Immer mehr ehemals analoge Verarbeitungstätigkeiten werden als digitale Lösungen angeboten und genutzt. Dies verspricht sicherlich in einigen Bereichen erhebliche Arbeitserleichterungen, birgt jedoch auch größere Risiken. Da mehr und mehr unserer Daten in digitaler Form vorkommen und immer mehr davon online geteilt werden, bekommt Datenschutz auch eine immer größere Gewichtung.
Gerne möchte ich Ihnen dieses Thema anhand eines Beispiels erläutern, welches für alle Unternehmen relevant ist:
Das digitale Verbandbuch im Datenschutz-Check
Jedes Unternehmen ist aufgrund der deutschen gesetzlichen Unfallversicherung (Unfallverhütungsvorschriften) verpflichtet, ein Verbandbuch zur Dokumentation von Erste-Hilfe-Leistungen zu führen. Hierbei gibt es keine Formvorschrift. So ist z.B. auch denkbar, dass der "alte" orangefarbene Koffer mit dem Dokumentationsblock gegen ein digitales Verbandbuch (oder auch "Online-Verbandbuch") ersetzt wird.
Hier wird dann z.B. ein QR-Code zum Aufruf des Fragebogens zur Erste-Hilfe-Leistung angebracht.
Grundsätzlich sind mit einem digitalen Verbandsbuch aus Sicht des Datenschutzes auch einige Vorteile verbunden, sofern die Speicherung der Daten in Deutschland bzw. Europa (im Geltungsbereich der Datenschutzgrundverordnung) erfolgt. So ist z.B. die Einsichtnahme Dritter nicht möglich, da ein striktes Berechtigungskonzept automatisch hinterlegt werden kann. Zudem werden standardisiert nur notwendige Daten abgefragt. Auch die Einhaltung der gesetzlichen Aufbewahrungsfrist von 5 Jahren erfolgt automatisiert.
Datenschutzgrundsätze für ein digitales Verbandbuch
Die Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO kann man anhand der folgenden Checkliste überprüfen:
Die Einhaltung der Datenschutzgrundsätze gemäß Art. 5 DSGVO kann man anhand dieser Checkliste überprüfen:
- Rechtmäßigkeit der Verarbeitung: gesetzliche Verpflichtung Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit DGUV § 24 Abs. 6
- Transparenz, Treu und Glauben: Mitarbeiterinformation zum Datenschutz muss ggfs. um diese Verarbeitung ergänzt werden
- Datenminimierung: es werden nur notwendige Daten abgefragt
- Speicherbegrenzung: Löschfristen werden automatisiert eingehalten
- Zweckbindung: nur für Arbeitsunfälle / Erste-Hilfe-Leistungen
- Richtigkeit: vom Mitarbeiter selbst eingegebene Daten
- Integrität und Vertraulichkeit: Rollen-/Berechtigungskonzept
- Verhältnismäßigkeit: nur erforderliche Daten
Datenschutzgrundsatz | Umsetzung durch: |
|---|---|
Rechtmäßigkeit der Verarbeitung | Gesetzliche Verpflichtung Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit DGUV § 24 Abs. 6 |
Transparenz, Treu und Glauben | Mitarbeiterinformation zum Datenschutz muss ggfs. um diese Verarbeitung ergänzt werden |
Datenminimierung | Es werden nur notwendige Daten abgefragt |
Speicherbegrenzung | Löschfristen werden automatisiert eingehalten |
Zweckbindung | Nur für Arbeitsunfälle / Erste-Hilfe-Leistungen |
Richtigkeit | Vom Mitarbeiter selbst eingegebene Daten |
Integrität und Vertraulichkeit | Rollen-/Berechtigungskonzept |
Verhältnismäßigkeit | Nur erforderliche Daten |
Herausforderung & Lösungen zum Datenschutz bei digitalen Verbandbüchern
Aus Sicht des Datenschutzes steht der Nutzung eines datenschutzkonformen (europäischen) digitalen Verbandbuches also offenbar nichts im Wege.
ABER: Bei Eingabe einer Erste-Hilfe-Leistung in das Online-Verbandbuch mittels QR-Code wird oft ein Mobiltelefon verwendet. Hier taucht das Problem auf, dass nicht jeder Mitarbeiter ein dienstliches Mobiltelefon nutzt.
Da der Arbeitgeber seinen Mitarbeiter aus verschiedenen Gründen nicht zwingen kann, das private Handy zur Eingabe in das Online-Verbandbuch zu nutzen, bieten sich nun zwei praktikable Lösungswege:
Fazit
Neben datenschutzrechtlichen Aspekten müssen immer auch noch weitere Risikofaktoren berücksichtigt und abgewogen werden. So können z.B. Zusatzvereinbarungen oder weitere Maßnahmen notwendig sein, um gewisse Projekte bzw. neue Verarbeitungswege umsetzen zu können. Bei Fragen hierzu helfen wir Ihnen gerne weiter.
Katrin Dahmen
Beraterin
