Anzeige
Praxismanagement 15.08.2019

Neue EU-DSGVO: Mitarbeiter und Datenschutz

Neue EU-DSGVO: Mitarbeiter und Datenschutz

Seit Mai 2018 und dem Thema Datenschutz läuten bei vielen die Alarmglocken, sobald sie an die Verarbeitung der Patientendaten in der Praxis denken. Oft wird vergessen, dass die EU-DSGVO ebenso für einen weiteren wichtigen Datenpool der Praxis gilt: die Mitarbeiterdaten. Mitarbeiter sind also nicht nur wesentlich in der Umsetzung des Datenschutzes für Patienten, sondern ein eigenständiges, datenschutzrelevantes Thema, mit dem sich der Datenschutzverantwortliche auseinandersetzen muss.

Natürlich liegt es nahe, in der Praxis erst an die Patientendaten zu denken, wenn die Datenschutzthematik aufkommt – wir sind von Schweigepflicht und dem Bewusstsein um die Sensibilität der Gesundheitsdaten geprägt! Doch wir verfügen auch über eine große Zahl an Daten zu unseren Mitarbeitern. Hier kann es sich durchaus auch um sensible Daten handeln, z. B. im Falle von Mutterschaft, (Schwer-)Behinderungen, chronischen Krankheiten oder Ähnlichem, worüber der Arbeitgeber zur Durchführung des Arbeitsverhältnisses Kenntnis erlangen muss. Die Mitarbeiterdaten sind der zweite große Datenpool neben den Patientendaten, dem beim Datenschutz in der Praxis größte Aufmerksamkeit zu widmen ist.

Grundsätzlich gilt für Mitarbeiterdaten dieselbe Pflicht zur Sorgfalt und Dokumentation wie für Patientendaten, und damit ist auch die Vorgehensweise gleich. Die Informationspflicht über die Datenverarbeitung besteht auch gegenüber Mitarbeitern. Einzelne Verarbeitungen werden die Zustimmung der Mitarbeiter erforderlich machen. Die Datenverarbeitungen der Mitarbeiterdaten gehören ebenso ins Verzeichnis der Verarbeitungstätigkeiten wie entsprechende Schutzmaßnahmen, in denen technische und organisatorischn Maßnahmen (TOM) der Praxis dokumentiert werden sollten.

Datenschutzrad – Schritte undElemente zur Vorbereitung und Einhaltung von EU-DSGVO und BDSG neu. © 4MED Consult

Technische und organisatorische Maßnahmen hinterfragen

Bereits in den technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Patientendaten fallen einige Maßnahmen an, die sich letztlich als Dokumentation in der Mitarbeiterakte wiederfinden, z. B. das Ausgabeprotokoll des Praxisschlüssels oder spezielle Zugangs- oder Zugriffsberechtigungen. Beim Schutz der Mitarbeiterdaten sind ähnliche Fragestellungen zu berücksichtigen:

  • Werden die Personalakten digital und/oder analog geführt?
  • Wer muss Zugriff zu den Mitarbeiterdaten haben bzw. Zugang zu den analogen Akten?
  • Wo werden die analogen Personalakten aufbewahrt und sind diese vor unberechtigtem Zugriff geschützt?
  • Kann ein Ordner oder Laufwerk mit eingeschränktem Zugriff für die Mitarbeiterdaten angelegt werden?
  • Wer verwaltet die Schlüssel und Zugriffsrechte bzw. ist berechtigt, den Zugriff freizugeben oder anzuordnen?

Besonders die Übermittlung von Mitarbeiterdaten verdient einen kritischen Blick. Wie erfolgt die Übermittlung an Lohnbuchhaltung, Steuerberatung und andere Parteien? Wird diese Übermittlung ausreichend geschützt, z. B. durch Verschlüsselung? Immer wieder müssen Gehaltsinformationen, AU-Bescheinigungen, Urlaubsdaten und andere persönliche Informationen zur Berücksichtigung in der Lohn- und Gehaltsabrechnung ausgetauscht werden. Hier ist eine ausreichende Sicherung der Übermittlungswege genauso gefordert, wie dies bei Patientendaten der Fall ist. Schließlich würden Sie die monatliche Gehaltsabrechnung auch nicht gern für jeden offen lesbar als Postkarte in Ihrem Postfach finden!

