Archiv der Kategorie: Datenschutzbeauftragter

Wegfall des betrieblichen Datenschutzbeauftragten durch EU-Datenschutz erhöht Bürokratieaufwand für deutsche Unternehmen

Pressemitteilung des BvD:

Nach den aktuellen Medienberichten zu möglichen Mrd. Euro Mehrkosten für deutsche Unternehmen durch ausgeweitete Informationspflichten einer EU-Datenschutzgrundverordnung ruft der BvD zu Übernahme des Erfolgsmodell DSB in ganz Europa auf.
Der BvD weist darauf hin, dass ein Teil dieser Mehrkosten für deutsche Unternehmen durch Meldepflichten an Behörden statt der Einbindung des betrieblichen Datenschutz-beauftragten entsteht. „In der öffentlichen Diskussion um Facebook, Google und europaweiter Rechtseinheitlichkeit geht unter, dass die EU-Datenschutzgrund-verordnung die Abschaffung dieser deutschen praxisgerechten Alternative zu einem Bürokratischen Datenschutz vorantreibt“, sagte Marco Biewald, Vorstand im BvD. „förderliche und formfreie Vor-Ort Bewertungen von Datenschutzbeauftragten, die die betrieblichen Einzelheiten kennen, soll ersetzt werden durch bürokratische Meldepflichten und Anträge an Behörden“.
Der gute Ruf des „strengen“ deutschen Datenschutzes ist auch auf die regelmäßige, aber unbürokratische und vor allem praxisgerechte Einwirkung der betrieblichen Datenschutzbeauftragten zurückzuführen, die dieses Thema ohne Mrd. Mehrkosten für Informationspflichten lösen. „Die Wahrheit ist: Die von der EU geplante Abschaffung des betrieblichen Datenschutzbeauftragten senkt keine Kosten für die Datenschutzexpertise im Unternehmen, sondern führt nun zu zusätzlichen Kosten für jetzt eingreifende Behördeninformationen, die neben Experten-Knowhow oben drauf kommen“, sagte Biewald.

Die Informationspflichten gegenüber Betroffenen nach Art.14 der EU-Datenschutz-grundverordnung können nach Ansicht des BvD nicht der entscheidende Kostenfaktor sein. Bereits heute bestehen gegenüber den Betroffenen Aufklärungs- und Informationspflichten bei der Erhebung von Daten. Die verschiedenen Entwürfe zu Art.14 modifizieren dieses Recht lediglich, schaffen aber keinen neuen Prozess. Wenn Unternehmen über funktionierende Informationsprozesse wie z.B. Datenschutz-erklärungen verfügen, bedeuten diese Änderungen Anpassungen, die im Rahmen der regelmäßigen Evaluierung umgesetzt werden können. Der BvD hält in der digitalen Gesellschaft die Aufklärung über die stattfindende Datenverarbeitung für genauso notwendig und selbstverständlich wie die Information auf Lebensmittelpackungen über deren Inhalt.

Advertisements

Erhöhung der Anforderungen an E-Mail-Sicherheit

Veröffentlichung vom 06.11.2013 in Compliance-Magazin.de
http://www.compliancemagazin.de/markt/hintergrund/group-business-software061113.html

Verschärfung der Meldepflichten

Neue 24-Stunden-Meldepflicht für Datendiebstahl stellt besondere Anforderungen an die E-Mail-Sicherheit
Unternehmen sollten schon jetzt wappnen und ihre E-Mail Kommunikation gegen Datendiebstahl und -verlust wirksam absichern

(06.11.13) – Mit dem 25. August 2013 ist eine neue Verordnung der Europäischen Union in Kraft getreten, die langfristig Auswirkungen auf die E-Mail Kommunikation aller Unternehmen in der EU haben könnte. Mit der Regelung wird – zunächst für Telekommunikations- und Internet-Anbieter – eine 24-stündige Meldepflicht von Datenpannen und Datendiebstählen eingeführt. Entsprechende Vorkommnisse, wozu auch der unbefugte Zugriff auf sensible Kundendaten beispielsweise in E-Mails zählt, sind demnach fristgerecht an die zuständigen Aufsichtsbehörden und Betroffenen zu melden.

