Datenschutzkonzept

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte und Maßnahmen in der Pflegedienst Christel GmbH darzustellen, die getroffen wurden, um die Regelungen zum Datenschutz einzuhalten. In diesem Datenschutzkonzept wird folglich beschrieben, wie verhindert werden soll, dass personenbezogene Daten unbefugten Dritten zugänglich werden, als auch dass es als Grundlage für datenschutzrechtliche Prüfungen – z.B. durch Auftraggeber im Rahmen der Auftragsverarbeitung – genutzt werden kann.

Datenschutz und besonders die Sicherheit aller personenbezogenen Daten sind innerhalb der Pflegedienst Christel GmbH sehr wichtig. Daher steht unsere Datenschutzpraxis im Einklang mit der EU-DSGVO, des Bundesdatenschutzgesetzes n.F. sowie weiteren Vorschriften bezüglich des Datenschutzes.

2. Geltungsbereich

Dieses Datenschutzkonzept regelt die datenschutzrechtlichen Grundsätze und deren Umsetzung in der Pflegedienst Christel GmbH.

Verantwortliche Stelle:

Pflegedienst Christel GmbH

Freiherren von Friesen Straße 2
D 04571 Rötha
034206/68598

pd@christelnet.de

http://christelnet.de/

Es dokumentiert und legt fest, welche Anforderungen des Datenschutzes bei der Verarbeitung personenbezogener Daten einzuhalten und umzusetzen sind. Das Datenschutzkonzept wurde von dem bestellten Datenschutzbeauftragten in seiner unterstützenden Aufgabe gemäß Art. 39 DSGVO erstellt.

Der Pflegedienst hat nach Maßgabe des § 38 BDSG einen Datenschutzbeauftragten benannt:

Frances Nitschke

Geschäftsführung

Pflegedienst Christel GmbH

Freiherren von Friesen Str. 2

04571 Rötha

Internet www.christelnet.de

Email: pflegedienstchristel@web.de

Der Pflegedienst veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf der eigenen Webseite inkl. Weblink und hat diese Daten der Aufsichtsbehörde mitgeteilt.

Ihre Datenschutzbehörde ist wie folgt zu erreichen:

Der Sächsische Datenschutzbeauftragte

Bernhard-von-Lindenau-Platz 1, 01067 Dresden
Postfach 12 09 05, 01008 Dresden

0351 493 – 5401

0351 493 – 5490

saechsdsb@slt.sachsen.de

http://www.datenschutz.sachsen.de

3. Begriffsdefinition

Aufsichtsbehörde
Ist eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
Auftragsverarbeiter
Ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Besondere personenbezogener Daten
Sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen. Die Verarbeitung dieser Daten ist grundsätzlich untersagt. (Siehe auch Infoblatt besondere personenbezogenen Daten)
Betroffener / betroffene Person
Diejenige Person deren Schutz das Gesetz zum Ziel hat und der Rechte aus dem Gesetz eingeräumt werden.
Einwilligung
der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Empfänger
Ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Beispiele können sein: Name, Geburtsdatum, Anschrift, Telefonnummer, Geschlecht, körperliche Merkmale, Konto- oder Kreditkarteninformationen, Beruf, berufliche Position, Einkommen, Autokennzeichen, Charaktereigenschaften, Auftreten, Vorlieben, Familienverhältnisse, IP-Adresse, usw.

Verantwortlicher
Ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Verarbeitung
Ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Verletzung des Schutzes personenbezogener Daten
Ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

4. Bedeutung des Datenschutzes in der Pflegedienst Christel GmbH

Der Pflegedienst legt großen Wert auf den Schutz der personenbezogenen Daten ihrer Mitarbeiter, Klienten, Partner und Lieferanten. Zudem ist der Pflegedienst nach Maßgabe der DSGVO und dem BDSG neu auch verpflichtet, die datenschutzrechtlichen Rechtsvorschriften einzuhalten bzw. umzusetzen. Somit ist die Pflegedienst Christel GmbH Verantwortlicher im Sinne der DSGVO. Der Pflegedienst wird durch die Geschäftsführerin

Frau Frances Nitschke

nach Innen und Außen vertreten.

Der von den Inhabern benannte direkt den Inhabern unterstellte Datenschutzbeauftragte ist gemäß Art. 38 DSGVO in dieser Eigenschaft weisungsfrei, unterstützt die Pflegedienst Christel GmbH bei der Sicherstellung des Datenschutzes und wirkt insbesondere auf die Einhaltung der datenschutzrechtlichen Vorschriften hin. Er berät die Inhaber und Mitarbeiter hinsichtlich ihrer Datenschutzpflichten. Hauptansprechpartner ist für den Datenschutzbeauftragten ist

Frau Frances Nitschke

Der Datenschutzbeauftragte ist zur Wahrung seiner Tätigkeiten mit ausreichenden personellen und finanziellen Ressourcen auszustatten. Ein enger Austausch mit der Geschäftsführung und der für die IT verantwortlichen Stelle ist zu begrüßen. Der Datenschutzbeauftrage sollte als beratendes Mitglied in relevanten Kommissionen und Ausschüssen vertreten sein und frühzeitig in Datenschutzfragen eingebunden werden. Der Datenschutzbeauftragte berichtet jährlich in einem Tätigkeitsbericht der Leitung über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel.

