Kategorie: Allgemein

Der heutige Newsletter fokussiert sich auf das neue Telekommunikation-Telemedien- Datenschutz-Gesetz (TTDSG), welches wir Ihnen bereits in einem der vergangenen Newsletter angekündigt hatten. Das Gesetz tritt am 01.12.2021 in Kraft. Im Folgenden stellen wir Ihnen die für Sie wesentlichen Inhalte dar.

Cookies

Prominent bekannt ist das TTDSG vor allem dafür, dass der deutsche Gesetzgeber damit die Regulierung von Cookie-Bannern bezweckt. Rechtlich gesehen ist damit eine Anpassung der bisherigen Rechtslage an die bereits seit einigen Jahren geltende ePrivacy-Richtlinie verbunden. Diese reguliert in Art. 5 Abs. 3 die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind. Dies betrifft in der Praxis oft Cookie-Banner. Die Umsetzung dieser Regelung im deutschen Recht sollte nach Ansicht des Gesetzgebers in § 15 Abs. 3 TMG geschehen, welcher jedoch äußerst missverständlich formuliert ist. Um diesen Missstand zu beheben, werden nun in § 25 TTDSG die Vorgaben aus der ePrivacy-RL nahezu 1:1 umgesetzt.

Bei der Gestaltung von Webseiten sollte daher inzwischen unbedingt geprüft werden, ob ein Cookie-Banner erforderlich ist und – falls ja – wie dieses rechtskonform einzubinden ist. Insbesondere wenn Sie Cookies zum Zweck des Webtrackings einsetzen, besteht hier i.d.R. Beratungsbedarf.

Relevanz des Fernmeldegeheimnisses für Arbeitgeber

Weiterhin Relevanz hat die Fragestellung, ob das Fernmeldegeheimnis (auch „Telekommunikationsgeheimnis“ genannt) für Arbeitgeber gilt, die die private Nutzung von dienstlichen Kommunikationsmitteln (z.B.: Privatnutzung des dienstlichen Mail-Accounts) gestatten. Diese Fragestellung wird auch durch das TTDSG nicht abschließend gelöst. Praktisch ratsam ist es daher – wie bisher – die Nutzung der dienstlichen Kommunikationsmittel für private Zwecke durch Arbeitnehmer klar zu regeln und die Einhaltung regelmäßig stichprobenartig zu kontrollieren.

Änderung der Rechtslage hinsichtlich Messaging- und Videokonferenztools

Eine Änderung, die sich im Kontext der Modernisierung des Telekommunikationsgesetzes (TKG) ergibt, ist die Neuregulierung von sog. OTT-Diensten („Over-the-top“-Dienste), die von nun an als Telekommunikationsdienste der Aufsicht des BfDI unterliegen sollen. Darunter fallen etwa Messenger-Dienste wie Whatsapp oder Threema, sowie Videokonferenzdienste.

Eine weiterhin hilfreiche Handreichung für eine vertiefte Befassung mit dem TTDSG stellt die Praxishilfe der GDD dar, abrufbar unter: https://www.gdd.de/aktuelles/startseite/gdd-veroeffentlicht-praxishilfe-das-neue-telekommunikation-telemedien-datenschutz-gesetz-ttdsg-im-ueberblick

Sofern Sie dazu oder darüber hinaus Fragen zur Umsetzung des TTDSG haben, stehen wir Ihnen gerne zur Verfügung.

Im heutigen Newsletter finden Sie erneut aktuelle Nachrichten, die Ihnen rund um die Thematik der datenschutzrechtlichen Compliance behilflich sein können.

—

1. Abfrage des Corona-Impfstatus bei Beschäftigten

Aktuell wird medial verstärkt die Möglichkeit zur Abfrage des Corona-Impfstatus bei Mitarbeiterinnen und Mitarbeitern diskutiert. Zwar wurde in der Folge nun das Infektionsschutzgesetz angepasst. Damit ist jedoch nur eine geringfügige Erweiterung verbunden: Weiterhin wird die Datenerhebung hinsichtlich des Impfstatus nur dann ausdrücklich gestattet, wenn es sich etwa um bestimmte medizinische Einrichtungen oder um Betreuungseinrichtungen handelt. In der Regel – wenn der Arbeitgeber keiner Spezialnorm unterliegt – müsste die datenschutzrechtliche Rechtsgrundlage zur Erhebung des Impf- bzw. Genesenenstatus anderweitig gerechtfertigt werden. Insoweit ist mit der Gesetzänderung für die meisten Arbeitgeber keine Erleichterung verbunden.