Nach Einschätzung der E-Mail Experten der Group Business Software AG (GBS) ist dies angesichts der Zunahme an Fällen von Datenmissbrauch, auf die die EU mit der Verordnung reagiert, vermutlich erst der erste Schritt hin zu einer branchenübergreifenden Verschärfung der Meldepflichten. „Wir erwarten, dass die Regelung schon bald auch auf andere Branchen ausgeweitet wird“, erklärt Andreas Richter, VP Marketing Europe bei GBS.

Unabhängig davon sollten sich Unternehmen schon jetzt wappnen und ihre E-Mail Kommunikation gegen Datendiebstahl und -verlust wirksam absichern. „Was nützt es USB-Ports zu blockieren oder CD-Rom-Laufwerke auszubauen, wenn sensible Kundendaten per E-Mail abfließen und in die Hände unbefugter Dritter geraten?“, veranschaulicht Andreas Richter. Ein gutes Sicherheitskonzept muss daher auch E-Mails samt ihrer Datei-Anhänge umfassen. Denn oftmals finden sich in diesen besonders wichtige Informationen.

Die E-Mail-Experten von GBS üben jedoch auch Kritik an der neuen EU-Verordnung: „Unternehmen können natürlich nur die Datenpannen melden, von denen sie Kenntnis erhalten. Bei Angriffsversuchen, die häufig unbemerkt bleiben, läuft die 24-stündige Meldepflicht ins Leere. Gefragt sind daher zukünftig mehr präventive Maßnahmen“, gibt Andreas Richter zu bedenken. (Group Business Software: ra)

Digitaler Selbstschutz gegen Ausspähen und Datenmissbrauch

http://www.compliancemagazin.de/gesetzestandards/datenschutzcompliance/uld060813.html :

Prism“, „Tempora“ und die Folgen

Digitaler Selbstdatenschutz ist wichtiger denn je: Grundprinzipien sind hierbei Datenvermeidung und Datensparsamkeit, also so wenige Daten im Netz zu hinterlassen wie irgend möglich
Datenschutzbewusstes Verbraucherverhalten im Internet wird von den Betreibern sofort registriert und eröffnet die Chance, dass sich über den Wettbewerb datenschutzkonforme Produkte durchsetzen

(06.08.13) – Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erhält seit Aufdeckung der umfassenden Erfassungs- und Auswertungsverfahren von Telekommunikations- und Internetdaten US-amerikanischer und britischer Sicherheitsbehörden laufend Anfragen, wie sich Betroffene selbst schützen können und wie die Ausspähung der Menschen mittel- und langfristig eingeschränkt werden kann. Die umfassende verdachtslose geheimdienstliche Bespitzelung, u. a. bekannt geworden durch die Programme „Prism“ und „Tempora“ der National Security Agency (NSA – USA) und des Government Communications Headquarters (GCHQ – UK), betrifft auch die Bevölkerung und die Wirtschaft des Landes Schleswig-Holstein. Das ULD sieht in den Enthüllungen des Whistleblowers Edward Snowden wichtige Informationen, die Anlass für eine Neuorientierung sowohl hinsichtlich des individuellen Datenschutzverhaltens als auch der Datenschutzpolitik sind.

Selbstdatenschutz ist wichtiger denn je.

Grundprinzipien sind hierbei Datenvermeidung und Datensparsamkeit, also so wenige Daten im Netz zu hinterlassen wie irgend möglich:
>> Nutzen Sie datensparsame Internetangebote, bei denen keine Datenspuren hinterlassen werden, bei Suchmaschinen z. B. das vom ULD zertifizierte Ixquick/Startpage.
>> Bei Bedarf nach Anonymität beim Surfen verwenden Sie Anonymisierungsdienste. Verwenden Sie – wie vom Telemediengesetz rechtlich vorgesehen – statt Klarnamen Pseudonyme.
>> Durch Verwendung mehrerer Browser, mehrerer E-Mail-Accounts oder mehrerer sonstiger Identitäten wird eine Profilbildung erschwert. Verwenden Sie bei verschlüsselten Webseiten https.
>> Nutzen Sie bei der Datenspeicherung – jedenfalls in der Cloud – und bei sensiblen E-Mails Verschlüsselung.
>> Setzen Sie Tracking-Blocker ein und löschen Sie regelmäßig die Cookies in Ihrem Browser.
>> Verändern Sie die Browser-Einstellungen gemäß Ihren Datenschutzwünschen.

