Datenschutz Stöferle

Schutz der Person vor Beeinträchtigung in Ihrem Persönlichkeitsrecht 

• IT-Sicherheit

• Schutz der IT-Systeme, inkl. der Daten vor den Gefahren durch Verlust, Manipulation, Zerstörung, Missbrauch 

Schutz jeglicher Informationen im gesamten Verarbeitungsprozess 

-> Alle 3 brauchen Schutzmaßnahmen und überschneiden sich: Art. 32 b DSGVO (Sicherheit der Verarbeitung): Vertraulichkeit, Verfügbarkeit, Integrität 

• Bestimmung einer Person ist nur mit Hinzuziehung zusätzlicher Informationen möglich 

• Identifikationmerkmale werden durch ein Kennzeichen ersetzt. Beispiel: Matrikelnummer: Nur mit der Zuordnungsliste kann man die Person zuordnen

• Die Einzelgaben können nicht mehr einer bestimmten / bestimmbaren Person zugeordnet werden.

• = Personenbeziehbar bedeutet, dass Daten einer bestimmten Person zugeordnet werden können, aber nicht zwingend deren Identität im ersten Moment klar ist.

• anhand der Merkmal kann die Person eindeutig bestimmt werden, obwohl der Name nicht genannt ist.

= Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies schließt alle Daten ein, die direkt oder indirekt verwendet werden können, um eine Person zu identifizieren.

• Rechtmäßigkeit

• Zweckbindung

• Datenminimierung

• Transparenz

• Datensicherheit

• DS-Management

• Kontrolle

Begründung der Datenverarbeitung, eine von 6 Begründungen aus Art 6 (1) DSGVO muss zutreffen. Einwilligung zur Verarbeitung, Kauf-/ Miet- und Arbeitsvertrag, Arbeitszeitgesetz, wenn der Betroffene bewusstlos ist, aus öffentlichem Interesse z.B. Katastrophenschutz, in manchen Fällen zu Werbezwecken

Bsp: wenn ich irgendwo eine neue Arbeitsstelle antrete, dann darf mein Arbeitgeber bestimmte personenbezogene Daten von mir verarbeiten, um mich in die nötigen Systeme einzupflegen und einen Arbeitsvertrag anzufertigen

Die Daten dürfen nur zu dem vorher angegebenen, festgelegten, eindeutigen und legitimen Zweck verarbeitet werden. Sollte sich dieser Zweck ändern, muss die Rechtmäßigkeit erneut geprüft werden. Der Zweck muss zum Erhebungszeitpunkt bereits feststehen. 

Bsp: Wenn ich Daten für einen Fragebogen erhebe, dann darf ich sie auch nur in diesem Zusammenhang auswerten. Sobald ich die Daten dann z.B. für eine weitere Auswertung in einem anderen Kontext verwenden möchte, muss ich dies erneut legitimieren

Die erhobenen Daten müssen je nach Zweck begrenzt werden auf Art, Umfang und Intensität und die Abwägung, ob die Daten überhaupt erhoben werden müssen, muss stattfinden. Nicht länger benötigte Daten müssen gelöscht werden. Die Daten sollen außerdem ano- oder pseudonymisiert werden.

 Bsp: In einem Fragebogen zur Zufriedenheit mit der Untersuchungsqualität darf ich keine Daten erheben, wie den Ehestatus oder wie viele Kinder die Befragten haben, da diese Daten für meinen Zweck irrelevant sind.

Der Person muss auf Nachfrage eine Version des Protokolls ausgehändigt werden. Somit kann die Person die erfassten Daten einsehen.

Ist der Schutz vor Verlust, Manipulation, Zerstörung, Missbrauch und die damit verbundenen Einrichtung und Aufrechterhaltung von Maßnahmen

Die Protokolle müssen sicher vor unbefugter Einsicht geschützt werden. Auch die iPads mit welchem die Protokolle geschrieben werden, müssen Passwort geschützt sein.

Maßnahmen wie privacy by design, eine Datenschutz-Folgenabschätzung, Dokumentations- Rechenschafts- und Informationspflicht, Benennung eines Datenschutzbeauftragten, allg. Managementaufgaben, Auftragsverarbeitung

Bsp: Die Mitarbeiter des Rettungsdienst müssen jährlich eine Datenschutz-Schulung besuchen.

Die Einhaltung der DSGVO wird durch externe und interne Stellen kontrolliert 

z.B. Ein Patient darf erfahren, welche Daten während eines Rettungseinsatzes über ihn erfasst wurden.

Behandlung (Diagnose, Heilung, Verbesserung, Therapie…)

Anlage von Patient*innenstammdaten, Weitergabe der Daten/Proben ans Labor/CT/Röntgen etc./Abrechnung, Dokumentation