Weitere Informationen:

2. Entscheidung des Bundesgerichtshofs zum Auskunftsrecht nach Art. 15 DSGVO

Das dem Betroffenen zustehende Auskunftsrecht nach Art. 15 Abs. 1 DSGVO war bereits Gegenstand einiger gerichtlicher Auseinandersetzungen. Insbesondere im Verhältnis von Arbeitnehmern (als Betroffene) zu Arbeitgebern (als Verantwortliche) gilt etwa die inhaltliche Reichweite des Auskunftsanspruchs als umstritten. Mit der Entscheidung vom 15.06.2021 hat der BGH nun erstmals eine Aussage zum Anwendungsbereich der Norm getroffen. Am weit zu verstehenden Begriff der personenbezogenen Daten orientiert stellte der BGH u.a. klar, dass etwa die zurückliegende Korrespondenz der Parteien oder interne Bearbeitungsvermerke von der Reichweite des Anspruchs umfasst sind. Dies gelte auch, wenn es sich um Dokumente handelt, die der Betroffene selbst übersandt hat.

Nach dem BGH ist der Auskunftsanspruch damit äußerst weit zu verstehen: Erst wenn anonyme Daten vorliegen, der Verantwortliche die Daten also nicht mehr auf einzelne Betroffene zurückführen oder mit ihnen verknüpfen kann, ist eine Grenze erreicht. Solange die Daten einen Bezug zum Betroffenen aufweisen, sind sie Gegenstand des Auskunftsanspruchs.

In der Praxis werden sich die Auseinandersetzungen in der Folge voraussichtlich weiter auf die Frage nach möglichen Ausnahmeregelungen fokussieren. Entsprechende Gerichtsurteile sind daher zu erwarten.

3. Millionen-Bußgeld für WhatsApp

Die irische Datenschutzaufsichtsbehörde DPC hat ein Bußgeld in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Die Entscheidung betraf lange kritisierte Aspekte der fehlenden Transparenz gegenüber Nutzern sowie der Weitergabe personenbezogener Daten an weitere Facebook-Unternehmen. WhatsApp kündigte an, gegen das Bußgeld vorzugehen. U.a. aufgrund dieser datenschutzrechtlichen Mängel wird der Einsatz von WhatsApp in Unternehmen immer wieder von den Aufsichtsbehörden kritisiert, wie wir in unserem letzten Newsletter dargestellt hatten.

Weitere Informationen: https://www.golem.de/news/dsgvo-whatsapp-muss-225-millionen-euro-strafe-zahlen-2109-159302.html

Viele Unternehmen setzen inzwischen aufgrund der hohen Verbreitung von Messenger-Apps auch unternehmensintern auf deren Verwendung. Oft geschieht dies auch im Rahmen von „Schatten-IT“ – etwa, wenn Beschäftigte auf ihren privaten Geräten Informationen über die gemeinsame berufliche Tätigkeit austauschen, ohne dass dies ausdrücklich vom Unternehmen autorisiert worden wäre. Dennoch kann das Unternehmen für diese Datenverarbeitungen verantwortlich sein. Es empfiehlt sich daher, die Nutzung von Messengern im Unternehmen proaktiv und klar zu regeln sowie diese Regelung an die Beschäftigten zu kommunizieren.

Darüber hinaus lassen sich über spezielle Business-Lösungen der Messenger-Apps idR auch weitere Funktionalitäten realisieren, die für das Kundengeschäft interessant sein können.

Die Nutzung von Messengern kann aus Sicht der Datensicherheit auch vorteilhaft sein, sofern eine Ende-zu-Ende-Verschlüsselung gewährleistet ist. Gleichzeitig bieten jedoch nicht alle Anbieter die Möglichkeit, den datenschutzrechtlich idR erforderlichen Vertrag zur Auftragsverarbeitung abzuschließen. Ähnlich ist dies bei weiteren erforderlichen Vereinbarungen (etwa zur Absicherung von Berufsgeheimnissen) zu beurteilen.

