Auf­räum­ar­bei­ten zum Jahresende?

Es dau­ert nicht mehr lan­ge, dann neigt sich das Jahr 2018 schon wie­der dem Ende zu. In die­sem End­spurt ist oft­mals die Zeit gekom­men, sich den lie­gen­ge­blie­be­nen Pflicht­auf­ga­ben zuzu­wen­den. Meist steht dabei Auf­räu­men auf dem Pro­gramm. Hier­bei ist nicht unbe­dingt das Aus­mis­ten der Büro­schrän­ke und ‑schub­la­den gemeint, son­dern pri­mär geht es uns im Zuge die­ses Blogs natür­lich um die per­so­nen­be­zo­ge­nen Daten. Wer­fen wir bei­spiels­wei­se einen Blick in deut­sche Arzt­pra­xen und die dor­ti­gen Pflichten:

Seit der Ein­füh­rung der DSGVO im Mai 2018 hat die Spei­cher­dau­er von per­so­nen­be­zo­ge­nen Daten an Bedeu­tung gewon­nen. Die Rege­lun­gen, wann wel­che Daten gelöscht wer­den müs­sen, soll­ten Sie bereits in einem Lösch­kon­zept nie­der­ge­schrie­ben haben, denn dies ist Teil Ihres Daten­schutz-Manage­ment Sys­tems. Haben Sie hier noch offe­ne Punk­te, unter­stüt­zen wir Sie natür­lich ger­ne bei der Ein­füh­rung und Umset­zung der Vor­ga­ben der DSGVO. Spre­chen Sie uns ein­fach dar­auf an.

In einem Lösch­kon­zept geht es unter ande­rem auch um die ord­nungs­ge­mä­ße Ver­nich­tung von Daten­trä­gern. Vie­le wer­den nun in sich gehen und über­le­gen, wie Daten bei Ihnen ver­nich­tet wer­den, wenn die Spei­cher­fris­ten abge­lau­fen sind und das ist gut so.

Papie­re, Akten und die damit ver­bun­de­nen Probleme

Gera­de in Arzt­pra­xen fin­det man häu­fig noch Papier­un­ter­la­gen, die , in regel­mä­ßi­gen Abstän­den, aus­ge­dünnt wer­den müs­sen. Hier­bei ist es aber bei wei­tem nicht genug, die Unter­la­gen zwei­mal zu zer­rei­ßen und dann in den Papier­müll zu wer­fen, das soll­te soweit bereits jedem klar sein. Gera­de im medi­zi­ni­schen Bereich ist der Umgang mit per­so­nen­be­zo­ge­nen Daten, und sehr häu­fig auch mit beson­de­ren per­so­nen­be­zo­ge­nen Daten, unum­gäng­lich. Ein ent­spre­chen­des Schutz­ni­veau ist daher ein Muss und nicht ganz ein­fach herzustellen.

In einer nor­ma­len Arzt­pra­xis kön­nen schnell ca. 2500 neue Pati­en­ten­ak­ten pro Jahr anfal­len. In grö­ße­ren Pra­xen oder medi­zi­ni­schen Ver­sor­gungs­zen­tren häu­fig auch ein Viel­fa­ches hier­von. Die damit ver­bun­de­nen Papier­ber­ge müs­sen bewäl­tigt, geschützt und teil­wei­se bis zu 30 Jah­re auf­be­wahrt wer­den. Die Kos­ten der ent­spre­chen­den Lager­flä­chen für die Archi­vie­rung sind nicht uner­heb­lich. Im Kon­text des Daten­schut­zes muss hier auf das ent­spre­chen­de Schutz­ni­veau geach­tet wer­den. Dies schließt selbst­ver­ständ­lich auch den Trans­port aus der Ein­rich­tung in das Archiv mit ein.

Nicht nur für die Ver­nich­tung von Papier­ak­ten ist hier­bei die DIN-66399 rele­vant, son­dern sie fin­det gene­rell Anwen­dung bei der Zer­stö­rung von Datenträgern.

