Datenschutzkonzept

1. Einleitung

Die Bedeutung des Datenschutzes ist seit der Entwicklung der Digitaltechnik stetig gestiegen, aufgrund der zunehmenden Vereinfachung der Datenverarbeitung, Datenerfassung, Datenhaltung, Datenweitergabe und Datenanalyse. Technische Entwicklungen wie Internet, Email, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen neue Möglichkeiten zur Datenerfassung. Interesse an personenbezogenen Informationen haben sowohl staatliche Stellen als auch private Unternehmen. Aufgrund der weltweiten Vernetzung und Nutzung von Informations- und Kommunikationstechnologien gewinnen Richtlinien zum Datenschutz und zur Datensicherheit nicht nur als vertrauensbildendende Maßnahmen zunehmend an Bedeutung. Speziell im nicht-privaten Bereich sind Defizite in den Bereichen der Informationstechnologie (IT) einschließlich des Datenschutzes riskant, da weitreichende Konsequenzen für ein Unternehmen drohen. Abgesehen von zivil- und strafrechtlicher Verantwortlichkeit wird Kundenvertrauen zerstört. IT-Sicherheit und Datenschutz muss als Wettbewerbsvorteil begriffen werden.

Jeder Pflegedienst muss sämtliche Verfahren, bei welchen personenbezogene Daten verarbeitet werden, dokumentieren, bzw. der Aufsichtsbehörde melden analog § 4 Meldepflicht Bundesdatenschutzgesetz (BDSG). Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Die Einhaltung der aus Kundensicht vertraulichen personenbezogenen Daten nebst der technischen Grundlage der IT-Sicherheit lässt sich durch einen Datenschutzbeauftragten realisieren, welcher die verschiedensten Anforderungen aus dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und arbeitsrechtliche Anforderungen individuell auf den Pflegedienst zugeschnitten anwenden, umsetzen und überwachen kann.

Darüber hinaus fordert das BDSG, sofern personenbezogene Daten automatisiert verarbeitet werden, die Bereitstellung eines Datenschutzbeauftragten, wenn mehr als neun Personen mit der personenbezogenen Datenverarbeitung beschäftigt sind. Nach dem Bundesdatenschutzgesetz darf nur zum Beauftragten für den Datenschutz bestellt werden, wer zur Erfüllung seiner Aufgaben die erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4f Abs. 2 BDSG). Sofern der Datenschutzbeauftragte Personalverantwortung hat oder er eine leitende Stellung in dem Unternehmen bekleidet, dann ist die Bestellung des Datenschutzbeauftragten für die Einrichtung im Sinne der Aufsichtsbehörden ungültig. Von besonderer Bedeutung ist die Stellung des Datenschutz-beauftragten bei der Novelle 2009. Hier wurde einerseits der Kündigungsschutz neu geregelt sowie andererseits der Fort- und Weiterbildungsanspruch (§ 4f Abs. 3 BDSG).

 

2. Organisationsstrukturen

Durch das im VDAB-Qualitätsmanagement-Handbuch hinterlegte Organigramm bzw. durch betriebliche Telefon-/ Kontaktverzeichnisse hat unser betrieblich bestellter Datenschutzbeauftragter (DSB) jederzeit die Möglichkeit sich Klarheit über Verfahren in unserem Pflegedienst zu verschaffen und kann unmittelbar mit den entsprechenden betrieblichen Ansprechpartnern in Kontakt treten. Hilfreich ist diese Transparenz im Weiteren bei Aufsichtsmaßnahmen durch die zuständige Datenschutzaufsichtsbehörde. Im Fall des persönlichen Besuchs eines Vertreters der Aufsicht vor Ort kann der Datenschutzbeauftragte – sofern notwendig – unmittelbar Auskunft über die Organisationsstrukturen geben und Kontakt zu evtl. einzubeziehenden Verantwortlichen nehmen.

