Fragen aus dem Webinar 10.01.2024

Bitte beachten Sie: Die Seite wird nicht mobil optimiert.

FrageAntwort
Als Kinderheim müssen wir also doch ein Verzeichnis der Bearbeitungstätigkeit führen, auch wenn wir eine kleine Einrichtung sind. Was muss dieses dann konkret erhalten?

Das Verzeichnis muss Angaben über Zweck, Kategorie der bearbeiteten Personendaten, Datenempfänger, sowie gegebenenfalls Angaben über Datentransfer ins Ausland und technische sowie organisatorische Schutzmassnahmen enthalten.

Gemäss Art. 12 DSG:

Das Verzeichnis des Verantwortlichen enthält mindestens:

a.die Identität des Verantwortlichen

b.den Bearbeitungszweck

c.eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten

d.die Kategorien der Empfängerinnen und Empfänger

e.wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer

f.wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 8

g.falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel 16 Absatz 2.

Wie sieht die Meldepflicht ggb. EDÖB aus wenn man eine externe DPO Stelle (Kanzlei) dazwischengeschaltet hat?Die Meldepflicht bleibt bestehen, unabhängig davon, ob ein interner oder externer Datenschutzverantwortlicher bestellt ist. Wichtig ist, dass Datenschutzverletzungen korrekt und rechtzeitig gemeldet werden und allenfalls über die externe Stelle laufen, die dann die Meldung weiter absetzt.
Freizeichnung für MA gestattet?Die Mustervorlage von Artiset dient dazu den Druck für die verantwortliche Person zu minimieren und kann durchaus genutzt werden. Zurzeit gibt es einige kritische Bemerkungen aufgrund «Begünstigung» hierzu. Von uns aus gesehen, sollte die Freizeichnung kein Problem darstellen, zukünftige Urteile werden das aber genauer zeigen.
Frage Pflegheim: Wie umfassend müssen Mitarbeitende darüber informiert werden, wie und warum wir ihre Daten verwenden (Krankenkassen, PK etc) Reicht eine Ergänzung im Arbeitsvertrag oder wird eine separate Erklärung vorausgesetzt?Eine transparente Kommunikation ist erforderlich. Dies kann durchaus über eine Ergänzung im Arbeitsvertrag sichergestellt werden.
Muss eine erfolgte Datenschutz-Folgenschätzung an eine Behörde (Kanton oder Bund) zur Beurteilung weitergegeben werden, oder kann diese ausschliesslich betriebsintern erfolgen? Habe in diesem Bezug schon Verschiedenes gehört…Eine Datenschutz-Folgenabschätzung ist in der Regel intern durchzuführen, also nein. In bestimmten Fällen, insbesondere wenn ein hohes Risiko für die Datensubjekte besteht, kann eine Konsultation mit der Aufsichtsbehörde oder dem EDÖB empfehlenswert oder sogar erforderlich sein.
Verzeichis: Pro Bearbeitung, was heisst das? Pro Personal und Klientendossier ein separates vier seitiges Formular? oder kann kollektiv erfasst werden, wie die Klientendaten und Personaldaten erfasst werden?Ein Verzeichnis kann für verschiedene Bearbeitungstätigkeiten kollektiv geführt werden. Wichtig ist, dass alle relevanten Informationen übersichtlich und zugänglich sind. Nutzen Sie dazu die Vorlagen von Artiset (pro Berbeitung eine Vorlage) oder die von inOri (tabellarische Übersicht). Sie können uns hierzu gerne kontaktieren.
