DSGVO FÜR HEIL- UND PFLEGE­BERUFE ✚ IM ALLGÄU

👁️ Kommentare lesen | ✍ Kommentar schreiben

Datenschutzberatung → Datenschutzüberprüfung → Datenschutz-Folgenabschätzung → Datenschutzmaßnahmen → Datenschutzschulung zur Umsetzung der Europäischen Datenschutz­grundverordnung (DSGVO)

Verantwortlicher und Auftragsverarbeiter im Sinne der DSGVO:

INGMAR VETTER (Datenschutz­beauftragter IHK)

Lindenstraße 15
87600 Kaufbeuren (Allgäu/Bayern)

Telefon: ++49/(0)176/34 34 86 74

Termine sind zu jeder Zeit möglich, insbesondere an Feiertagen und Wochenenden.

Ich arbeite seit fast 30 Jahren mit den technischen und organisatorischen Möglichkeiten der Computerwelt und seit ca. 15 Jahren politisch mit dem deutschen Verfassungsrecht und entsprechenden gesetzlichen Vorschriften in allen Bereichen des Rechts. Weiterhin verfüge ich über ein Zertifikat der Industrie- und Handelskammer für die Ausübung der Tätigkeit als Datenschutzbeauftragter.

Diese Voraussetzungen erlauben mir, Ihnen zumindest grundlegende Einblicke in die Welt und Folgen der Europäischen Datenschutzgrundverordnung (DSGVO) für Sie zu gewähren und Ihnen umfassende Vorschläge zur Umsetzung der gesetzlichen Anforderungen zu unterbreiten und bei deren Einsatz zu helfen.

Honorare werden nach Aufwand und Vereinbarung berechnet.

Hinweis

Es ist davon auszugehen, dass Sie den folgenden Text nur sehr ungern lesen werden wollen. Aber die Datenschutzgrundverordnung (DSGVO) betrifft Sie persönlich und lässt Ihnen in keinem Fall die Wahl zur Untätigkeit. Bitte nehmen Sie sich deshalb in Ihrem eigenen Interesse die Zeit zur Lektüre des Folgenden; Sie werden diese Seite garantiert mit mehr Hintergrundwissen über Ihre gesetzlichen Pflichten zum Datenschutz verlassen.

Und je weniger Sie von dem Folgenden auf den ersten Blick verstehen, umso dringender empfehle ich Ihnen eine ausführliche Beratung zum Datenschutz. Ob eine solche Beratung durch andere Dienstleister oder mich erfolgt, ist letztendlich unerheblich.

Bitte beachten Sie unbedingt, dass Sie zwei Alternativen zum Umgang mit der DSGVO haben: Entweder Sie versuchen mit viel Aufwand und einem relativ hohen Entdeckungs- und Sanktions-Risiko, den bisherigen status quo der in der Regel vorhandenen Schlampigkeit im Umgang mit dem Thema Datenschutz aufrechtzuerhalten, weil Sie es eben schon »immer« so gemacht haben, oder Sie nutzen die Anforderungen der DSGVO, um Ihren Datenschutz mit überschaubarem Aufwand auf Vordermann zu bringen und damit Ihren Kunden und Patienten zu zeigen: Ich nehme den Schutz Ihrer Daten ernst!

DATENSCHUTZ IST GRUNDRECHTESCHUTZ!

I. Übersicht

 

1. Zusammenfassung

Jede Verarbeitung von personenbezogenen Daten im nicht privaten Bereich unterliegt seit dem 25. Mai 2018 den Vorschriften der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sowie den begleitenden nationalen Gesetzen; in Deutschland dem Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30. Juni 2017, aufgrund dessen Artikel 1 das neue Bundesdatenschutzgesetz in Kraft getreten ist.

Diese gesetzlichen Grundlagen regeln ab jetzt alle Erfordernisse und Maßnahmen zum Thema DATENSCHUTZ.