 

3. Übersicht über Verfahren

    3.1 Verzeichnisse

Unserem Datenschutzbeauftragten stehen Übersichten über die automatisierten Verfahren (z.B. Softwareprogramme) mit denen personenbezogene Daten verarbeitet werden sowie Angaben über die zugriffsberechtigten Personen zur Verfügung. Dies erfolgt im Zuge der Ausnahme von der Meldepflicht nach § 4e BDSG gegenüber der Datenschutzaufsichtsbehörde. Die Übersicht dient:

  • dem systematischen Überblick des Datenschutzbeauftragten hinsichtlich der Datenverarbeitung
  • der Vorhaltung des jederzeit verfügbaren Verfahrensverzeichnisses für interessierte Personen (auf Antrag)
  • als Informationsquelle für datenschutzrechtliche Kontrollen durch die Datenschutzaufsichtsbehörde

 

Zum anderen werden nach den Prinzipien der zu meldenden Verfahren dem Datenschutzbeauftragten auch die Übersichten zu Verarbeitungen zur Verfügung gestellt. Auf dieser Grundlage überwacht der Datenschutz-beauftragte die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden. Zugleich folgen wir somit der Verpflichtung nach § 4g Abs. 1 Nr. 1, BDSG

    3.2 Inhalte der Verfahrens-/Verarbeitungsübersichten

In unseren Verzeichnissen sind alle Angaben enthalten, die im Einzelnen durch § 4e Satz 1 BDSG gefordert sind:

  • Name der Einrichtung/des Pflegedienstes (verantwortliche Stelle),
  • Inhaber, Vorstände, Geschäftsführer bzw. sonstige gesetzliche oder nach der Verfassung unseres Pflegedienstes berufene Leiter inkl. die mit der Leitung der Datenverarbeitung beauftragten Personen,
  • Anschrift des Pflegedienstes bzw. der verantwortlichen Stelle,
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  • Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
  • Regelfristen für die Löschung der Daten,
  • ggf. geplante Datenübermittlung in Drittstaaten,
  • allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Diese detaillierte Verfahrens-/Verarbeitungsübersichten umfassen alle Programme, mit denen personenbezogene Daten verarbeitet werden. Die Fortschreibung der Übersichten erfolgt auch für Programme die in unserem Pflegedienst neu eingesetzt werden.

 

4. Vorabkontrolle

In Fällen bzw. bei Anwendung von Verfahren der automatisierten Verarbeitung welche besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, verpflichten wir uns zur Prüfung vor Beginn der Verarbeitung (Vorabkontrolle), gemäß § 4d Abs. 5 BDSG. Ergeben sich dabei Zweifel an der Rechtmäßigkeit geplanter Verarbeitungsverfahren, wendet sich der Datenschutzbeauftragte nach § 4d Abs. 6 BDSG an die zuständige Aufsichtsbehörde.

Prüfinhalte der Vorabkontrollen

Rechtmäßigkeit

Unterrichtungspflichten

Beachtung der Rechte der Betroffenen

Einhaltung formaler Anforderungen

Umsetzung der erforderlichen technisch-organisatorischen Maßnahmen

 

  4.1 Verpflichtung zu Vorabkontrollen

Besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen besonders dann, wenn sensible Da-ten verarbeitet werden (vgl. § 3 Abs. 9 BDSG) oder eine Persönlichkeitsbewertung des Betroffenen erfolgen soll.

  4.2 Befreiung von Vorabkontrollen

Vorabkontrollen sind immer dann nicht erforderlich, wenn …

  • eine gesetzliche Verpflichtung besteht oder
  • eine Einwilligung vorliegt oder
  • das Verfahren der Zweckbestimmung eines Vertrags- oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

 

  4.3 Durchführung einer Vorabkontrolle

Bei der Durchführung einer Vorabkontrolle unterscheiden wir nach materiellen, formalen und technisch-organisatorische Anforderungen, wie folgt:

Materielle Anforderungen

Eine verhältnismäßige, für unseren Pflegedienst erforderliche und im Sinne des Datenschutzes angemessene und geeignete Datenverarbeitung wird angewandt. Dabei wird der Grundsatz der Datensparsamkeit und Datenvermeidung (§ 3a BDSG) beachtet.