Ist das Auskunftsrecht nicht auch ein Prinzip im DSG?Ja, das Auskunftsrecht ist ein fundamentales Prinzip im DSG und gewährleistet, dass Personen Auskunft über die Bearbeitung ihrer Daten erhalten können.
Wir sind ein Altersheim, macht es Sinn um den Bewohner Datenverarbeitungsverzeichnis an den eintretende Bewohner auszugeben?Ein Datenverarbeitungsverzeichnis ist primär für interne Zwecke. Bewohner sollten über eine Datenschutzerklärung informiert werden, die in verständlicher Form über die Datenbearbeitung aufklärt. Das Verzeichnis mitzugeben ist aber nicht empfehlenswert.
Ein externer hat mir mitgeteilt, dass die Begrifflichkeit «Datenschutzverantwortlicher» seit der Gesetzesänderung nicht mehr verwendet würde. Ist dies korrekt?Das DSG verwendet den Begriff «Datenschutzverantwortlicher» nicht und es wird vom Datenschutzberater, oder dem Verantwortlichen (Institution oder Privatperson) gesprochen. Wir verwenden diesen Begriff aber gezielt um Verwechslungen mit dem Beauftragen (EDÖB) oder Berater zu vermeiden.
Das Recht auf das eigene Bild (Foto/Film): Ab wann liegt dies beim Kind und ab können dies die Eltern noch bestimmen? Beispiel: Kind möchte in Schule / Heim auf Foto sein, elterliche Sorge will dies nicht…Die Bestimmung variiert je nach Alter und Reife des Kindes. Generell haben die Eltern das Bestimmungsrecht, aber ab einem gewissen Alter und bei entsprechender Reife kann das Kind selbst entscheiden. Eine konkrete Grenze ist hier nicht vorgegeben.
Wie wichtig ist es, einen externen Datenschutzberater für spez. Fragen und Prüfungen zu haben? (Anwaltskanzlei o.ä.)Ein externer Berater kann wertvoll sein, um sicherzustellen, dass die Datenschutzpraxis den gesetzlichen Anforderungen entspricht und um Unterstützung bei komplexen Fragen zu bieten. Diese Berater sind aber nicht zwingend notwendig. Aufgrund von möglichen Ressourcen und um eine neutrale Sichtweise zu erhalten, kann es aber durchaus Sinn machen.
Wenn bei M365 als Speicherort Schweiz ausgewählt wurde: Verändert das Ihre Aussage bzgl. Cloud Act?Die Wahl des Speicherorts kann die rechtliche Beurteilung beeinflussen, insbesondere hinsichtlich der Anwendbarkeit von ausländischen Gesetzen wie dem Cloud Act. Es ist wichtig, dies im Detail mit einer Risikobewertung zu prüfen. Es gibt mehrere solche Beurteilungen, die bereits vorliegen meist mit dem Resultat, dass das Risiko vernachlässigbar klein ist. Des Weiteren sind neue Lösungen wie etwa die «Sovereign Cloud» im Aufbau, die diese Unklarheiten bald ganz beseitigen sollten.
Funktioniert der geschützte Mailverkehr unter M365?Ja, M365 bietet Mechanismen für den geschützten Mailverkehr, es ist jedoch wichtig, die Konfiguration und die Sicherheitseinstellungen sorgfältig zu prüfen. Wenn Sie Gesundheitsdaten versenden empfiehlt sich eine zusätzliche Verschlüsselung mittels IncaMail oder einer HIN Verschlüsselung.
Datenschutzerklärung Website: Darf dort auch auf andere Datenbearbeitungen oder Grundlagen verwiesen werden (z.B. Datenschutzerklärung für Bewohner)Ja, es ist sinnvoll, in der Datenschutzerklärung auf weitere relevante Dokumente und Datenbearbeitungen zu verweisen, um Transparenz zu gewährleisten.
