DSGVO Betroffenenrechte - mit CareOrganise einfach umgesetzt

Durch das Inkrafttreten der DSGVO stehen jenen Personen, von denen personenbezogene Daten verarbeitet werden, sogenannte Betroffenenrechte zu. Diese Rechte werden im Kapitel 3 (Art. 12 - 23) DSGVO beschrieben.

Was sind Betroffenenrechte?

Betroffenenrechte sind Rechte der von einer Datenanwendung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen.

Betroffenenrechte gelten immer gegenüber dem Verantwortlichen. Wer ist nun der Verantwortliche? Aufklärung darüber liefert die DSGVO im Artikel 4 (7) selbst. Es gilt daher folgende Definition für einen Verantwortlichen:

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Die Betroffenenrechte in Kapitel 3 sind in mehrere Abschnitte thematisch gegliedert:

  1. Transparenz und Modalitäten
  2. Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
  3. Berichtigung und Löschung
  4. Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
  5. Beschränkungen

Ab. 1 Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Hier wird im Wesentlichen darauf hingewiesen, dass der Verantwortliche geeignete Maßnahmen trifft, um den Betroffenen alle benötigten Informationen geben zu können. Dies setzt voraus, dass der Verantwortliche auch über eine entsprechende Infrastruktur verfügt, um dies auf einfache und effiziente Art und Weise bewerkstelligen zu können. Die Informationen müssen auch innerhalb einer bestimmten dafür vorgesehenen Frist erfolgen. Grundsätzlich hat dies unverzüglich, aber in jedem Fall innerhalb eines Monats nach Eingang des Antrags zu erfolgen. Es gibt hier auch die Möglichkeit, die Frist um zwei Monate zu verlängern (vgl. Artikel 12 (3) DSGVO). Da diese Informationspflicht im Grunde unentgeltlich vom Verantwortlichen zu erfolgen hat, bietet sich die Nutzung eines effizienten Systems wie CareOrganise an.

 
CareOrganise bietet dafür ausreichend Mittel und Möglichkeiten, um hier adäquat agieren zu können. Die Möglichkeiten der Dokumentation von CareOrganise sind demnach nicht im Außenverhältnis auf die Betroffenenrechte relevant, sondern auch im Innenverhältnis. Es kann vom Unternehmen sichergestellt werden, WER, WANN, WAS gemacht bzw. welchen personenbezogenen Datensatz WIE geändert hat. Auch die erteilte Auskunft sollte korrekt dokumentiert werden. Das Auskunftsrecht ist weiters im Art. 15 DSGVO näher geregelt.

Anzumerken ist hier weiters, dass jede Auskunft über die personenbezogenen Daten nur der betroffenen Personen selbst zu erteilen ist. Dafür ist die Identität desjenigen zu prüfen. Ratsam ist es auch, sich zumindest den Empfang der Informationen bei einer mündlichen Erteilung schriftlich bestätigen zu lassen. Auch das kann in CareOrganise erfolgen.

Ab. 2 Artikel 13, 14, 15; Die Informationspflicht bei Erhebung

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (vgl. Art 13 (1) ):

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln;

Zusätzlich zu diesen Informationen müssen weitere Informationen zum Zwecke der Transparenz bereitgestellt werden:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • der Hinweis auf das Bestehen eines Rechts auf
    • Auskunft,
    • Berichtigung,
    • Löschung,
    • Einschränkung der Verarbeitung,
    • Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf
    • Datenübertragbarkeit seitens des Verantwortlichen;
  • der Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • der Hinweis, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • ob das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling vorgesehen ist.

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Art. 13 (2) zur Verfügung.

 
CareOrganise bietet hier wesentliche Klick-Funktionalitäten und die automatisierte Dokumentation darüber, dass Sie dieser Informationspflicht nachgekommen sind. Die Einwilligungserklärung zur Datenverarbeitung für Klienten und Betreuungspersonen sind integrierte Bestandteile des Systems Careorganise. Mit Hilfe von CareOrganise können die relevanten Daten in Form eines Templates individuell hinterlegt und auf Knopfdruck für Klient und Betreuungskraft erzeugt werden. Es ist außerdem die Möglichkeit einer digitalen Unterschrift gegeben.

Auch hinsichtlich der Datenübertragbarkeit kann CareOrganise hilfreich sein. Alle erfassten personenbezogenen Daten können via Excel-Export zu jedem Zeitpunkt mit wenigen Klicks exportiert werden.

Ab. 3 Artikel 16-20; Berichtigung und Löschung

Der Artikel 16 räumt dem Betroffenen ein Recht auf unverzügliche Berichtigung und Vervollständigung seines personenbezogenen Datensatzes ein. Mit Hilfe von CareOrganise kann dies dank seiner zentralen Datenhaltung einfach und dokumentiert erfolgen. Durch die automatisierte Dokumentation von CareOrganise kann sehr einfach nachgewiesen werden, WANN die Änderung WIE durchgeführt wurde.

Recht auf Löschung (Recht auf Vergessenwerden)

Die DSGVO sieht hierzu Folgendes vor:

Die betroffene Person hat das Recht, vom Verantwortlichen zu verlangen, dass sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt eine entsprechende Rechtsgrundlage zur Verarbeitung (beispielsweise bei Interessenten oder Bewerbern in CareOrganise).
  • Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es besteht keine weitere Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Siehe hierzu auch das Recht auf Einschränkung der Verarbeitung (vlg. Art 18).

 
CareOrganise bietet ausreichende Lösch- und Korrekturfunktionalitäten, um diesen Regelungen zu entsprechen.

Art. 19; Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Art. 19 sieht demnach eine Mitteilungspflicht vor. Mit Hilfe von CareOrganise kann dies ebenfalls prozessgesteuert und dokumentiert erledigt werden.

Art. 20 DSGVO Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  • die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und
  • die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
 
CareOrganise bietet hier eine Exportmöglichkeit an, welche einen zielgenauen Export von Daten ermöglicht. Dies kann durch Sie jederzeit selbstständig mit wenigen Klicks ausgeführt werden.

Fazit

Die Einführung der DSGVO dient dazu, den Umgang mit personenbezogenen Daten zu schützen und den Betroffenen mehr und klarer Rechte über Ihre Daten einzuräumen. Als Verantwortlicher sieht man sie dabei mit einem Mehr an bürokratischen Anforderungen konfrontiert, die oftmals nicht unwesentlich sind. Abhilfe hierbei schaffen klare Strukturen und die Etablierung von Prozessen und Abläufen. IT-Systeme dienen dazu, dies zu erreichen.

Unserer Meinung nach sollte die DSGVO als Chance gesehen werden, Prozesse und Strukturen zu optimieren und gleichsam den Schutz der IT und den darin enthaltenen Daten sicherzustellen. Mit CareOrganise haben Sie gerade als Agentur in der 24-Stunden-Betreuung ein Angebot, welches diesen Anforderungen gerecht wird und Sie in Ihrer täglichen Arbeit unterstützt. Die dadurch erzielten Einsparungen an Zeit können Sie in eine bessere Betreuung Ihrer Kunden und Betreuungspersonen investieren und auch mehr Zeit für sich selbst als Unternehmer zu gewinnen.

Zurück