Eine Datenverarbeitung mit anonymisierten Daten (§ 3 Abs. 6 BDSG) bzw. einer Pseudonymisierung (§ 3 Abs. 6a BDSG) ist möglich. Die Rechte der Betroffenen werden berücksichtigt und können einem Auskunftsersuchen nach § 34 BDSG angemessen entsprochen werden. Dabei können Daten erforderlichenfalls nach § 35 Abs. 3 BDSG gesperrt werden.

Des Weiteren können Löschungsfristen verfahrensmäßig eingehalten werden. Die Vorgaben zur Auftragsdaten-verarbeitung sind nach § 11 BDSG berücksichtigt. Zudem sind ggf. geeignete Maßnahmen gemäß § 6a Abs. 2 BDSG getroffen. Dabei stellen wir die Unterrichtung der Betroffenen verfahrensgemäß sicher.

 

Formale Anforderungen

Im Zuge der formalen Anforderungen ist das Verfahren der Vorabkontrolle im Verfahrensverzeichnis abgebildet (§ 4d BDSG).

Die Verpflichtung auf das Datengeheimnis wurde nach § 5 BDSG vorgenommen.

Darüber hinaus liegt für das Verfahren der Vorabkontrolle eine Betriebsanweisung über die technisch-organisatorischen Datenschutzanforderungen nach § 9 BDSG vor.

 

Technisch-organisatorische Anforderungen

Im Rahmen der Vorabkontrolle wird im Zusammenhang mit den Anforderungen nach § 9 BDSG geprüft, ob sich aus dem Verfahren besondere Risiken ergeben und dadurch zusätzliche Maßnahmen erforderlich sind sowie in welcher Weise diesen begegnet werden.

 

Das Ergebnis der Vorabkontrolle wird zweckmäßigerweise im Zusammenhang mit der Übersicht über das Verfahren dokumentiert. Dabei werden die Entscheidungsgründe in groben Zügen mit aufgeführt.

Hinweis: Alternativ können Sie auch eine Checkliste mit den Einzelangaben dem Vorgang beigefügen.

 

5. Technische und organisatorische Maßnahmen

Die Geschäftsleitung gewährleistet in Zusammenarbeit mit dem Datenschutzbeauftragten die Datensicherheit. Dazu wurde eine angemessene Datenschutzorganisation analog § 9 Satz 1 BDSG (Anhang) aufgebaut. Diese Datenschutzorganisation ist auch wesentlicher Bestandteil der Hinwirkungspflicht nach § 4g Abs. 1 BDSG.

Die Umsetzung der Regelungen und Anforderungen des § 9 BDSG in Verbindung mit der dazugehörigen Anlage im Zuge der automatisierten Verarbeitung und Nutzung personenbezogenen Daten wurde für unseren Pflegedienst innerbetrieblich so organisiert, dass sie den besonderen Anforderungen des Datenschutzes gerecht werden. Dabei haben wir nicht nur die technischen und organisatorischen Maßnahmen angemessen umgesetzt, sondern auch alle anderen unternehmenskritische Daten geschützt.

 

  5.1   Zutrittskontrolle

Wir haben Zutrittsregelungen getroffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle). Dabei gewährleisten wir umfassend, dass Unbefugten im Zweifel der Zutritt zu Arbeitsplätzen welche mit einer Datenverarbeitungsanlage (PC) ausgestattet sind, verwehrt wird.

Hinweis: Soweit dies nicht möglich ist, sollte auf jeden Fall sichergestellt sein, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  5.2  Zugangs-/Zugriffskontrolle

Wir stellen durch Zugangskontrollen sicher, dass die Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können.