Bitte senden Sie uns die erwähnte Datenschutzerklärung für die WebseiteDie Datenschutzerklärung sollte individuell angepasst sein. Es ist empfehlenswert, eine auf die spezifischen Bedingungen der Website zugeschnittene Erklärung zu erstellen. Sie können hierzu aber Generatoren wie etwa von iubenda, privacybee oder datenschutz-generator.de nutzen um einen ersten Eindruck des Umfangs und eine Rohfassung zu erhalten.
Muss man auch nachträglich von allen bereits langjährigen MA eine entspr. Einwilligung holen? oder nur für neu-eintretende seit Revision DSG? kann das eine allg. Klausel sein? Haben Sie Vorlagen?Es ist wichtig, die Einwilligung für die Datenbearbeitung zu haben, auch von langjährigen Mitarbeitenden. Eine allgemeine Klausel kann unter Umständen ausreichend sein, sollte aber den Anforderungen des DSG entsprechen. Grundsätzlich empfiehlt sich auch ein Infoschreiben und eine stille Einwilligung. Wenn Sie weitere Vorlagen benötigen, können Sie gerne direkt mit uns in Kontakt treten.
Wenn die Einwilligung Teil eines Vertrags mit einem Bewohner ist, bedeutet dies dann auch, dass es sich um eine Einwilligung in die Weitergabe von Daten auf der Grundlage des Berufsgeheimnisses (§ 321 Strafgesetzbuch) handelt?Die Einwilligung kann eine Rolle spielen, aber die Weitergabe von Daten unterliegt zusätzlich spezifischen rechtlichen Anforderungen, insbesondere wenn es um das Berufsgeheimnis geht.
Macht inOri ihre Dienstleistung kostenlos (z.B. weitere Betreuung, Easy-Learn etc.)Nein, wir geben Ihnen gerne Auskunft und helfen Ihnen weiter. Ab einem gewissen Punkt bieten wir unsere Dienste kostenpflichtig an. Aber keine Sorge, Sie werden vorher informiert.
Wir veröffentlichen im Jahresbericht Fotos von Personen und holen jeweils eine schriftliche Einwilligung ein. Wie müssen wir Vorgehen bei Personen, die verstorben sind?Die Rechte am eigenen Bild bestehen grundsätzlich auch nach dem Tod weiter. Es ist ratsam, die Zustimmung der Angehörigen einzuholen.
Bei privatrechlichen Einrichtungen gilt nur das nationale Gesetz. Bei öffentlichrechlichen Einrichtungen gilt das nationale und das kantonale Gesetz oder nur das Kantonale?In der Regel gelten sowohl nationale als auch kantonale Datenschutzgesetze, wobei die spezifischen Anforderungen je nach Einrichtung und deren Trägerschaft variieren können.
Was dürfen die kantonalen Behörden prüfen/kontrollieren? Auch das Bundesdatenschutzgesetz?Kantonalen Behörden können sowohl kantonale als auch nationale Datenschutzbestimmungen prüfen, abhängig von ihrer gesetzlichen Befugnis und dem Geltungsbereich der jeweiligen Gesetze.
Was halten Sie von einer allgemeinen Einwilligung zur Verwendung der Bilder, z. B. in sozialen Medien?Eine allgemeine Einwilligung kann praktisch sein, muss aber klar, verständlich und spezifisch genug sein, um gültig zu sein. Es ist wichtig, die konkrete Nutzung und den Umfang klar zu definieren und sich auch zu überlegen, was wäre wenn dem eine Person nicht zustimmen würde.
Ist die Datenablage in der Cloud von Office 365 zu heikel?Die Nutzung von Cloud-Diensten wie Office 365 ist weit verbreitet. Wichtig ist eine sorgfältige Prüfung der Sicherheits- und Datenschutzmassnahmen des Anbieters sowie eine korrekte Konfiguration. Wenn Sie sich weitere Details wünschen können wir Ihnen hierzu gerne detaillierter Auskunft geben, wie Sie vorzugehen haben.

