Wir beantworten Ihre Fragen
FAQ zur DSGVO

BDP-Berufsberatung
AdobeStock_329073003.jpeg
  • Ich habe nur Papierakten, gilt die DSGVO für mich?

    Schon die alphabetische oder sonstige gereihte Archivierung von Papierakten ist eine Datenverarbeitung. Ja, in aller Regel ist die DSGVO zu beachten.


  • Ich habe meinen Computer im Büro, der ist mit dem Internet gar nicht angeschlossen, gilt die DSGVO trotzdem?

    Ja, der Datenschutz gilt nicht nur für die Abwehr von Angriffen aus dem Internet, sondern z.B. auch für den Fall, dass bei einem Praxiseinbruch der Computer oder die Festplatte entwendet wird. Oder für den Fall, dass die Putzkraft (unerlaubt) Daten und Geheimnisse zur Kenntnis nimmt oder die Computer-Festplatte kaputt geht.


  • Gilt die DSGVO für sämtliche Daten?

    Sie gilt nur für personenbezogene Daten, also Daten die auf bestimmte Betroffene bezogen sind oder bezogen werden können. D.h. Sach- und Fachveröffentlichungen oder anonymisierte Falldarstellungen usw. unterfallen nicht der DSGVO.


  • Ich beachte die berufliche Schweigepflicht, genügt das für den Datenschutz?

    Faktisch mag das zutreffen aber formal muss der Datenschutz, vor allem bei Verwendung von Computern auch dargelegt werden können. Die förmliche Gestaltung des Datenschutzes dient dem Nachweis gegenüber den Behörden, hilft aber auch bei der Identifizierung von Schwachstellen. Denn gelegentlich glaubt man die Schweigepflicht einzuhalten, unterschätzt aber die Angreifbarkeit des eigenen (Computer)Systems.


  • Meine Dienstleister für die EDV und die Daten drängen mir Verträge zur Verarbeitung auf, muss ich die unterschreiben?

    Ein Muss gibt es insofern nicht, als man durchaus wissen und gewährleisten können sollte, wozu man sich verpflichtet und deshalb nichts ungesehen unterschreiben sollte. Außerdem kann man den Dienstleister wechseln. Andererseits haben Dienstleister das Recht, die Unterschrift zur Bedingung zu machen. In den Verträgen geht es auch hauptsächlich darum, dass und wie der Dienstleister die DSGVO einhält. Die Unterzeichnung solcher Verträge ist für beide Seiten Pflicht.
    Es bedarf der Abwägung zwischen Unterzeichnung und Anbieterwechsel. Die Nervosität im Mai 2018 hat teilweise grotesk umfangreiche Muster hervorgebracht, es bleibt zu hoffen, dass sich das etwas normalisiert. Denn letztlich wird in diesen Verträgen zur Auftragsverarbeitung im Wesentlichen festgeschrieben, was für beide Seiten ohnehin gilt.


  • Muss ich wegen meiner beruflichen Schweigepflicht eine Verpflichtungserklärung unterzeichnen lassen?

    Wenn Ihre Dienstleister von Berufsgeheimnissen erfahren, z.B. bei der Auftragsverarbeitung, unterfallen sie als „sonstige Mitwirkende“ dem strafbewehrten Berufsgeheimnisschutz. Sie müssen zur Vermeidung einer eigenen Strafbarkeit (!) diese sonstigen Mitwirkenden auf diesen Geheimnisschutz verpflichten, typischerweise in einer Verpflichtungserklärung. Manchmal ist diese Verpflichtungsklärung schon als Klausel im Dienstleistungsvertrag oder im zugehörigen Auftragsverarbeitungsvertrag zu finden, eine eigenständige Verpflichtungserklärung ist aber zielgerichteter. Nur wenn der sonstige Mitwirkende selbst Berufsgeheimnisträger ist (Anwalt, Steuerberater, Arzt usw.), entfällt die Notwendigkeit dieser Verpflichtungserklärung.


  • Was ist eine Datenschutzerklärung?

    Die DSGVO steht für Transparenz. Wenn Sie Daten Ihrer Kunden erheben, soll der Kunde (bzw. datenschutzrechtlich „der Betroffene“) wissen, was mit seinen Daten geschieht, warum sie erhoben werden, warum sie wie lange gespeichert und ggf. an wen sie warum weitergegeben werden. Darüber soll in der Datenschutzerklärung informiert werden.
    Die Datenschutzerklärung ersetzt allerdings keine Rechtsgründe: Nur weil man darüber informiert hat, ist die beschriebene Datenverarbeitung nicht rechtmäßig. Wenn man also z.B. eine Einwilligung als Rechtsgrund benötigt, dann muss diese eingeholt werden, die Datenschutzerklärung dient nur der Informiertheit des Betroffenen für diese (sodann) benötigte Einwilligung.