Durch die Zugriffskontrolle gewährleisten wir im Weiteren, dass die zur Benutzung eines Datenverarbeitungssystems berechtigten Personen ausschließlich auf die gemäß Zugriffsberechtigung unterliegenden Daten zugreifen können. Dabei können personenbezogene Daten bei der Verarbeitung und Nutzung sowie nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.

Die Kontrolle umfasst einerseits die Berechtigung zum Zugriff auf das System und andererseits die Zugriffsberechtigung auf bestimmte Anwendungen bzw. Dateien. Hierzu haben wir Benutzerkonten bzw. Berechtigungsprofile angelegt. Wesentliche Elemente sind dabei der Benutzername, der Berechtigungsumfang und das Passwort. Jede vergebene Berechtigung wird dokumentiert. Die Dokumentation umfasst dabei Angaben wie eine Gruppe oder ein Benutzer auf Anwendungen, Dateien und Verzeichnisse zugreifen kann. Die Systemanmeldung und ggf. der Zugriff auf eine bestimmte Anwendung erfordern neben der Benutzerkennung die Eingabe eines Passworts, dessen minimale Länge, Komplexität und automatischer Verfall unter dem Gesichtspunkt der Angemessenheit des § 9 BDSG festgelegt ist.

Zudem haben wir die USB-Anschlüsse der Rechner deaktiviert (betrifft externe Festplatten, USB-Sticks), aufgrund des hohen Risikos der unberechtigten Weitergabe oder bei Verlust.

Neben diesen weitgehend technischen Maßnahmen wurden zusätzliche organisatorische Maßnahmen zum Verhalten der Mitarbeiter getroffen. Diese umfassen:

  • den sachgerechten Umgang mit persönlichen Passwörter
  • das Sperren des Computers bei Verlassen des Arbeitsplatzes
  • die Speicherung von Dateien auf lokalen Festplatten und nicht auf Serverfestplatten
  • die sachgerechte Nutzung und den sorgfältigen Umgang mit mobilen Geräten
  • die sofortige Meldung bei Verlust oder Diebstahl von mobilen Geräten (Geschäftsleitung, alternativ Datenschutzbeauftragter)

 

Neben dem Zugriff auf elektronisch gespeicherte Daten wird auch gleichermaßen mit nicht elektronischen Daten verfahren, z.B. Pflegedokumentation, Aufzeichnungen und Schriftstücke wie Briefkopien oder Aktennotizen.

Unsere Mitarbeiter werden regelmäßig zu den Maßnahmen der Zugangs- und Zugriffskontrollen unterwiesen. Die Schulungen umfassen die jeweiligen Arbeitsschritte im Zuge der Datenverarbeitung (Bearbeitung, Archivierung, Vernichtung/Entsorgung). Besonderen Wert legen wir dabei auf die Vermittlung folgender Aspekte:

  • Sicherer Verschluss personenbezogener Unterlagen am Arbeitsplatz.
  • Entsorgung von personenbezogenen schriftlichen Datenträgern: Vernichtung vertraulicher Papiere mittels Aktenvernichter mit mind. Sicherheitsstufe III.
  • Entsorgung von personenbezogenen elektronischen Datenträgern: physische Zerstörung, z.B. durch Zerbrechen, Zerkratzen oder Zerschneiden mittels spezieller Vorrichtung.
  • Sachgerechter Umgang beim Kopieren vertraulicher Aufzeichnungen: z.B. Originale entfernen, Fehlkopien sachgerecht vernichten, Löschung des Zwischenspeichers bei digitalen Fotokopiergeräten.

 

  5.3  Weitergabekontrolle

Wir führen je nach Art der zu schützenden personenbezogenen Daten, oder Datenkategorien, geeignete Weitergabekontrollen durch. Dabei stellen wir sicher, dass personenbezogene Daten bei der elektronischen Übertragung via Telefon, Internet, ISDN oder Standleitung bzw. während des Transports oder der Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Im Weiteren können wir feststellen und prüfen, an welche Stelle eine Übermittlung personenbezogener Daten zur Datenübertragung vorgesehen ist. Querverweis: § 9 Satz 1 BDSG (Anhang).