Bei der Auswahl von Internetdiensten sind europäische und deutsche Angebote den Angeboten aus Drittländern, insbesondere aus den USA, vorzuziehen, weil dann sicher europäisches Datenschutzrecht anwendbar ist. Auch bzgl. britischer Anbieter ist größere Vorsicht und Zurückhaltung geboten. Lesen Sie vor regelmäßiger Nutzung eines Internetangebots die Nutzungs- und die Datenschutzbestimmungen und verzichten Sie auf den Einsatz, wenn Sie Zweifel an der Beachtung des Datenschutzes haben.

Datenschutzbewusstes Verbraucherverhalten im Internet wird von den Betreibern sofort registriert und eröffnet die Chance, dass sich über den Wettbewerb datenschutzkonforme Produkte durchsetzen.

Hinsichtlich der Geheimdienstaktivitäten im Internet sollte niemand der Illusion folgen, Argumente allein könnten zu mehr Transparenz und mehr Datenschutz beitragen – dies geht nur über politischen, wirtschaftlichen, diplomatischen und rechtlichen öffentlichen Druck.

Dieser Druck kann durch folgende Maßnahmen verstärkt werden:

>> Herstellung von Transparenz bzgl. sämtlicher Geheimdienstaktivitäten im Internet, und zwar – soweit dies aus Sicherheitsgründen vertretbar ist – gegenüber der Öffentlichkeit und nicht hinter verschlossenen Türen,

>> offizielle Kündigung der Safe-Harbor-Grundsätze durch die Europäische Kommission,

>> Infragestellung und im Zweifel Kündigung der Abkommen zum Datenaustausch für Sicherheitszwecke, insbesondere der Abkommen zu den Flugpassagierdaten (Passenger Name Records – PNR) und zum Bankdatenaustausch (Terrorist Finance Tracking Program – TFTP, SWIFT),

>> Aussetzen der Verhandlungen zum Freihandelsabkommen zwischen EU und USA, bis die USA zu hinreichenden und überprüfbaren Datenschutzzusagen bereit ist, in jedem Fall aber – bis dahin – Ausschluss des Bereichs der Informations- und Kommunikationstechniken aus derartigen Verhandlungen,

>> Zeitnahe Beschlussfassung über die Europäische Datenschutz-Grundverordnung gemäß den von EU-Kommission und Parlamentsberichterstatter vorgegebenen Standards ohne weitere Berücksichtigung der US-Lobby-Vorschläge,

>> Prüfung und Einleitung rechtlicher Schritte beim Europäischen Gerichtshof und Europäischen Gerichtshof für Menschenrechte gegen Großbritannien wegen der Verletzung der Europäischen Grundrechtecharta und der Europäischen Menschenrechtskonvention durch Tempora,

>> Einleitung und Durchführung von strafrechtlichen Ermittlungen gegen die Verantwortlichen für Prism und Tempora,

>> Einreiseerlaubnis für Edward Snowden mit dem Angebot des Schutzes vor politischer Verfolgung.

Mittelfristiges Ziel der Politik muss es sein, ein „Grundrecht auf Datenschutz“ im Sinne eines Rechts auf informationelle Selbstbestimmung zumindest in der westlichen Welt, perspektivisch aber weltweit, zu etablieren. Dies muss durch verbindliche überprüfbare völkerrechtliche Sicherungen flankiert werden.

Thilo Weichert, Leiter des ULD, sagte: „Nicht nur vielen US-Amerikanern und Briten, sondern auch vielen Menschen in Deutschland und sonst in Europa ist offensichtlich noch nicht klar, was die anlasslose potenzielle Vollüberwachung des Internet bedeutet. Das Internet ist das Rückgrat unserer globalen Informationsgesellschaft. Die Überwachung kombiniert mit den bestehenden Speicherungs- und Analysemöglichkeiten von Big Data sind eine neue Bedrohung für unsere bürgerlichen Freiheitsrechte, für unsere Demokratien und für unsere Rechtsstaatlichkeit. Die Enthüllungen zu Prism und Tempora können und müssen insofern der Startpunkt für einen transatlantischen Lernprozess und für die Realisierung von Transparenz und digitalen Grundrechten sein.“