5. Allgemeine Grundsätze der Datenverarbeitung

Jede Person hat das Recht, über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Recht auf informationelle Selbstbestimmung). Bei der Verarbeitung personenbezogener Daten ist innerhalb der Pflegedienst Christel GmbH von den folgenden in Art. 5 EU-DSGVO festgelegten Grundsätzen auszugehen:

Verarbeitung nach Treu und Glauben
Verbietet Rechtsmissbrauch und Selbstwiderspruch, Rücksicht auf Rechte, Rechtsgüter und Interessen des Anderen.
Rechtmäßigkeit
Die Erhebung, Nutzung und Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer eine Rechtsnorm erlaubt es, oder der Betroffene hat rechtswirksam eingewilligt.
Transparenz
Der Betroffene ist über den Umfang und den Zweck der Verarbeitung zu informieren, genauso wie über die Risiken, Vorschriften, Garantien und Rechte sowie deren Geltendmachung im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten. Dies hat in leicht zugänglicher und verständlicher Form zu erfolgen. (In klarer und einfacher Sprache)
Zweckbindung
Zweck der Verarbeitung muss festgelegt, eindeutig und legitim sein, dürfen nicht für anderen Zwecke verwendet werden.
Datenminimierung
Angemessenheit der erhobenen Daten, erhobene Daten müssen „sinnvoll“ sein, Beschränkung auf das absolut notwendige Maß.
Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand / aktuell sein.
Speicherbegrenzung
Speicherdauer nur so lange wie für angegebenen Zweck nötig, bzw. gesetzlich vorgeschrieben ist.
Integrität und Vertraulichkeit
Eine angemessene Sicherheit muss gewährleistet sein während der Verarbeitung, dies bedeutet geeignete technisch organisatorische Maßnahmen zu treffen zum Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung, unbeabsichtigter Schädigung.

Die missbräuchliche Verarbeitung personenbezogener Daten oder andere Verstöße gegen das Datenschutzrecht können strafrechtlich verfolgt werden und Schadensersatzansprüche nach sich ziehen. Die Pflegedienst Christel GmbH prüft kontinuierlich, ob die von Ihnen durchgeführte bzw. beauftragte Datenerhebung und Verarbeitung diesen Grundsätzen entspricht.

6. Rechtsgrundlagen der Datenverarbeitung

Die DSGVO ist ein Verbotsgesetz mit Erlaubnisvorbehalt und geht folglich davon aus, dass personenbezogene Daten nicht verarbeitet werden dürfen, wenn nicht eine gesetzliche Rechtsgrundlage für die Verarbeitung besteht. Datenverarbeitende Stellen müssen vor der Entscheidung zur Verarbeitung personenbezogener Daten prüfen, nach welcher gesetzlichen Regelung die Verarbeitung zulässig ist, und den Zweck der Datenverarbeitung konkret festlegen. Die Zulässigkeitsprüfung muss zudem hinsichtlich jeder Verarbeitungsphase erfolgen (Erhebung, Speicherung, Übermittlung, automatisierter Abruf, sonstige Nutzung).

Gemäß Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur zulässig, wenn:

a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Zusätzlich gilt eine gesonderte Betrachtung bei der Verarbeitung von besonderen personenbezogenen Daten nach Artikel 9 EU-DSGVO. Diese sind in Artikel 9, Abs. 2, lit. a-j dargelegt.

Verarbeitungstätigkeiten in der Pflegedienst Christel GmbH sind zum Beispiel:

Art. 6, Abs. 1, lit. a: Einwilligungserklärung

Übermittlung von Informationen an behandelnde Ärzte, Apotheken, Pflegekassen, Krankenkassen und an Personen, die vom Klienten bevollmächtigt wurden.

Art. 6, Abs. 1, lit. b: Vertragliche oder vorvertragliche Verarbeitung auf Anfrage des Betroffenen

Daten von Geschäftspartnern, Lieferantendaten und Pflegeklienten zum Zwecke der Geschäftsanbahnung und der Vertragserfüllung
Bewerberdaten
Daten der Beschäftigten in Dienst- und Arbeitsverhältnissen
Daten von Pflegeklienten auf der Grundlage des Pflegevertrages

Art. 6, Abs. 1, lit. c: Erfüllung einer rechtlichen Verpflichtung

Weitergabe von Beschäftigtendaten an die Sozialversicherungsträger und Steuerbehörden
Abrechnung der Leistungen mit Pflege- und Krankenkassen.

Art. 6, Abs. 1, lit. d: lebenswichtige Interessen

Nach jetzigem Stand nicht zutreffend

Art. 6, Abs. 1, lit. e: Wahrnehmung einer Aufgabe im öffentlichen Interesse

Nach jetzigem Stand nicht zutreffend

Art. 6, Abs. 1, lit. f: Wahrung der berichtigten Interessen des Verantwortlichen

Keine

Art. 9 Abs. 2, lit. h, Abs. 3 DSGVO in Verbindung

Verarbeitung von Gesundheitsdaten von Klienten

7. Informationspflicht für Betroffene

Es gibt zum einen die Informationspflicht nach Art. 13 EU-DSGVO wenn die Daten direkt bei dem Betroffenen erhoben werden und zum anderen die Informationspflicht wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt nach Artikel 14 EU-DSGVO.

