TOP
Why is GDPR important for my nutrition business?

DSGVO und Ernährungsfachkräfte

Die Datenschutz-Grundverordnung gibt Fachkräften aus verschiedenen Bereichen Anlass zu Beunruhigung. Gesundheits- und Ernährungsfachkräfte sind da keine Ausnahme. Aber keine Sorge. Der erste Schritt zur Einhaltung der DSGVO besteht darin, sich bewusst zu machen, dass es neue Datenschutzvorschriften gibt, und sicherzustellen, dass Sie und Ihre Organisation die wichtigsten Verpflichtungen kennen. Wenn Sie diesen Text lesen, dann haben Sie zumindest diesen ersten Schritt getan.

In diesem Artikel befassen wir uns mit einigen der Auswirkungen der Allgemeinen Datenschutzverordnung (im Folgenden DSGVO oder einfach Verordnung) für Ernährungsfachkräfte. Um mehr über die DSGVO und die Schritte zu erfahren, die Nutrium zur Einhaltung der Verordnung unternimmt, lesen Sie bitte unseren vorherigen Artikel hier.

Wir empfehlen Ihnen auch, die Verordnung und die Website der Aufsichtsbehörde Ihres Landes zu konsultieren, wo Sie höchstwahrscheinlich die vollständige Dokumentation zu diesem Thema finden werden.

Die Parteien im Spiel

Es wäre nicht möglich, die Datenschutz-Grundverordnung richtig zu erklären, ohne zunächst einige grundlegende Konzepte über die beteiligten Parteien zu klären. Die Beziehungen in der Verordnung sind grob wie folgt definiert: Die betroffene Person (Ihr Kunde oder Patient) stellt ihre personenbezogenen Daten dem für die Verarbeitung Verantwortlichen (Ihnen, der Ernährungsfachkraft) zur Verfügung, der für die Verarbeitung der Daten gemäß den Bestimmungen der Verordnung verantwortlich ist.

In bestimmten Fällen kann der für die Verarbeitung Verantwortliche einen Dritten damit beauftragen, diese Verarbeitungen in seinem Namen vorzunehmen. Diese Dritten werden in der DSGVO-Nomenklatur als Auftragsverarbeiter bezeichnet. Dies ist bei unserem Unternehmen der Fall. Healthium ist vor allem ein Auftragsverarbeiter der Ernährungsfachkraft und kann selbst die Verarbeitung der Daten an andere Auftragsverarbeiter vergeben. Als für die Verarbeitung Verantwortlicher sollten Sie immer sicherstellen, dass Ihre Auftragsverarbeiter DSGVO-konform sind.

Rechtmäßigkeit der Verarbeitung

Als für die Verarbeitung Verantwortlicher müssen Sie, um rechtliche Komplikationen und Strafen zu vermeiden, sicherstellen, dass die gesamte Verarbeitung der personenbezogenen Daten Ihrer Kunden bzw. Patienten rechtmäßig ist. Mit anderen Worten: Sie müssen zumindest eine Art Rechtsgrundlage für die Verarbeitung haben, damit diese rechtmäßig erfolgen kann. Artikel 6 der Datenschutz-Grundverordnung sieht sechs "Rechtsgrundlagen" für die Verarbeitung von Daten vor. Schauen wir uns drei davon an:

  • Einwilligung: Sie können sich dafür entscheiden, personenbezogene Daten mit der Einwilligung des Kunden/Patienten zu verarbeiten. Wenn die betroffene Person ausdrücklich und in Kenntnis der Sachlage eingewilligt hat, ist die Verarbeitung rechtmäßig. So sollten Sie beispielsweise immer dann eine Einwilligung einholen, wenn Sie die Daten Ihrer Kunden/Patienten für Marketingzwecke verwenden wollen. Natürlich hindert Sie nichts daran, Ihre Termine auf der Grundlage einer Einwilligung durchzuführen, aber bedenken Sie, dass der Patient in diesen Situationen seine Einwilligung jederzeit widerrufen kann, so dass Sie seine Daten nicht weiter verarbeiten dürfen. Außerdem müssen Sie über die organisatorischen Mittel verfügen, um eine solche Einwilligung nachzuweisen und der betroffenen Person eine einfache Möglichkeit zu geben, sie zu widerrufen.

  • Für vertragliche Zwecke: Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie für die ordnungsgemäße Erfüllung des Vertrags erforderlich ist. Wenn Sie beispielsweise einen Arbeitsvertrag mit einer Sekretärin/Hilfskraft abschließen wollen, ist es rechtmäßig, alle personenbezogenen Daten zu erheben, die zur Identifizierung der Parteien und zur Lohnabrechnung erforderlich sind. Dazu gehören zum Beispiel der vollständige Name, die Adresse oder die Kontonummer.

  • Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder Dritter erforderlich. So hat beispielsweise die Ernährungsfachkraft ein berechtigtes Interesse an der Erhebung von Daten über den Gesundheitszustand ihres Kunden/Patienten, da diese Daten die erfolgreiche Durchführung des Termins ermöglichen.

Letztendlich liegt es an Ihnen, die "Rechtsgrundlage" auszuwählen und zu analysieren, der Sie unterworfen werden wollen oder werden. Bedenken Sie jedoch, dass je nach Art der Verarbeitung einige "Rechtsgrundlagen" geeigneter sein können als andere.

So mag es beispielsweise am einfachsten erscheinen, "berechtigte Interessen" als Rechtsgrundlage für die Datenverarbeitung zu verwenden. Allerdings ist dann eine "Bewertung der berechtigten Interessen" erforderlich, damit die betroffene Person weiß, worin diese Interessen bestehen.

Andererseits gibt die "Einwilligung" der betroffenen Person die fast absolute Kontrolle über ihre Daten und nimmt sie Ihnen ab. Diese Methode gilt als transparenter, ist aber möglicherweise nicht praktikabel, da sie sowohl die Führung eines organisierten Registers solcher Einwilligungen als auch die Fähigkeit erfordert, die damit verbundenen Rechte zu gewährleisten.

Die Rechte der Kunden/Patienten

Wie wir gesehen haben, sind sie nicht nur Ihre Kunden/Patienten, sondern auch betroffene Personen. Als solche legt die Datenschutz-Grundverordnung eine Reihe von Rechten fest, die Sie einhalten müssen. Bitte beachten Sie, dass einige dieser Rechte direkt mit der von Ihnen gewählten Rechtsgrundlage verbunden sind, so dass einige von ihnen möglicherweise nicht anwendbar sind.

In den folgenden Zeilen werden wir versuchen, einige dieser Rechte zu erläutern und kurz aufzeigen, wie Sie sie einhalten können:

  • Recht auf Information: Wenn personenbezogene Daten von Kunden/Patienten erhoben werden, müssen alle in Artikel 13 der Verordnung genannten Informationen in klarer, prägnanter und transparenter Form bereitgestellt werden. Dabei handelt es sich um eine umfangreiche Reihe von Informationen, die idealerweise in einem Dokument zusammengestellt und dem Kunden zur Verfügung gestellt werden sollten. Es gibt mehrere Möglichkeiten, wie Sie dies tun können: Sie können dem Kunden/Patienten diese Informationen mündlich übermitteln, das Dokument zum Zeitpunkt des Termins in gedruckter Form aushändigen, dem Thema eine Seite auf Ihrer Website widmen und den Patienten einladen, es zu lesen, um nur einige Beispiele zu nennen.

  • Auskunftsrecht: Der Kunde/Patient hat das Recht zu erfahren, ob seine personenbezogenen Daten verarbeitet werden, und wenn ja, hat er das Recht, sie einzusehen. In diesen Fällen muss die Ernährungsfachkraft dem Kunden/Patienten alle Einzelheiten über die verarbeiteten personenbezogenen Daten mitteilen und gleichzeitig alle in Artikel 15 genannten Informationen zur Verfügung stellen. Stellt die betroffene Person den Antrag auf elektronischem Wege, sollten diese Informationen dem Kunden/Patienten in einer gängigen elektronischen Form, z. B. als PDF-Datei, ausgehändigt werden, sofern er nichts anderes verlangt.

  • Recht auf Berichtigung und Löschung: Bei unrichtigen oder unvollständigen Informationen hat der Kunde/Patient das Recht, von der Ernährungsfachkraft ohne unangemessene Verzögerung die Berichtigung seiner Daten zu verlangen. Ebenso kann er von der Fachkraft verlangen, dass seine Daten unverzüglich gelöscht werden, wobei er sicher sein kann, dass es zunächst Aufgabe der Fachkraft ist, die Angemessenheit dieses Antrags gemäß Artikel 17 zu prüfen.

  • Recht auf Datenübertragbarkeit: Beruht die Verarbeitung auf einer Einwilligung oder einem Vertrag und erfolgt sie mit Hilfe automatischer Verfahren, so stellt die Ernährungsfachkraft der betroffenen Person auf Anfrage alle Informationen in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zur Verfügung, z. B. als PDF-Dokument, Word oder sogar Excel.

  • Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung: Das Widerspruchsrecht gilt insbesondere für Situationen, in denen die rechtmäßige Grundlage der Behandlung "berechtigte Interessen" der Ernährungsfachkraft sind. Da in diesen Fällen kein vorheriges Ersuchen um Einwilligung vorliegt, hat die Aufsichtsbehörde es der betroffenen Person ermöglicht, der Verarbeitung zu widersprechen. Das Recht auf Einschränkung wiederum ist hauptsächlich für Situationen gedacht, in denen die sofortige Löschung personenbezogener Daten nicht erwünscht ist. Die betroffene Person verlangt also nur die Einschränkung der Datenverarbeitung.

