Datenschutzgrundverordnung (DSGVO) und Datenschutz-Anpassungsgesetz

Die Änderungen am Datenschutzgesetz (DSG) wurden mit 25. Mai 2018 wirksam. Das DSG ergänzt die unmittelbar wirksame Datenschutzgrundverordnung (DSGVO) der Europäischen Union.

Das Gesetz betrifft sämtliche Unternehmen und damit auch niedergelassene Ärztinnen und Ärzte. Sie verarbeiten Gesundheitsdaten der Patientinnen und Patienten und sind damit "Datenverantwortliche" im Sinne des Gesetzes. Betroffen ist davon sowohl die ganz oder teilweise automatisierte, aber auch die nichtautomatisierte Verarbeitung von personenbezogenen Daten.

Die Österreichische Ärztekammer erarbeitete mit Hilfe externer Expertinnen und Experten einen Leitfaden für Ihre Ordination, damit Sie rechtzeitig die entsprechenden Schritte einleiten konnten.

Details wurden bei den Informationsveranstaltungen am 26.2.2018 in Leoben sowie am 27.3.2018 und 4.4.2018 in Graz präsentiert.

Ein Video der Veranstaltung am 28.2.2018 der Ärztekammer für Wien finden Sie hier zum nachanschauen.
 

Hier die wesentlichen Fragen:

Warum gibt es eine neue DSGVO bzw. das Datenschutzanpassungsgesetz?

Bisher wurden datenschutzrechtliche Verstöße kaum sanktioniert. Der Gesetzgeber möchte jedoch vor allem größere Unternehmen stärker in die Pflicht nehmen  um Verstöße gegen die DSGVO zu verhindern.

Die DSGVO hat also das Ziel, den Verbraucher (in unserem Falle die Patientin/den Patient) zu stärken.

 

Unterschiede zur bisherigen Regelung:

Zusätzlich zu den bisherigen fünf Qualitätsgrundsätzen (Verarbeitung nach Treu u. Glauben, für einen gewissen Zweck, in möglichst geringen Umfang, richtig, für einen begrenzten Zeitraum, sicher) muss die Verarbeitung nunmehr auch transparent erfolgen.

Die bisherigen "sensiblen Daten" heißen nunmehr „besondere Kategorien von Daten“. Darunter versteht man Daten über die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben, genetische oder biometrische Daten. Grundsätzlich ist die Verarbeitung von derartigen Daten verboten. Ärzte sind jedoch von diesem Verbot ausgenommen.
 

Was versteht man unter personenbezogenen Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.
 

Was versteht man unter Verarbeitung?

Das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen von Daten mit oder ohne Hilfe automatisierter Verfahren.
 

Wer ist Datenverantwortlicher?

Bei einem Verantwortlichen handelt es sich um jene Person, die personenbezogene Daten für gewisse Zwecke verarbeitet. Der Verantwortliche entscheidet, was mit den Daten passiert. Er ist der „Herr“ über die Daten. Der Arzt, der gemäß § 51 Ärztegesetz Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person erfasst, ist ein Verantwortlicher im Sinne der Datenschutzgrundverordnung.

 

Verantwortliche sind:

  • Ärzte
  • Krankenhäuser
  • Apotheken
  • Therapeuten
  • Anbieter von Telefonleitungen
  • Anbieter von Internetleitungen
  • Post
  • Rechtsanwälte
  • Steuerberater
  • Notare
  • Behörden
  • Banken
  • Sozialversicherungsanstalt

Mit Verantwortlichen muss keine Auftragsverarbeitervereinbarung geschlossen werden.

 

Wer ist Auftragsverarbeiter?

Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
Dazu bedarf es einer schriftlichen Vereinbarung. Rechtsanwältinnen und -anwälte, Steuerberaterinnen und -berater sowie Internetprovider im Auftrag einer Ärztin/eines Arztes sind keine Auftragsverarbeiter, sondern selbst Datenverantwortliche. Die Lohnverrechnung sowie Inkassobüros sind beispielhaft als Auftragsverarbeiter anzusehen weil sie die Daten nicht eigenständig verändern.

Wichtig: Bei Weitergabe von Daten zur Verarbeitung an einen Dritten muss die Verarbeitung ebenfalls im Einklang mit dem Datenschutzanpassungsgesetz erfolgen und der Schutz der betroffenen Personen gewährleistet werden. Es ist eine schriftliche Vereinbarung mit dem Auftragsverarbeiter abzuschließen.

Auftragsverarbeiter sind:

  • IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben
  • Arztsoftwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben
  • E-Mailprovider
  • Unternehmen, die Direktwerbung anbieten (etwa: E-Mailversand)
  • Callcenter
  • Online Terminvereinbarungen.

Ein Muster zur freien Verwendung ist in den Dokumentationspflichten enthalten.

Wann ist die Verarbeitung als rechtmäßig anzusehen?