Dies gilt für die Klienten gleichermaßen wie für die eigenen Mitarbeiter!

Nach Artikel 12 EU-DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung zu stellen.

Diese enthalten:

Name und Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Zweck und Rechtsgrundlage der Verarbeitung
Ggf. die berechtigten Interessen des Verantwortlichen / Dritten
Empfänger oder Kategorien von Empfängern
Ggf. Absicht, die personenbezogenen Daten an Drittland oder eine internationale Organisation zu vermitteln
Speicherdauer, bzw. die Kriterien für die Festlegung der Dauer
Betroffenenrechte (siehe 8. Rechte der Betroffenen)
Möglichkeit des Widerrufs
Beschwerderecht bei der Aufsichtsbehörde
Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
Ggf. Hinweis auf eine automatisierte Entscheidungsfindung / Profiling
Bei der Erhebung durch andere außerdem die Herkunft/ die Quelle der Daten

Erfolgt die Datenerhebung nicht direkt bei dem Betroffenen, so hat die Pflegedienst Christel GmbH die Betroffenen nach Artikel 14, Abs. 3 EU-DSGVO grundsätzlich innerhalb einer angemessenen Frist zu informieren, spätestens jedoch nach einem Monat muss diese Information erteilt werden. Kommt eine Kommunikation mit dem Betroffenen zu Stande, so ist er dann unverzüglich (bei der ersten Mitteilung/ Kontaktaufnahme/ Kommunikation) zu informieren.

Dies trifft in der Pflegedienst Christel GmbH i.d.R. nicht zu.

Es muss wiederrum nicht informiert werden, wenn die betroffene Person bereits über die Information verfügt, die Mitteilung unmöglich ist, bzw. mit einem unverhältnismäßigen Aufwand verbunden wäre, die Verarbeitung gesetzlich geregelt ist oder wenn es sich um geheimhaltungspflichtige Daten (z.B. im Falle von Berufsgeheimnissen) handelt.

Die Pflegedienst Christel GmbH erhebt beispielsweise in folgenden Fällen personenbezogene Daten:

im Bewerbungsverfahren von Bewerbern
bei der Einstellung von Beschäftigten
bei der Klientenanmeldung /-aufnahme
bei dem Besuch der Internetseite

Für die Betroffenen und die aufgeführten Gelegenheiten sind schriftliche Informationen vorhanden, die an geeigneter Stelle öffentlich gemacht werden und auf Verlangen des Betroffenen an diesen ausgehändigt werden können.

8. Rechte der Betroffenen

Die Rechte der Betroffenen unterteilen sich in

Auskunftsrecht Art.15 EU-DSGVO
Recht auf Berichtigung Art.16 EU-DSGVO
Recht auf Löschung Art.17 EU-DSGVO
Recht auf Einschränkung der Verarbeitung Art.18 EU-DSGVO
Recht auf Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung Art.19 EU-DSGVO
Recht auf Datenübertragbarkeit Art.20 EU-DSGVO
Recht auf Widerspruch Art. 21 EU-DSGVO
Wahrnehmung des Beschwerderechtes bei der zuständigen Aufsichtsbehörde

8.1. Auskunftsrecht

Alle Betroffenen haben nach Art. 15 EU-DSGVO ein Auskunftsrecht gegenüber der Verantwortlichen Stelle.

Folgende Informationen entfallen unter das Auskunftsrecht:

Zwecke der Datenverarbeitung
Kategorien der Daten
Empfänger oder Kategorien von Empfängern
Dauer der Speicherung
Recht auf Berichtigung, Löschung, Einschränkung und Widerspruch
Beschwerderecht bei einer Aufsichtsbehörde
Herkunft der Daten (wenn nicht bei Betroffenen erhoben)
Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Übermittlung in Drittland oder an internationale Organisation

Die Betroffenen werden in Form einer Kopie der gespeicherten Daten auf gängigem elektronischem Weg informiert (Auf Verlangen in elektronischer Form).

Die Pflegedienst Christel GmbH bestimmt wie oft eine Auskunft innerhalb eines Zeitraumes unentgeltlich erteilt wird. Im Zweifelsfall ist die Aufsichtsbehörde mit einzubeziehen.

Datenschutzanfragen (interne und externe) treten ohne Vorankündigung auf und müssen innerhalb eines angemessenen Zeitraumes bearbeitet werden, der max. 28 Tage nicht überschreiten sollte.

Alle Anfragen werden intern in einem Dokument Vorgänge Datenschutz (siehe Mitgeltende Unterlagen Meldung Datenpanne) erfasst und überwacht.

Dabei werden folgende Punkte dokumentiert und ständig aktualisiert:

Aktenzeichen/ Kennung	Ansprechpartner
Beteiligte / Gegenseite	Angelegenheit / Besonderheiten
Bearbeiter	Bearbeitungsstand
To Do	Wiedervorlage
Ablage im Ordner	Akte geschlossen am

So wird sichergestellt und nachvollziehbar dokumentiert, dass alle Anfragen in der vorgeschriebenen Frist beantwortet wurden und gleichzeitig, dass es nicht zu einer unverhältnismäßigen Häufigkeit der Anfragen durch ein und dieselbe Person kommt.

