Wir informieren Sie zum Umgang mit personenbezogenen Daten im Rehasport bzw. zum Datenschutz allgemein. Wir sind keine Rechtsberatung und übernehmen deshalb keinerlei Gewähr für die Richtigkeit oder Vollständigkeit der Informationen. Für Fragen sowie Auskünfte, wenden Sie sich bitte an Ihren Datenschutzbeauftragten oder eine offizielle Rechtsberatung.
Inhaltsverzeichnis
Datenschutz im Rehasport
Rehasport Anbieter müssen Ihre Rehasportler über die Erhebung sowie Verarbeitung personenbezogener Daten informieren. Laut Datenschutz Bestimmung, handelt es sich bei Daten von Rehabilitationssport Teilnehmern um Sozialdaten in Sinne des SGB X. Diese Daten unterliegen einem ganz besonderen Schutz, denn es handelt sich um Patientendaten bzw. Gesundheitsdaten.
Pflichten für Rehasportanbieter
Bevor wir Ihnen wichtige Pflichten beschreiben, verweisen wir Sie gerne auf den offiziellen sowie hilfreichen Leitfaden des DBS zum Thema Datenschutz im Rehabilitationssport (Stand 26.11.2018).
Eine allgemeine Beschreibung zur Thematik gestaltet sich als schwierig. Unterschiedliche Satzungsbedingungen, Vorgaben der Landesfachverbände, abrechnungsrelevante Prozesse, Größe der Einrichtung u.v.m., können die rechtlichen Pflichten jeweils verändern. Deshalb beschreiben wir Ihnen die gängigen Pflichten:
- Informationspflicht gegenüber den Rehasportlern zur Erhebung ihrer Daten
- Einwilligungserklärung zur Datenerhebung und Datenweitergabe für Mediziner
- Abschluss von Verträgen zur Auftragsdatenverarbeitung nach § 11 BDSG mit der Abrechnungsstelle
- Verpflichtung aller Beteiligten (z.B. Empfang / Übungsleitung) zur Verschwiegenheit
- Strikte Trennung von Verordnungen / medizinischen Unterlagen und Teilnahmebestätigungen
- Stetige Anpassung bzw. Aktualisierungen aller nötigen Pflichten gemäß des BDSG / der DSGVO
- Alle Daten sowie Akten sind 10 Jahre lang aufzubewahren
Des Weiteren sind Teilnahmebestätigungen stets einzeln bzw. persönlich vom Rehasportler zu unterschreiben. Folglich darf man keine Unterschriften von anderen Teilnehmern einsehen. Da diese Prozedur aber sehr umständlich ist, einigen sich viele Übungsleiter auf eine Einwilligungserklärung zur Unterschriftenliste. Dann können alle Beteiligten auf einer Liste hintereinander unterschreiben und somit ihre Teilnahme bestätigen.
Auch die Bewerbung von Rehasportlern (z.B. für weitere Angebote), anhand ihrer angegebenen Daten, ist strengstens untersagt. Wer aus Rehasportlern neue Kunden machen will, muss sich die Einwilligung bei der ersten Rehasport Beratung bzw. Sprechstunde schriftlich einholen.
DSGVO Datenpanne
Von einer Datenpanne bzw. einem Datenschutzverstoß spricht man, wenn unerlaubt Dritte Einsicht in personenbezogene Daten erhalten (können). Trotz sorgfältiger Bemühung, kommt es immer wieder zu sogenannten Datenpannen im Rehasport Datenschutz. Häufige bzw. klassische Datenpannen sind beispielsweise:
- Verlust eines mobilen Endgerätes wie Smartphone, Notebook oder Tablet
- Verlust von Datenträgern wie externe Festplatten oder USB-Sticks
- Falsch versendete E-Mails an falsche Adressaten
- Keine ordnungsgemäße Vernichtung von Papierakten bzw. Unterlagen
- Unverschlossene Ordner und Akten, z.B. auf Arbeitsflächen
- Hackerangriffe oder zu einfach eingestellte Passwörter
Meldepflicht bei Datenschutzverletzung
Eine Datenpanne bzw. Verletzung sind unverzüglich und möglichst binnen 72 Stunden zu melden. Dabei ist der Zeitpunkt der Entdeckung einer Panne entscheidend. Diese Regelung beschreibt der Art. 33 Abs. 1 DSGVO. Bei einer Datenschutzverletzung sind Aufsichtsbehörde / Datenschutzbehörde sowie der Datenschutzbeauftragte unverzüglich zu informieren. So minimieren Sie die Gefahr von eventuellen Bußgeldern.
Eine Meldung muss zu diesen Punkten informieren
- Art der Verletzung muss beschrieben werden (z.B. Verlust, Diebstahl, etc.)
- Welche Gruppe bzw. Personen betroffen sind (Rehasportler, Mitarbeiter, usw.)
