Ab dem 15.01.2025 erhält jeder Versicherte ohne sein Zutun eine elektronische Behandlungsakte. Wer keine initiale Einrichtung der ePA möchte, muss dem widersprechen. Der Widerspruch muss gegenüber der jeweiligen Krankenkasse abgegeben werden, bei der der Patient versichert ist. Der Widerspruch kann vollumfänglich erfolgen oder einzelne Funktionen betreffen.
Die elektronische Behandlungsakte ist eine patientengeführte Akte, in der Patienten ihre gesundheitsbezogenen Daten speichern und verwalten können. Der Patient entscheidet, welche Daten in der elektronischen Behandlungsakte gespeichert und wieder gelöscht werden, und sie entscheiden, wer Zugriff auf welche Daten erhält. Darüber hinaus können Versicherte eigene Dokumente und Daten einstellen. Die elektronische Behandlungsakte ermöglicht den Austausch von Daten des Patienten zwischen den an seiner Behandlung beteiligten Leistungserbringern.
Zugriff auf die Akte kann der Versicherte durch das Einstecken seiner Gesundheitskarte im eHealth-Kartenterminal des Leistungserbringers, über die App der jeweiligen Krankenkasse oder mittels GesundheitsID erteilen.
Datenschutzrechtlich ist an der elektronischen Behandlungsakte zu kritisieren, dass keine aktive Einwilligung in die Erstellung und Verwendung erfolgen muss, wie es die Datenschutzgrundverordnung grundsätzlich fordert. Um Zugriffsmöglichkeiten auf die Akte einzuschränken, müssen Versicherte eine App nutzen. Alternativ können sich Versicherte an die Ombudsstelle bei der Krankenkasse werden, was viel aufwändiger ist. Dem Einstellen von Behandlungsdaten müssen Versicherte dann zudem wiederum gegenüber den behandelnden Ärzt*innen oder anderen Gesundheitsdienstleistern widersprechen. Die elektronische Behandlungsakte birgt ein erhöhtes Risiko für die besonders schützenswerten Gesundheitsdaten. Der Zugang zu diesen Daten liegt im Interesse diverser Angreifer. Die Telematikinfrastruktur, die von der gematik GmbH betrieben wird, weist laut Sicherheitsexperten noch gravierende Schwachstellen auf.
Update: Aufgrund einer Gesetzesänderung die am 06.02.2026 in Kraft tritt, heißt die "elektronische Patientenakte" fortan "elektronische Behandlungsakte".
Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.
Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.
Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.
Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.
Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.
Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.
Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.
Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.
Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.
Seit Februar dieses Jahres ist die KI-Kompetenz für alle Personen verpflichtend, die KI-Systeme im Arbeitsalltag einsetzen.
Die notwendige KI-Kompetenz ist abhängig von den technischen Kenntnissen, Vorerfahrungen, die Ausbildung und Schulung der jeweiligen Person und den Einsatzbereich des KI-Systems und letztlich der Rolle des Arbeitgebers (Betreiber oder Anbieter von KI).
Mit dieser Kompetenz soll sichergestellt sein, dass die Anwender die Risiken der Nutzung von KI für sich selbst und für diejenigen verstehen, die vom Einsatz der KI betroffen sind. Demnach benötigen beispielsweise Anwender aus dem Bereich HR und IT-Sicherheit mehr Kompetenz als ihre Kollegen aus anderen Bereichen.
KI-Kompetenz beinhaltet ein grundlegendes Verständnis von Künstlicher Intelligenz sowie deren Chancen und Risiken. Darüber hinaus benötigt der Anwender ein grundlegendes Wissen über das Gesetz zur Künstlichen Intelligenz, das Datenschutzrecht und über die zusätzlichen Anforderungen weiterer betroffener Rechtsbereiche, wie dem Urheberrecht und dem Geschäftsgeheimnisgesetz.
Wie alle anderen Schulungen, die aus Compliance-Gründen erfolgen, kann für die Schulung zur KI-Kompetenz ein Schulungskonzept erstellt werden. Zunächst sollte das Basiswissen für alle vermittelt werden und später themen- bzw. tätigkeitsspezifischen Vertiefungen angeschlossen werden.
Erster Schritt ist die Identifikation von KI im Unternehmen. Viele bereits im Unternehmen seit Jahren verwendete Anwendungen (wie zum Beispiel Microsoft Office) werden durch KI erweitert. Danach sollte ermittelt werden, welche Risiken diese Anwendungen bergen; welche Mitarbeitenden direkt mit dem System arbeiten und welches Vorwissen diese Mitarbeitenden haben.