Eine ausschließlich private Verarbeitung personenbezogener Daten, welche nicht den Vorschriften der DSGVO unterliegt, findet statt durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Jede nicht private Verarbeitung von personenbezogenen Daten, welche nicht den neuen Erfordernissen der DSGVO entspricht, wird über kurz oder lang empfindliche Sanktionen nach sich ziehen, wie Geldbußen oder Geld- oder Freiheitstrafen. Im privatrechtlichen Bereich können Verstöße zusätzlich teure Abmahnungen und Schadenersatzforderungen zur Folge haben.

MERKE: Jede sanktionierte Unterlassung von gesetzlich vorgeschriebenen Datenschutzmaßnahmen wird Sie teurer zu stehen kommen als die Inanspruchnahme von erforderlichen Dienstleistungen!

Haben Sie keine Angst vor der DSGVO, aber prüfen Sie Ihre nicht privaten Tätigkeiten hinsichtlich des nunmehr erforderlichen Datenschutzes und passen diesen unbedingt an die neuen gesetzlichen Vorschriften an.

Und in diesem Falle hilft viel auch viel, denn ein Datenschutz, der über den aktuellen gesetzlichen Erfordernissen liegt, schützt Sie und die von Ihnen verarbeiteten personenbezogenen Daten viel besser als die gutgläubige, irrtümliche, fahrlässige oder vorsätzliche Unterlassung von Datenschutzmaßnahmen.

Bei der Beurteilung Ihrer beruflichen Reputation wird der DATENSCHUTZ ab jetzt eine entscheidende Rolle einnehmen.

So, wie heute ein Schnitzel lieber aus artgerechter Haltung oder ein Brot aus umweltbewusstem Anbau gekauft wird, ebenso wird Ihre Dienstleistung in absehbarer Zeit lieber bei jemandem gekauft, der die personenbezogenen Daten seiner Geldgeber wohl behütet und schützt mit allen ihm zur Verfügung stehenden Mitteln. In einer Welt, in der personenbezogene Daten wertvoll sind, kann man es sich nicht mehr leisten, solche Daten als nicht schützenswert zu behandeln.

Den Herausforderungen, vor denen wir stehen, gegenüber gleichgültig zu bleiben, ist nicht zu rechtfertigen:

»Die Zeit vergeht ungehindert. Wenn wir Fehler machen, können wir die Uhr nicht zurückdrehen und es erneut versuchen. Alles, was wir tun können, ist, die Gegenwart gut zu nutzen.« Dalai Lama

2. Was ist die Datenschutz­grundverordnung (DSGVO)?

DIE DSGVO IST DIE DATENVERKEHRSORDNUNG DER ZUKUNFT!

Um sich eine Vorstellung vom zukünftigen Einfluss der DSGVO auf Ihr Leben zu machen, stellen Sie sich einfach vor, es hätte bisher keine Straßenverkehrsordnung gegeben. Nun gilt – in diesem Sinne – ab dem 25. Mai 2018 eine »Straßenverkehrsordnung« im Bereich des Datenverkehrs, also eine Daten(schutz)verkehrsordnung, welche – ähnlich der StVO – die Regeln des Datenverkehrs nicht mehr dem »freien Markt« und damit dem Gutdünken der Unternehmen überlässt, sondern für alle gleich und verbindlich festlegt.

Dort, wo Sie bisher im Allgemeinen fahren konnten, wie Sie wollten, aber auch jederzeit damit rechnen mussten, dass auch andere dies tun, gelten plötzlich strenge Regeln für alle Teilnehmer am Straßenverkehr. Es mag sein, dass derzeit die Kontrollen noch nicht in der im Straßenverkehr üblichen Form durchgeführt werden. Aber spätestens dann, wenn die Landesämter für Datenschutz als Aufsichtsbehörden mit der erforderlichen Anzahl von Kontrolleuren ausgestattet sind, müssen Sie wahrscheinlich ebenso häufig mit Datenschutzkontrollen rechnen wie heute mit Straßenverkehrskontrollen.

Und ebenso wie im Straßenverkehr nützt Ihnen im Falle einer Kontrolle kein Hinweis darauf, dass Sie keine Ahnung haben oder bisher keine Zeit hatten, sich mit dem Thema zu beschäftigen.

