Das ist ab 25. Mai beim DSGVO notwendig

Checkliste für Augenoptiker

DSGVO Checkliste
(Bild: PIRO4D Pixabay)

Am 25.05.2018 trifft nach zweijähriger Übergangsfrist die neue Datenschutzverordnung in Kraft und stellt Augenoptiker vor neue Aufgaben und Herausforderungen. Obwohl sich bzgl. der Werbung nicht viel geändert hat, sind die Dokumentations- und Informationspflichten sehr umfangreich und sollten gut vorbereitet sein. Die Rechte der Kunden werden ausgeweitet und die Bußgelder deutlich erhöht.

Folgende Aufgaben hat der Augenoptiker bis zum 25. Mai 2018 zu bewältigen:

  1. Verpflichtung der Mitarbeiter zur Verschwiegenheit
  2. Schulung der Mitarbeiter zum neuen Datenschutz Gesetz
  3. Erstellung eines Verarbeitungsverzeichnisses
  4. Durchführung und Dokumentation einer Risikoabschätzung und ggf. Durchführung einer Datenschutzfolgeabschätzung
  5. Dokumentation zur Durchsetzung der Betroffenenrechte. Hier insbesondere die Sicherstellung der Umsetzung von Auskunftsersuchen und Datenportabilität
  6. Dokumentation von technischen und organisatorischen Maßnahmen zur Datensicherung. Augenoptiker, die hier neue Technologien einsetzen, wie Funduskameras, Makularpigmentscreener oder Augeninnendruckmesssysteme sind hier besonders angehalten, über Datensicherheit nachzudenken.
  7. Erstellung von Verträgen zur Auftragsdatenverarbeitung
  8. Erstellung von Einwilligungserklärungen zu Werbezwecken per E-Mail, SMS oder Telefon und zur außerordentlichen Datenspeicherung von Gesundheitsdaten nach Art. 9 DS-GVO
  9. Bestellung eines Datenschutzbeauftragten (Firmen mit mehr als 9 Mitarbeitern, die Daten automatisiert verarbeiten). Augenoptiker mit weniger als 10 Mitarbeitern sind auch zur Bestellung eines Datenschutzbeauftragten verpflichtet, sofern bestimmte Voraussetzungen erfüllt sind bzw. eine Datenschutzfolgeabschätzung durchgeführt werden muss.
  10. Erneuerung der Datenschutzerklärung und Anpassung an die neue Gesetzgebung

Was müssen Augenoptiker beachten, die neue Technologien, wie z. B. eine Funduskamera einsetzen?

Auch unter der neuen Datenschutzverordnung (EU-DSGVO) bleiben die in Art. 9 genannten Kategorien besonders schutzbedürftig. Für Augenoptiker betrifft dies für die Speicherung von Gesundheitsdaten, für die der Gesetzgeber ein höheres Schutzniveau als erforderlich ansieht. So muss bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten auch für kleinere Betriebe ein Datenschutzbeauftragter bestellt (Art. 37 Abs. 1 c DS-GVO), und eine Datenschutzfolgenabschätzung (Art. 35 Abs. 3 b DSGVO) durchgeführt werden, wenn dies zur Kerntätigkeit des Augenoptikers gehört. Hier werden die Juristen den Begriff umfangreich und Kerntätigkeit sicher noch öfters unter die Lupe nehmen. Aber der Glaube, dass kleinere Augen-optiker grundsätzlich keinen Datenschutzbeauftragten benötigen ist im Einzelfall nicht richtig!

Anzeige

Bei genauerer Betrachtung der „Besonderen Daten“ in Art. 9 fällt auf, dass in der DS-GVO gezielt biometrische Daten aufgenommen wurden. Für Augenoptiker, die z.B. eine Funduskamera einsetzen, hat dieser Tatbestand erhebliche Auswirkungen. Durch das erhöhte Risiko für den Betroffenen durch die Speicherung und die etwaige Weiterleitung der Daten an Ärzte (Telemedizin) besteht die Pflicht der Dokumentation einer Risikoprüfung und Prüfung der Technischen und Organisatorischen Maßnahmen.

Zwar kann nicht grundsätzlich bei der Speicherung von Gesundheitsdaten von einem hohen Risiko für die betroffenen Personen ausgegangen werden. Bei kleineren Augenoptikbetrieben kommen wir regelmäßig zu dem Ergebnis, dass durch die Speicherung der Gesundheitsdaten bei ausreichenden Sicherheitsmaßnahmen kein hohes Risiko für die Betroffenen zu erkennen ist.

Betroffenenrechte der Kunden

·         Recht auf Auskunft

·         Recht auf Widerspruch

·         Recht auf Berichtigung

·         Recht auf Löschung

·         Recht auf Vergessen werden

·         Recht auf Datenportabilität zu einem anderen Optiker!

·         Recht auf Beschwerde

Die Kunden müssen ab dem 25. Mai 2018 auf diese Rechte hingewiesen werden!