  5.4  Eingabekontrolle

Wir haben Maßnahmen festgelegt, mit welchen nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt wurden.

  5.5  Auftragskontrolle

Hinweis: Im Zuge der Auftragsdatenverarbeitung regelt § 11 BDSG, dass personenbezogene Daten im Auftrag durch einen Dritten (Auftragnehmer) verarbeitet oder genutzt werden. Das gilt unabhängig davon, ob diese Verarbeitung unter Einsatz der elektronischen Datenverarbeitung innerhalb oder außerhalb des eigenen Unternehmens stattfindet. Diese Regeln gelten auch dann, wenn im Zusammenhang mit der Auftragsdurchführung der Auftragnehmer (bzw. dessen Mitarbeiter) Einblick in personenbezogene Daten des Auftraggebers hat, oder dies nicht ausgeschlossen werden kann. Dabei werden dem Auftraggeber besondere Sorgfaltspflichten auferlegt. Er ist u.a. für die Einhaltung der Datenschutzvorschriften allein verantwortlich und ist verpflichtet, den Auftragnehmer sorgfältig auszuwählen sowie sich von der Einhaltung der Bestimmungen vor Beginn der Datenverarbeitung und im späteren Verlauf zu überzeugen.

In diesen Fällen werden innerhalb unseres Pflegedienstes die Auftragsverhältnisse gemäß § 11 BDSG schriftlich fixiert. Aus § 11 Absatz 2 bis 4 BDSG ergeben sich die Sachverhalte, welche wie folgt vertraglich im Einzelnen festgelegt werden:

  1. Gegenstand und Dauer des Auftrags
  2. Festlegung von Umfang, Art und Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung sowie die Art der Daten und des Kreises der Betroffenen
  3. Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
  4. Regelung, wie mit Berichtigung, Löschung und Sperrung von Daten umzugehen ist
  5. Verpflichtung des Auftragnehmers, dessen Mitarbeiter auf das Datengeheimnis nach § 5 BDSG zu verpflichten; den Einsatz der technischen und organisatorischen Maßnahmen nach § 9 BDSG zu gewährleisten inkl. der daraus abzuleitenden Kontrollpflichten, einschließlich der Bestellung eines Datenschutzbeauftragten
  6. Regelung etwaiger Unterauftragsverhältnisse
  7. Verpflichtung des Auftragnehmers, Kontrollen durch den Auftraggeber hinzunehmen, bei denen dieser sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen möchte, bzw. entsprechende Nachweise zu erbringen.
  8. Verpflichtung des Auftragnehmers, dem Auftraggeber unverzüglich zu definierende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten, oder gegen die im Auftrag getroffenen Festlegungen mitzuteilen. Im Weiteren besteht die Informationspflicht, wenn der Auftragnehmer der Ansicht ist, dass eine Weisung des Auftraggebers gegen Datenschutzvorschriften verstößt.
  9. Vereinbarung über den Umfang der Weisungsbefugnis, die sich der Auftraggeber vorbehält.
  10. Regelung über die Rückgabe überlassener Datenträger und die Löschung der gespeicherten Daten nach Beendigung des Auftrags.

  5.6  Verfügbarkeitskontrolle

Die Folgen von unbeabsichtigten Datenverlusten sind erheblich. So können gespeicherte Daten z.B. durch versehentliches Löschen, technisches Versagen oder Manipulation unbrauchbar werden bzw. verloren gehen. In Abstimmung mit unseren IT-Lieferanten haben wir daher ein professionelles Datensicherungskonzept etabliert. Auf Grundlage eines redundanten Datenbestands kann dabei die automatisierte Datenverarbeitung kurzfristig wieder aufgenommen werden. Somit sind personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt. Querverweis: § 9 BDSG (Anlage Ziffer 7).

