Tipps zur Umsetzung DSGVO

Um Ihnen das Leben etwas zu erleichtern, stellen wir Ihnen einige Tipps aus der Praxis zur Verfügung. Wöchentlich stellen wir Ihnen zwei weitere Tipps zur Verfügung.

Tipp #1 - Ruhe bewahren

Es ist zwar nur mehr ein Monat ist bis die DSGVO in Kraft tritt, das heißt aber nicht dass Sie in Panik verfallen müssen. Dennoch wäre es aber langsam an der Zeit, sich dem Thema doch etwas ausführlicher auseinander zu setzen.

Gehen Sie das Projekt strukturiert an und überlegenen Sie sich wie Sie die 3 Kernbereiche aufarbeiten können.

1.    Technisch organisatorische Maßnahmen (TOM’s)
Es geht dabei darum, dass Sie entsprechende Vorkehrungen treffen damit nur berechtigte Personen Zugriff auf personenbezogene Daten haben, die befugt sind und die Daten entsprechend geschützt werden.

Beispiel 1:   Rezepte liegen offen in der ganzen Apotheke verstreut herum – Lieferanten haben ggf. Einsicht auf personenbezogene Daten von Kunden
Beispiel 2:  Computer sind nicht Passwort geschützt oder es gibt nur ein zentrales Passwort für alle Rechner, haben Sie aktuelle Virenschutz Programme auf Ihren Rechnern

2.    Auftragsverarbeiter identifizieren und Verträge abschließen
Im nächsten Schritt sollten Sie Ihre Auftragsverarbeiter erfassen und dokumentieren. Überlegen Sie, welche Firmen Sie beauftragen Leistungen für Sie zu erbringen, bei denen sie personenbezogene Daten Ihrer Kunden oder Mitarbeiter verarbeiten.
Auftragsverarbeiter sind beispielsweise,
Werbe- und Marketingagentur (die z.b. elektronische Newsletter in Ihrem Auftrag verschickt)

Webhoster wo Ihre Website oder Shop gehostet wird. Beim Absenden von Kontaktformularen wird die IP Adresse Ihrer Kunden übertragen. IP Adressen gelten als personenbezogene Daten.

Paketdienstleister

Banken und auch Steuerberater sind übrigens nicht als Auftragsverarbeiter zu klassifizieren sondern als Verantworltiche!

Mit allen Auftragsverarbeitern müssen Sie schriftliche Verträge abschließen. Die Apothekerkammer stellt dazu auch Vorlagen zur Verfügung. Übrigens haften Verantwortlicher und Auftragsverarbeiter solidarisch für Datenpannen!

3.    Verarbeitungsverzeichnisse erstellen
Das ist sicherlich der aufwändigste und mühsamste Part in Punkto Dokumentation. Vor allem trifft hier die Devise „Papier ist geduldig“ sehr gut zu. Es gibt ja nur wenige formale Vorgaben seitens der Datenschutzbehörde. In der DSGVO finden sich sehr oft Formulierungen wie – nach eigenem Ermessen, mit vertretbarem Aufwand etc.
Im Grunde müssen Sie im Falle einer Prüfung möglichst schlüssig erläutern können warum Sie der Meinung sind das Ihre Datenverarbeitung DSGVO konform sind. Sollte die Behörde anderer Meinung sein, werden Sie nachbessern müssen. Mit Strafen ist derzeitiger Sicht nicht zu rechnen wenn man seine Hausaufgaben gemacht. Die Devise der Datenschutzbehörde lautet „Aufklären vor Strafen“. Gar nichts zu tun und abzuwarten erscheint jedoch als denkbar schlechte Alternative.

Die Verzeichnisse folgen einer relativ simplen Logik,

  • Welche personenbezogenen Daten werden gespeichert?

  •  Was ist der Zweck der Verarbeitung

  • Welcher Rechtsgrundlage ermächtigt Sie diese Daten zu verarbeiten (z.b. Auftragserfüllung, Zustimmung etc.)?

  • Welche Löschfristen müssen Sie berücksichtigen?