Im Fokus der Aufsichtsbehörden steht aufgrund dessen Beliebtheit v.a. der Messenger Whatsapp (siehe zB: https://www.datenschutz.rlp.de/de/themenfelder-themen/whatsapp/ oder: https://lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung-von-whatsapp-in-unternehmen-179649.html). Whatsapp ist datenschutzrechtlich aufgrund mehrerer Aspekte kritisch zu beurteilen, insbesondere wegen der Weitergabe von Daten an Facebook und der Übermittlung von Daten in Drittländer. Zugleich kann es Möglichkeiten geben, diese Kritikpunkte zumindest in Teilen auszuräumen (siehe hierzu: https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/PM/2020/PM_WhatsApp.pdf), auch wenn ein vollständig rechtskonformer Betrieb dadurch idR nicht erreicht werden kann.

Neben diesen primär rechtlichen Aspekten haben sich die Aufsichtsbehörden jedoch auch bereits mit den technischen Anforderungen im Gesundheitsbereich befasst (siehe hierzu https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf).

Gerade dort sollte daher der Einsatz von Messengern besonders sorgfältig geprüft und geregelt werden.

Vereinzelt gibt es inzwischen auch Angebote, Messenger-Dienste datenschutzfreundlich selbst zu hosten (etwa beim Messenger Threema: https://threema.ch/de/onprem), was sich jedoch idR nur bei einer größeren Anzahl von Nutzenden wirtschaftlich bewährt.

Sofern Sie aktuell in Ihrem Unternehmen Messenger-Dienste einsetzen – oder dies zukünftig planen – sind wir Ihnen gerne bei der Auswahl und datenschutzkonformen Einführung des Messengers behilflich.

Die dritte Ausgabe unseres Newsletters befasst sich in diesem Monat mit verschiedenen aktuellen Entwicklungen im Bereich des Datenschutzes.

1. Drittlandsübermittlungen & Vereinigtes Königreich

Bereits im letzten Newsletter haben wir Sie ausführlich auf die Herausforderungen bei Drittlandsübermittlungen aufmerksam gemacht. Seitdem gab es weitere Entwicklungen, die folgende wollten wir für Sie herausgreifen: Für Datenübermittlungen in das Vereinigte Königreich hat die Europäische Kommission am 28. Juni 2021 einen Angemessenheitsbeschluss im Rahmen der DSGVO angenommen. Damit sollen Datenübermittlungen in das Vereinigte Königreich für Verantwortliche erleichtert werden.

Weitere Informationen: https://ec.europa.eu/commission/presscorner/detail/de/ip_21_3183

2. Bußgeld im Zusammenhang mit der Einführung einer Cloud-Lösung

Die norwegische Datenschutzaufsichtsbehörde hat gegen den dortigen Sportverband („NIF“) ein Bußgeld i.H.v. 125.000€ verhängt. Aufgrund eines unzureichend abgesicherten Tests einer Cloud-Computing-Lösung waren über eine Dauer von 87 Tagen personenbezogene Daten von ca. 3,2 Millionen Norwegerinnen und Norwegern öffentlich zugänglich. Neben den unzureichenden Maßnahmen zur Datensicherheit während des Testens soll nach der Aufsichtsbehörde auch keine Rechtsgrundlage für Durchführung der Tests mit personenbezogenen Daten vorgelegen haben.

Weitere Informationen: https://edpb.europa.eu/news/national-news/2021/norwegian-dpa-norwegian-confederation-sport-fined-inadequate-testing_en

Bei der Einführung von neuer Software, insbesondere wenn es sich dabei um Cloud-Lösungen handelt, ist eine frühzeitige Berücksichtigung des Datenschutzes und der Datensicherheit stets zu empfehlen. In der Regel kann so eine rechtssichere Implementierung realisiert werden.

3. Neues nationales Datenschutzgesetz verabschiedet: TTDSG (Telekommunikations-Telemedien-Datenschutzgesetz)

Vor kurzem hat der Bundestag ein neues Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation bei Telemedien (TTDSG) beschlossen, das am 28.06.2021 im Bundesgesetzblatt verkündet wurde. Das Gesetz wird damit am 1.12.2021 in Kraft treten. Neben kleineren Änderungen enthält das Gesetz v.a. eine für viele Verantwortliche relevante Regelung zu „Cookie-Bannern“. Diese lehnt sich nun stark an den unionsrechtlichen Vorgaben an. Das hat zwar zur Folge, dass sich die rechtlichen Anforderungen im Wesentlichen nicht verändern werden – dennoch sind in der Praxis noch viele Banner zu beobachten, die nicht rechtskonform gestaltet sind. Insbesondere gilt dies für bereits angewählte „Kästchen“, die eine Einwilligung einholen sollen oder eine fehlende technische Umsetzung der tatsächlich getroffenen Auswahl. Etwa, wenn trotz verweigerter Zustimmung zum Setzen von technisch nicht notwendigen Cookies (z.B. für Zwecke des Webtrackings, bspw. mittels Google Analytics), diese dennoch platziert werden. Eine regelmäßige Überprüfung von Webseiten ist daher ratsam.