Jedoch ist das Risiko-Thema für den Betroffenen beim Einsatz neuer Technologien (Funduskamera, Gesichtsscan mit Yuniku) kritischer zu sehen. Hier finden sich auch bereits in der Literatur und in verschiedenen Kommentaren der Datenschutzbehörden ausreichende Hinweise. So ist zu beachten, dass aus dem Augenhintergrund auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden kann, und somit von der zentralen Speicherung von Fundusaufnahmen ein erhebliches Missbrauchs- und Schadenspotential ausgehen kann. Die Funduskamera für sich genommen ist nicht das Problem, sondern der Umgang mit der Speicherung und Verwendung der Daten. Wenn mit dem Kunden nur die Bilder erörtert und es zu keiner Speicherung kommt, stellt sich auch nicht die Frage des Risikos.

Die Folge: Eine Risikoprüfung führt bei Speicherung und Verwendung biometrischer Daten (Verlaufskontrolle, Telemedizin; Gesichtsscann etc.) mit hoher Wahrscheinlichkeit zur Notwendigkeit einer Datenschutzfolgeabschätzung und somit für kleinere Betriebe im Einzelfall auch zur Bestellung eines Datenschutzbeauftragten.

Was ist eine Datenschutz-Folgeabschätzung?

Durch das erhöhte Schutzniveau von Gesundheitsdaten ist nach der neuen Datenschutzverordnung die Durchführung einer Datenschutzfolgeabschätzung im Einzelfall notwendig, sofern ein höheres Risiko für den Betroffenen besteht. Diese kann ggf. zu mehr Aufwand und der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten auch für kleinere Augenoptikbetriebe führen.

Augenoptiker, die zur Durchführung einer Datenschutzfolgeabschätzung (früher: Vorkontrolle) verpflichtet sind, gehen hier wie folgt vor:

  1. Beschreibung der geplanten Verarbeitungsvorgänge, von denen ein höheres Risiko ausgeht und der Zwecke der Verarbeitung der Gesundheitsdaten
  2. Bewerten und Dokumentation der technischen Prozesse, IT-Systeme und Datensicherungsmaßnahmen
  3. Bewertung der Verhältnismäßigkeit der Speicherung und Prüfung auf Datenminimierung
  4. Allgemeine Risikobewertung
  5. Besondere Risikobewertung bei Weitergabe der Daten an Dritte
  6. Maßnamenplanung zur Bewältigung der Risiken und Schutz der Daten
  7. Dokumentation

Um die gestiegenen Anforderungen des Datenschutzes nach Anwendung der EU-DSGVO gerecht zu werden, müssen auch Augenoptiker den Umgang mit besonderen personenbezogenen Daten (Gesundheitsdaten) noch einmal überprüfen und alle erforderlichen Dokumentationen erstellen.

Beim Einsatz neuer Technologien und im Speziellen bei der Speicherung biometrischer Daten (Retina, Augenhintergrund, Gesichtsscan, Ohr etc) wird diese nicht zu einer Gefahr für den Betroffenen, wenn die genannten datenschutzrechtlichen Rahmenbedingungen eingehalten werden.

Verfasser: Dipl.-Betriebswirt Wolfgang Krista; Geschäftsführer der IBU Consulting GmbH;, Datenschutzbeauftragter, externer Datenschutzbeauftragter und Datenschutzauditor für Augenoptiker und Hörakustiker.

Hinweis und Haftungsausschluss: Dieser Artikel bietet eine erste Orientierung zum komplexen Thema der DSGVO. Er ist nach bestem Wissen und Gewissen recherchiert. Ich will und kann mit diesen Ausführungen keinerlei Rechtsberatung leisten. Diese Ausführungen ersetzen auch keine individuelle Rechtsberatung. Für konkrete Maßnahmen, die im Zuge der DSGVO zu Ihren individuellen Aufgabenstellungen passen, konsultieren Sie bitte einen Fachanwalt.

 

Den Gesetzestext finden Sie unter: https://dsgvo-gesetz.de/

www.ibu-optik.de

Kommentare zu diesem Artikel

  1. Laut dem bayerischen Landesdatenschutzbeauftragten ist für kleine Arztpraxen KEIN DSB zu bestellen, wenn die Kerntätigkeit NICHT in der Verarbeitung personenbezogener Daten liegt.
    Laut dem hessichen Datenschutzbeauftragten muss ein DSB bestellt werden, wenn die Kerntätigkeit des Gesundheitsbetriebes in der umfangreichen Verarbeitung besonderer personenbezogener Daten liegt.
    https://datenschutz.hessen.de/datenschutz/gesundheits-und-sozialwesen/gesundheitswesen/bestellung-von-datenschutzbeauftragten-im

    Auf diesen Kommentar antworten
  2. Rechtssichere Auskunft gibt es – entgegen der falschen Darstellung in dem obigen, mit Link auf einen gewerblichen Anbieter zu Beratungsleistungen zum Thema Datenschutzbeauftragte abschließenden Artikel bei der jeweiligen Landesdatenschutzbehörde.

    Eine Liste der offiziellen Stellen findet sich hier:
    https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

    Der Artikel ob ist grob verzerrend.

    Auf diesen Kommentar antworten
  3. Wie sieht es bei Einmann Betrieben aus ?

    Auf diesen Kommentar antworten
  4. Das Handwerk freut sich über neue Kosten und die Großkonzerne lachen nur darüber.

    Auf diesen Kommentar antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Das könnte Sie auch interessieren: