Informationen zur Datenschutzgrundverordnung (DSGVO)
Nachfolgend haben wir Ihnen einige Frequently Asked Questions (FAQ) zum Datenschutz bzw. zur DSGVO zusammengestellt und beantwortet.
Haben Sie bitte Verständnis, dass wir hier keine Rechtsberatung übernehmen können und dürfen. Es handelt sich lediglich um allgemeine Informationen, die wir sorgfältig zum Thema zusammengestellt haben. Trotz Sorgfältigkeit bei der Erstellung wird kein Anspruch auf inhaltliche Richtigkeit, Vollständigkeit und Aktualität erhoben. Insoweit wird jegliche Haftung ausgeschlossen.
Allgemeine Fragen zum Datenschutz bei Elvi
Ja, denn Elvi ist an Kunden in der EU gerichtet und insoweit ist die DSGVO auch sachlich (Artikel 2 DSGVO) und räumlich (Artikel 3 DSGVO) anwendbar.
Ja, für die Schweiz liegt ein Angemessenheitsbeschluss vor.
Ein Angemessenheitsbeschluss ist ein Beschluss, der von der Europäischen Kommission gemäß Artikel 45 DSGVO angenommen wird und durch den festgelegt wird, dass ein Drittland (d. h. ein Land, das nicht an die DSGVO gebunden ist) oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet.
Ein solcher Beschluss bedeutet, dass personenbezogene Daten von den EU-Mitgliedstaaten und den Mitgliedstaaten des Europäischen Wirtschaftsraums ohne weitere Anforderungen an dieses Drittland übermittelt werden können.
Ein solcher Vertrag ist in der Regel dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister (Auftragnehmer) verarbeitet werden.
Der AV-Vertrag regelt die datenschutzrechtlichen Rechte und Pflichten von Aufraggeber und Auftragnehmer. So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräumt.
Ja, wir bieten Ihnen die Möglichkeit, einen AV-Vertrag mit uns zu schließen. Der Abschluss dieses Vertrages ist für Sie kostenfrei. Sie können den AV-Vertrag bequem online abschließen. Loggen Sie sich dafür einfach in Ihren Kunden-Account ein.
Das ist nicht zwingend nötig. Die DSGVO sieht ausdrücklich vor, dass die Abfassung „auch in einem elektronischen Format“ erfolgen kann, Artikel 28 Abs. 9 DSGVO. Eine handschriftliche Unterzeichnung ist danach nicht erforderlich.
Die sogenannten „technischen und organisatorischen Maßnahmen“ (TOM) sind dem AV-Vertrag als Anlage beigefügt.
Eine Übersicht zu den eingesetzten Subunternehmen können Sie der dem AV-Vertrag beigefügten Anlage entnehmen. Darin finden Sie die zur Erbringung von Elvi beauftragten (Unter-) Auftragsverarbeiter. Die Sicherheit Ihrer Daten stellen wir durch den Abschluss entsprechender AV-Verträge mit diesen sicher.
Besondere Fragen von Optikern
Gesundheitsdaten sind in Artikel 4 Nr. 15 DSGVO legaldefiniert, es handelt sich dabei um „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“
Ja, Angaben zur Sehstärke gehören zu den Gesundheitsdaten. Der Begriff ist weit auszulegen. Er bezieht sich auf alle Informationen, die die Gesundheit einer Person unter allen Aspekten – körperlichen wie psychischen – betreffen.
Ein zentraler Grundsatz im Datenschutzrecht besagt, dass man personenbezogene Daten nur dann speichern, übermitteln oder anderweitig verarbeiten darf, wenn hierfür eine gesetzliche Rechtsgrundlage besteht. Die infrage kommenden Rechtsgrundlagen sind in der DSGVO aufgelistet (Artikel 6 DSGVO). Als Rechtsgrundlage kommt z. B. die Einwilligung der Person, deren Daten genutzt werden, oder ein Vertrag mit ihr in Betracht.
Bei Gesundheitsdaten gelten jedoch strengere Regeln als bei einfachen personenbezogenen Daten. Gesundheitsdaten sind sensible, besonders schützenswerte Daten und werden im Gesetz als „besondere Kategorie“ personenbezogener Daten behandelt. Grundsätzlich ist es untersagt, Gesundheitsdaten zu verarbeiten. Dieses Verbot gilt allerdings dann nicht, wenn einer der gesetzlich geregelten Ausnahmefälle gegeben ist (Artikel 9 Abs. 2–4 DSGVO).
Neben der allgemeinen Rechtsgrundlage für die Verarbeitung muss somit zusätzlich ein Ausnahmetatbestand gerade für die Verarbeitung von Gesundheitsdaten bestehen.
Ja, soweit die Datenerhebung mit Kenntnis oder unter Mitwirkung des Kunden erfolgt, werden die Daten bei der betroffenen Person erhoben. In diesem Fall ergeben sich die zu beachtenden Informationspflichten aus Artikel 13 DSGVO.
Ja, Elvi wird als „Software-as-a-Service“ angeboten. Bei der Nutzung von Elvi ist es möglich, dass wir als externer Dienstleister Zugriff auf personenbezogene Daten erhalten und diese als Auftragsverarbeiter (Artikel 4 Nr. 8 DSGVO) weisungsgebunden für Sie verarbeiten.
Als verantwortlicher Auftraggeber dürfen Sie nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung der personenbezogenen Daten im Einklang mit der DSGVO erfolgt, vgl. Artikel 28 Abs. 1 DSGVO. Daher ist der Auftragsverarbeiter sorgfältig auszuwählen.
Das Verarbeitungsverzeichnis (oder auch Verzeichnis der Verarbeitungstätigkeiten) hat die Aufgabe, die wesentlichen Informationen einer Datenverarbeitung (Zweck, Kategorien, Empfänger, Löschfristen etc.) schriftlich oder in einem elektronischen Format zu dokumentieren (Artikel 30 DSGVO). Es umfasst alle Verarbeitungstätigkeiten, die (bei Verantwortlichen) in der Zuständigkeit des jeweiligen Unternehmens liegen bzw. (bei Auftragsverarbeitern) das Unternehmen im Auftrag eines Verantwortlichen durchführt.