Neben den Schulungen sollte eine Richtlinie für den Umgang mit KI-Systemen erstellt werden, in denen Standards definiert werden und Vorgehensweisen und Verhaltensregeln für die Nutzung von KI sowie ein zentraler Ansprechpartner für Fragen rund um KI festgeschrieben werden.
Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.
Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.
Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.
Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.
Videoüberwachung bedeutet, dass mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten (Bild- und/oder Audiodaten) verarbeitet werden. Hierunter fallen auch Webcams, Smartphones, Dashcams, Drohnen oder Tür- und Klingelkameras. Nicht entscheidend ist, ob die Kamera fest montiert, veränderbar (sprich mit Schwenk-, Neig- oder Zoomfunktion) oder mobil einsetzbar ist, sondern nur der Überwachungszweck.
Eine Verarbeitung im Sinne des Datenschutzrechts liegt auch dann vor, wenn „nur“ Livebilder (Monitoring bzw. Echtzeitüberwachungen) erfasst werden. Weitere Verarbeitungstätigkeiten sind das Speichern (Videoaufzeichnung) und die Verwendung in Form der Sichtung, Ausdruck oder Weitergabe an Dritte.
Das Schwärzen und Verpixeln von Bildmaterial reicht nicht als Anonymisierung aus, wenn das Unkenntlichmachen im Nachhinein wieder aufgehoben werden kann. Eine Verarbeitung liegt auch dann vor, wenn die Aufnahmen ungesehen gelöscht werden oder nur im Bedarfs- bzw. Alarmfall aufgezeichnet wird.
Bei der Verwendung von Kameraatrappen oder Kameras, die nicht in Betrieb genommen werden, sind die Datenschutzvorschriften nicht anzuwenden. Laut Aufsichtsbehörde Sachsen sind nicht die technischen Möglichkeiten ausschlaggebend, sondern nur, ob eine Videokamera tatsächlich in Betrieb ist oder nicht. Zivilrechtlich können allerdings dennoch Ansprüche auf sie zukommen.
Als Rechtsgrundlage kommt regelmäßig Art. 6 Abs. 1 lit f. DSGVO in Betracht. Videoüberwachungen lassen sich regelmäßig nicht auf Einwilligungen stützen, da die gesetzlichen Anforderungen an eine Einwilligung zu diesem Zweck praktisch nicht erfüllt werden können. Demzufolge muss der Betreiber der Videokamera ein berechtigtes Interesse an den einzelnen Verarbeitungen vorweisen. Die Videoüberwachung muss für die Zweckerreichung erforderlich sein und die Interessen der betroffenen Personen (Grundrecht auf informationelle Selbstbestimmung) nicht überwiegen. In jedem Fall sind wirksame Alternativen zu prüfen, wie herkömmliche Alarmanlagen oder der Einbau von einbruchssicheren Fenstern und wie der Eingriff in die Persönlichkeitsrechte Betroffener möglichst wenig intensiv erfolgen kann.
Grundsätzlich kann gesagt werden, dass Bereiche in denen Menschen kommunizieren, essen, trinken und sich erholen keine Videoüberwachung erfolgen darf. Ebenso wenig in Räumen, wo Beobachtungen die Intimsphäre berühren würden. Auch Aufzeichnungen zum Zweck einer Verhaltens- oder Leistungskontrolle von Beschäftigten ist grundsätzlich unzulässig.
Betroffene können in zwei Schritten informiert werden. Im ersten Schritt mit den wichtigsten Informationen mit einem auf Augenhöhe angebrachten Hinweisschild und im zweiten Schritt mit allen Informationen an geeigneter, gut zugänglicher Stelle. Die Speicherdauer beträgt maximal 72 Stunden.
Zur Aufdeckung von Straftaten dürfen Aufzeichnungen von Beschäftigten nur nach der Maßgabe des § 26 Abs. 1 Satz 2 BDSG oder einer datenschutzkonformen Betriebsvereinbarung verarbeitet werden. Ausgeschlossen ist eine dauerhafte permanente Videoüberwachung.
Private Aufzeichnungen von privatem Grundstück oder der selbstbewohnten Miet- oder Eigentumswohnung fällt nur dann nicht unter die Datenschutzgrundverordnung, wenn die ausschließlich selbstgenutzt ist. Kommt beispielsweise ein bestellter Pflegedienst oder der Handwerker, hat eine Videoüberwachung schon zu unterbleiben.
Bei Videoüberwachungskameras mit Audiofunktion macht man sich regelmäßig sogar strafbar. Verfügt eine Videoüberwachungskamera über eine Audiofunktion, muss diese deaktiviert werden.