Sie können davon ausgehen, dass die DSGVO in der Zukunft bereits in jeder Berufsausbildung eine Datenschutzprüfung erfordern wird, ähnlich der theoretischen und praktischen Prüfungen, welche der behördlichen Ausstellung einer Fahrerlaubnis vorausgehen.

Sich nicht mit der DSGVO zu beschäftigen, bedeutet im Grunde nichts weiter, als dass Sie Ihre Berufsausübung gefährden. Und selbstverständlich bleibt es Ihnen überlassen, zu entscheiden, ob und in welchem Maße Sie sich und Ihre Angestellten der Erwerbslosigkeit aussetzen.

Dazu ein aktuelles Beispiel: Gemäß Art. 9 Abs. 3 DSGVO dürfen Gesundheitsdaten seit dem 25. Mai 2018 ausschließlich von Fachleuten verarbeitet werden, welche dem gesetzlichen Berufsgeheimnis gemäß § 203 StGB – wie Ärzte oder Hebammen – unterliegen. Damit dürfen Angehörige von Berufen, deren Grundlage oder Bestandteil die Verarbeitung von Gesundheitsdaten darstellt, welche nicht dem Berufsgeheimnis unterliegen, keine Gesundheitsdaten mehr verarbeiten. Bisher ist festzustellen, dass diese Tatsache die davon betroffenen Berufe, insbesondere, wenn deren Angehörige freiberuflich oder selbständig arbeiten, nicht wirklich interessiert, obwohl ihre Berufsausübung auf dem Spiel steht. Die Tatsache eines solchen gesetzlichen Verarbeitungsvorbehalts wird nicht aus der Welt geschafft, indem man sich sagt: Es wird schon nicht so schlimm kommen. Um bei unserem Vergleich mit dem Straßenverkehr zu bleiben, hieße das, dass man ohne Befähigung weiterhin Personentransporte unternimmt, weil man das schon »immer« so gemacht hat, ohne sich um die nunmehr veränderten gesetzlichen Vorschriften zu kümmern. Das mag dem einen oder anderen sportlich und revolutionär erscheinen, wird aber Kontrollbehörden nur insoweit interessieren, als dass sie Bußgelder erheben werden und eine Tätigkeitsuntersagung verfügen müssen, da Art. 9 DSGVO die Verarbeitung von Gesundheitsdaten ausschließlich unter den dort bezeichneten Ausnahmen zulässt.

Würde die DSGVO tatsächlich keine rechtlichen Folgen haben, wäre sie kein Gesetz und ganz Europa würde nicht im Dreieck springen angesichts der zukünftigen Veränderungen.

Lassen Sie sich also in Ihrem eigenen Interesse bitte nicht täuschen von Diskussionen über tatsächliche oder vermeintliche handwerkliche Fehler der DSGVO oder von der derzeit noch verbreiteten Vogel Strauß-Politik oder vom müden Abwinken vieler Betroffener. Lebensnah wird die DSGVO, wie viele andere Gesetze, in der Zukunft geändert, erweitert und durch die nationale und europäische Rechtsprechung abgeschliffen werden. Ihr Bestand wird jedoch nicht in Frage gestellt werden. Und vor allem schützt all dies nicht vor Sanktionen aus dem behördlichen oder privaten Bereich!

3. Sind Sie von der DSGVO betroffen?

Art. 1 DSGVO

Gegenstand und Ziele

(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

INVESTIEREN SIE IN IHREN DATENSCHUTZ, ANSTATT IN SANKTIONEN!

Vergessen Sie niemals, dass Ihre Meinung oder die Meinung anderer über den Inhalt eines Gesetzes absolut irrelevant sind. Entweder stimmt die Meinung mit dem Wortlaut überein, dann bedarf es keiner Meinung, oder die Meinung weicht vom Wortlaut ab, dann ist sie unzutreffend. Gesetzlich verbindlich sind der Wortlaut und Wortsinn des Gesetzes und dieser ist im Bundesgesetzblatt nachzulesen. Und wenn im Gesetz steht: »Bei ROT musst Du stehen!«, dann ist Ihre Meinung über die Sinnhaftigkeit der Vorschrift, um welches Rot aus dem Farbspektrum es sich genau handeln sollte oder müsste oder könnte, sowie Ihre Ansicht darüber, was genau unter Stehenbleiben zu verstehen sei, oder ein Verweis auf Ihre Farbenblindheit in jedem Fall fehl am Platz!