Bei Auftreten eines Auskunftsersuchens ist der Datenschutzbeauftragte umgehend zu informieren.

Alle möglichen beteiligten Mitarbeiter sind auf den Umgang und den Ablauf solcher Auskunftsersuche zu unterweisen.

Der Betroffene hat bei Anfrage einen Identitätsnachweis zu erbringen so dass die Anfrage einem konkreten Betroffenen zugeordnet werden kann.

8.2. Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung

Jeder Betroffene hat das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung seiner personenbezogenen Daten zu verlangen, wenn diese falsch sind.

Es sind Verfahren festzulegen, wie die betroffene Person die sie betreffenden Daten berichtigen lassen kann.

Die Löschung der personenbezogenen Daten eines Betroffenen wird durchgeführt, wenn:

die Speicherung der Daten nicht mehr notwendig ist oder der Zweck der Speicherung wegfällt.
der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat und es keine andere Rechtsgrundlage für die weitere Speicherung der Daten gibt
die Daten unrechtmäßig verarbeitet wurden und die Speicherung unzulässig ist
der Betroffene Widerspruch gegen die Verarbeitung eingelegt hat und keine vorrangig berechtigten Gründe für die Verarbeitung vorliegen
eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Es ist festzulegen, wie die betroffene Person ihr Recht auf Löschung wahrnehmen kann. Insbesondere wer in der Pflegedienst Christel GmbH für die Prüfung der Richtigkeit der Anfrage zuständig ist, und wie das Ganze innerhalb welcher Frist erledigt wird. In einem Löschkonzept stellt eine verantwortliche Stelle dar, wie sie ihrer Aufgabe nachkommt, personenbezogene Daten zu löschen. Hilfreich ist dazu eine DIN-Norm für Löschkonzepte, die DIN 66398.

Die betroffene Person kann aber auch die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen in bestimmten Fällen gem. Art.18 Abs.1 EU-DSGVO. Hier sind genauso Verfahren zur Umsetzung einschließlich der Zuständigkeiten festzulegen.

8.3. Recht auf Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung

Die Verantwortliche Stelle ist verpflichtet, alle Empfänger, denen die personenbezogenen Daten schon offengelegt wurden darüber zu unterrichten, dass eine Berichtigung, Löschung oder Einschränkungen stattgefunden hat. Wenn die betroffene Person es verlangt wird die Pflegedienst Christel GmbH als Verantwortliche Stelle die Empfänger mitteilen.

8.4. Recht auf Datenübertragbarkeit

Der Betroffene soll befugt sein, die von ihm zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Betroffene sollen dadurch leichter von einem Anbieter zu einem anderen wechseln können, ohne den Verlust ihrer Daten befürchten zu müssen.

Das Recht auf Datenübertragbarkeit ist bei der Pflegedienst Christel GmbH nicht anwendbar.

8.5. Recht auf Widerspruch

Jeder Betroffene hat grundsätzlich das Recht der Verarbeitung seiner rechtmäßig erhobenen Daten zu Widersprechen. Die Verantwortliche Stelle darf dann die Daten nur noch verarbeiten, wenn sie die berechtigten Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Bezieht sich der Widerspruch lediglich auf Werbemaßnahmen, muss die betroffene Person keine plausiblen Gründe dafür vortragen. Hier ist der Verantwortliche immer verpflichtet in Zukunft auf Werbung gegenüber dieser betroffenen Person zu verzichten.

Widerspricht der Betroffene der Verarbeitung seiner Daten muss durch geeignete technisch organisatorische Maßnahmensichergestellt werden, dass seinem Recht entsprochen wird.

Es bietet sich hierbei an, die Umsetzung des Widerspruchrechtes zusammen mit den Verpflichtungen zur Information für Betroffene abzuhandeln, wobei das Recht auf Widerspruch in einer von anderen Informationen getrennten Form zu erfolgen hat (Beispielsweise als Einzelpunkt, oder farblich gekennzeichnet)

8.6. Beschwerderecht bei der zuständigen Aufsichtsbehörde

Nach Art. 77 DSGVO hat jede betroffene Person das Recht, sich bei der Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht ist, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die EU-DSGVO verstößt. Auch hier bietet sich die Umsetzung wieder zusammen mit der Informationspflicht für Betroffene an, wo die zuständige Aufsichtsbehörde angegeben werden sollte mit dem Hinweis dort die Beschwerde einreichen zu können.

9. Datenschutz und IT-Sicherheit/ Technisch organisatorische Maßnahmen

Der Datenschutz erfordert neben einem verantwortungsvollen Umgang mit den materiellen Anforderungen (Rechtsgrundlage, Erforderlichkeit, Zweckbindung, Datenvermeidung etc.) innerhalb der datenverarbeitenden Stelle auch die Verwendung einer sicheren, gegen Angriffe von nicht berechtigten Dritten gesicherten IT-Infrastruktur. Die IT-Sicherheit trifft technische und organisatorische Maßnahmen (TOMs), um das benötigte Maß an Vertraulichkeit, Verfügbarkeit und Integrität der zu verarbeitenden Daten – unabhängig vom Personenbezug – sicherzustellen.