  5.6  Gentrennte Datenverarbeitung

Wir gewährleisten durch geeignete Maßnahmen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

 

6. Datenschutzerklärung auf der Website

Wir haben im Rahmen der Datenschutzverpflichtungen auf unserer Website eine Datenschutzerklärung hinterlegt (z.B. Unterrichtungspflichten nach § 13 Abs. 1 Telemediengesetz). Durch diese vertrauensbildende Maßnahme wollen wir die Bereitschaft von (potentiellen) Verbrauchern, Benutzern, Surfern bzw. Interessenten wecken, personenbezogene Daten in den entsprechenden Online-Formularen anzugeben.

 

7. Dokumentation

Bei einem kritischen Datenschutzvorfall befasst sich die Datenschutzaufsichtsbehörde nicht nur im Rahmen einer Kontrollmaßnahme mit unserem Pflegedienst, auch die Tätigkeit des Datenschutzbeauftragten steht dann auf dem Prüfstand. Daher verpflichten wir unseren bestellten Datenschutzbeauftragten zur Wahrung der zutreffenden gesetzlichen/behördlichen Regelungen, insb. gemäß Ausführung des § 4g BDSG. Dabei werden alle in diesem Datenschutzkonzept beschriebenen Aktivitäten jederzeit nachvollziehbar aufgezeichnet.

Des Weiteren werden in unserem Pflegedienst regelmäßige Datenschutzaudits (Querverweis Gliederungspunkt 8. Datenschutzkonzept) durchgeführt. Im Zuge dieser Audits als auch während des Alltaggeschehens achtet der Datenschutzbeauftragte auf das richtige Verhalten der Mitarbeiter und ergreift bei Fehlverhalten entsprechende Maßnahmen (z.B. erneute Unterweisung und Anleitung, Rund- bzw. Informationsschreiben, Information der Geschäftsleitung).

 

8.  Überwachung der Wirksamkeit des Datenschutzes

8.1Datenschutzaudits

Der bestellte Datenschutzbeauftragte auditiert regelmäßig die Wirksamkeit der datenschutzrelevanten Maßnahmen auf Grundlage der zutreffenden gesetzlichen Anforderungen innerhalb unseres Pflegedienstes. Dabei werden relevante Bereiche/Gruppen gezielt vor Ort besucht und kompetente Vertreter interviewt. Die Besuche in den Bereichen sind notwendig, um aus den Gesprächen mit den verschiedenen Funktionsträgern Schwachstellen herauszufiltern und um die Örtlichkeiten sowie relevante praktische Abläufe in Augenschein zu nehmen. Darüber hinaus gehört es zu seinen Aufgaben Ablauf- und Verfahrensbeschreibungen, Betriebs- bzw. Dienstvereinbarungen sowie evtl. vorhandene Regelungen und Anweisungen zum Datenschutz zu analysieren. Diese Maßnahmen dienen dem Datenschutzbeauftragten, dass er sich mit den organisatorischen Abläufen vertraut macht und die datenschutzrelevanten Notwendigkeiten identifiziert. Im Zuge der Datenschutzaudits bildet der Datenschutzbeauftragte die identifizierten Verbesserungsmaßnahmen im Maßnahmenplan analog PDCA ab. Somit erhält die Geschäftsleitung Transparenz und gleichzeitig konkrete Vorschläge für die systematische Umsetzung des Datenschutzes in unserem Pflegedienst.