Weitere Informationen finden Sie in der „GDD-Praxishilfe“ zum TTDSG: https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/gdd-praxishilfe-ttdsg-im-ueberblick

Die heutige Ausgabe widmet sich den sog. Drittlandsübermittlungen, also dem Transfer von personenbezogenen Daten in Staaten, die keine Mitglieder der Europäischen Union oder des EWR sind. Werden Daten in solche Drittländer übermittelt, so müssen Verantwortliche die in Kapitel 5 der DSGVO geregelten Grundsätze beachten. Diese sollen sicherstellen, dass das Schutzniveau für Betroffene nicht untergraben wird.

Praktisch relevant sind vor allem Datenübermittlungen in die USA. Diese wurden zuletzt oft auf das sog. EU-US Privacy Shield gestützt. Gerade dieses Abkommen hatte der EuGH jedoch in der sog. „Schrems II“-Entscheidung vom 16.07.2020 für ungültig erklärt.

In der Folge sind Übermittlungen personenbezogener Daten in die USA zwar nicht vollständig unzulässig. Jedoch muss jede einzelne Übermittlung neu auf ihre Rechtsgrundlage hin überprüft werden. Ggf. müssen zusätzliche Schutzmaßnahmen implementiert, oder – wo dies nicht möglich ist – auf datenschutzfreundlichere Alternativangebote umgeschwenkt werden.

Beispiele für Datenverarbeitungen mit möglichen Datentransfers an die USA stellen etwa die Nutzung von Kollaborationslösungen wie Google Docs, Google Drive oder MS Office 365, die Nutzung der meisten Videokonferenzlösungen wie Zoom oder MS Teams sowie populäre Dienste wie Dropbox dar. Etwas versteckter, aber ebenso verbreitet, ist die Übermittlung über einen Subunternehmer eines Auftragsverarbeiters des Verantwortlichen. Setzen Sie als Verantwortlicher z.B. Auftragsverarbeiter ein, um Ihre Webseite zu hosten oder um Dokumente automatisiert erstellen zu lassen – und lassen sich diese Auftragsverarbeiter ihrerseits von Subunternehmern mit Sitz in den USA unterstützen, etwa in Form von Cloud-Dienstleistungen – so können auch dort vorliegende Datenübermittlungen für Ihre Compliance relevant werden.

Sollte im Nachgang an das „Schrems II“-Urteil bisher keine abschließende Analyse möglicher Drittlandsübermittlungen stattgefunden haben, so ist diese zum aktuellen Zeitpunkt dringend zu empfehlen. Die Analyse sollte dokumentiert werden.

Die aktuelle Relevanz zeigt sich insbesondere an einschlägigen Äußerungen der Datenschutzaufsichtsbehörden:

• Das Bayerische Landesamt für Datenschutzaufsicht hatte sich bereits im März 2021 mit dem Einsatz von Mailchimp, einem E-Mail-Marketing-Service, befasst. Im Nachgang hatte der Verantwortliche unverzüglich von der Nutzung des Dienstes abgesehen.
  Weitere Informationen: https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV
  
  
• Die zuständige Datenschutzaufsichtsbehörde in Rheinland-Pfalz hatte kürzlich eine „Informationsoffensive“ sowie nachfolgende stichprobenartige Kontrollen angekündigt.

Weitere Informationen: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/informationsoffensive-zur-datenuebermittlung-in-drittlaender-kugelmann-wer-bis-jetzt-noch-nicht-auf/

• Der Europäische Datenschutzbeauftragte, welcher für die Überwachung der Organe und Einrichtungen der EU zuständig ist, startete zwei Untersuchungen zu Cloud-Dienstleistungen, die von Amazon und Microsoft erbracht werden.