Der Datenschutz betrachtet die Maßnahmen der IT-Sicherheit als wesentliches Werkzeug, um die Datenschutzziele zu erreichen. Gemäß Art. 32 DSGVO ist die Einhaltung bestimmter TOMs zwingend.

Diese TOMs dienen insbesondere der IT-Sicherheit. Um technische und organisatorische Maßnahmen bezüglich ihrer Angemessenheit bewerten zu können, ist es erforderlich, das Schadenspotential (d.h. den Grad möglicher Beeinträchtigung schutzwürdiger Belange) näher zu bestimmen. Hierzu wird, das Schutzstufenkonzept der Aufsichtsbehörde aus Niedersachsen mit fünf Schutzstufen, angewendet.

Stufe	Personenbezogene Daten	zum Beispiel
A	die frei zugänglich sind. Der Einsichtnehmende muss dabei kein berechtigtes Interesse geltend machen.	Telefonbücher, Adressbücher, Wahlvorschlagsverzeichnisse
B	deren unsachgemäße Handhabung zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse der Einsichtnehmenden gebunden ist.	beschränkt zugängliche öffentliche Dateien, Verteiler für Unterlagen
C	deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte („Ansehen”).	Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten
D	deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte („Existenz”).	Anstaltsunterbringung, Straffälligkeit, dienstliche Beurteilungen, Gesundheitsdaten, Schulden, Pfändungen
E	deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen könnte.	Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können

Klienten- sowie Mitarbeiterdaten sind der Schutzstufe D zuzuordnen.

Eine Schutzstufenklassifizierung allein reicht allerdings nicht aus, um daraus direkt die erforderlichen und angemessenen technischen-organisatorischen Sicherheitsmaßnahmen abzuleiten. Soll dies erreicht werden, ist das Schadenspotential einer Gefährdung im Rahmen einer Gefahren- und Risikoanalyse gemeinsam mit deren Eintrittswahrscheinlichkeit zu bewerten. Erst hieraus lassen sich bestimmte Schutzbedarfskategorien/Risikobereiche entwickeln, für die adäquate Sicherheitsmaßnahmen definiert werden können.

Das in der Pflegedienst Christel GmbH praktizierte standardisierte Verfahren zur Festlegung der TOMs sieht zukünftig wie folgt aus:

Die für das Verfahren verantwortliche Stelle innerhalb des Pflegedienstes benennt in der Verfahrensbeschreibung die Art der zu verarbeitenden personenbezogenen Daten und nimmt dabei zugleich eine Einordnung der Schutzstufe vor.
In Abstimmung zwischen Verantwortlichem, den IT-Verantwortlichen und dem Datenschutzmanager/ Datenschutzkoordinator werden die für die Schutzstufe und das Verfahren geeigneten technischen und organisatorischen Maßnahmen definiert und umgesetzt.
Der Datenschutzbeauftragte unterstützt (den Verantwortlichen) bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen; spätestens, wenn der Datenschutzbeauftragte die Verfahrensbeschreibung erhält.

Bei neu einzuführenden Verfahren werden die TOMs entsprechend dem obigen Verfahren bereits im Rahmen einer Datenschutz-Folgenabschätzung berücksichtigt.

Der Datenschutzmanager/ Datenschutzkoordinator berichtet dem Datenschutzbeauftragten über relevante Sicherheitsvorfälle.

Die Pflegedienst Christel GmbH hat die „Technisch Organisatorischen Maßnahmen“ getroffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen. (Siehe TOMs)

10. Standardprozesse des Datenschutzes in der Pflegedienst Christel GmbH

10.1. Prozess zur Sensibilisierung der Mitarbeiter für den Datenschutz

Datenschutz ist nicht nur ein technisches Thema. Für einen erfolgreichen Datenschutz in der Pflegedienst Christel GmbH sind eine Sensibilisierung und Schulung der Mitarbeiter vielleicht sogar noch wichtiger. Nur wenn der Datenschutz fest in der täglichen Arbeit und im Bewusstsein aller verankert ist, wird es gelingen, das Datenschutzniveau kontinuierlich zu steigern. Dabei sollte aber auch darauf geachtet werden, dass sich der Datenschutz nicht zu einem bürokratischen Hindernis entwickelt, sondern gemeinsam pragmatische und konstruktive Lösungen erarbeitet werden, die die gesetzlichen Auflagen erfüllen.

Jeder Mitarbeiter der Pflegedienst Christel GmbH, der Umgang mit personenbezogenen Daten hat, ist auf einen vertraulichen Umgang mit personenbezogenen Daten verpflichtet.

Der Datenschutzbeauftragte ist über die Verpflichtung von Mitarbeitern und deren Arbeitsplatz zwecks eventuellen Kontrollbedarfs zu informieren. Alle Mitarbeiter erhalten zudem zur ständigen Sensibilisierung in regelmäßigen Abständen Datenschutzschulungen. Die Mitarbeiter können sich jederzeit direkt an den Datenschutzbeauftragten wenden, um Hinweise, Anregungen oder Beschwerden weiterzugeben.