8.2  Auditkriterien

Wesentliche Aspekte des Datenschutzaudits sind:

  • Ordnungsgemäße Bestellung des Datenschutzbeauftragten
  • Organisationseinheiten/Arbeitsplätze/Verfahren, bei denen personenbezogene Daten verarbeitet, gespeichert und genutzt werden
  • Stellen, an die personenbezogene Daten übermittelt werden
  • Umfang, Sensibilität und Zulässigkeitsvoraussetzungen der verarbeiteten personenbezogenen Daten
  • Umfang und Struktur der technisch organisatorischen Maßnahmen zur Datensicherung (z.B. Zugangs- und Zugriffsberechtigungen, Organisationskontrolle)
  • Schriftliche Verpflichtung der Mitarbeiter, die personenbezogenen Daten verarbeiten, auf das Datengeheimnis
  • Nachweise über die Unterweisung der Mitarbeiter, die personenbezogenen Daten verarbeiten
  • Status der Register über Dateien, Verfahren und zugriffsberechtigte Personenkreise
  • Einhaltung der gesetzlich geforderten Vertragsbestandteile im Zuge der personenbezogenen Auftragsdaten-verarbeitung
  • Betriebliche Anweisungen zum Datenschutz und zur Datensicherung (z.B. PC, Passwort, ISDN, Fax, Internet, E-Mail)

Untergeordnet sind dabei u. a. folgende Aspekte zu verifizieren:

  • Datenschutzgerechte Löschung/Vernichtung von Datenträgern
  • Dienstleisterkontrolle
  • Verpflichtung auf das Fernmeldegeheimnis
  • Datenschutzkonformer Internetauftritt
  • Widerspruchshinweise
  • Ggf. nicht zulässige E-Mail-Werbung
  • Verpflichtung auf das Fernmeldegeheimnis
  • PC-Rahmenbetriebsvereinbarungen
  • Regelung zur privaten Telefonnutzung
  • Regelung zum privaten Surfen/Mailen am Arbeitsplatz
  • Informationen über Zweckbestimmungen
  • Rechtswirksame Einwilligungserklärungen in Vertragsformularen
  • ggf. gesetzeswidrige Videoüberwachung
  • Verzeichnisse und Unternehmens-Websites (Verwendung von Mitarbeiterdaten)
  • Geheimhaltungs-/Vertraulichkeitsvereinbarungen

 

9. Jahresbericht

Am Ende eines jeweiligen Geschäftsjahres erstellt der Datenschutzbeauftragte den Datenschutz-Auditbericht zur Vorlage an die Geschäftsleitung. Dieser enthält neben den Auditnachweisen, -feststellungen und
–schlussfolgerungen zudem Informationen über die Aktivitäten des abgelaufenen Jahres, eventuell identifizierte Problembereiche sowie konkrete Planungsangaben für das Folgejahr (siehe nachfolgende Aufstellung).

 

  • Maßnahmen des abgelaufenen Jahres
  • allgemeine Aussagen
  • Auflistung einzelner Aktivitäten, Stellungnahmen, Ereignisse, Kontrollen, Problembereiche und Ergebnisse
  • Weiteres Vorgehen und Ausblick
  • Pläne
  • besondere Probleme
  • evtl. Auswirkungen von angekündigten Gesetzesänderungen

 

 

Wir suchen

Wir brauchen stets Verstärkung

Infos hier...

Mannheim Vorstadt:

Pflegedienst Servin
Mollstr.9
68165 Mannheim

Tel: +49 621 40063 76

Fax: +49 621 40063 78

 

E-Mail: info@pflegedienst-servin.de

Mannheim Gartenstadt:

Pflegedienst Servin
Staudenweg 3

68305 Mannheim

Tel: +49 621  764499 01

Fax: +49 621 764499 03

 

E-Mail: info@pflegedienst-servin.de

Unsere Öffnungszeiten

Montag - Freitag08:00 - 16:00
Für unsere Kunden besteht eine 24h Rufbereitschaft

Datenschutz:

Hinweise oder Fragen zum Datenschutz?

datenschutz@pflegedienst-servin.de

Datenschutzbeauftragter:

Rainer Keuerleber

Druckversion Druckversion | Sitemap
© Pflegedienst Servin

Diese Homepage wurde mit 1&1 IONOS MyWebsite erstellt.
Login Logout | Seite bearbeiten