Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Das Gesetz (also weder die DSGVO, noch die Erwägungsgründe der DSGVO noch das deutsche BDSG) enthält keine ausdrückliche Verpflichtung, dass jede Arztpraxis einen Datenschutzbeauftragten benötigt.

Eindeutig ist dies in § 38 BDSG lediglich für Arztpraxen (und alle anderen Unternehmen) vorgeschrieben, soweit diese in der Regel mehr als 9 Personen (bzw. zukünftig 19 Personen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Für alle kleineren Arztpraxen muss dies im Einzelfall abgewägt werden. Nach Artikel 37 Abs. 1 c DSGVO ist ein Datenschutzbeauftragter unabhängig von der Zahl der Beschäftigten zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten) besteht.

Braucht jede Arztpraxis einen Datenschutzbeauftragten? weiterlesen

Google Analytics nutzen

Wer einigermaßen professionell seine Website betreiben möchte, wird nicht auf Analysetools verzichten können. Das wohl bekannteste ist hier Google Analytics.

Wer nun ohne weiter Modifikation einfach Google Analytics auf seine Website einbindet, riskiert gegen geltendes Datenschutzrecht zu verstoßen.

Hier daher eine kurze Anleitung, wie man Google Analytics DSGVO-konform einsetzt:

Google Analytics nutzen weiterlesen

Was muss eine E-Mail-Signatur nach der DSGVO enthalten?

Aufgrund der DSGVO stellen sich viele Unternehmen die Frage, welche Informationen zum Datenschutz in einer E-Mail-Signatur zu geben sind und ob nicht vielleicht eine Verlinkung auf die Datenschutzerklärung der eigenen Website reicht.

Wie genau der Betroffene bei Erhebung der Daten über die Datenerhebung und seine daraus resultierenden Rechte informiert werden muss, dazu enthält Artikel 13 der DSGVO keine Angaben. Die Rede ist dort und in Erwägungsgrund 60 lediglich vom Grundsatz der fairen und transparenten Verarbeitung. Um den Nutzer darüber zu unterrichten, dass ein Verarbeitungsvorgang stattfindet und zu welchem Zweck, wäre es eine Möglichkeit, entsprechende Informationen direkt standartmäßig mit in die E-Mail-Signatur aufzunehmen. Was muss eine E-Mail-Signatur nach der DSGVO enthalten? weiterlesen

Cookies und die DSGVO

Die DSGVO (EU-Datenschutzgrundverordnung) enthält keine ausdrücklichen Regelungen zum Einsatz von Cookies auf Websites und die ePrivacy-Verordnung, die unter anderem den Umgang mit Cookies regeln soll, wird erst noch erscheinen. 

Vor der DSGVO galt in Deutschland die sogenannte Widerspruchslösung nach § 15 III TMG. Danach waren Cookies regelmäßig zulässig, bis die betroffene Person diesen widersprochen hat.

Nach der DSGVO benötigt man für die Verarbeitung von personenbezogenen Daten, wozu in der Regel auch Cookies gehören, immer eine Rechtsgrundlage. Funktioniert eine Website nicht ohne bestimmte Cookies, so sind diese durch Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, da dann den berechtigten Interessen des Unternehmers keine dem entgegenstehenden überragenden Interessen des Verbrauchers gegenüberstehen. Soweit aber ein Cookie genutzt wird, um darüber hinaus z.B. das Marketing zu unterstützen oder im „schlimmsten Fall“ den Nutzer auch zukünftig wieder zu identifizieren, dann ist eine ausdrückliche Einwilligung erforderlich, denn hieran hat sicherlich der Unternehmen weiterhin ein berechtigtes Interesse, aber der Verbraucher hat grundsätzlich ein schützenswertes Interesse nicht von dem Unternehmer bei seinen weiteren Aktivitäten außerhalb der Website des Unternehmers „verfolgt“ zu werden.

Cookies und die DSGVO weiterlesen

Externer oder interner Datenschutzbeauftragter?

Als Unternehmer/in sind und bleiben Sie datenschutzrechtlich der Verantwortliche.

Aber es gibt doch Gründe, sich für oder gegen einen externen Datenschutzbeauftragten zu unterscheiden.

Begrifflich ist ein interner Datenschutzbeauftragte derjenige, welcher bereits Arbeitnehmer des Unternehmens ist. Ein externer Datenschutzbeauftragter ist derjenige, der ohne Arbeitnehmer des Unternehmens zu sein, durch einen Dienstvertrag zur Wahrnehmung der Pflichten eines Datenschutzbeauftragen verpflichtet wird.

Bei der Wahl, ob für ein Unternehmen eher ein interner oder ein externer Datenschutzbeauftragter passend ist, wird man folgende Kriterien berücksichtigen müssen:

Externer oder interner Datenschutzbeauftragter? weiterlesen