Besser spät als nie

Hinweise zur Datenschutz-Grundverordnung

Am 25. Mai 2018 treten die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) vollständig in Kraft. Dieser Beitrag richtet sich primär an Mitglieder, die allein, mit einem kleinen Unternehmen, mit keinen oder wenigen Mitarbeiterinnen und Mitarbeitern selbstständig sind. Zwar sind auch Angestellte dem Datenschutz verpflichtet und die DSGVO ist für sie von Bedeutung, allerdings obliegt die organisatorische Aufgabe der Umsetzung primär der Arbeitgeberin bzw. dem Arbeitgeber. Für größere Unternehmen läuft die Aufgabe DSGVO ohnehin bereits, und zwar in einem Umfang, der sich in diesem Beitrag nicht darstellen ließe. Da die DSGVO derzeit vor allem wegen drakonischer Bußgelder im Gespräch ist, sollte zunächst festgestellt
werden: Es wird sich zwar einiges verändern, vieles ist aber auch schon bekannt, denn die DSGVO hat beim deutschen BDSG erhebliche Anleihen genommen. Zudem sind bei psychologisch und psychotherapeutisch Tätigen die strafrechtliche Dimension des Geheimnisschutzes (Schweigepflicht) bzw. die berufsrechtliche Verpflichtung und das ethische Selbstverständnis zur Vertraulichkeit so fest im Bewusstsein verankert, dass der Datenschutz faktisch häufig schon gewährleistet ist. Allerdings war Datenschutz schon bisher – und dies wird durch die DSGVO nun verstärkt – eine systematische, technische und zu dokumentierende Aufgabe, deren Erfüllung keineswegs durch einen Hinweis auf die Einhaltung der Schweigepflicht gegeben ist.

Datenschutzbeauftragte
Datenschutzbeauftragte benötigen kleine Unternehmen in der Regel nicht – außer ihre Kerntätigkeit besteht gemäß Artikel 37 DSGVO in der Datenverarbeitung oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (zum Beispiel Daten zur Gesundheit, zum Sexualleben oder zur sexuellen Orientierung). In diesen Fällen oder wenn gemäß § 38 BDSG-neu mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, bedarf es einer Datenschutzbeauftragung. Während BDP-Mitglieder in der Regel keine Datenverarbeiter im Kerngeschäft sind, ist die zweitgenannte Variante nicht fernliegend. Doch was ist eine »umfangreiche Bearbeitung«? Hier hilft eine Fundstelle im Erwägungsgrund 91: »Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.« Nach hier vertretener Auffassung lässt sich das auf psychologisch und psychotherapeutisch Tätige und die Daten ihrer Klientinnen und Klienten verallgemeinern. Haben sich aber mehrere Berufsangehörige zusammengeschlossen, ist eine pauschale Antwort nicht möglich. In diesen Fällen sollte über eine Datenschutzbeauftragung nachgedacht werden.

Aktenordner Datenschutz
Datenschutzmanagement ist entfernt vergleichbar mit Qualitätssicherungsmanagement: Es geht um die systematische Erfassung und Organisation bereits laufender Vorgänge. Der denkbar einfachste Weg wird im Folgenden beschrieben. Ein Anfang ist gemacht, indem ein Aktenordner mit dem Titel »Datenschutz« angelegt wird. Er sollte (mindestens) folgende Gliederungspunkte aufweisen: Kontaktdaten der Datenschutzbehörde, Systembeschreibung (insbesondere Auflistung der verwendeten Geräte und Software) und gegebenenfalls Beauftragungen der Auftragsdatenverarbeitung (etwa EDV-Dienstleistungen). Weitere Rubriken müssen folgen, was zugleich Teil der Umsetzung des Datenschutzmanagements ist. Die weiteren Maßnahmen werden zur laufenden Aufgabe.

Lesen Sie den gesamten Artikel in unserer März-Ausgabe.

Report Psychologie März 2018 bestellen

Zurück