  • Brauche ich einen Rechtsgrund für die Datenverarbeitung?

    Unbedingt und immer. Z.B. ist die Annahme falsch, dass veröffentlichte Daten, schon weil sie veröffentlich sind, für jegliche Nutzung durch wen auch immer quasi freigegeben sind. Sondern sogar für die Nutzung bzw. Verarbeitung veröffentlichter Daten bedarf es eines Rechtsgrunds.


  • Was für Rechtsgründe der Datenverarbeitung gibt es?

    Primär ist das die Vertragserfüllung: Aufgrund eines z.B. Dienstleistungsvertrags werden Daten erhoben, um seine berufliche Verpflichtung erfüllen zu können. Ebenfalls unter diesen Rechtsgrund kann die Speicherung oder die Weitergabe an Dritte fallen. Ähnlicher Rechtsgrund ist die Einwilligung des Betroffenen, der aber nur nötig ist, wenn nicht schon ein anderer Rechtsgrund, insbesondere die Vertragserfüllung greift. Weiterer Rechtsgrund kann die Erfüllung einer gesetzlichen Pflicht sein, z.B. bestimmte Informationspflichten an Behörden. Eher selten ist der Rechtsgrund der Gefahrenabwehr.
    Außerdem gibt es noch den Rechtsgrund des „berechtigten Interesses“ als Ergebnis einer Abwägung der gegenläufigen Interessen. Das kann für die ein oder andere Datenverarbeitung ein hilfreicher Rechtsgrund sein, er gilt aber auch als der schwierige Rechtsgrund, der erst noch gerichtlich weiter ausdifferenziert werden muss.


  • Wenn ich nicht ganz sicher bin, hilft dann nicht einfach schnell eine gesonderte Einwilligung?

    Das stimmt im Prinzip, ist aber nicht immer sinnvoll: Nicht selten ist die geplante Datenverarbeitung nicht nur sinnvoll oder gar nötig, sondern (deshalb) schon vom Rechtsgrund der Vertragserfüllung gedeckt. Wenn man dann vorsichtshalber eine Einwilligung dafür einholen möchte, eröffnet man den Betroffenen eine Dispositionsfreiheit; im Falle der Ablehnung gerät man möglicherweise mit der Fachgerechtheit der Vertragserfüllung oder Pflichterfüllungen gegenüber Dritten in Nöte. Dogmatisch soll der Betroffene weitreichend entscheiden können, aber er möchte auch eine fachgerechte Dienstleistung, das läuft nicht immer im Einklang. Eine wohldurchdachte Datenschutzerklärung über die berufliche Datenverarbeitung und auch ihre Ausführlichkeit kann solchen Situationen vorbeugen.


  • Macht es einen Unterschied, ob ich Daten im heilberuflichen Bereich oder außerhalb der Heilkunde verarbeite?

    Im Ergebnis und faktisch kaum. Beides unterfällt dem gleichen Berufsgeheimnisschutz. Datenschutzrechtlich sind Gesundheitsdaten gesondert thematisiert. Aber erstens erfährt man auch in Beratungskontexten bisweilen Gesundheitsdaten und zweitens werden Gesundheitsdaten nur typisiert für besonders schutzwürdig erklärt, ohne dass damit der Umkehrschluss gilt, andere Daten seien automatisch weniger schutzwürdig. Wegen des Berufsgeheimnissschutzes sind alle erhobenen Daten gleichermaßen zu schützen. Der Unterschied zeigt sich eher in der Beschreibung des Datenschutzes, z.B. in der Datenschutzerklärung: Dort kann z.B. die Beschreibung der Verarbeitungszwecke bzw. der Rechtsgründe im heilberuflichen Bereich spezifisch benannt werden.


  • Wieso brauche ich für meine Website eine Datenschutzerklärung?

    Weil im Internet der Besuch eines Interessenten auf der Website nicht selten mit der Erhebung dessen personenbezogener Daten, insbesondere seiner IP-Adresse, einhergeht. Häufig weiß man als Betreiber der Website dazu nicht viel Genaueres, sondern das weiß eher der Programmierer der Website. Über diese Datenverarbeitungen sind die Website-Besucherinnern und Besucher zu informieren.


  • Was wird im Auftragsverarbeitungsvertrag geregelt?