Zur Sensibilisierung der Mitarbeiter dienen folgende Maßnahmen, diese sollen in Zukunft weiterentwickelt werden:

Verpflichtung jedes Mitarbeiters auf den Datenschutz (bei der Einstellung)
Teilnahme an regelmäßigen Datenschutzschulungen
IT-Richtlinien für Mitarbeiter
Entwicklung von Orientierungshilfen für Mitarbeiter zum Thema Datenschutz

10.2. Verfahrensbeschreibungen

Als Daten verarbeitende Stelle ist die Pflegedienst Christel GmbH dazu verpflichtet, für jedes von ihr betriebene Verfahren zur Verarbeitung personenbezogener Daten eine sogenannte Verfahrens-beschreibung zu erstellen und aktuell zu halten.

Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist darin zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher (automatisierten) Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden.

Die vollständig ausgefüllte Verfahrensbeschreibung ist dem Verantwortlichen und ggf. seinem Vertreter zur Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten zuzuleiten.

Dem Datenschutzbeauftragten wird das Verzeichnis zwecks Prüfung regelmäßig vorgelegt (Siehe Verzeichnis von Verarbeitungstätigkeiten).

Die Zuständigkeit für die Erstellung der Verfahrensbeschreibungen ist wie folgt geregelt:

Die Verantwortlichkeit für die Erstellung von Verfahrensbeschreibungen obliegt der Leitung der jeweiligen Organisationseinheit

Mit Zeichnung der Verfahrensbeschreibung übernimmt die unterzeichnende Person die Verantwortung dafür, dass das Verfahren so, wie dargestellt, betrieben wird. Wird das Verfahren abgeändert, so ist eine geänderte Verfahrensbeschreibung zu erstellen.

Bei fehlenden Verfahrensbeschreibungen wirkt der Datenschutzbeauftragte – soweit ihm bekannt – ggfs. über die Leitung auf die Einhaltung der datenschutzrechtlichen Vorschriften hin.

10.3. Datenschutz-Folgenabschätzung

Mit der Folgenabschätzung sollen die spezifischen Risiken der automatisierten Verarbeitung personenbezogener Daten für die Rechte und Freiheiten der betroffenen Personen minimiert werden. Die gesetzliche Verpflichtung hierzu ergibt sich u. a. aus Art. 35 DSGVO:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Ziel dieser technisch-organisatorischen Analyse ist die Bewertung der Beherrschbarkeit neuer Informations- und Kommunikationsverfahren vor(!) deren Einführung. Mit ihr werden die Abläufe der automatisierten Datenverarbeitung transparent gemacht, Gefahren für die Rechte der Betroffenen aufgezeigt, Risiken abgeschätzt und Sicherungskonzepte entworfen. Lassen sich erkannte Restrisiken nicht hinreichend sicher ausgestalten, darf ein Verfahren nicht zum produktiven Einsatz kommen.

Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.

Das Ergebnis der Folgenabschätzung und seine Begründung sind schriftlich festzuhalten. Die für das Verfahren verantwortliche Stelle ist für die rechtzeitige Bereitstellung der für eine Folgenabschätzung benötigten Informationen in ausreichender Qualität verantwortlich. Dies erfordert in aller Regel eine Beteiligung der IT-Verantwortlichen.

Grundlage für die Datenschutzfolgenabschätzung ist die Durchführung einer Risikobestimmung, die die Risiken, unter Berücksichtigung der existierenden TOMs, für die Rechte und Freiheiten der betroffenen Personen ermittelt. Ergeben sich aus der Bestimmung Restrisiken sind die TOMs zu ergänzen, so dass die Eintrittswahrscheinlichkeit und/oder die Schadensschwere reduziert wird.

Im Mai 2018 ist die EU-Datenschutz-Grundverordnung in Kraft getreten. Die Aufsichtsbehörde hat nach Art. 35, Abs. 4 DSGVO eine Liste der Arten von Verarbeitungsvorgängen erstellt und veröffentlicht für die zwingend eine DSFA durchzuführen ist. Diese sogenannte Positivliste wird von der Aufsichtsbehörde ständig ergänzt. (siehe Mitgeltende Unterlagen „Liste Verarbeitungsvorgänge DSK“)

10.4. Auftragsverarbeitung

Wenn die Pflegedienst Christel GmbH externe Dritte mit der Verarbeitung von Daten beauftragt, so liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor.

Gemäß DSGVO muss die für die Auftragsverarbeitung verantwortliche Stelle mit dem Auftragnehmer die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit in einem schriftlichen Vertrag zur Auftragsverarbeitung vereinbaren.

In der Regel stellen Auftragsverarbeiter solche Auftragsverarbeitungsverträge zur Verfügung. Diese sind von der Verantwortlichen Stelle zu prüfen und auf Nachfrage vorzuhalten.

Der Verantwortliche muss nachweisen, dass

er den Auftragsverarbeiter sorgfältig ausgewählt hat,
dieser adäquate TOMs zum Schutz der weitergegebenen Daten anwendet und
dies seitens des Auftragsverarbeiters ausreichend dokumentiert wird.