Tipp # 2 - Außenauftritt anpassen

Bei einer Prüfung der Behörde lässt sich schnell feststellen, ob Sie sich mit dem Thema Datenschutz auseinandergesetzt haben oder nicht. Ein Blick auf Ihre Website verrät ob Sie Maßnahmen getroffen haben.

Fast auf jeder Website befinden sich Kontaktformulare, über die Kunden und Interessenten bequem mit Ihnen in Kontakt treten können. Wenn eine Anfrage über ein solches Kontaktformular verschickt wird, übermittelt der Sender auch seine IP Adresse und somit ein personenbezogenes Datum. Diese Daten werden in der Regel auf dem Server Ihres Providers gespeichert. Aus diesem Grund gilt dieser auch als Auftragsverarbeiter im Sinne der DSGVO.

Welche Anpassungen sind auf Ihrer Website notwendig?

  • SSL Verschlüsselung

  • Ergänzung Impressum- und Datenschutz Rechtssexte

  • Formulartexterweiterungen bei Anfrageformularen

  •  Check Social Media Buttons

  • Kontrolle Facebook Pixel

  • Rechtstexte mit Zustimmungserklärung falls Sie Anträge für Stammkunden auch online anbieten

  • Bei Verwendung von Google Analytics müssen Sie mit Google einen Auftragsverarbeiter Vertrag abschließen (lediglich ein Mouse klick) und ebenfalls die IP Adressen verschlüsseln

  • Falls Sie einen Webshop betreiben sollten Sie ein Löschkonzept erstellen

Tipp # 3 - DSGVO App - Praktisches Tool zur Umsetzung

Die Dokumentation im Zuge der DSGVO können je nach Firmengröße und Datenverarbeitung einen erheblichen Umfang erreichen. Auch kleinere Apotheken kommen da schnell auf eine beträchtliche Anzahl von Verarbeitungen und Dokumentation von TOM’s (technische organisatorische Maßnahmen) Im Grunde produzieren Sie eine große Anzahl an Excel und Word Dokumenten die irgendwo am Server abgelegt werden.

Wir möchten Ihnen ein sehr nützliches Tool vorstellen, mit dem Sie immer den Überblick behalten und sämtliche Verarbeitungen schnell erfassen können.

Hier finden Sie mehr Infos zur DSGVO App

Tipp # 4 - WhatsApp – Datenschutzkonform?

Jeder kennt es, nahezu jeder nutzt es – WHATSAPP.
Schon lange hat Whatsapp seinen Platz nicht nur im Privatumfeld sondern auch im Business gefunden.

Die Nutzung von WhatsApp ist sicherlich eines der meist diskutierten Themen im Zuge der DSGVO Maßnahmen. Noch gibt es keine Lösung wie man die Messaging-App DSGVO konform einsetzen kann. Die Facebook Tochter hat bisher keine Tools angekündigt, die den Einsatz von WhatsApp im beruflichen Umfeld an die DSGVO anpassen würde. Lediglich ein link zum Herunterladen der eigenen Daten wurde bereits von einigen Nutzern entdeckt, was auf einen Beta Test hindeutet.

Das Hauptproblem bei der Nutzung von WhatsApp liegt darin, dass WhatsApp regelmäßig das gesamte Telefonbuch seiner Nutzer an seine Server in den USA überträgt. Das gilt für alle Kontakte auch jene die keine WhatsApp Nutzer sind.
Ein Großteil Ihrer Kontakte hat daher naturgemäß weder zugestimmt dass Sie ihre Daten verarbeiten dürfen und schon gar nicht einer Übertragung an Dritte in das EU Ausland.
Die Übertragung von personenbezogenen Daten in das EU Ausland ist zwar grundsätzlich zulässig. Es wird aber nicht einfach werden einen plausiblen Rechtsgrund anzuführen, der Sie in diesem Fall zur Übertragung berechtigt.

Knifflig wird es, wenn Betroffene von Ihrem Recht auf Löschung Gebrauch machen. Es gibt nämlich aktuell keine Möglichkeit Daten zu löschen.

Auch bei etlichen Apotheken hat sich WhatsApp als beliebter Kommunikationskanal mit Kunden etabliert. Kunden senden zum Teil Bestellungen und Rezepte an Apotheken.