    Das steht in Artikel 28 DSGVO. Kurz gesagt wird dort geregelt, dass und wie der Auftragsverarbeiter bei der Datenverarbeitung für den Auftraggeber die Regeln der DSGVO einhält. Je nachdem, wie versiert der Auftragnehmer ist, kann ein solcher von ihm vorbereiteter Vertrag dutzende Seiten lang sein. Dass die Ersteller solcher Verträge schwerwiegende Überraschungen eingebaut haben, ist eher nicht zu erwarten.


  • Ist Datenschutz inzwischen ein Bürokratiemonster geworden?

    Der Eindruck mag dadurch entstehen, dass sich die DSGVO-Umsetzung bei vielen Unternehmen auf einen Zeitpunkt konzentriert („auf den letzten Drücker“). Aber eigentlich sind der Datenschutz die Risikoanalyse und die daran ausgerichteten technischen und organisatorischen Maßnahmen eine laufende Aufgabe und die ist weniger bürokratisch als durchaus plausibel. Das Verzeichnis der Verarbeitungstätigkeiten, dass zur Zeit einige Mühe bereitet, mutet bürokratisch an, ist aber das Gerüst, in dem die Maßnahmen eingeordnet werden; es wird im Prinzip nur einmal erstellt und allenfalls gelegentlich aktualisiert.


  • Ist das Erstellen des Verzeichnisses der Verarbeitungstätigkeiten sehr aufwendig?

    Für kleine Unternehmen geht es um ca ein Dutzend Verarbeitungen, bei Einzelunternehmen wohl eher weniger. Perfektion wäre gut aber als Gerüst für Maßnahmen können im Verzeichnis vorerst einzelne Punkte noch offen bleiben und alsbald gefüllt werden.


  • Gibt es einen Unterschied zwischen dem Verzeichnis und dem Datenschutzordner?

    Der Begriff „Datenschutzordner“ ist nicht geregelt und umschreibt nur die Zusammenfassung der erforderlichen Dokumentationen. Mit der neuen Formulierung in § 70 BDSG kann man begrifflich das Verzeichnis und den sog. Datenschutzordner synonym verwenden.


  • Was gibt es für typische Verarbeitungstätigkeiten?

    Beratungs- oder Psychotherapiedokumentation, Rechnungswesen, IT-Infrastruktur (mit Dienstleister), Software-Wartung, ggf. Netzwerknutzung, Email-Newsletter, Handy-Nutzung usw.


  • Was bedeutet die Risikoanalyse?

    Gemäß § 64 Abs.1 BDSG richten sich die technischen und organisatorischen Maßnahmen nach der eigenen Risikoanalyse. Die Risikoanalyse ergibt das angemessene Schutzniveau. Man soll sich an die technischen Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) halten. Da die BSI-RiLi für den Laien eher schwierig umzusetzen sind, läuft die Risikoanalyse, für die man als Verantwortlicher allein verantwortlich ist und einen gewissen Beurteilungsspielraum hat, darauf hinaus, sich dafür entweder einen Experten gegen Honorar heranzuziehen oder die Risikoanalyse allein zu machen. In § 64 BDSG sind aber explizit die besonders schutzwürdigen Daten (Gesundheitsdaten, Daten der sexuellen Orientierung) hervorgehoben.


  • Gibt es Standards für die Risikoanalyse, das Schutzkonzepts bzw. die TOM’s?

    Es gibt vom BSI den sog. „IT-Grundschutz“ und die ISO 27001. Kann ein solches Informationssystem mit Zertifikaten belegt werden, ist man auf der sicheren Seite. Allerdings sind solche Systeme für kleine Unternehmen meist unverhältnismäßig aufwendig. Als kleineres System ist z.B. die VDS-3473-Richtlinie zu erwähnen. Aber auch hier geht es häufiger um kostenpflichtige Kurse etc.
    Auch die Kosten des Schutzkonzepts an sich sind ein Kriterium bei der Risikoanalyse. Man kann also auch ohne geschultes bzw. zertifiziertes System eine Risikoanalyse durchführen und ein eigenes Schutzkonzept festlegen; allerdings ist ein solches spätestens bei einer Datenpanne zu rechtfertigen, was weniger leicht fällt, als mit zertifizierten Standards. Trotzdem dürfte es nicht wenige Kleinunternehmen geben, die nicht zuletzt aus Kostengründen ein eigenes Schutzkonzept festlegen.


  • Gibt es Tipps für die Risikoanalyse?