Aus welchen Gründen also sollte eine Aufsichtsbehörde mit Sanktionsrecht im Falle der DSGVO plötzlich damit beginnen, ihre Arbeit nicht zu machen und Verstöße nicht mehr zu sanktionieren, wo doch bereits minimale Verstöße gegen andere Vorschriften mit alle »Härte des Gesetzes« sanktioniert werden? Und fordern wir als Normadressaten nicht selbst die strenge Anwendung von Gesetzen, wenn wir durch andere tatsächliche oder vermeintliche Nachteile erleiden? Warum sollte es nun ausgerechnet bei der Anwendung der DSGVO anders sein? Weil Sie es nicht wollen?

Bitte beachten Sie, dass Sie in jedem Fall im nicht privaten Lebensbereich zur Umsetzung der DSGVO verpflichtet sind, wenn Sie personenbezogene Daten verarbeiten, wovon Sie grundsätzlich ausgehen können, da z.B. bereits jede Rechnung oder die Annahme eines Telefonats eine solche Verarbeitung darstellen. Unterlassungen oder andere Verstöße gegen die DSGVO werden in absehbarer Zeit empfindliche Bußgelder oder Strafen sowie teure Abmahnungen durch Ihre Konkurrenz nach sich ziehen.

Im Zweifelsfall müssen Sie nachweisen, dass Sie alles Ihnen Mögliche im Sinne der DSGVO getan haben, um die von Ihnen verarbeiteten personenbezogenen Daten gemäß den gesetzlichen Vorschriften zu verarbeiten. Und Sie werden feststellen, dass das Ihnen Mögliche eine ganze Menge an erforderlichen Maßnahmen umfasst, an die Sie bisher wahrscheinlich nicht oder nur nebenbei gedacht haben und an welche Sie nunmehr unbedingt denken müssen.

Der Wortlaut der DSGVO hilft Ihnen beim Durchblick über Ihre Verpflichtungen zum Datenschutz.

In jedem Fall empfiehlt es sich, über den Anforderungen der DSGVO zu liegen als von ihnen begraben zu werden.

4. Entspricht Ihr Datenschutz der DSGVO?

GEHEN SIE SICHERHEITSHALBER DAVON AUS, DASS IHR DATENSCHUTZ WAHRSCHEINLICH NICHT AUSREICHEND IST!

Das Wichtigste, was Sie sich merken müssen, ist die Tatsache, dass es bei weitem nicht ausreicht, wenn Ihnen der Dienstleister, der Ihre Webseite betreut, mal eben Ihre Datenschutzerklärung auf Ihrer Webseite aufhübscht und Ihnen versichert, das passe schon alles!

In jedem Falle müssen Sie, ebenso wie bei der StVO, zumindest die Grundlagen der DSGVO verinnerlicht haben, um überhaupt eine wirksame Kontrolle über die getroffenen Maßnahmen zum Datenschutz ausüben zu können. Im Verfahrensfall nützt es Ihnen nämlich herzlich wenig, dass Sie einem Dienstleister einfach geglaubt haben, ohne dessen Arbeit zumindest auf ihre Übereinstimmung mit den gesetzlichen Vorschriften überprüfen zu können. Und wenn Sie dem Tankwart bloß glauben, er habe Ihnen den richtigen Kraftstoff eingefüllt, sind Sie im Falle eines dadurch verursachten Unfalls trotzdem haftbar. Sie sehen: Auf Sie kommt eine Menge Arbeit zu; ob Sie das wollen oder nicht.