Fragen zum Musterkonzept Artiset:

  1. Sperrung/Verweigerung der Datenbekanntgabe» Jede betroffene Person kann die Bekanntgabe ihrer Daten sperren lassen, wenn sie ein schutzwürdiges Interesse nachweist». Wann ist eine Sperrung möglich?
  2. Technische Massnahmen«Durch Zugangs- und Personendatenträgerkontrollen wird verhindert, dass unbefugte Personen Zugang zu Datenbeständen haben oder diese verändern, zerstören, entwenden etc.» Was heisst/bedeutet «Personendatenträgerkontrolle?
  3. Verhältnismässigkeit «die Datenbearbeitung für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar ist (vereinfacht gesagt, muss zwischen dem Bearbeitungszweck und der damit zusammenhängenden Beeinträchtigung der Persönlichkeit der betroffenen Person ein vernünftiges Verhältnis bestehen)». Was ein z.B. ein Bewohner gewisse Daten nicht freigibt weil nicht zumutbar?
  1. Eine Sperrung ist möglich, wenn die betroffene Person ein schutzwürdiges Interesse nachweist, z.B. bei unzulässiger Datenbearbeitung oder bei besonderen persönlichen Situationen.
  2. Personendatenträgerkontrolle bedeutet Massnahmen, um zu gewährleisten, dass Datenträger, auf denen personenbezogene Daten gespeichert sind, nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  3. Das Prinzip der Verhältnismässigkeit verlangt, dass die Datenbearbeitung angemessen sein muss. Wenn ein Bewohner die Freigabe bestimmter Daten verweigert, muss dies respektiert werden, sofern keine gesetzliche Pflicht zur Datenbearbeitung besteht oder die Freigabe nicht notwendig für ihre Dienstleistung ist. Ansonsten kann die Dienstleistung auch verweigert werden.
Ein Datenbearbeitungsverzeichnis muss öffentlich ausgewiesen werden? Was heisst das konkret?Ein Datenbearbeitungsverzeichnis ist in der Regel intern zu führen. Eine öffentliche Bekanntmachung ist nicht erforderlich, jedoch müssen die betroffenen Personen über die wesentlichen Aspekte der Datenbearbeitung informiert werden. Kantonal gibt es hier z.T. bereits bestimmungen, die eine Veröffentlichung vorsehen. National ist das aber nicht der Fall.
Wie sieht der Zeitrahmen aus? Wann muss bei uns alles klar geregelt und erstellt bzw. ausgewiesen sein?Die Umsetzung der DSG-Bestimmungen sollte zeitnah erfolgen. Ein genauer Zeitrahmen kann abhängig von der spezifischen Situation und den Anforderungen der Aufsichtsbehörde variieren. Das Gesetz ist seit 01.09.2023 ohne Übergangsfrist in Kraft getreten, weshalb die Massnahmen grundsätzlich bereits umgesetzt sein sollten. Definieren Sie zeitnah Massnahmen, mit Meilensteinen und Deadlines, damit Sie aufzeigen können, dass Sie nun bei der Umsetzung sind.

Frage bzgl. Auskunftsrecht: Bei der Arbeit mit besonders schützenswerten Daten stellt sich öfters auch die Frage, was in welcher Form an psychisch labile Personen in welcher Form ausgehändigt werden soll. Wir wollen uns als Institution ja auch schützen.