    Wenn ein Systemzertifikat u.a. aus Kostengründen für nicht angemessen gehalten wird, dann sollte trotzdem versucht werden, die Risikoanalyse als Verfahren zu dokumentieren. Es geht dabei hauptsächlich um die Schwachstellenanalyse. Da die Angehörigen des Psychologen- und des Psychotherapeutenberufs bereits ihre berufliche Schweigepflicht einhalten, ist die etwas mühselig aber nötig, künstlich die Rolle eines böswilligen Außenbetrachters einzunehmen und hypothetisch zu betrachten, wo man bei sich Daten entwenden (kopieren) oder Daten verlieren könnte.
    Typische Schwachstellen sind z.B. der Internetzugang von dem Computer aus, auf dem auch die berufsgeheimnisgeschützten und sonstigen personenbezogenen Daten gespeichert sind. Es sind die Datentransporte von A nach B, z.B. von zu Hause zur Arbeitsstelle usw. Es ist der Zugang zu den technischen Anlagen durch Dritte, z.B. Kollegen oder Familienangehörige (und deren Besucher). Zu prüfen ist der Weg von Datenübermittlungen an Dritte. Gibt es gegen Datenverlust ein ausreichendes Backupsystem? Welche Dritten haben, wenn ich Daten über den Netzwerkdrucker drucke, Zugang zum (mir vielleicht völlig unbekannten) Druckerspeicher? Wer kommt an meinen Anrufbeantworter, wenn ich nicht da bin, z.B. die Putzkräfte? Wie verhält es sich mit den arbeitsteilig eingebundenen Dritten usw.


  • Was sind typische TOM’s?

    Mutet der förmliche Aufwand zunächst umfangreich und kompliziert an, so ergibt sich nicht selten, dass der Datenschutz im Ergebnis weit weniger kompliziert ist, als es den Anschein hat. Viele TOM’s sind plausibel und einleuchtend und alles andere als Ergebnisse diffiziler EDV-Fachkompetenzen.
    Es sind die Softwareeinstellungen im Computer, wie Firewall und Virenscanner, jeweils aktuell. Es ist das Backup-System (zweite Festplatte bzw. „NAS“). Es ist die verschlüsselte Speicherung der Daten. Daten, die per USB-Stick transportiert werden, müssen mindestens mit Passwort geschützt sein, besser aber komplett verschlüsselt sein. Passwortschutz und eine Passwort-Policy ist immer ein guter Gedanke. Peripherie-Geräte (Drucker, Scanner, Anrufbeantworter, Handy,  usw.) sollten auf Datenschutz programmiert bzw. verwendet werden. Die Kommunikationswege zu den Kundinnen und Kunden müssen kritisch betrachtet werden und mindestens in der Datenschutzerklärung sorgfältig beschrieben werden usw.


  • Was kommt noch auf uns zu?

    Man muss auf Datenpannen angemessen schnell und planmäßig reagieren, das muss vorbereitet werden. Macht eine Betroffene oder ein Betroffener ihre bzw. seine Datenschutzrechte geltend (z.B. Auskunft und Löschung), muss auch dies zügig und planmäßig funktionieren und auch dies muss vorbereitet werden. Optimalerweise ermöglicht das System „auf einen Knopfdruck“ die Erfüllung solcher Ansprüche; auch müssen die Daten auf Nachfrage der Betroffenen portabel sein.
    Ebenfalls muss zu jeder Speicherung festgelegt werden, wann die Daten wieder gelöscht werden (und mithin geklärt werden, dass für diese Dauer der Speicherung ein Rechtsgrund vorliegt).
    Längerfristig ist ein System anzustreben, dass von Grund auf datenschutzorientiert gestaltet ist, so dass alle diese Aspekte berücksichtigt sind; hier darf aber gehofft werden, dass die Softwareanbieter bezahlbare Lösungen anbieten werden.


Logo Berufsverband Deutscher Psychologinnen und Psychologen e.V.

Wir unterstützen alle Psychologinnen und Psychologen in ihrer Berufsausübung und bei der Festigung ihrer professionellen Identität. Dies erreichen wir unter anderem durch Orientierung beim Aufbau der beruflichen Existenz sowie durch die kontinuierliche Bereitstellung aktueller Informationen aus Wissenschaft und Praxis für den Berufsalltag.

Wir erschließen und sichern Berufsfelder und sorgen dafür, dass Erkenntnisse der Psychologie kompetent und verantwortungsvoll umgesetzt werden. Darüber hinaus stärken wir das Ansehen aller Psychologinnen und Psychologen in der Öffentlichkeit und vertreten eigene berufspolitische Positionen in der Gesellschaft.

Berufsverband Deutscher Psychologinnen und Psychologen