(Siehe Liste „Externe Dienstleister“)

11. Abstimmung zwischen der Pflegedienst Christel GmbH und dem Datenschutzbeauftragten

Der Datenschutzbeauftrage ist von der Leitung benannt und dieser direkt unterstellt. Zu besseren Koordinierung findet mindestens einmal jährlich ein Treffen des Datenschutzbeauftragten mit dem Verantwortlichen mit folgenden Themenschwerpunkten statt:

Bericht des Datenschutzbeauftragten über Tätigkeitsschwerpunkte
Datenschutzvorfälle
Abstimmung und Priorisierung zukünftiger Datenschutzmaßnahmen
Stand der Verfahrensbeschreibungen und Folgeabschätzungen
Stand und Ergebnisse der internen/externen Audits
Die aktuelle Risikobewertung
Planung der jährlichen Mitarbeiterschulungen zum Zwecke der Sensibilisierung
Ressourcen- und Personalplanung im Datenschutz

12. Datenschutzvorfälle

Datenschutzvorfälle („Datenpannen“), bspw. Datendiebstahl, Datenverlust, Datenmanipulation oder Datenvernichtung, lassen sich trotz aller Maßnahmen zur Vermeidung selbiger nicht verhindern. Insbesondere ist zu erwarten, dass eine stärkere Sensibilisierung der Mitarbeiter für den Datenschutz (siehe Prozess zur Sensibilisierung für den Datenschutz) dazu führen wird, dass bestimmte Vorgänge überhaupt erst als Datenschutzvorfall erkannt werden. Im Falle eines Datenschutzvorfalls werden durch den Verantwortlichen in Abstimmung mit dem Datenschutzbeauftragten folgende Maßnahmen eingeleitet, um die Auswirkungen auf ein möglichst geringes Maß zu begrenzen:

Die Ursachen des Vorfalls müssen ermittelt und beseitigt werden
Die negativen Folgen des Vorfalls müssen eingedämmt werden
Risiken müssen neu bewertet werden
Evtl. müssen Betroffene informiert werden
Evtl. wird die Aufsichtsbehörde aufmerksam und verlangt Auskunft oder muss direkt informiert werden
Evtl. ist zu Überlegen ob eine Information für die Öffentlichkeit notwendig ist

Quelle Schaubild: „Datenschutz und IT-Sicherheit Thomas Schwenski“

Ein Ablaufplan für den Fall des Auftretens eines Datenschutzvorfalles in Hinblick auf die Meldepflichten des Verantwortlichen gegenüber der Aufsichtsbehörde sollte durch die Pflegedienst Christel GmbH erstellt werden. Folgende Punkte sind darin zu erfassen:

Klärung der Verantwortlichkeit
Meldung einer Datenpanne kann über die Homepage der zuständigen Datenschutzbehörde erfolgen
Sicherstellen der Einhaltung der 72 Stunden Meldefrist

Anweisungslage für alle Mitarbeiter herstellen, bspw. durch Arbeitsanweisungen
Erstellung der Dokumentation der Verletzung des Schutzes personenbezogener Daten hinsichtlich Fakten, Auswirkungen und getroffener Abwehrmaßnahmen
Berücksichtigung eventueller Outsourcing Situationen, sprich Prüfung der Anweisungslage gegenüber Auftragsverarbeitern
Information der Betroffenen inkl. der getroffenen Maßnahmen in klarer und einfacher Sprache
Ergreifen vorbeugender Maßnahmen, um eine Pflicht zur Information Betroffener entfallen lassen zu können durch das Ergreifen von technisch organisatorischen Maßnahmen, beispielsweise Verschlüsselung der Daten
Ergreifen nachgelagerter Maßnahmen

(siehe „Meldung Datenpanne“)

Wichtig ist bei Auftreten umgehend den Datenschutzbeauftragten zu informieren, um gemeinsam den Fall betrachten zu können. Letztendlich entscheidet die verantwortliche Stelle, bzw. die Geschäftsführung über die Meldung.

Egal wie die Entscheidung ausgefallen ist, ist jeder Sicherheitsvorfall angemessen zu dokumentieren, einschließlich der getroffenen Entscheidung keine Meldung abzugeben.

13. Internes Audit und Zertifizierung

Aktuell sind keine Audits oder Zertifizierungen geplant.

Zur Überprüfung der Datenschutzstandards sollten jedoch vom Datenschutzbeauftragten regelmäßig interne Statuserhebungen durchgeführt werden. Diese sollen Datenschutzabläufe im Arbeitsalltag festigen und auf die konsequente Einhaltung gesetzlicher Bestimmungen hinwirken.

14. Umsetzung des Datenschutzes und der IT-Sicherheit

Mit dem IT-Grundschutz bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Methode an, um Informationen einer Institution angemessenen zu schützen. Mit der Kombination aus der IT-Grundschutz-Vorgehensweise im BSI-Standard 100-2 und den IT- Grundschutz-Katalogen stellt das BSI für verschiedenste Einsatzumgebungen sowohl eine Sammlung von Sicherheitsmaßnahmen als auch eine entsprechende Methodik zur Auswahl und Anpassung geeigneter Maßnahmen zum sicheren Umgang mit Informationen zur Verfügung.

Es sollte für die Pflegedienst Christel GmbH das Ziel sein, die vom BSI empfohlenen Maßnahmen für den Bereich Datenschutz umzusetzen. Damit orientiert sich der Pflegedienst an einem anerkannten Standard. So wird sichergestellt, dass alle wesentlichen Datenschutzaspekte berücksichtigt werden und ein Vergleich der ergriffenen Maßnahmen mit denen anderer Institutionen möglich ist.