Die Antwort ob Sie nun Whatsapp weiter verwenden dürfen ist relativ einfach,

  • Erlaubte Nutzung von Whatsapp
    Nutzen Sie Ihr Handy sowie Whatsapp ausschließlich für Privatzwecke, können Sie dies auch weiterhin tun. Unter ausschließlich Privat wird verstanden, dass Sie auch keine Telefonnummern oder Daten von Kollegen, Geschäftspartnern oder Mitarbeitern im Handy gespeichert haben.
    In Art 2 Abs 2 lit c EU-DSGVO findet das Datenschutzgesetz keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

  • Nicht erlaubte Nutzung von Whatsapp
    Nutzen Sie Ihr Handy sowie Whatsapp für private sowie geschäftliche Zwecke begehen Sie einen klaren Verstoß gegen die Datenschutzgrundverordnung.

Unser Tipp:

Wenn Sie  jedoch nicht darauf verzichten möchten und ihren Kunden eine sichere Lösung zur Verfügung stellen wollen dann nutzen Sie unser apomobile App.

Die apomobile App wird individuell für Sie angepasst und entspricht der DSGVO.

Mehr Infos zur apomobile App finden Sie hier

Tipp # 5 - Wie müssen Mitarbeiter belehrt werden?

Am besten so, dass diese über die Basics im Datenschutz wissen (z. B. wenn ein Kunde in die Apotheke kommt und wissen möchte, welche Daten das Unternehmen über ihn hat, sollte nach dem Ausweis gefragt werden und die Angelegenheit an den Verantwortlichen weiter getragen werden).
Am wichtigsten ist, dass die Mitarbeiter ein gewisses Bewusstsein bzgl. Datenschutz bekommen, und erkennen, wenn etwas datenschutzrelevant wird und wissen, wohin sie sich bei datenschutzrechtlichen Fragen wenden können (Datenschutzkoordinator/Datenschutzbeauftragter). Auch die gängigsten Fehler und Sicherheitslücken sollten bekannt sein.
Die besten Sicherheitsvorkehrungen nützen nichts, wenn Ihre Mitarbeiterinnen und Mitarbeiter diese nicht unterstützen und auch leben.

Jeder im Unternehmen muss wissen, wie mit personenbezogenen Daten umzugehen ist, wie mit unerwünschten Mails vorzugehen ist oder was Passwortsicherheit bedeutet.

  • Sicherer Umgang mit Computern und Informationen

  • Passwörter – richtig auswählen und verwalten

  • Sicher unterwegs im Internet

  • E-Mails und Spam

  • Gefährliche Schadprogramme

Darüber hinaus sollten Sie auch eine Verschwiegenheitsvereinbarung mit Ihren Mitarbeitern abschließen.

Tipp #6 -Wie zeitnah muss ich auf Anfragen reagieren?

Der Verantwortliche hat den Antrag unverzüglich zu erledigen und zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Erledigung des Antrages komplex und liegen mehrfache Anträge der gleichen Person vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat). Lehnt der Verantwortliche den Antrag ab, hat er dies der betroffenen Person binnen eines Monats mitzuteilen.

Offenkundig unbegründete oder – insbesondere im Fall von häufiger Wiederholung – exzessive Anträge einer betroffenen Person kann der Verantwortliche entweder ablehnen oder ein angemessenes Entgelt verlangen. Ein gänzliches Ignorieren von Betroffenenanträgen ist nicht vorgesehen.

Bei der Geltendmachung des Löschungsrechts kommen noch einige spezielle Ablehnungsgründe hinzu. Der Anspruch darf daher abgelehnt werden, wenn die Verarbeitung erforderlich ist:

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

  • zur Erfüllung einer rechtlichen Verpflichtung, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, notwendig macht;

  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;

  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke;

  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Kann die Berichtigung oder Löschung der Daten nicht unverzüglich erfolgen, weil dies aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so kann der Auftraggeber die Erledigung dieses Antrages bis zu diesem Zeitpunkt aufschieben und ist die Verarbeitung der Daten einzuschränken.
(Quelle WKO)

Tipp #7 - Coming soon
FacebookFacebook