Eine begründende Stellungnahme zu „Prism, Tempora, Snowden: Analysen und Perspektiven“ von Thilo Weichert finden Sie unter
http://www.vocer.org/de/artikel/do/detail/id/496/prism-tempora-snowden-analysen-und-perspektiven.html

Eine Analyse der Big-Data-Anwendung Prism aus Datenschutzsicht finden Sie unter
https://www.datenschutzzentrum.de/bigdata/20130709-bigdata-und-prism.html
(ULD: ra)

Datenträgervernichtung nach DIN 66399

Aktenordner tragenHäufige Ursache für Datenmissbrauch ist der unbedachte Umgang mit Daten und Datenträgern bei deren Entsorgung. Beauftragt ein Unternehmen dafür ein Entsorgungsunternehmen, so ist dies nach BDSG (Bundesdatenschutzgesetz) eine Datenverarbeitung im Auftrag. Somit bleibt es auch beim Prozess der Entsorgung bei der datenschutzrechtlichen Verantwortlichkeit des Unternehmens und damit der Pflicht zur sorgfältigen Auswahl und Überwachung des Dienstleisters. Der Datenschutzbeauftragte hat dies zu prüfen und sollte frühzeitig bereits in die Auswahl des Dienstleisters einbezogen werden.

Für die Beurteilung steht nun den Datenschutzbeauftragten eine wesentlich verbesserte und detailliertere DIN-Norm zur Verfügung. Die neue Norm ersetzt die alte DIN 32757 und ist ein Hilfsmittel zur Wahrung des Datenschutzes und der Datensicherheit im Unternehmen. Sie besteht aus der DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Vorteil der neuen Bestimmung ist insbesondere die Integration der unterschiedlichen Löschprozesse und von verschiedenen Datenträgern (Papier, Festplatten, CD, Mikrofilm, USB etc).

DIN-66399-1

definiert dabei die Begriffe und die relevanten Faktoren, insbesondere die Schutzklassen 1-3 und die Sicherheitsstufen 1-7. Unternehmen und Datenschutzbeauftragte müssen bei der Anwendung der Norm daher die zu behandelnden Daten und Datenträger vorab in Schutzklassen einteilen, bevor sie vertraglich die konkret zu erreichenden Sicherheitsstufen durch das Entsorgungsunternehmen beauftragen.

Wesentliche Neuerungen sind:

Drei Schutzklassen

Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dient der Klassifizierung der anfallenden Daten.

Sechs Materialklassifizierungen

Erstmals definiert die Norm unterschiedliche Materialklassifizierungen, die auch die Größe der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).

Sicherheitsstufen

Anstatt wie bisher fünf Sicherheitsstufen definiert die neue DIN 66399 nun sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 mit einer Teilchenfläche von max. 160 mm².

(Die bisherige Stufe 4 wird zur Stufe P-5, aus Stufe 5 wird P-6 und der bisher nicht in der Norm berücksichtigte „Level 6“ wird zur Stufe P-7).

Schutzbedarf und Zuordnung zu Schutzklassen

Um bei der Datenträgervernichtung dem Wirtschaftlichkeitsprinzip bzw. Verhältnismäßigkeitsprinzip Rechnung zu tragen, sind die Daten in Schutzklassen eingeteilt. Ausschlaggebend für die Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger ist dabei der Grad der Schutzbedürftigkeit.

Schutzklasse 1:
Normaler Schutzbedarf für interne Daten.

Diese Informationen sind für größere Gruppen bestimmt und zugänglich. Unberechtigte Offenlegung hätte begrenzte negative Auswirkungen auf das Unternehmen. Der Schutz personenbezogener Daten muss gewährleistet sein.

Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen …

Schutzklasse 2:
Hoher Schutzbedarf für vertrauliche Daten, die auf einen kleinen Personenkreis beschränkt sind.

Die ungerechtfertigte Weitergabe hätte erhebliche Auswirkungen auf Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen.

Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten …

Schutzklasse 3:
Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten mit Beschränkung auf einen kleinen, namentlich bekannten Kreis von Zugriffsberechtigten.

Eine unberechtigte Weitergabe hätte ernsthafte, existenzbedrohende Auswirkungen für Unternehmen und würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen. Der Schutz personenbezogener Daten muss uneingeschränkt gewährleistet sein.