Mitarbeiterschulungen sind ein Muss

Einen speziellen Stellenwert nimmt die Schulung, Unterweisung und Verpflichtung des Praxisteams bezüglich des Datenschutzes ein, denn die Umsetzung des Datenschutzes in der Praxis ist nur so gut wie das Bewusstsein und die Ausführung jedes Einzelnen. Daher verpflichtet auch die EU-DSGVO zur regelmäßigen Schulung und Unterweisung. Mit einer schriftlichen Verpflichtung zu Datenschutz und Schulung bringt die Praxis den Nachweis, dass eine solche Schulung/Unterweisung stattgefunden hat.

Die EU-DSGVO lässt einen Spielraum über Umfang und Gestaltung der Mitarbeiterschulung. Wird die Datenschutzschulung für die Mitarbeiter spannend gestaltet, ist es nicht nur eine langweilige Pflichtveranstaltung. Cyberkriminalität ist heute ein permanentes Risiko für die Praxis, aber auch im privaten Leben. Mit Blick auf aktuelle Szenarien, die Cyberkriminelle im professionellen ebenso wie im privaten Umfeld einsetzen, z. B. aktuelle Viren, Spam- und Phishingattacken, aber auch Social-Engineering-Tricks, nehmen Praxisteams auch persönlich relevante Informationen aus der Schulung mit.

Auch die Zusammenarbeit im Team ist betroffen

Vertrauensvolle Zusammenarbeit im Team ist – aus guten Gründen – zunehmend im Fokus der Mitarbeiterführung in Praxen, um eine motivierende Arbeitsatmosphäre mit langfristiger Zufriedenheit und Bindung zu schaffen. Das gemeinsame Feiern von Geburtstagen oder Jubiläen ist oft eine Selbstverständlichkeit, und der gemeinsame Geburtstags- oder Praxiskalender erinnert an Geburtstage, individuelle Urlaube oder andere „große Tage“ im Leben der Mitarbeiter. Doch auch hier greift der Datenschutz, denn es handelt sich um eine Veröffentlichung entsprechender Daten. Dies ist aber keine Aufforderung, den gemeinsamen Praxiskalender abzuschaffen! Setzen Sie ihn jedoch auf eine sichere Basis und bitten Sie Ihre Mitarbeiter um die schriftliche Zustimmung, ihre Daten hier einzutragen. Möchte ein Einzelner die Veröffentlichung nicht oder widerruft er seine Zustimmung, musst dies jedoch berücksichtigt und respektiert werden. In der Praxis ist dies aber üblicherweise nicht der Fall, denn auch das Praxisteam freut sich über gemeinsame „Feiertage“ und die Wertschätzung unter Kollegen und Freunden.

Aufzeichnung von personenbezogenen Mitarbeiterdaten

Während die Mehrheit der Datenverarbeitungen der Mitarbeiter keine besonderen Anforderungen im Datenschutzmanagement stellen, gibt es doch einige Verarbeitungen, die im Einzelfall einer besonderen Prüfung unterzogen werden sollten.

Immer wieder überlegen Praxen die Möglichkeit zur Videoüberwachung und -aufzeichnung aus Sicherheitsgründen und anderen Argumentationen. Während das Datenschutzrecht Videoaufzeichnungen nicht grundsätzlich verbietet, so gelten doch spezielle Regelungen und Pflichten, die die Möglichkeiten zur Anfertigung und Nutzung von Videoaufnahmen doch wesentlich einschränken. Um hier rechtssicher zu agieren, sollte eine detaillierte Vorabprüfung mit einem Datenschutzexperten erfolgen, bevor eine teure Videoüberwachung angeschafft wird. Und auch wer sich mit einer „Attrappe“ einer Videoüberwachungsanlage ohne tatsächliche Aufzeichnung in Sicherheit wägt, sei gewarnt – selbst inaktive Anlagen oder solche, die sich als Videoüberwachung ausgeben, unterliegen den Datenschutzbestimmungen, da Mitarbeiter und Patienten nicht erkennen können, dass keine Aufzeichnung stattfindet.

