Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Patientenakte (ePA). Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.

Die ePA ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der ePA gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten in der ePA stellen. Die ePA ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.

Zugriff auf die ePA kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die ePA-App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.

Datenschutzrechtlich ist an der ePA zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die ePA einzuschränken, müssen Versicherte ePA-App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist.  Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die ePA birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.

Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (ERechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.

Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.

Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.

Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.

Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.

Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.

Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.

Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.

Die neue KI-Verordnung beinhaltet eine Pflicht der Betreiber und Anbieter von KI-Systemen, ihre Beschäftigten zu schulen. Diese Pflicht besteht unabhängig vom Risiko der KI-Systems bereits ab dem 02.02.2025. Schulungen zur KI-Kompetenz sind in das bestehende Schulungskonzepte mit aufzunehmen und Mitarbeiter zu schulen.

Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.

Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.

Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.

Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.

Die Digitalisierung sollte man strategisch angehen. Ihr ds²-Berater unterstützt Sie bereits bei der Planungsphase und zeigt Ihnen Prozesse zur Einführung neuer digitaler Systeme auf, um sämtliche datenschutzrechtliche Aspekte zu berücksichtigen und damit eine erfolgreiche Digitalisierung in Ihrem Unternehmen zu erzielen. Jede neue oder geänderte Verarbeitungstätigkeit wird aus Datenschutzsicht nach bestimmten Phasen abgearbeitet. Voran steht die Beschreibung der Verarbeitungstätigkeit, insbesondere einer Beschreibung der personenbezogenen Daten die verarbeitet werden sollen sowie den Zweck, zu welchem die Verarbeitung erfolgt. Die Verarbeitung kann beispielsweise das Abspeichern von Vertragsdaten einer Person, die Lohnbuchhaltung oder die Datenübermittlung an Dienstleister sein. Hinzukommen die Erstellung von Risikoanalysen und ggfs. Datenschutzfolgenabschätzungen, Informationspflichten, Einwilligungen oder beispielsweise Betriebsvereinbarungen.

Digitalisierung bedeutet Veränderung. Ein Change Management kann dabei helfen, die Veränderung anzugehen. Es sind Teams aus Verantwortlichen und Anwendern zu bilden. Durch den Einsatz digitaler Systeme bzw. Technologien verändert sich auch die Arbeitswelt Ihrer Mitarbeiter/innen. Sie sind durch Vermittlung von Fachwissen auf die Digitalisierung vorzubereiten.

Ein digitalisierter Prozess kann nur gut funktionieren, wenn die Datenbasis stimmt. Mit Sicherheit fallen in Ihrem Unternehmen mehr Daten an, als Sie benötigen. Da Speicherplatz unbegrenzt scheint, ist dies ein Risiko der Digitalisierung, der mit dem Datenschutz entgegengewirkt werden kann, indem Löschkonzepte erstellt werden und automatisierte Löschungen im System vorgenommen werden.

Durch weitere technische und organisatorische Maßnahmen, die die DSGVO vorschreibt und durch die Erstellung von Risikoanalysen werden Risiken erkannt und können gebannt werden. Der Datenschutz schützt auch ihre Geschäftsgeheimnisse.

Über das Startmenü erreichen Sie die Einstellungen, in denen Sie unter „Update und Sicherheit“ einstellen können, dass regelmäßig alle Updates installiert werden. Des Weiteren sollten Sie darauf achten, dass der Browser und weitere Apps wie Office oder der PDF-Viewer immer up to date sind. Ob Ihr Virenscanner aktuell ist, können Sie nachsehen, indem Sie im Menü-Punkt „Update und Sicherheit“ auf „Windows-Sicherheit“ gehen. Unter „Viren- & Bedrohungsschutz“ sehen Sie, ob Maßnahmen erforderlich sind. Neben einem sicheren Passwort und einem regelmäßigen Backup sollten Sie darauf achten, dass Microsoft keinen Zugriff auf alle Daten hat. Diesbezüglich sollten im Startmenü unter „Datenschutz“ nur die Funktionen eingeschaltet werden, die tatsächlich auch erforderlich sind. Insbesondere unter dem Menüpunkt „Diagnose und Feedback“ sollten die Schieberegler auf „Aus“ geschaltet werden.

Nicht nur beim Rechner und beim Smartphone, sondern auch beim WLAN-Router sollte ein sicheres Passwort genutzt werden. Es empfiehlt sich, das voreingestellte Passwort aus Sicherheitsgründen direkt nach Kauf des Routers zu ändern. Gäste sollten höchstens über ein separates Gast-Netz mit temporären Passwort Zugriff haben. Zudem sollte immer darauf geachtet werden, dass stets die aktuellste Geräte-Firmware genutzt wird. Um keine wichtigen Updates zu verpassen, können automatische Updates eingeschaltet werden. Da das Wi-Fi Protected Setup (WPS) und das Universal Plug and Play (UPnP) immer wieder von Angreifern missbraucht werden, empfiehlt es sich, diese über das Webinterface des Routers auszuschalten.

magnifiercrossmenu