Beispiele: Unterlagen der Geschäftsleitung, F&E-Dokumente, Finanzdaten, Verschluss-Sachen …

Die Zuordnung der drei Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden:

Schutzklassen DIN 66399

Für Arztpraxen ist demnach die Schutzklasse 3 mit der Sicherheitsstufe 4 anzusetzen.

Keinesfalls dürfen Papierdokumente einer Arztpraxis in den normalen Papiermüll gelangen.

Materialklassifizierung der neuen Norm DIN 66399

In der modernen Kommunikation gibt es zahlreiche neue Datenträger, die in der DIN 66399 nun ebenfalls berücksichtigt wurden. Deshalb nachstehend ein kurzer Überblick:

Sicherheitsstufen Informationsdarstellung
P-1 bis P-7 in Originalgröße,z.B. Papier, Filme, Druckplatten.  Grafik Sicherheitsstufe P-1
F-1 bis F-7 verkleinert,z.B. Mikrofilme, Folie.  Grafik Sicherheitsstufe F-1
O-1 bis O-7 optische Datenträgerz.B. CDs/DVDs.  Grafik Sicherheitsstufe O-1
T-1 bis T-7 magnetische Datenträgerz.B. ID-Karten, Disketten.  Grafik Sicherheitsstufe T-1
H-1 bis H-7 Festplatten mit magnetischen Datenträgern.  Grafik Sicherheitsstufe H-1
E-1 bis E-7 elektronischen Datenträgernz.B. USB-Sticks, Chipkarten.  Grafik Sicherheitsstufe E-1

Papierdokumente  P-1 bis P-7

(Sicherheitsstufen der DIN 66399 für Informationsdarstellung in Originalgrösse)

Die vorangegangen Seiten haben die Materialklassen in der Übersicht erläutert. Da hauptsächlich Papierdokumente (= Informationsdarstellung in Originalgröße) fachgerecht entsorgt werden müssen, nachfolgend die Materialklassen P-1 bis P-7 noch etwas näher spezifiziert:

Papierdokumente

Bei der gewerblichen Entsorgung von Unterlagen mit personenbezogenen Daten handelt es sich nach BDSG (Bundesdatenschutzgesetz) um eine Datenverarbeitung im Auftrag. Es muss zwingend ein entsprechender Vertrag mit dem Entsorgungsunternehmen abgeschlossen werden, denn letztlich bleibt in jedem Fall die Arztpraxis verantwortlicher Besitzer der übergebenen Daten.

Bitte sprechen Sie uns an, wenn Sie nähere Erläuterungen zu dem Thema wünschen oder wenn Sie beabsichtigen ein Aktenvernichtungs- oder Entsorgungsunternehmen zu beauftragen.

Ihr

Datenschutzberater

Weitere Blätter unsere Arzt-Info-Reihe:

 