Weitere Informationen: https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en

• Am 01.06.2021 wurde zudem eine länderübergreifende Kontrolle von internationalen Datentransfers angekündigt. Die teilnehmenden Datenschutzaufsichtsbehörden verschicken dazu an ausgewählte Unternehmen Fragebögen zu den Themenbereichen Web- und Mailhosting, Webtracking, Bewerberportale und konzerninterner Datenverkehr.
  Weitere Informationen: https://www.datenschutz.saarland.de/datenschutz/aktuelles/detail/presseinformation-koordinierte-pruefung-internationaler-datentransfers-laenderuebergreifende-kontrolle-der-datenschutzaufsichtsbehoerden-von-unternehmen-zur-umsetzung-der-schrems-ii-entscheidung-des-europaeischen-gerichtshofs

Die erste Ausgabe unserer Datenschutzinformation hat die Problematik der Datenschutzverletzungen („Datenpannen“) zum Gegenstand. Das sind Verletzungen des Schutzes personenbezogener Daten, die nach Art. 33, 34 DSGVO gegenüber der zuständigen Aufsichtsbehörde sowie gegenüber den von der Datenpanne Betroffenen meldepflichtig sein können.

Die DSGVO definiert diese Datenschutzverletzungen in Art. 4 Nr. 12 als:

„Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

Praktische Beispiele für solche Datenschutzverletzungen sind etwa der unbeabsichtigte E-Mail-Versand an falsche Empfänger, die (potentielle) Offenlegung von Daten an Unberechtigte aufgrund von Sicherheitslücken (z.B. bei Cloud-Diensten) sowie der Verlust von Laptops oder Smartphones.

Solche Datenschutzverletzungen lassen sich in der Praxis auch bei bester Intention und gut implementierten Gegenmaßnahmen nicht immer vermeiden. Wichtig ist es daher, dass Beschäftigte Datenschutzverletzungen als solche erkennen – und uns als Datenschutzbeauftragte so schnell wie möglich darüber informieren. Wir prüfen dann für Sie, ob die Datenschutzverletzung an die Aufsichtsbehörde und/oder die Betroffenen gemeldet werden muss. In aller Regel lassen sich durch eine sorgfältige Dokumentation etwaiger Vorfälle und eine schnelle und gute Kommunikation mit der Behörde Bußgelder vermeiden bzw. vermindern.

Dies zeigt auch ein aktuelles Bußgeld der italienischen Datenschutzaufsichtsbehörde. Für die Versendung von Gesundheitsdaten an den falschen Adressaten wurde gegen eine Religionsgemeinschaft ein Bußgeld in Höhe von 5.000€ verhängt. Bußgeldmindernd berücksichtigte die Behörde allerdings u.a., dass dieser Vorfall ihr vom Verantwortlichen selbst gemeldet wurde und dieser auch bereits eine Verbesserung der Prozesse vorgenommen hatte, um solche Vorfälle in Zukunft zu vermeiden.

Weitere Informationen: https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-casa-sollievo-2021-03-30-IT-1157.php

Welche Datenschutzverletzungen in der Praxis besonders häufig vorkommen, zeigt eine aktuelle Umfrage der Gesellschaft für Datenschutz und Datensicherheit (GDD). In diese Umfrage wurden 94 Beispiele einbezogen. Am häufigsten kam dabei eine Übermittlung von personenbezogenen Daten an falsche Empfänger vor (47%), daneben führten aber auch Cyberangriffe (14%), System- oder Konfigurationsfehler (10%) und Diebstahl (9%) bzw. der Verlust von Datenträgern oder Akten (7%) zu einer Datenschutzverletzung. 57% dieser Sachverhalte wurden an die zuständige Aufsichtsbehörde gemeldet.

Weitere Informationen: https://www.gdd.de/downloads/praxishilfen/gdd-praxisreport-2021-datenschutzverletzungen

Neben organisatorischen Maßnahmen, wie der regelmäßigen Schulung und Sensibilisierung von Beschäftigten, lassen sich Datenschutzverletzungen auch mit technischen Maßnahmen (z.B. sichere Verschlüsselung von Datenträgern, regelmäßige Überprüfung der IT-Sicherheitsmaßnahmen) minimieren.