Die Umsetzung der DSGVO betrifft alle nicht privaten Verarbeitungen von personenbezogenen Daten. Um sich einen ungefähren Überblick zu verschaffen, worum es dabei geht, ist es zunächst als Eigeninitiative schon einmal sehr hilfreich für Sie, mit einem Bekannten einen für Ihre Tätigkeiten im nicht privaten Bereich typischen Verlauf eines Gesprächs zur Kundenaquise und weiteren Kundebetreuung nachzustellen, damit Sie sich im Klaren sind, welche Art von Daten Sie eigentlich wirklich verarbeiten müssen und welche nicht. Und Sie werden feststellen, dass Sie unter dem Blickwinkel der Datensparsamkeit auf einige bis eine Menge an verarbeiteten Daten verzichten können, was Ihnen wiederum weniger Arbeit zur Sicherung dieser Daten machen wird, was letztlich eine nicht zu unterschätzende Risikominimierung für Verstöße und deren Sanktionen zum Ergebnis haben wird.

Ausschlaggebend für Sie ist die exakte Beantwortung der 4W-Frage: WER verarbeitet WARUM und WIE WELCHE Arten von Daten?

Ausschlaggebend für die Prüfung auf Übereinstimmung Ihrer Datenverarbeitung mit den gesetzlichen Vorschriften ist die Frage: Dürfen Sie die von Ihnen bestimmten Arten von personenbezogenen Daten aus den von Ihnen benannten Gründen auf die von Ihnen gewählte Weise verarbeiten?

Lautet die Antwort auf die zweite Frage JA, unter der Voraussetzung der Übereinstimmung mit den gesetzlichen Vorschriften, dann ist alles in Ordnung, sofern sich an Ihrer Datenverarbeitung oder den gesetzlichen Vorschriften nichts ändert. Lautet die Antwort dagegen NEIN oder VIELLEICHT oder gar ICH WEIß ES NICHT, konsultieren Sie bitte den Dienstleister Ihres Vertrauens oder besuchen einen entsprechenden Lehrgang.

5. Wichtige Grundlagen

SIE SIND FÜR DIE EINHALTUNG DER GESETZLICHEN VORSCHRIFTEN DER DSGVO PERSÖNLICH VERANTWORTLICH UND HAFTBAR. BEI VERSTÖẞEN DROHEN IHNEN EMPFINDLICHE BUẞGELDER UND STRAFEN!

Immer dann, wenn Ihnen jemand sagt, Sie müssten dies oder jenes nicht tun in Bezug auf die DSGVO, so fragen Sie denjenigen ganz einfach, ob er im Falle eines gegen Sie verhängten Bußgeldes dieses auch zu zahlen bereit ist; von einer gegen Sie verhängten Strafe einmal abgesehen. In keinem Fall wird Ihnen jemand Ihre gesetzliche Verantwortung ab- und Ihre gesetzliche Haftung übernehmen wollen.

Und selbstverständlich können Sie alle Vorgaben der DSGVO in Personalunion umsetzen und sich so die Kosten der dafür erforderlichen Dienstleistungen sparen. Dies jedoch nur unter der Bedingung, dass Sie über das technische und juristische Know-how verfügen. Wenn Sie z.B. über das Fachwissen zum Hausbau verfügen, bedarf es weder eines Architekten noch eines Statikers noch der entsprechenden anderen Fachkräfte und Gewerke.

Die DSGVO zwingt Sie nicht zur Inanspruchnahme von Dienstleistungen, sondern zur Einhaltung der in ihr verfügten Vorschriften.

a. Besondere Vorschriften für Gesundheitsdaten verarbeitende Berufe

Die folgenden Vorschriften erlauben oder verbieten die Verarbeitung von Gesundheitsdaten.

Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

b. Sie sind für die Sicherheit personenbezogener Daten verantwortlich!

Die erforderliche Datensicherheit betrifft nicht nur digitale, sondern auch analoge Daten!

Art. 32 DSGVO – Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

c. Die Datenschutz-Folgenabschätzung als Wegweiser zum Datenschutz!

Eine Datenschutz-Folgenabschätzung, ob für Ihren Beruf gesetzlich vorgeschrieben oder nicht, verschafft Ihnen den nötigen Überblick!

