Auch durch immer wiederkehrende Wiederholung gewinnt diese Aussage nicht an Wahrheitsgehalt. Das schreiben nur Leute, die Sinn und Zweck der Persönlichkeitsrechte nicht verstanden haben oder nicht akzeptieren wollen.Tim007 hat geschrieben:Die DSGVO ist ein bürokratisches Monster.
Das war auch vorher vorgeschrieben und gilt nach wie vor nur dann, wenn es der Betroffene nicht bereits weiß.Tim007 hat geschrieben:Jeder Patient/Mandant/Kunde muss darauf hingewiesen werden, dass Personalien im PC gespeichert werden.
Der Unterschied ist, dass die Information jetzt nach festgelegten Punkten (auch Speicherdauer und ggf. geplante Daten-Übermittlungen) klar strukturiert aufgebaut (dadurch oft umfangreicher, als bisher) und leicht verständlich sein muss. Und sie darf nicht in andere Themen wie Geschäftsbedingungen hinein versteckt werden. Und das gilt auch für Foren wie dieses hier!
Die gibt es für alle Unternehmen, die nur Kunden- und Mitarbeiterdaten speichern und eine eigene Webseite haben. Der einmalige Anpassungsaufwand für die eigene Firma beträgt i.d.R weniger als eine Stunde.Tim007 hat geschrieben:Bei Ärzten gibt es dafür eigene Formulare.
Die waren vorher schon gesetzlich gefordert, werden aber jetzt eher gelesen, wenn die Vorschriften eingehalten werden: In einfacher Sprache, so kurz wie möglich formuliert, leicht auffindbar und nicht vermischt mit anderen Informationen. Damit wir es für die Webseitenbenutzer viel leichter zu verstehen, was mit den Daten gemacht wird - wie gesagt, wenn diese Vorschrift verstanden und eingehalten wird.Tim007 hat geschrieben:Die Website muss Datenschutzhinweise enthalten, die sowieso niemand durchliest,
Wie schon in anderen Threads geschrieben: Das geht nicht auf Basis der DS-GVO. Die können nach wie vor nur bei Verstößen gegen das UWG tätig werden und bei Mängeln im Impressum, bzw. wenn es fehlt (und das gilt auch für Foren wie dieses).Tim007 hat geschrieben:aber Abmahnanwälten zu Reichtum verhelfen.
Erst wenn mehr als 9 Personen Zugriff auf die personenbezogenen Daten haben, aber nicht nach der DS-GVO (da ab 200), sondern nur in Deutschland nach unserem nationalen Gesetz. Für umfassende Verarbeitungen mit besonders sensiblen Daten gilt die Personengrenze nicht. So musste theoretisch nach dem alten Gesetz jede Artztpraxis einen DSB bestellen, was aber nicht kontrolliert wurde, da nicht praktikabel. Jetzt ist klargestellt, dass der Umgang einer normalen Arztpraxis mit Patientendaten nicht dieser Bedingung der umfassenden Verarbeitung entspricht und damit die Regel ab 10 Personen auch für Arztpraxen gibt. Es besteht also endlich klare Rechtssicherheit für durchschnittliche Arztpraxen und es ist eine Erleichterung gegenüber dem vorherigen Recht.Tim007 hat geschrieben:In der Regel muss ein Datenschutzbeauftragter bestellt werden.
Der Kernpunkt ist das "Verzeichnis der Verarbeitungstätigkeiten" und auch das war bereits seit >25 Jahren vorgeschrieben! Erleichterung gegenüber vorher: Firmen, die nur Kunden- und Mitarbeiterdaten verarbeiten brauchen das jetzt erst ab einer Größe von 200 Mitarbeitern. Für med. Daten braucht es wie bereits vorher jeder Betrieb, inkl. Arzt. Aber auch dafür gibt es sehr gute Vorlagen, die mit sehr wenig Aufwand an die eigenen Gegebenheiten anzupassen sind.Tim007 hat geschrieben:Es müssen Aufzeichnungen erstellt werden, denen sich entnehmen lässt, dass die Auflagen beachtet ...
Wer dieses Verzeichnis nicht braucht, muss zumindest ein Datenschutzkonzept mit Risikobetrachtung erstellen. Das ist auch mit verfügbaren Vorlagen für alle Unternehmen, die nur Kunden- und Mitarbeiterdaten speichern, kein nennenswerter Aufwand. Eigenartigerweise stolpern nun fast alle über die Forderung, die Speicherdauer festzulegen und rechtlich zu begründen und die Einhaltung der Löschfrist organisatorisch oder technisch sicherzustellen. Da ist nun die Dokumentation der Entsorgung von Gefahrgut oder infektiösem Material seit vielen Jahren selbstverständlich, und hier wird von Bürokratie gesprochen, wenn man die Einhaltung der Persönlichkeitsrechte sicherstellen will, indem man endlich die Löschung nicht mehr benötigter Daten für alle Unternehmen durchsetzen will? ("kopfschüttel"!)