Info 40    Datenübermittlung an Hausarztverband

Info 42    Datenschutzrisiken in einer Praxis

Info 43    Datenschutz und KV

Info 44    Der Datenschutzbeauftragte in der Arztpraxis

Info 47    Videoüberwachung in Patiententoiletten

Info 51    Datenschutz und Schweigepflicht

Info 53    Praxissicherheit

Info 54    Auskunftsbereitschaft

Info 56    Pro + Contra Datenschutz durch internen MitarbeiterIn

Social Media und der gute Ruf einer Arztpraxis

Noch vor wenigen Jahren stellte die Kommunikation durch E-Mails für viele Unternehmen eine neuartige Herausforderung dar. Der Wunsch der Mitarbeiter, auch während der Arbeit, Zugriff auf das Internet zu haben, und initiierte neue Denkanstösse in Unternehmen. Mittlerweile gehört die Kommunikation über E-Mail sowie die Recherche im Internet zu beruflichen Themen zum Standard der meisten Branchen. Sogar die Nutzung dieser Medien für private Zwecke, ist heutzutage – oft ohne Kenntnis der juristischen Hintergründe – in Firmen, mehr oder weniger geregelt, den Mitarbeitern möglich. Die beständige Weiterentwicklung hin zu sichereren Systemen ermöglicht, z.B durch Verschlüsselung, längst die Nutzung von abgesichertem E-Mail Verkehr. Und auch eine weitere Entwicklung lässt sich weder aufhalten noch rückgängig machen. Viele Menschen kommunizieren täglich untereinander über das Internet. Gerade junge Menschen verbringen viel Zeit damit, über Facebook und Co ständig in Kontakt zustehen. Gleichzeitig suchen sie über Suchmaschinen nach Arztpraxen, bewerten Ärzte auf Portalen und fühlen sich besonders verbunden mit derjenigen Hausarztpraxis mit der sie auf Facebook befreundet sind. Viele Unternehmen nutzen bereits die mannigfaltig Facebook Kontakte ihrer Mitarbeiter um deren „Freunde“ auf die eigenen Leistungen und Services aufmerksam zu machen. Wäre das nicht ein einfacher Weg um auch als Arzt seine Leistungen nach außen darstellen zu könnenEs stellt sich auch für Arztpraxen die Frage, ob es sinnvoll ist, sich dieser Entwicklung eher zu verschließen oder sie proaktiv zu nutzen. In der Parallelwelt Internet ist längst eine digitale Identität Ihrer Arztpraxis entstanden und das geht weit über die Inhalte ihrer Homepage hinaus. Persönliche Empfehlungen und soziale Vernetzungen bestimmen den Erfolg der Akteure – mit ihrem Zutun oder auch ohne. Ihre Entscheidung aktiv die Ausrichtung ihres Internetprofils zu beeinflussen, birgt die Chance es, ihren Vorstellungen, entsprechend zu gestalten. Sie können Informationen weiter geben, die Sie ihren Patienten schon immer mitteilen wollten (wie zum Beispiel Ihre IGeL Leistungen, Gesundheitsinformationen oder medizinische Themen). Sie erreichen eine bessere Platzierung in Suchmaschinen sowie eine jüngere und passendere Patientengruppe. Nicht zu unterschätzen ist, dass sich Dialogmöglichkeiten ergeben, die eine Identifikation Ihrer Patienten mit Ihrer Praxis aufbaut. Doch da wo Licht ist, ist auch Schatten. Aus der Nutzung von E-Mail, Internet und Social Media resultieren nicht zu vernachlässigende Datenschutz und Datensicherheits Probleme.

Was muss ich bei der Kommunikation über E-Mail mit dem Patienten beachten?

E-Mails sind wie Postkarten. Schicken sie Ihrem Patienten eine Postkarte, wenn sie einen neuen Befund haben? Genauso wenig werden Sie auch zukünftig per schlichter Email sensible Information verbreiten. Aber die E-Mail hat sich mittlerweile als formloses Kommunikationsmittel breitflächig durchgesetzt. Was liegt also näher als beim Hausarzt mal kurz nachzufragen, was in der Sprechstunde nicht richtig verstanden wurde oder mal eben sich die Untersuchungsergebnisse schicken zu lassen. Längst existieren dafür auch die hinreichenden technischen Möglichkeiten, die Ihnen ein verschlüsseltes technisch sicheres Kommunizieren mit dem Patienten ermöglichen. E-Mails können von jedem System aus Ende-zu-Ende verschlüsselt werden, Dokumente mit digitalen Signaturen abgesichert werden und eine abgesicherte Übertragung von Schriftverkehr über dedizierte Praxissoftware ist sogar schon in vielen Standartlösungen bereits enthalten (zum Beispiel Arztbriefe).

Mindestanforderungen für den Datenschutz bei Nutzung von Facebook

Ihre persönliche Facebook Seite sollte auf jeden Fall privat bleiben. Aus diesem Grund benötigt ihre Praxis – wie auch alle anderen Unternehmen – eine separate Fanpage. Erlauben sie Facebook niemals den Zugriff auf ihr Adressbuch. Einmal falsch geklickt an dieser Stelle kann das als Verstoß gegen die Schweigepflicht nach § 203 StGB gewertet werden.

Das Netz vergisst nichts – auch nicht das was sie eig. gelöscht sehen wollen. Deshalb müssen sie vom ersten Freischalten an die Einstellungen der Privatsphäre unter Kontrolle haben und regelmäßig überprüfen. Erschwerend kommt hinzu das Facebook seine Struktur, seine Standarteinstellungen und selbst seine Geschäftsbedingungen ständig modifiziert ohne es in allen seinen Einzelheiten klar werden zu lassen.