Die folgende Tabelle dokumentiert die Erfüllung der Anforderungen und den noch erforderlichen Handlungsbedarf um den Datenschutz und die IT Sicherheit zu gewährleisten und allen Beteiligten das erforderliche Maß an Vertrauen in den Datenschutz der Pflegedienst Christel GmbH zu geben.

Maßnahme	Umsetzung im Unternehmen	Handlungsbedarf
		erledigt	Nicht erledigt
M 2.501 Datenschutzmanagement	Datenschutzkonzept (DSK) erstellen.	X
M 2.502 Regelung der Verantwortlichkeiten im Bereich Datenschutz	Bestellung des Datenschutzbeauftragten Regelung der Zuständigkeiten für die Erstellung von Verfahrensbeschreibungen durch den Verantwortlichen Ordnung zur Verarbeitung personenbezogener Daten	X
M 2.503 Aspekte eines Datenschutzkonzeptes	Mit dem Datenschutzkonzept umgesetzt	X
M 2.504 Prüfung rechtlicher Rahmenbedingungen und Folgeabschätzungen bei der Verarbeitung personenbezogener Daten	Kapitel 6 DSK Rechtsgrundlage der Datenverarbeitung	X
	Erfassung der IST-TOMS	X
	Erstellen eines Verfahrensverzeichnisses Durchführen der Folgenabschätzung		X
M 2.505 Festlegung von technisch- organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten	Kapitel 9 DSK Datenschutz und IT Sicherheit	X
	Auf der Grundlage der Verfahrensbeschreibungen und der ggf. durchgeführten Folgenabschätzung sind die TOMs zu bestimmen.		X
M 2.506 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten	Kapitel 10.1 DSK Prozess zur Sensibilisierung	X
	Erforderliche Vorlagen erstellen	X
	Datenschutzschulung durchführen Nachweise führen		X
M 2.507 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten	Kapitel 8 DSK Rechte der Betroffenen	X
	Abläufe zur Sicherstellung der Rechte der Betroffenen erstellen	X
	Erfüllen der Informationspflicht Mitarbeiter	X
	Erfüllen der Informationspflicht Klienten	X
M 2.508 Führung von Verfahrensverzeichnissen	Kapitel 10.2 Verfahrensbeschreibungen	X
M 2.508 Führung von Verfahrensverzeichnissen	Erstellen eines Verfahrensverzeichnisses		X
M 2.509 Datenschutzrechtliche Freigabe	Kapitel 10.3 DSK Folgenabschätzung	X
M 2.509 Datenschutzrechtliche Freigabe	Auf der Grundlage der Verfahrensbeschreibungen und der Ist-TOMs die Folgenabschätzung durchführen und dokumentieren		X
M 2.510 Meldung und Regelung von Abrufverfahren bei der Verarbeitung personenbezogener Daten	Z.Zt. nicht zutreffend
M 2.511 Regelung der Auftragsverarbeitung bei der Verarbeitung personenbezogener Daten	Kapitel 10.4 DSK Auftragsverarbeitung	X
	Liste der Auftragsverarbeiter erstellen	X
	AV-Vertrag mit TOMs einfordern. Verschwiegenheitserklärungen einholen.	X
M 2.512 Regelung der Verknüpfung und Verwendung von Daten bei der Verarbeitung personenbezogener Daten	Kapitel 10.3 DSK Folgenabschätzung	X
	Prüfung im Rahmen von Folgeabschätzung und Verfahrensbeschreibung		X
Betrieb
M 2.110 Datenschutzaspekte bei der Protokollierung	Erarbeitung einer Leitlinie zur IT-Sicherheit unter Einbeziehung von		X
M 2.110 Datenschutzaspekte bei der Protokollierung	Sicherheitsrichtlinie zur IT-Nutzung		X
M 2.513 Dokumentation der datenschutz- rechtlichen Zulässigkeit von Soft- und Hardware	Sicherheitsrichtlinie zur Internetnutzung		X
	Sicherheitsrichtlinie für Virenschutz		X
	Archivierungskonzept / Löschkonzept		X
	Datensicherungskonzept
M 2.514 Aufrechterhaltung des Datenschutzes im laufenden Betrieb	Notfallvorsorgekonzept		X
	Sicherheitsrichtlinie für Outsourcing		X
	Sicherheitshinweise für Administratoren		X
M 2.515 Datenschutzgerechte Löschung / Vernichtung	Sicherheitshinweise für Benutzer		X

15. Kontinuierlicher Verbesserungsprozess

Datenschutz ist nie fertig. Stetige Verbesserungen in kleinen Schritten sorgen dafür, dass das erreichte Datenschutzniveau kontinuierlich angehoben wird. Verbesserungspotenziale sind ständig zu erfassen und umzusetzen. Die Korrektur und Vorbeugemaßnahmen sind zu dokumentieren.

Zudem ist jeder Mitarbeiter aufgefordert, Vorschläge zur Verbesserung des Datenschutzes in der Pflegedienst Christel GmbH beim Datenschutzbeauftragten einzureichen.

Business Continuity Management, Notfallmanagement – Grafik 2, 16:9