  1. Inwiefern darf das Auskunftsrecht verweigert werden resp. auf einer Ausgabe via Therapeut/Arzt bestanden werden?
  2. Wenn Daten der letzten 10 Jahren (Aufbewahrungspflicht) vor der Aushändigung geschwärzt werden müssen: Wann darf der volle Betrag von 300.- verlangt werden?
  3. Für die Erfüllung des Auftrages erhalten wir teilweise Daten, für welche die Aktenführung nicht bei uns als Institution liegt (bspw. Arztbericht, Klinikbericht, Anamnese): Dürfen wir bei Auskunftsanfragen die Herausgabe dieser Daten verweigern und auf die «Primärquelle» verweisen: D.h. direkt beim Arzt anfragen oder bei der IV?
  4. Folgefrage zu 3.) Kann es Abweichungen geben zwischen der Beantwortung einer Anfrage bzgl. Auskunftsrecht und der effektiven Aushändigung? D.h. vollständige Aufführung, welche Daten vorhanden/archiviert sind aber nur aushändigen der Daten in welcher man die Aktenführung hat.
  1. Das Auskunftsrecht kann in bestimmten Fällen eingeschränkt werden, z.B. zum Schutz der Privatsphäre Dritter oder bei einem überwiegenden öffentlichen oder privaten Interesse. Eine Ausgabe via Therapeut/Arzt kann in sensiblen Fällen angemessen sein.
  2. Die Gebühr für die Auskunftserteilung sollte die tatsächlichen Kosten widerspiegeln und verhältnismässig sein. Bei einem hohen Aufwand, z.B. bei umfangreicher Schwärzung, kann eine höhere Gebühr, auch von 300 CHF druchaus gerechtfertigt sein.
  3. Ja, bei Daten, die nicht in der eigenen Aktenführung liegen, kann auf die Primärquelle verwiesen werden. Wichtig ist, dass die betroffene Person die notwendigen Informationen erhält, um die Daten einsehen zu können.
  4. Ja, es können Abweichungen entstehen, z.B. wenn bestimmte Daten aus rechtlichen Gründen nicht herausgegeben werden dürfen. Die Kommunikation sollte jedoch klar und transparent sein.
Kann eine Datenschutzverantwortliche Person überhaupt gebüsst werden, wenn die Datenschutzverletzung durch eine:n Mitarbeiter:in verursacht wurde?Ja, die verantwortliche Person kann in bestimmten Fällen zur Verantwortung gezogen werden, insbesondere wenn die organisatorischen Massnahmen zur Sicherstellung des Datenschutzes unzureichend waren.
Was muss beachtet werden im Protokoll der GL betr. Aufnahme von Gesundheitsinformationen von Mitarbeitenden? Ist eine Vorlage für Schnuppernde vorhanden und können Sie uns diese zustellen? Vielen Dank.Es müssen die Grundsätze der Datenminimierung, Zweckbindung und Vertraulichkeit beachtet werden. Nur relevante und notwendige Gesundheitsinformationen sollten aufgenommen werden, und der Schutz dieser Daten muss gewährleistet sein. Wir haben Mustervorlagen zu Vertraulichkeitserklärungen und händigen Ihnen diese gerne auf Anfrage aus.
Was gilt als öffentliche Daten?Öffentliche Daten sind Informationen, die allgemein zugänglich sind oder nicht dem Datenschutz unterliegen, z.B. Daten, die in öffentlichen Registern oder Verzeichnissen enthalten sind oder auf social Media gepostet werden.
Wie sieht das genau aus bei der Webseite, was ist gemeint «dort schon ausweisen, wie Daten bearbeitet werden»? Nicht jeder, der auf unsere Webseite geht wird auch bei uns erfasst.. braucht es das trotzdem? Und wie? Muster in den Unterlagen?Eine Datenschutzerklärung auf der Website sollte Auskunft darüber geben, wie und zu welchem Zweck Daten erfasst und bearbeitet werden. Dies gilt auch, wenn nicht jeder Besucher erfasst wird. Die Erklärung sollte leicht zugänglich und verständlich sein.
Kann man das dsfa auch pauschal abhandeln? Oder muss das individuell pro Person geschehen?Eine Datenschutz-Folgenabschätzung (dsfa) sollte sich auf die spezifischen Risiken einer Datenbearbeitung beziehen. In manchen Fällen kann ein pauschaler Ansatz angemessen sein, oft ist jedoch eine individuelle Betrachtung erforderlich. Wichtig ist aber, dass sich die DSFA auf die Bearbeitungstätigkeit und nicht eine Person bezieht. Wir geben Ihnen auf Anfrage gerne weiter Auskunft.

Kontakt

inOri® GmbH

Rugenaustrasse 28

CH-3800 Interlaken

Links

AGBs
Datenschutzerklärung

Bereit fürs neue Datenschutzgesetz?