Zumindest haben sie die Möglichkeit ihre Pages frei von werblichen Pinnwand Einträgen zu halten und die Verbreiter zu sperren. Daneben haben sie ja doch auch ihren Patienten gegenüber die Verantwortung immer wieder auf die Datenschutz Problematik hinzuweisen. Weisen darauf hin dass sämtliche Daten auf ihrer Seite der Firma Facebook gehören und dass persönliche, wenn nicht gar medizinische, Inhalte auf einer solchen Seite nicht zu suchen haben. Entsprechende Einträge müssen schnellst möglich gelöscht werden gleichzeitig sollten Sie auf Nachrichten mit persönlichen Inhalt mit einem Datenschutzhinweis und dem Angebot auf ein persönliches Gespräch antworten.

Der ominöse „Like-Button“

Seiten mit dieser Funktion übertragen Nutzerdaten direkt nach Amerika an die Firma Facebook. Ohne das die Nutzer den Button angeklickt haben. Eine zumindest weit gehend juristische Absicherung bietet die sog. „2-Klick“ – Lösung. Entsprechende Informationen zur Umsetzung stellen wir Ihnen gerne zur Verfügung.

 Spam und Schadsoftware in sozialen Netzen

Wie bei Email oder dem Zugang zum Internet gilt auch für soziale Netze die Verpflichtung zur Einrichtung einer Firewall und einer permanent aktuellen Virenschutz Lösung auf ihren IT Systemen.

Genauso wie für Homepages gilt auch für Facebook Fanpages die Impressumspflicht, Urheber- und Mitarbeiterrechte müssen beachtet werden.

 Ihr guter Ruf

Selbst bei seriösen und sachlichen Auftritt ihrer Seiten können missgünstige oder empörte „Freunde“ ihren positiven Eindruck im Internet zerstören. Informieren sie sich deshalb regelmäßig darüber was im Internet über sie/Sie zu erfahren ist:

– überprüfen Sie sich und ihre Praxis bei mehreren Suchmaschinen

– scannen sie auch Bild und Videoplattformen

– richten sie einen Google-Alert/Social-Mention-Alert ein, kontrollieren Sie Google Places

– suchen Sie Ihren Namen in Personensuchmaschinen

 Wie gehe ich mit schlechten Bewertungen im Internet um?

Die bestmögliche Vorkehrung zur Wahrung ihrer positiven digitalen Reputation erreichen sie durch das Erzeugen von positiven Einträgen auf ihrer eigenen Homepage und in Fach- und Social Mediabeiträgen (indiskutabel sind dabei wohl sog. Fakeeinträge die im Übrigen mittlerweile leicht enttarnt werden). Antworten sie stets positiv auf Kritik über ihre eigene Webseite sowie in Bewertungsportalen. Halten sie Informationen über ihr Unternehmen in Branchenbüchern, Bewertungsportalen, Adressdateien und auf ihren eigenen Pages aktuell.

Fazit

Die Einhaltung ihrer Schweigepflicht und der Schutz der persönlichen Daten ihrer Patienten sind auch bei Nutzung der neuen Medien Email, Internet und sozialen Netzwerken gesichert umsetzbar. Die Voraussetzung für eine sichere Gewährleistung von Datenschutz und Datensicherheit bei der Verwendung der neuen Medien in der Arztpraxis, ist ein bewusster und juristisch untermauerter Umgang mit dem technologischen Medium Internet.

Wir beraten Sie bei der informationstechnischen Umsetzung, informieren Sie über juristische Anforderungen und bieten Hilfestellung auf ihrem Weg in die digitale Zukunft.

Suchmaschinenoptimierung Praxis-Homepage: Grotesker Artikel in der Ärztezeitung

Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

Datenschutz muss frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt
Datenmissbrauch: Betrieblicher Datenschutz funktioniert nur zusammen mit den Mitarbeitern

 

(06.09.12) – Für viele Beschäftigte ist Datenschutz kein wichtiges Thema. Für viele Unternehmen anscheinend auch nicht. So werden allein auf dem Frankfurter Flughafen wöchentlich rund 300 Laptops als verloren gemeldet. Das Dramatische daran: Auf der der Hälfte von ihnen befinden sich sensible Firmendaten, zumeist ohne wirksamen Zugriffsschutz vor Unberechtigten.