Aufgrund zahlreicher Hinweise und Beschwerden von Betroffenen und Medienvertretern aus ganz Deutschland hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die Parkraumüberwachung eines entsprechenden Überwachungsnternehmens (Verantwortlicher) überprüft. Dazu musste der Verantwortliche alle Fragen der Behörde zum Verständnis relevanter technischer und tatsächlicher Prozesse beantworten. Der Verantwortliche beantwortete die gestellten Fragen jedoch nicht zufriedenstellend, weshalb eine Prüfung aufgrund mangelnder Nachvollziehbarkeit der Funktionsweise des Parkraumüberwachungssystems vorerst nicht möglich war. Das Unternehmen wurde deshalb zunächst wegen Verstoßes gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu einer beabsichtigten Untersagung er Überwachung aufgrund fehlender Überprüfbarkeit angehört, sowie hinsichtlich der unterbliebenen angemessenen Mitwirkung gemäß Art. 31 DSGVO bis zur vollständigen Offenlegung der Funktionsweise des Systems ein Ordnungswidrigkeitsverfahren eingeleitet.
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wird umbenannt. Hintergrund ist die sprachliche Anpassung des Wortes „Telemedien“. Diese heißen nun „digitale Dienste“. Dementsprechend wird das Gesetz in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz umbenannt, kurz TDDDG. Das Gesetz regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten.
Darüber hinaus wird das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Das DDG gilt für alle Online-Diensteanbieter und betrifft somit fast jeden Webseitenbetreiber.
Sofern die Gesetze in der Datenschutzerklärung und im Impressum angegeben sind, ist die Bezeichnung zu ändern. Es besteht jedoch keine gesetzliche Pflicht zur Angabe des Paragraphen. Inhaltlich hat sich nichts geändert.
Beim mobilen Arbeiten, wie im Homeoffice sind die datenschutzrechtlichen Vorgaben des Arbeitgebers einzuhalten. Da die Arbeitnehmer im Rahmen Ihrer Arbeitstätigkeit auch im Homeoffice auf Weisung des Arbeitgebers handeln, bleibt der Arbeitgeber datenschutzrechtlich verantwortlich. Daher muss dieser auch für die mobile Arbeit technische und organisatorische Maßnahmen, wie beispielsweise „Mobile Working Vereinbarungen“, treffen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten.
Grundsätzlich sollte darauf verzichtet werden, physische Dokumente oder Datenträger mit personenbezogenen Daten mit nach Hause oder andernorts mitzunehmen oder dort anzufertigen. Sofern dies unbedingt nötig sein sollte, ist darauf zu achten, dass Dritte, auch Familienmitglieder oder Mitbewohner, keinen Zugang zu den Daten haben und die Daten nicht einsehbar sind. Zumindest muss die Verwahrung in einem verschließbaren Schrank gewährleistet werden. Eine Entsorgung der personenbezogenen Daten im Hausmüll oder öffentlichen Müllbehältern ist untersagt. Die Dokumente und Dateien müssen datenschutzkonform vernichtet werden, z.B. durch professionelle Aktenvernichtung oder durch Entsorgung über die dafür vorgesehenen Wege im Büro. Der Laptop ist mindestens mit einem Kennwortschutz zu schützen – besser: durch Zwei-Faktor-Authentifizierung. Auch bei kurzer Inaktivität am Laptop sollte die Bildschirmsperre aktiviert werden.
Wird für die Arbeit der Zugriff auf das Firmennetzwerk benötigt, sollten Arbeitgeber dies mittels VPN-Verbindung ermöglichen. Zudem sollte keine lokale Speicherung von vertraulichen Daten auf dem Laptop selbst erfolgen, sondern nur auf den Servern des Firmennetzwerks. Auch effiziente Firewalls und Antivirensoftwares sollten arbeitgeberseitig zur Verfügung gestellt werden. Updates sind gegebenenfalls selbst vorzunehmen.
Der Artificial Intelligence Act, die sogenannte KI-Verordnung, ist da. Das Gesetz über künstliche Intelligenz (KI) soll für die Sicherheit und die Achtung der Grundrechte bei der Nutzung von KI innerhalb der EU sorgen und Innovationen fördern. Dabei legt die Verordnung Verpflichtungen für KI-Systeme fest und verbietet bestimmte KI-Anwendungen, wie beispielsweise Emotionserkennungssysteme am Arbeitsplatz. Wer KI im Unternehmen einsetzen möchte hat die Pflichten diese Verordnung, die mit hohem Aufwand einhergehen, zu beachten.
Der AIA wurde im EU-Amtsblatt veröffentlicht und wird am 1. August in Kraft treten. Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein, einige Teile davon jedoch schon früher.
Verstöße gegen diese Verordnung sind wie in der Datenschutzgrundverordnung mit hohen Bußgeldern belegt. Bei Zuwiderhandlung kann die EU-Kommission Geldbußen von bis zu 7 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr oder 35 Mio. € verhängen..
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320