Schutz­klas­sen nach der DIN-66399

Die DIN-66399 defi­niert dabei 3 Schutzklassen

Schutz­klas­seBeschrei­bung
Schutz­klas­se 1 – inter­ne DatenDer Schutz von per­so­nen­be­zo­ge­nen Daten muss gewähr­leis­tet sein.

 

Andern­falls besteht die Gefahr, dass der Betrof­fe­ne in sei­ner Stel­lung und sei­nen wirt­schaft­li­chen Ver­hält­nis­sen beein­träch­tigt wird.

Schutz­klas­se 2 — ver­trau­li­che DatenGefahr, dass der Betrof­fe­ne in sei­ner gesell­schaft­li­chen Stel­lung oder in sei­nen wirt­schaft­li­chen Ver­hält­nis­sen erheb­lich beein­träch­tigt wird.
Schutz­klas­se 3 — gehei­me DatenDer Schutz per­so­nen­be­zo­ge­ner Daten muss unbe­dingt gewähr­leis­tet sein.

 

Andern­falls kann es zu einer Gefahr für Leib und Leben oder für die per­sön­li­che Frei­heit des Betrof­fe­nen kommen.

In allen drei Schutz­klas­sen wer­den per­so­nen­be­zo­ge­ne Daten geschützt. Im Rah­men der DSGVO ist daher ein risi­ko­ba­sier­ter Ansatz zu ver­wen­den, um den Daten eine ent­spre­chen­de Schutz­klas­se zuzuordnen.

Die Sicher­heits­stu­fen im Überblick

Neben den 3 Schutz­klas­sen wur­den in der DIN-66399 ins­ge­samt sie­ben Sicher­heits­stu­fen defi­niert. In die­se Sicher­heits­stu­fen sol­len die Daten ent­spre­chend ein­sor­tiert werden.

Sicher­he­ist­stu­feBeschrei­bung
1All­ge­mei­ne Daten
2Inter­ne Daten
3Sen­si­ble Daten
4Beson­ders sen­si­ble Daten
5Daten, wel­che geheim gehal­ten wer­den sollen
6Gehei­me Daten mit sehr hohen Sicherheitsanspruch
7Top-Secret Daten der höchst­mög­li­chen Geheimhaltung

Sicher­heits­stu­fen und Schutz­klas­sen wer­den über eine Matrix mit­ein­an­der ver­bun­den und beschrei­ben damit das Schutz­ni­veau der ent­spre­chen­den Daten.

 Sicher­heits­stu­fen
Schutz­klas­se1234567
1XXX    
2  XXX  
3   XXXX

Für per­so­nen­be­zo­ge­ne Daten muss min­des­tens die Sicher­heits­stu­fe 3 ver­wen­det werden.

Das Lösch­kon­zept mit Bedacht und Sorg­falt erstellen

Wie man schon in die­sem kur­zen Abriss sieht, han­delt es sich um ein sehr auf­wän­di­ges The­ma und man kann schnell der Über­blick ver­lie­ren. Daher ist es umso wich­ti­ger ein soli­des Lösch­kon­zept zu ent­wi­ckeln und hier Sorg­falt wal­ten zu las­sen. Um über­haupt ein aus­ge­reif­tes Lösch­kon­zept ent­wi­ckeln zu kön­nen, muss im Unter­neh­men ein voll­stän­di­ger Über­blick über die Daten und Sys­te­me vor­han­den sein. Idea­ler­wei­se braucht man hier­zu nur das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten aufzuschlagen.

Falls Sie bei der Umset­zung der DSGVO noch nicht an die­sem Punkt ange­langt sind oder Fra­gen zur Umset­zung haben, tre­ten Sie ger­ne mit uns in Kon­takt. Unse­re TÜV zer­ti­fi­zier­ten exter­nen Daten­schutz­be­auf­trag­ten hel­fen Ihnen, indi­vi­du­ell auf Ihr Unter­neh­men zuge­schnit­ten. Neben den The­men Daten­schutz bera­ten wir Sie ger­ne auch in den Berei­chen IT-Secu­ri­ty sowie in der Digi­ta­li­sie­rung Ihres Unter­neh­mens oder als exter­ner CTO.

Die­sen Bei­trag teilen