Hier gilt die Faustregel: Wenn Sie sich nicht sicher sind, ob Sie eine Datenschutz-Folgenabschätzung vornehmen müssen, so ist die Vornahme einer Datenschutz-Folgenabschätzung unbedingt zu empfehlen aufgrund der Tatsache, dass eine unter Umständen vorgenommene, aber gesetzlich nicht erforderliche Datenschutz-Folgenabschätzung Ihnen mehr Sicherheit bietet und weniger teuer zu stehen kommt, als die irrtümliche oder gutgläubige Unterlassung einer gesetzlich erforderlichen Datenschutz-Folgenabschätzung.

Sollten sich in Zukunft die Voraussetzungen einer Datenschutz-Folgenabschätzung dahingehend ändern, dass Sie irgendwann doch eine solche vornehmen müssen, sind Sie mit einer bereits vorgenommen und aktualisierten Datenschutz-Folgenabschätzung auf der sicheren Seite.

Gerade bei der Verarbeitung von Gesundheitsdaten ist eine Datenschutz-Folgenabschätzung vorgeschrieben, sofern eine umfangreiche Verarbeitung von personenbezogenen Daten vorgenommen wird, auch wenn derzeit die Ansichten der Aufsichtsbehörden in den Bundesländern, wann genau eine umfangreiche Verarbeitung vorliegt, auseinandergehen. Auch hier hilft das Bewusstsein, dass die Aufsichtsbehörde im Falle des Falles eine Sanktion verhängt und nicht bezahlt, weil seine Ansicht nicht mit dem Wortlaut der DSGVO übereinstimmt.

Die Beispiele nach Art. 35 Abs. 3 DS-GVO

Art. 35 Abs. 3 DSGVO nennt vor allem drei Beispiele, bei denen eine Pflicht zur Durchführung der Datenschutz-Folgenabschätzung besteht:

  1. Bei der systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen;
  2. bei umfangreichen Verarbeitungen besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
  3. bei systematischer und umfangreicher Überwachung öffentlich zugänglicher Bereiche.
Die Schwellwertanalyse

Der Datenschutz-Folgenabschätzung geht eine sogenannte Schwellwertanalyse voraus, durch welche ermittelt wird, ob eine Datenverarbeitung grundsätzlich einem hohen Risiko unterliegt (siehe hierzu Erwägungsrund 75). Als Hilfe hat die Artikel-29-Datenschutzgruppe in ihrem Working Paper 248 die folgenden Kriterien erarbeitet:

  1. Bewerten oder Einstufen
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  3. Systematische Überwachung
  4. Vertrauliche Daten oder höchst persönliche Daten
  5. Datenverarbeitung in großem Umfang
  6. Abgleichen oder Zusammenführen von Datensätzen
  7. Daten zu schutzbedürftigen Betroffenen
  8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  9. Fälle, in denen die Verarbeitung an sich die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert

Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, ist demnach eine Datenschutz-Folgenabschätzung erforderlich. Nach Auffassung der Artikel-29-Datenschutzgruppe nimmt die Wahrscheinlichkeit, dass ein Verarbeitungsvorgang ein hohes Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringt und somit eine Datenschutz-Folgenabschätzung durchzuführen ist, in der Regel immer weiter zu, je mehr Kriterien dieser Vorgang erfüllt. Es kann auch vorkommen, dass der für die Datenverarbeitung Verantwortliche von der Notwendigkeit einer Datenschutz-Folgenabschätzung ausgehen muss, obwohl der entsprechende Verarbeitungsvorgang nur eines dieser Kriterien erfüllt. Das Working Paper 248 zählt Beispiele auf, wie die vorgenannten Kriterien anzuwenden sind.

Unabhängig davon hilft eine Datenschutzfolgenabschätzung bei der Abschätzung Ihres Bedarfs an effektivem Datenschutz.

Art. 35 DSGVO – Datenschutz-Folgenabschätzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

(7) Die Folgenabschätzung enthält zumindest Folgendes:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

d. Der Datenschutzbeauftragte als Helfer und neutrale Kontrollinstanz!

Die Benennung eines Datenschutzbeauftragten hilft Ihnen, sich auf Ihre eigentliche Arbeit zu konzentrieren.

