiederum im Aufgabenbereich der Geschäftsführung
liegen.
Der Arbeitsumfang wird also nicht unerheblich und nicht „so
nebenbei“ zu erledigen sein. Darum wird es sehr viel Geld kosten, um einen
Anfang im Betrieb zu erarbeiten, auf dem man dann aufbauen kann. Bis
Datenschutz sich endlich als eine Unternehmenskultur etabliert hat, wird es
allerdings dauern. Von daher sollte in den anstehenden Entgeltverhandlungen dieser
Leistungsumfang mitbedacht werden (kann aber gleichermaßen abgelehnt werden,
weil es Bestandteil einer gelebten Unternehmenskultur und Fachlichkeit
darstellt – man muss hier „kreativer“ argumentieren).
CGS
Quellen:
Der
Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Der Bayerische Landesbeauftragte für den Datenschutz
(BayLfD)
(letzter Aufruf für alle Quellen am 21.3.2018)
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen? Empfehlen Sie ein//gegliedert weiter.
Wollen Sie Ihre Meinung sagen? Ihre Kritik interessiert
mich. Vielleicht können Sie mir sogar eine neue Perspektive aufzeigen. Darüber
würde ich mich freuen. Meine Email-Adresse finden Sie auf der Seite Über mich.
Datenschutz – Mit der DSGVO wird es jetzt anders - Teil 2 – eingegliedert.blogspot.com