Dass diese Risikominimierung auch wirtschaftlich sinnvoll ist, zeigen nicht nur Bußgelder von Datenschutzaufsichtsbehörden. Nach Art. 82 DSGVO kann Betroffenen wegen Verstößen gegen die DSGVO auch ein Schadensersatzanspruch zustehen. Inzwischen haben sich bereits mehrere Unternehmen auf die massenhafte Durchsetzung solcher Schadensersatzansprüche spezialisiert, insbesondere im Fall von größeren Datenlecks. Aber auch einzelne Betroffene können auf diesem Weg erfolgreich sein.

Zu einem aktuellen Verfahren finden Sie hier weitere Informationen: https://www.faz.net/aktuell/wirtschaft/unternehmen/mastercard-wegen-datenleck-angeklagt-schadensersatz-nach-dsgvo-17299842.html

Nach einem Bericht von Bayrischem Rundfunk und Norddeutschem Rundfunk (https://www.br.de/nachrichten/netzwelt/it-sicherheitsluecken-in-arztpraxen-entdeckt) haben IT-Sicherheitsexperten erneut eine Schwachstelle im Betrieb der Telematikinfrastruktur (TI) für Praxen gefunden. Etwa 200 fehlerhaft angeschlossene TI-Konnektoren wurden gefunden, welche Angreifern einfachen Zugriff von außen auf Patientendaten ermöglichen könnten. Die Gematik wurde bereits im Sommer über das Problem informiert und hat ihre Partner auf die Schwachstelle hingewiesen. Seitdem sind zwar viele, aber nicht alle Probleme behoben worden.

Mit den an sich als recht sicher eingestuften Konnektoren kommt es immer wieder zu Sicherheitsproblemen: Anfang 2019 wurde bereits bekannt, dass zahlreiche Praxen über den Parallelbetrieb an die TI angebunden waren. Der Parallelbetrieb ist eigentlich für größere Einrichtungen mit eigener Sicherheitsinfrastruktur gedacht, wurde aber reihenweise auch in kleineren Praxen ohne diese Infrastruktur eingerichtet. Die Gematik führte dies vor allem auf falsche Beratung durch die IT-Dienstleister zurück.

Konkrete Vorgaben für die IT-Sicherheit in Praxen gibt es bisher wenig. Eine neue Richtlinie der KBV hierzu soll es frühestens im kommenden Jahr geben. Doch auch ohne konkrete Vorgaben ist der Schutz von Patientendaten essentiell. Wenn Sie bei Telematik und Praxis-IT auf Nummer sicher gehen wollen, lassen Sie sich von IT-Experten beraten.

Wir stehen Ihnen für eine ausführliche Erstberatung gerne zur Verfügung: https://defendo.it/#kontakt

Vor dem Hintergrund der aktuellen Situation durch COVID-19 und den umfassenden Maßnahmen zur Bekämpfung des Virus hat die KBV kurzfristig den Weg zu einer Abrechnung von Videobehandlung über die bestehende 20%-Regel hinaus frei gemacht. Die Anpassung der saarländischen Berufsordnung, die Videobehandlung derzeit nur sehr eingeschränkt zulässt, ist ebenfalls absehbar. Sie werden also in Kürze Ihre Arbeit fortsetzen können ohne Ihre Patient_innen, sich oder Angehörige mit dem Risiko einer Infektion auszusetzen. Welche Voraussetzungen Sie dabei im Hinblick auf Datenschutz und IT-Sicherheit erfüllen müssen, aber auch wie sich das Ganze praktisch umsetzen lässt, erfahren Sie in der Beratung von Defendo. Wir bei Defendo sind Experten für Datenschutz und IT-Sicherheit, beraten seit 2017 saarlandweit Psychotherpeut_innen in Digitalisierungsfragen und sind u.a. externe Datenschutzbeauftragte der Psychotherapeutenkammer des Saarlandes.

Unsere Erstberatung dauert etwa 60 Minuten und kostet pauschal 90 Euro. Sie haben die Gelegenheit für umfassende Rückfragen. Vereinbaren Sie jetzt Ihren Beratungstermin! Die Beratung kann auf Wunsch sowohl telefonisch, als auch per Videochat erfolgen.