„Der Schutz vertraulicher Daten ist wesentlicher Bestandteil der Sicherung von Unternehmenswerten und damit des Unternehmensbestands“, erklärt Dr. Grischa Kehr, Rechtsanwalt der Anwaltssozietät Eimer Heuschmid Mehle in Bonn. Das Gefährliche: Werden vertraulichen Daten „offenkundig“, gehen neben den tatsächlichen Schutzmöglichkeiten auch rechtliche Schutzmechanismen verloren. „Wichtige Schutztatbestände setzen voraus, dass die Daten geheim sind. Und das sind sie nicht mehr, wenn sie erst einmal an die Öffentlichkeit gelangt und damit offenkundig sind“, warnt Kehr, „dabei ist es völlig belanglos, auf welchem Wege die Daten offenkundig geworden sind.“ Ein verlorener Laptop reicht aus.

Datenschutz muss daher frühzeitig ansetzen und gewährleisten, dass der Kreis der „Mitwisser“ stets unter Kontrolle bleibt. Längst gibt es gesetzliche Vorgaben, die den Umgang mit vertraulichen Daten regeln. „Viele Verstöße können sogar empfindlich strafrechtlich geahndet werden, von den wirtschaftlichen Folgen eines Verrats von Geschäftsgeheimnissen sowie dem Reputationsverlust durch gebrochene Vertraulichkeit ganz zu schweigen“, stellt Kehr klar

Zum Schutz vertraulicher Daten auf verlustgefährdeten Laptops helfen bereits technische Vorkehrungen. Außerdem lassen sich im gesamten Unternehmen im Rahmen eines technischen IT-Grundschutzes auch Zugriffsberechtigungen einführen, die vor einer unbefugten Weitergabe sensibler Daten schützen. „Allerdings ist gerade für Mittelständler ein systematischer IT-Grundschutz oft Neuland. Hier kann das entsprechende Handbuch des Bundesamtes für Sicherheit und Informationstechnik eine nützliche Orientierung bieten“, informiert Anwalt Kehr.

Um empfohlene Schutzmaßnahmen umzusetzen, ist eine interne IT-Organisation notwendig, die den Datenumgang und den Datenzugriff im Unternehmen reguliert. Dies setzt voraus, dass schützenswerte Daten überhaupt erst einmal für die Beteiligten als solche kenntlich gemacht werden. Kehr warnt: „Jede Organisation und jede technische Vorkehrung läuft ins Leere, wenn die Mitarbeiter nicht vom Unternehmen im Datenumgang geschult werden.“

Zusätzlich lassen sich zur Bewahrung von Geschäftsgeheimnissen, arbeitsvertraglich oder durch Betriebsvereinbarung verbindlich begründet, Sorgfaltspflichten im Datenumgang festschreiben. Hierzu gehören zum Beispiel Einschränkungen bei der Verwendung externer Datenträger oder beim Zugriff auf potenziell sicherheitsgefährdende Websites. Doch selbst wenn arbeitsvertraglich Sanktionen gegen Datenmissbrauch vorgesehen sind, lassen sich Nachlässigkeit und vorsätzliche Schädigung nie vollständig vermeiden.

So soll laut einer Studie das größte Gefährdungspotenzial beim gewollten Datenmissbrauch in Deutschland von verheirateten, gebildeten, männlichen Mitarbeitern Mitte 40 ausgehen. Sie haben typischerweise die deutsche Staatsangehörigkeit und sind in der Führungsebene eines Unternehmens tätig. Ihr Motiv soll Unzufriedenheit mit dem Unternehmen sein, insbesondere wenn die eigene Karriere stockt. Kehr kommentiert: „Der zufriedene Mitarbeiter ist natürlich das beste Mittel gegen Illoyalität. Ansonsten bleibt einem Unternehmen nur noch die Möglichkeit, unzufriedenen Mitarbeitern durch technische und organisatorische Maßnahmen keine Gelegenheit zum unternehmensschädigenden Datenmissbrauch zu geben.“

Vollständiger Artikel über: http://www.compliancemagazin.de/markt/hintergrund/eimer-heuschmid-mehle060912.html

(Eimer Heuschmid Mehle: ra)