Ja, sie bereiten Kopfzerbrechen. Und ja, sie sind kompliziert. Aber Sie kommen nicht darum herum: Sie müssen sich mit den neuen Datenschutzbestimmungen vertraut machen. Gute Neuigkeiten: Wir helfen Ihnen dabei. Unser Thema heute: das Speichern und Schützen Ihrer Daten.
Stellen Sie sich vor: Ein Beistand bittet Sie, ihm zu sagen, welche Informationen Sie über die Person haben, die er vertritt. Mit «Informationen» meint er «persönliche Daten» (z.B. Privatadresse, Religion oder Infos zur IV-Massnahme; vgl. «2. Daten klassifizieren» weiter unten). Er will auch wissen, wo Sie diese Daten aufbewahren und ob sie sicher sind. Sie haben einen Monat Zeit, ihm diese Informationen zu geben. Sonst machen Sie sich strafbar. Das ist kein fiktives Szenario. Es ist genau das, was das neue europäische Datenschutzgesetz und ab 2019 voraussichtlich auch das neue Schweizer Datenschutzgesetz verlangt. Mit dem neuen Gesetz erhält jede einzelne Person neue Rechte. Insbesondere das Recht auf Information über die eigenen Daten: Das sogenannte Auskunftsrecht.
Was müssen Sie tun?
Damit Sie dem Beistand korrekt Auskunft geben können, müssen Sie wissen, wo Sie personenbezogene Daten speichern und wie Sie sie schützen.
Nutzen Sie folgende Prozesse auch, um Daten zu archivieren und aufzuräumen.
1. Bestandsaufnahme machen
Erstellen Sie ein Inventar von allen Daten, die Ihre Institution verarbeitet und speichert. Und halten sie fest, wo Sie diese Daten lagern.
Vergessen Sie kein Speichermedium (digital, Papier, Foto, Ton, Film etc.) und keinen Speicherort (Server, Notebook, Handy, Cloud, Backup, Datenauslagerung etc.).
2. Daten klassifizieren
Teilen Sie Ihre Daten in Kategorien ein. Eine Unterteilung in vertrauliche, interne und öffentliche Daten hat sich bewährt. Achten Sie auf eine einfache Gliederung.
Was genau ist unter vertraulichen Daten zu verstehen? Vertraulich sind u.a. die Personendaten. Darunter versteht man alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Artikel 3 des Bundesgesetzes über den Datenschutz (DSG) gibt darüber im Detail Auskunft. Vertraulich sind auch Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheit, Intimsphäre oder Rassenzugehörigkeit, Massnahmen der Sozialhilfe und administrative oder strafrechtliche Verfolgungen und Sanktionen.
3. Daten schützen
Legen Sie die Schutzmassnahmen für die einzelnen Kategorien fest. Unten finden Sie eine To-do-Liste mit 6 Punkten, die Sie beachten sollten. Die Punkte werden jeweils am Praxisbeispiel «medizinische Akten» veranschaulicht.
1. Zugriffsrechte festlegen.
Legen Sie fest, welche Datenkategorien von welchen Personen verarbeitet werden dürfen (lesen, mutieren, löschen). Praxisbeispiel: Sie wissen, wer das Recht hat, die medizinischen Akten (z.B. Medikationsliste) einzusehen und zu verändern.
2. Geheimnispflicht festlegen.
Lassen Sie jede Person, die mit vertraulichen Daten zu tun hat, eine Geheimhaltungsklausel unterschreiben. Praxisbeispiel: Personen, die Zugang zu medizinischen Akten haben, unterliegen der Schweigepflicht und unterschreiben eine entsprechende Geheimhaltungsklausel.
3. Informationen verschlüsseln.
Sorgen Sie für einen sicheren Datenaustausch. Informieren Sie sich über gängige technische Vorkehrungen wie beispielsweise die E-Mail-Verschlüsselung oder die Zwei-Faktor-Authentifizierung für all jene Personen, die von aussen auf die Daten der Institution zugreifen müssen. Praxisbeispiel: Müssen sie einen Dienstleister über die Medikation eines Klienten informieren (z.B. Arbeitgeber), so geben Sie diese Informationen nicht unverschlüsselt weiter. Unverschlüsselte E-Mails oder USB-Sticks sind untaugliche Lösungen. Sensibilisieren Sie den Empfänger über den sicheren Umgang mit den Daten (z.B. Daten nicht ausdrucken und liegen lassen).
4. Generische Anmeldungen verhindern.
Vermeiden Sie Benutzerkonten, die für mehrere Mitarbeitende zugänglich sind (generische User Accounts). Jedes Login muss persönlich und eindeutig nachvollziehbar sein. Praxisbeispiel: Sorgen Sie für persönliche Benutzerkonten. Sie müssen jederzeit nachvollziehen können, wer Zugang zu vertraulichen Daten (hier: die medizinischen Akten) hatte.
5. Systemaufzeichnungen kontrollieren.
IT-Systeme zeichnen Zugänge und Tätigkeiten automatisch auf. Legen Sie fest, in welchen zeitlichen Abständen der/die Datenverantwortliche die Benutzerkonten und die zugewiesenen Zugriffsrechte überprüft und bestätigt. Praxisbeispiel: Prüfen Sie periodisch das Zugangsprotokoll und vergewissern Sie sich, dass nur berechtigte Mitarbeitende auf die medizinischen Akten zugegriffen haben resp. zugreifen können.
6. Trainieren Sie Ihr Personal.
Bieten Sie Schulungen im Umgang mit vertraulichen Daten an. Und machen Sie Ihre Mitarbeitenden auf die Risiken im Umgang mit Passwörtern aufmerksam. Praxisbeispiel: Schulen Sie Ihr Personal im Umgang mit Daten und Passwörtern. Wichtig: Die Weitergabe von Passwörtern an Dritte sowie das Notieren von Passwörtern am Bildschirm oder unter der Tastatur sind ein absolutes «No Go».
Sind Sie betroffen?
Die neue europäische Datenschutzgrundverordnung (DSGVO) betrifft alle Unternehmen und Organisationen, die Daten mit einem EU-Land austauschen.
Sei es, weil sich der Server der Website in einem EU-Land befindet, weil sie Produkte oder Dienstleistungen in einem EU-Land verkaufen (z.B. via Webshop), weil ein Arbeitnehmer EU-Bürger ist oder weil Sie Daten mit einem in einem EU-Land ansässigen Anbieter (z.B. Treuhänder) austauschen.
Bleiben Sie informiert!
Unsere nächsten Datenschutz-Themen: Ihr IT-Dienstleister; Ihre Website; Ihr E-Shop.
In Vorbereitung sind zudem Informationsveranstaltungen in Zusammenarbeit mit INSOS. Abonnieren Sie unsere Updates über Linkedin.
Dieser Beitrag wurde von France Santi (INSOS Schweiz) und Ernst Liniger (bprex group ag) verfasst und ursprünglich im Juli 2018 von INSOS in «INSOS – Das Magazin: Nr. 55» publiziert.