Kontakt:
Defendo GbR – Hessel, Rebmann & Vogelgesang
Ursulinenstraße 35
66111 Saarbrücken
E-Mail: kontakt@defendo.it
Telefon: +49 (0)681 41096848
Web: https://defendo.it

Am Mittwoch, den 19. Februar, haben unsere Geschäftsführer Stefan Hessel und Andreas Rebmann auf Einladung der Psychotherapeutenkammer des Saarlandes zum Thema Videobehandlung referiert. Dieses Thema erhält nun im Zuge der aktuellen Entwicklungen um das Corona-Virus größere Bedeutung. Im Laufe der Abendveranstaltung gaben unsere beiden Referenten zuerst einen Überblick über die datenschutz- und it-sicherheitsbezogenen Anforderungen an Videobehandlungen, die seit einiger Zeit neben Ärzten nun auch Psychotherapeuten offen stehen. Daneben wurden weitere rechtliche Rahmenbedingungen und Einschränkungen bei der Videobehandlung erläutert, die vor allem den therapeutischen Rahmen betreffen. Nach einer Live-Demonstration eines Therapiegesprächs per Videochat gaben die beiden Referenten noch einige allgemeine Hinweise zum Thema IT-Sicherheit und erklärten, dass die Videobehandlung in ein Gesamtkonzept IT-Sicherheit in der Medizin eingebettet werden muss und nicht losgelöst von anderen Bereichen betrachtet werden kann.

Während der Diskussion konnten einzelne Zuhörer bereits von ersten Erfahrungen mit Videobehandlung in der Praxis berichten. Positiv wahrgenommen wurde vor allem die Notwendigkeit einer Zertifizierung der Dienste. Vorbehalte wurden insbesondere in Zusammenhang mit dem fehlenden direkten Patientenkontakt geäußert.

Im Laufe der Diskussion zeigte sich, dass es neben dem Vortragsthema noch weiteren Klärungsbedarf in Bezug auf die Themen IT-Sicherheit und Telematik-Infrastruktur gibt.

Auch dieses Jahr wird es von uns wieder eine Fortbildungsveranstaltung für Ärzte, Therapeuten und Angehörige anderer medizinischer Berufe zum Thema Datenschutz und IT-Sicherheit in der Medizin geben. Interessierte sollten sich bereits jetzt den 10. Oktober 2020 freihalten.

Vortragsfolien: Videobehandlung

Aufgrund der aktuellen Entwicklungen rund um die Verbreitung des Corona-Virus in Deutschland herrscht große Unsicherheit bei vielen Unternehmen. Wir haben uns daher entschieden, einige wichtige Informationen zu sammeln und unseren Kunden zur Verfügung zu stellen. Unsere Zusammenstellung orientiert sich an den zahlreichen Fragen, die uns erreicht haben und ist in zwei Teile untergliedert.

Der erste Teil beinhaltet eine Sammlung wichtiger Informationen zur datenschutzrechtlichen Relevanz und Zulässigkeit von Maßnahmen gegen die Ausbreitung von Corona sowie Tipps dazu. Der zweite Teil beschäftigt sich mit technischen Herausforderungen und Rechtsfragen von Home Office und Videokonferenzen. Sollten Sie über die verlinkten Informationen hinaus Fragen haben und eine individuelle Beratung oder Hilfe bei der Umsetzung benötigen, nehmen Sie Kontakt mit uns auf!

Datenschutzrechtliche Relevanz und Zulässigkeit von Maßnahmen gegen Corona

• Covid-19 und Datenschutz: Welche Maßnahmen dürfen Arbeitgeber treffen? (Telemedicus, 11. März 2020)
• Empfehlungen und Hintergründe: Datenschutz in Zeiten von Covid-19 (reuschlaw Legal Consultants, 12. März 2020)
• Coronavirus & Beschäftigtendatenschutz: Was ist zu beachten? (Dr. Datenschutz, 13. März 2020)
• Hinweise zum datenschutzgerechten Umgang mit Corona-Fällen (Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 13. März 2020)
• Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie (Datenschutzkonferenz, 13. März 2020)

Technische Herausforderungen und Rechtsfragen von Homeoffice und Videokonferenzen

• Telearbeit und Mobiles Arbeiten (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Januar 2019)
• Protecting Personal Data When Working Remotely – englisch (Irische Datenschutzaufsicht, 12. März 2020)
• „Corona-Virus“ – Richtlinie zur Heimarbeit (Home-Office) zum Download (Stephan Hansen-Oest, 12. März 2020)

Neue Informationen werden wir bei Bedarf fortlaufend ergänzen und freuen uns über entsprechende Hinweise.