Aus Gründen der Systemsicherheit wird in manchen Fällen die Protokollierung der Internetnutzung überlegt bzw. umgesetzt. Bei dienstlicher Nutzung des Internets ist dies grundsätzlich möglich, jedoch sind auch hierbei datenschutzrechtliche Grundsätze zu berücksichtigen und im Datenschutzmanagement zu dokumentieren. So darf die Protokollierung beispielsweise je nach Zweck nur die absolut notwendigen Daten umfassen (Grundsatz der Datenminimierung), und eine detaillierte Information der Nutzer über die aufgezeichneten Daten ist unerlässlich. Sofern die private Nutzung des Internets mit den Mitarbeitern vereinbart ist, sollte die Anwendung des Datenschutzrechts sowie die mögliche Gültigkeit des Telemediengesetzes im Detail geprüft werden.

Die Aufzeichnung der individuellen Arbeitszeit ist in vielen Praxen bereits üblich, und diesbezügliche Anforderungen zur Aufzeichnung werden – je nach Umsetzung der aktuellen europäischen Rechtsprechung – unter Umständen in Zukunft ausgeweitet werden. Doch auch bei Arbeitszeitaufzeichnungen handelt es sich um personenbezogene Daten im Sinne des Datenschutzrechts. So ist auch hier auf einen geeigneten Prozess zu achten, denn schnell kann es z. B. in Form eines allgemein zugänglichen Ordners, in dem die ausgefüllten Formulare zur Arbeitszeiterfassung gesammelt werden, zur (unbeabsichtigten) Veröffentlichung dieser Daten kommen.

Besondere Momente

Neben Einstellung und Ausscheiden eines Mitarbeiters ist auch in den besonderen Momenten eines Arbeitsverhältnisses ein Blick auf den Datenschutz gefragt, z. B. Schwangerschaft, Mutterschutz und Elternzeit oder Eingliederungsmaßnahmen. Besonders Fragestellungen rund um Aufbewahrungspflichten sowie Zugang und Zugriff zu diesen Daten sollte Aufmerksamkeit gewidmet werden, und diese Datenverarbeitungen müssen ins Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.

Tipp: Vorbereitet für den ersten Tag

Neue Mitarbeiter müssen im Datenschutz geschult, über die Datenverarbeitungen bezüglich ihrer personenbezogenen Daten informiert und ihre Zustimmungen zu Geburtstagskalender und Co. sollten eingeholt werden. Zusätzlich muss an die Ausgabe von Praxisschlüsseln, Zugangskarten oder -codes, Identifizierungskarten etc. gedacht und die Übergabe von dem neuen Mitarbeiter schriftlich bestätigt werden.

In der Praxis bedeutet dies einige Formulare und Dokumente. Um nichts zu vergessen und die bürokratischen Anforderungen effizient zu erledigen, empfiehlt es sich, eine Checkliste mit den erforderlichen Unterlagen vorzubereiten und am ersten Tag für das administrative „Ankommen“ des neuen Mitarbeiters Zeit einzuplanen. Zusammen mit den regelmäßigen Datenschutzschulungen für das ganze Team wird damit der Mitarbeiterdatenschutz zur Routine, die mit wenig zusätzlichem Aufwand in der Praxis zu erledigen ist.

Dieser Beitrag ist in KN Kieferorthopädie Nachrichten erschienen.

Foto: Monkey Business Images - Shutterstock.com

Mehr News aus Praxismanagement

ePaper

Anzeige