Das ist schon seit >25 Jahren gefordert (natürlich mit Dokumentation der Themen und Teilnehmer)! Während es für Gefahrstoffschulungen etc. selbstverständlich und jährlich gefordert ist, soll es hier ein Problem sein, wenn in normalen Betrieben ein 5-Jahressabstand reicht und in medizinischen Bereichen 2-3 Jahre? Außerdem darf e-Learning durchgeführt werden im Gegensatz zur Gefahrstoffschulung e.t.c.Tim007 hat geschrieben:... und die Angestellten unterwiesen werden ...
Nein, es bricht niemandem das Genick und der Verwaltungsaufwand lag für Arztpraxen bei einmalig < 1 Tag, für kleine Betriebe mit neu zu fassenden Anweisungen für die Werbung und den Umgang mit Kundendaten (<200 Mann) bei < 3 Arbeitstagen für die Einführung, wenn kein bürokratischer Unsinn betrieben wurde, der nicht aus der Verordnung abzuleiten ist, aber in vielen nicht maßgeblichen Veröffentlichungen (sogar in manchen Weiterbildungen) behauptet wird.Tim007 hat geschrieben:Das bricht zwar keinem Arzt oder anderem Selbstständigen das Genick, bringt jedoch garantiert NICHTS und sorgt für erhebliche Risiken und für einen großen Verwaltungsaufwand.
Niemand redet über die erheblichen Vereinfachungen im inner-europäischen Datenverkehr, der jetzt in gleicher Art und mit denselben Regeln wie innerhalb eines Landes möglich ist.Tim007 hat geschrieben:Alles mag gut gemeint seint, läuft jedoch an der Praxis vorbei. Die, die diszipliniert werden sollen, etwa internationale Großkozerne, kratzt das nicht.
An der Praxis vorbei gehen nur manche (keinesfalls alle!) Interpretationen der Datenschutzkonferenz (der deutschen Behörden) und einige Veröffentlichungen der tonangebenden Datenschutzfachleute in D.-land. Wenn man das alles so umsetzt, wie die schreiben, hat man eine Menge zu tun, was niemand in anderen EU-Ländern macht. Aber die haben dieselbe Verordnung und lachen bereits über die deutsche Sicht, wie man manches umsetzen müsste. Deshalb gibt es da schon Widersprüche seitens der Unternehmerverbände und des Wirtschaftsministeriums. Z.B. die Datenschutzfolgenabschätzung (DFSA), die nach der DS-GVO mit einem klaren Konzept (z.B. des BSI) aus den bisherigen IT-Risikoanalysen mit Erweiterung um die Sicht der Persönlichkeitsrechte recht einfach gemacht ist, benötigt nach deutscher Sicht ein Team mit einem verantwortlichen Teamleiter, eine umfassende Anweisung, was die genau zu tun haben, und dann eine Vielzahl an Projektsitzungen. Das ist aber eine extreme Übererfüllung.
Und: im Gegensatz zu vielen Internetkommentaren braucht die normale Arztpraxis keine DFSA, die normalen Firmen auch nicht, wenn sie keine Massen-Datensammlung und kein Scoring betreiben. Ausnahme: Videoüberwachung in öffentlich zugänglichen Räumen - und da mussten die Begründung und Rechtsgrundlage der Erlaubnis und die Sicherheitsmaßnahmen zur Einhaltung der Persönlichkeitsrechte auch vorher ebenso gut dokumentiert werden.
Und: die Großkonzerne kratzt es sehr wohl, denn die haben wegen der Vielfalt an total verschiedenen Datenverarbeitungen einen vielfach höheren Dokumentations- und internen Regelungsaufwand (bei Unternehmen wie der Telekom oder Allianz haben die internen verbindlichen Datenschutzrichtlinien deutlich über 100 Seiten!) und diese Unternehmen werden bereits jetzt intensiv kontrolliert. Im Vergleich: für ein Unternehmen mit mehreren tausend Mitarbeitern, über 60 verschiedenen Datenverarbeitungen an knapp 30 Standorten lag der Zusatzaufwand bei etwa 35 Arbeitstagen, also kein Vergleich mit Arztpraxen und kleinen Firmen. Eine ganze Reihe an Bußgelden bis zu 6-stelliger Höhe auf Basis der DS-GVO gab es auch bereits. Betroffen waren nur Großunternehmen und eine große Klinik in Portugal. (Letztere legt Revision ein - mit einem Teil der Punkte dürfte sie dabei Recht haben - mal abwarten, bin gespannt).