Aufzeichnung von Verarbeitungstätigkeiten

Wenn wir zwei Worte wählen könnten, die die Datenschutz-Grundverordnung irgendwie definieren, wären das wahrscheinlich Methode und Organisation. Und das ist der Fall bei der nächsten Verpflichtung: Kliniken und Fachkräfte für Ernährung sind in der Regel verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die unter ihrer Verantwortung stattfinden.

Sie sollten daher in schriftlicher Form und in einer elektronischen Datei (z. B. in einer Excel-Tabelle) alle Kategorien von betroffenen Personen und die von Ihnen verarbeiteten personenbezogenen Daten zusammenstellen, sie beschreiben und sie mit den Zwecken verbinden, für die sie bestimmt sind. Bitte beachten Sie, dass diese Zuordnung auch die Daten Ihrer Mitarbeiter umfassen kann.

Sie sollten auch deutlich machen, welche Auftragsverarbeiter Sie beauftragen, und deren Namen und Kontaktdaten sowie die Kontaktdaten Ihres Datenschutzbeauftragten und gegebenenfalls Ihres Vertreters zur Verfügung stellen. Bitte konsultieren Sie die vollständige Liste der erforderlichen Informationen in Artikel 30 der Verordnung.

Wir möchten betonen, dass dieses Dokument von großer Bedeutung ist, da es der Aufsichtsbehörde auf Verlangen zur Verfügung gestellt werden sollte. Es ist nicht zu verwechseln mit anderen Dokumenten, wie z. B. den Datenschutzrichtlinien und den Datenschutzhinweisen, die hauptsächlich für die Öffentlichkeit bestimmt sind und der Information der betroffenen Personen dienen.

Sicherheit und Datenschutz

Eines der Hauptanliegen der Verordnung ist es, sicherzustellen, dass die Verarbeitung personenbezogener Daten so sicher wie möglich erfolgt. Daher sind Ernährungsfachkräfte verpflichtet, alle erforderlichen Sicherheitsmaßnahmen zu ergreifen, um die personenbezogenen Daten ihrer Patienten zu schützen.

Solche Maßnahmen könnten darin bestehen, dass sie DSGVO-konforme Cloud-Anbieter wählen, elektronische Geräte mit personenbezogenen Daten wie Computer verschlüsseln, ihre Passwörter regelmäßig erneuern und so weiter.

Der digitale Kontext ist jedoch nicht der einzige Bereich, der in der Verordnung berücksichtigt wird. Daher sollten auch Vorkehrungen für den physischen Raum Ihrer Praxis getroffen werden.

Schränke mit Kunden-/Patientenakten sollten verschlossen werden, und der Zugang zu solchen Akten sollte auf die Personengruppen beschränkt werden, die unbedingt darauf zugreifen müssen. Darüber hinaus sollten alle Papierdokumente, insbesondere solche mit sensiblen Daten, ordnungsgemäß entsorgt werden, und zwar mit Hilfe von Aktenvernichtern.

Und schließlich sollten Sie auf die Möglichkeit einer Datenschutzverletzung vorbereitet sein. Wenn in solchen Fällen alle Sicherheitsmaßnahmen versagen und sich herausstellt, dass die Datenschutzverletzung die Rechte und Freiheiten natürlicher Personen gefährdet hat, insbesondere durch Verlust oder Diebstahl, sind Sie verpflichtet, die Aufsichtsbehörde Ihres Landes und die betroffenen Personen unverzüglich zu benachrichtigen.

Schlussfolgerung

Dies sind nur einige der Maßnahmen, die Sie ergreifen müssen, und sie erfordern eine sorgfältige Planung und ein Studium der Verordnung. Wir von Nutrium stehen Ihnen jederzeit mit Rat und Tat zur Seite und implementieren alle erforderlichen Funktionen, damit Sie die Anfragen Ihrer Patienten so effizient wie möglich beantworten können. Wir hoffen, dass dieser kurze Leitfaden hilfreich war.

Eine letzte Bemerkung noch, um zu erwähnen, dass dieser Artikel für ein weltweites Publikum von Ernährungsfachkräften geschrieben wurde. Obwohl er einen guten Ausgangspunkt darstellt, ist dieser Artikel aufgrund der Beschränkungen, die Blog-Posts mit sich bringen, nicht erschöpfend.

Die Informationen, die wir hier bereitstellen, müssen von Land zu Land und von Fachkraft zu Fachkraft umgesetzt werden. Wir empfehlen Ihnen daher, sich vorab mit Ihrem Anwalt, Ihrer Aufsichtsbehörde oder den örtlichen Verbänden zu beraten.

Sie nutzen Nutrium noch nicht? Schließen Sie sich mehr als 100.000 Ernährungsexperten an und testen Sie unsere Ernährungssoftware kostenlos

Testen Sie es jetzt