- Anzahl der (vermutlich) Betroffenen
- Name sowie Kontaktdaten des Datenschutzbeauftragten
- Welche Schutzmaßnahmen, zur Behebung der Panne, Sie bisher vorgenommen haben
- Aufzeigung von eventuellen Gegenmaßnahmen
Bevor Sie eine schriftliche Dokumentation anfertigen und (final) absenden, sollten Sie stets vorab Ihre Problematik telefonisch besprechen.
Des Weiteren müssen Sie eine Meldung gegenüber den Betroffenen / Rehasportlern machen. Dabei müssen die Informationen nicht so umfassend sein, wie gegenüber der Aufsichtsbehörde. (Vermutlich) Betroffene sollten diese Informationen erhalten:
- Name und Kontaktdaten des zuständigen Datenschutzbeauftragten
- Eine Beschreibung der Art der Schutzverletzung
- Die mutmaßlichen Folgen der Panne
- Angestrebte bzw. ergriffene Gegenmaßnahmen
Für jeden Rehasportanbieter ist die Aufsichtsbehörde des jeweiligen Bundeslandes zuständig.
Interner vs. externer Datenschutzbeauftragter
Die Benennung eines Datenschutzbeauftragten ist dann nötig, wenn z.B. mindestens 20 Personen eines Unternehmens regelmäßig mit personenbezogenen Daten in Kontakt kommen (vgl. § 38 BDGS). Diese Pflicht war vielen bereits vor dem 01. Mai 2018 bekannt. Deshalb denken viele Rehasport Standorte nicht an einen Datenschutzbeauftragten, weil diese oftmals weitaus weniger Mitarbeiter beschäftigen. Diese Annahme ist nur teilweise richtig, denn man arbeitet mit sensiblen personenbezogenen Daten im Sinne des Art. 9 DSGVO.
Deshalb empfiehlt sich zur Sicherheit stets ein (externer) Datenschutzbeauftragter. Dieser hat u.a. diese Pflichten:
- Mitarbeiter beraten bzw. sensibilisieren im Umgang mit personenbezogenen Daten
- Sicherstellung von DSGVO-konformem Schutz der Daten sowie Verschwiegenheitspflicht der MA
- Bereitstellung bzw. Prüfung von Formularen für Rehasportler, die zum Datenschutz informieren
- Auskunftspflicht über die Verarbeitung von personenbezogenen Daten
Mythos unkündbar: Ein Datenschutzbeauftragter ist selbstverständlich nicht unkündbar!
Vielmehr genießt er den Schutz, dass für eine Kündigung ein wichtiger Grund vorliegen muss (gilt nicht für Externe). Diese Regel gilt zudem ein Jahr lang, nachdem er sein Amt niedergelegt hat. Nicht eingeschlossen sind natürlich fristlose Kündigungen. Jedoch muss man dabei auch unterscheiden, in welcher Funktion ein „krasser“ Verstoß vorliegt – z.B. als Angestellter oder Datenschutzbeauftragter. Infolgedessen genießen Datenschutzbeauftragte eine Art „Sonderkündigungsrecht“ wie Betriebsräte, sind aber nicht unkündbar.
Kostenlose Datenschutz Mustervorlagen
Viele Landesfachverbände stellen kostenlose Mustervorlagen online zur Verfügung. Infolgedessen wenden Sie sich an Ihren zuständigen Landesfachverband, den DBS oder einen externen Datenschutzbeauftragten, um auf Nummer sicher zu gehen.
DSGVO Tipps für Webseitenbetreiber
DSGVO und Datenschutz gelten auch für Rehasport Anbieter, die eine Webseite führen. Manche Webseitenbetreiber wissen jedoch nichts zur Thematik oder glauben, dass es sie nicht betrifft. Folglich missachten bzw. ignorieren viele Webseitenbetreiber wichtige Grundregeln.
Hier gehen wir nicht auf die Punkte im Detail ein, sondern beschreiben Ihnen wichtige Pflichten, denen Sie allgemein nachkommen müssen:
- SSL-Verschlüsselung muss immer (grün leuchtend) implementiert sein
- HSTS-Header Integration zum Schutz gegen verschiedene Cyberangriffe
- Cookie-Banner bzw. Hinweis sollte immer gut platziert angebracht sein
- Tracking eines Users (z.B. Google Analytics Cookies), darf nicht automatisch starten
- Kontaktformulare müssen einen Verweis auf die Datenschutzbestimmungen haben
- Social-Media-Kanäle & YouTube Videos müssen rechtskonform eingebettet sein
- Google Fonts sollten lokal in der Webseite eingebunden sein und nicht per Google Server
- Impressum bzw. Datenschutzerklärung müssen direkt sichtbar sein und aktuell
- Auftragsverarbeitungsverträge benötigt es online & offline z.B. mit Geschäftskunden
Es gibt noch zahlreiche Verpflichtungen bei z.B. Kommentarfunktionen, Online-Shops, Chats oder rechtskonforme Einbettung von (YouTube-) Videos, Social-Media-Shares sowie Google-Maps-Karten. Besonders oft geht es um Cookies und Aufbau von Verbindungen zu externen Servern.
–