FAQ DSGVO

Häuig gestellte Fragen

Bitte beachten Sie, dass die hier angeführten verkürzten Antworten nur die Grundlagen betreffen und eine individuelle Beratung nicht ersetzen können, Wichtige Ausnahmen, Bezüge etc. können hier naturgemäß nicht dargestellt werden. Bei Fragen kontaktieren Sie mich.

1. Gilt die DSGVO nur für elektronische Datenverarbeitungen? 

 

A: Nein. Gem. Art 2 DSGVO gilt diese auch für die nichtautomatisierte Verarbeitungpersonenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist in Art 4 Z 6 DSGVO definiert. Im Wesentlichen besteht ein Dateisystem personenbezogener Daten schon dann, wenn ein Karteikasten nach z.b. Ordnungsnummern sortiert ist, z.B. ein Aktenschrank mit Patientenakten.

 

2. Gilt die DSGVO auch für personenbezogene Daten, die vor dem 25. Mai 2018 angelegt/verarbeitet wurden?

 

3. Betrifft die DSGVO die ärztliche Schweigepflicht?

 

4. Geht die DSGVO nationalen Gesetzen vor?

 

5. Kann der "Stand der Technik" aus wirtschaftlichen Gründen unterschritten werden?

 

6. Wie ist die Dokumentationspflicht des Arztes gem. § 51 ÄrzteG in Einklang mit dem Grundsatz der Speicherbegrenzung gem. DSGVO in Einklang zu bringen?

 

7. Kann eine Urlaubsvertretung formlos eingesetzt werden?

 

8. Kann ich weiterhin Cloud Dienstleister in Anspruch nehmen?

 

9. Ist die Standard- und Musterverordnung obsolet?

 

10. Was ist gem. Art 15 DSGVO von der Auskunftspflicht nicht umfasst?

 

 

 

 

Antworten:

 

1. F: Gilt die DSGVO nur für elektronische Datenverarbeitungen?

 

A: Nein. Gem. Art 2 DSGVO gilt diese auch für die nichtautomatisierte Verarbeitungpersonenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist in Art 4 Z 6 DSGVO definiert. Im Wesentlichen besteht ein Dateisystem personenbezogener Daten schon dann, wenn ein Karteikasten nach z.b. Ordnungsnummern sortiert ist, z.B. ein Aktenschrank mit Patientenakten.

 

2. F: Gilt die DSGVO auch für personenbezogene Daten, die vor dem 25. Mai 2018 angelegt/verarbeitet wurden?

 

A: Ja. Gem Art 99 Abs 2 DSGVO gilt dies ab 25.5.2018 auch für "Altbestände" von personenbezogenen Daten.

 

3. F: Betrifft die DSGVO die ärztliche Schweigepflicht?

 

A: Ja. Bestimmte Regelungen der DSGVO betreffen Bereiche, die auch von den beruflichen Verschwiegenheitspflichten umfasst sind, wie z.B. Datenübermittlungen, Vertraulichkeit uVm. Das Ärztegesetz und entsprechende weitere Rechtsgrundlagen des Medizinrechts sind somit in Verbindung mit der DSGVO und dem DSG zu interpretieren.

 

4. F: Geht die DSGVO nationalen Gesetzen vor?

 

A: Die DSGVO ist als EU-Verordnung ab 25. Mai 2018 unmittelbar anwendbar. Über Konflikte zwischen EU-Verordnungen und nationalen Gesetzen entscheidet ua der Europäische Gerichtshof. Mehr über den Grundsatz der unmittelbaren Anwendbarkeit können Sie hier nachlesen. In der DSGVO bestehen "Öffnungsklauseln", zu denen der jeweilige nationale Gesetzgeber eigene Normen erlassen kann und hat.

 

 

5. F: Kann der "Stand der Technik" aus wirtschaftlichen Gründen unterschritten werden?

 

A: Art 32 DSGVO lässt die Berücksichtigung der "Implementierungskosten" in Grenzen zu. Allerdings sind stets geeignete technische und organisatorische Maßnahmen vorzusehen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Weiters sind stets Art, Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (u.a., siehe Art 32 u.a. DSGVO). Somit sind durchaus Fälle denkbar, zu denen "geeignete technische und organisatorische Maßnahmen" nicht wirtschaftlich möglich wären. In so einem Fall ist die Datenverarbeitung zu unterlassen.

 

6. F: Wie ist die Dokumentationspflicht des Arztes gem. § 51 ÄrzteG in Einklang mit dem Grundsatz der Speicherbegrenzung gem. DSGVO in Einklang zu bringen?

 

A: Die Aufbewahrungspflichten im medizinschen Bereich sind über zahlreiche Gesetze geregelt. Ob und wann eine Löschung von Daten zu erfolgen hat, sollte anhand des konkreten Einzelfalls rechtlich genau untersucht werden. Jedenfalls sollte eine Dokumentation erstellt und vorgehalten werden, aus der die Überlegungen und anwendbaren Regelungen für die verschiedenen Fälle hervorgehen.

 

7. F: Kann eine Urlaubsvertretung formlos eingesetzt werden?

 

A: Es könnte ein Anwendungsfall "gemeinsamer Verantwortlicher" gem. Art 26 DSGVO oder ein Auftragsverarbeiterverhältnis (Art 28 DSGVO) vorliegen. Beide erfodern eine "Vereinbarung" (Art 26)/"Vertrag" (Art 28) deren Inhalt der DSGVO entsprechen muss. Daneben muss die Vereinbarung dem sonst anwendbaren (Berufs)recht entsprechen.

 

8. F: Kann ich weiterhin Cloud Dienstleister in Anspruch nehmen?

 

A: Derzeit arbeiten zahlreiche Cloud Dienstleister an einer Anpassung ihrer Dienste an die DSGVO. Grundsätzlich ist auch darauf zu achten, dass die vorgeschriebenen Mindeststandards, z.B. des Berufsrechts, durch Heranziehung von Cloud Dienstleistern nicht unterschritten werden.

 

Gem. Art 28 DSGVO hat ein Auftragsverarbeiter (wie z.B. bestimmte Cloud Dienstleister) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art 28 niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.

 

9. F: Ist die Standard- und Musterverordnungen obsolet?

 

Die Standard- und Musterverordnung wird ausser Kraft treten. Dennoch kann deren Inhalt als erste Orientierung für die Erstellung eins Verarbeitungsverzeichnisses dienen. Gerne erläutere ich Ihnen nähere Details zu einer entsprechenden Vorgehensweise.

 

10. Was ist gem. Art 15 DSGVO von der Auskunftspflicht nicht umfasst?

 

Jedenfalls nicht mitumfasst sind Daten, die keinen Personenbezug aufweisen. Dies betrifft laut einem  EuGH Judikat zur alten Rechtslage auch Daten in Dokumenten, wie Analysen, die personenunabhängig sind. Bei der Beurteilung des Umfangs von Auskünften ist daher im Einzelfall zu prüfen und darzulegen ob und ob nicht beauskunftet werden sollte. Begründungen sind nötig.

Gem. Art 12 Abs 4 DSGVO dürfen durch eine Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Nationale Gesetze können das Auskunftsrecht weiter einschränken, Beschränkungen laut Art 23 DSGVO sind zu beachten.

 

 

Die DSGVO ist im Volltext hier abrubar:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679

 

Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.