Art. 37 DSGVO – Benennung eines Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Art. 38 DSGVO – Stellung des Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Art. 39 DSGVO – Aufgaben des Datenschutzbeauftragten

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

6. Sanktionen

Gemäß den gesetzlichen Vorschriften müssen Sanktionen wirksam, verhältnismäßig und abschreckend sein.

Überblick über die wichtigsten Sanktionen bei Verstößen gegen die Vorschriften für den Datenschutz:

  1. Haftung und Recht auf Schadenersatz: Art. 82 DSGVO.
  2. Allgemeine Bedingungen für die Verhängung von Geldbußen: Art. 83 DSGVO.
  3. Strafvorschriften des Bundesdatenschutzgesetzes: § 42 BDSG.

II. Wissen ersetzt Angst

Wenn Ihnen die bisherige Lektüre Angst gemacht haben sollte, bedenken Sie bitte, dass ich der Bote bin und nicht der Urheber der DSGVO und dass Ihre Angst ein Zeichen für Ihre Unwissenheit ist, welche wir gern gemeinsam in Wissen umwandeln können. Je mehr Sie sich mit dem Thema beschäftigen, desto weniger Angst müssen Sie haben. Und eines Tages wird die DSGVO ihren Alltag ebenso begleiten wie die StVO, vor der Sie auch nur Angst hatten, als Sie Fahrschüler waren und insgeheim dachten: Das schaffe ich nie!

Die DSGVO ist, wie andere Gesetze auch, kein Hexenwerk. Grundlage eines jeden Gesetzes ist das Prinzip der Normenklarheit. Das bedeutet, dass ein Gesetz grundsätzlich so formuliert sein muss, dass Sie als durchschnittlicher Normadessat tatsächlich auch in der Lage sein können, den Inhalt des Gesetzes zu verstehen; denn wenn ein Gesetz derart unverständlich formuliert ist, dass Ihnen bei verständiger Würdigung nicht zuzumuten ist, dessen Inhalt zu verstehen, dann können Sie auch nicht für Verstöße haftbar gemacht werden. Jedoch stellt die Unlust, sich mit dem Inhalt von Gesetzen zu beschäftigen, keinen Verstoß gegen das Prinzip der Normenklarheit dar, sondern führt in der Regel zu Sanktionen.

Bedenken Sie an dieser Stelle unbedingt, dass solche aufgrund des Verstoßes gegen alltägliche Vorschriften gegen Sie verhängten Sanktionen, wie Bußgelder, Geldstrafen und Abmahngebühren, einen nicht zu unterschätzenden Anteil am leistungslosen Einkommen vieler Behörden sowie Abmahnvereine und Rechtsanwälte bilden.

Ich hoffe, die vorstehenden Informationen haben Ihnen bei der Entscheidung für Maßnahmen zum Datenschutz geholfen. Wenn Sie Fragen zu den von mir angebotenen Dienstleistungen für Ihren Datenschutz haben, kontaktieren Sie mich bitte unter: ++49/(0)176/34 34 86 74.

Bis dahin verbleibe ich mit den besten Grüßen aus dem schönen Allgäu,
Ihr INGMAR VETTER (Datenschutzbeauftragter IHK)

DSGVO FÜR HEIL- UND PFLEGE­BERUFE ✚ IM ALLGÄU

Anmerkung schreiben

Die Benutzung der Kommentarfunktion erfordert keine Angabe von personenbezogenen Daten. Für den Namen kann ein Pseudonym gewählt werden. Wird keine Name angegeben, so erscheint der Autor als »Anonymous«. Werden jedoch personenbezogene Daten angegeben, erteilt der Autor hierzu seine Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO. Über die entsprechenden Datenschutzrechte, insbesondere über den Widerruf, wird in der Datenschutzerklärung aufgeklärt.
Alle Kommentare werden moderiert. Wir speichern keine IP-Adressen! Bei Angabe einer validen E-Mail-Adresse wird der Autor auf Wunsch über die Freischaltung seines Kommentars und/oder über Antworten informiert.