  • Bei Einwilligung der betroffenen Person (beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wir empfehlen diese schriftlich einzuholen.)
  • Bei Erfüllung aus rechtlicher Verpflichtung (Ärztegesetz)
  • Zum Schutz lebenswichtiger Interessen der betroffenen Person
  • Bei Wahrnehmung öffentlicher Interessen
  • Zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten

Was ist im Rahmen der Datensicherheit zu beachten:

  • Stand der Technik
  • angemessene Implementierungskosten
  • Art, Umfang und Zweck der Verarbeitung
  • Eintrittswahrscheinlichkeit bzw. Schwere des Eintritts eines Risikos

Jedenfalls sind geeignete technische und organisatorische Maßnahmen für die Gewährleistung der Datensicherheit zu ergreifen. § 54 Ärztegesetz hinsichtlich der Verschwiegenheit, - Anzeige- und Meldepflicht ist zu beachten.

Es muss sichergestellt sein, dass die technische Verarbeitung bzw die Vorgabewerte datenschutzfreundlich sind („privacy by design“ sowie „privacy by default“). Beispielsweise darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive zustimmt (etwa durch Setzen eines Häckchens) oder die Daten müssen „pseudonymisiert“ werden (d.h, der Personenbezug muss gelöscht werden, wenn er nicht unbedingt notwendig ist).

Der Betroffene hat ein Recht auf

  • Auskunft, ob und welche personenbezogene Daten verarbeitet wurden (Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form anzuführen). Es besteht die Verpflichtung jeder betroffenen Person auf Verlangen eine Bestätigung auszustellen, ob und welche personenbezogenen Daten über diese verarbeitet wurden.
    CAVE: Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist.
  • Berichtigung unrichtiger personenbezogener Daten
  • Löschung von personenbezogenen Daten
  • Einschränkung der Verarbeitung bei Bestreitung der Richtigkeit, bei unrechtmäßiger Verarbeitung od. bei Widerspruch zur Verarbeitung
  • Datenübertragbarkeit an einer anderen Verantwortlichen
  • Widerspruch gegen die Verarbeitung von personenbezogenen Daten

Verzeichnis von Verarbeitungstätigkeiten:

Jede/r Datenverantwortliche und/oder ihre/seine Vertretung haben ein Verzeichnis aller Verarbeitungstätigkeiten zu führen ("Selbstverpflichtung"), welches im Wesentlichen folgende Angaben zu enthalten hat:

  • Namen und Kontaktdaten der/des Datenverantwortlichen und/oder ihrer/seiner Vertretung
  • Die Zwecke der Verarbeitung u. Rechtmäßigkeit (zB Verweis auf Ärztegesetz)
  • Eine Beschreibung der Kategorien betreffend Personen und der Kategorien personenbezogener Daten (Patientinnen und Patienten)
  • Die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (zB Sozialversicherungsträgern)
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, die Beschreibung der technischen und organisatorischen Maßnahmen

Dieses Verzeichnis ist entsprechend zu dokumentieren (auch elektronisch), ist jederzeit zur Verfügung zu stellen und zu aktualisieren.

Diese „Selbstverpflichtung“ zur Führung eines Verarbeitungstätigkeitsverzeichnisses kann von der Datenschutzbehörde jederzeit überprüft werden.

Ein sogenannter „Praxis Prototyp“ mit einem Verzeichnis von Verarbeitungstätigkeiten samt Leitfaden leiten wir Ihnen sofort weiter, wenn diese von der Österreichischen Ärztekammer übermittelt werden (ausgenommen FÄ für Radiologie u. FÄ für medizinische und chemische Labordiagnostik, zumal hier noch gesonderte Adaptierungen und Abklärungen mit der Datenschutzbehörde erforderlich sind).
 

Wann und wer ist bei Verletzung personenbezogener Daten zu informieren?

  • Die Aufsichtsbehörde (Datenschutzbehörde) binnen 72 Stunden
    (Österreichische Datenschutzbehörde, Wickenburggasse 8, 1080 Wien - Tel. 01/52152-0, Email: dsb@dsb.gv.at)
  • Die/der Betroffene (nicht bei verschlüsselten Daten und bei hohem Aufwand (ev. öffentliche Bekanntmachung))
     

Wann ist ein Datenschutzbeauftragter zu bestellen?

Der einzelne Arzt sowie die Ordinations- und Apparategemeinschaft benötigen grundsätzlich keinen Datenschutzbeauftragten. Das Gesetz legt die Kriterien, ab welcher Praxisgröße ein Datenschutzbeauftragter zu bestellen ist, nicht klar dar, weshalb offen ist, ab welcher Praxisgröße der Verantwortliche einen Datenschutzbeauftragten bestellen muss.

Erfolgt die Patientenbehandlung in der Ordination gemeinsam mit angestellten Ärztinnen und Ärzten, also nicht als Einzelärztin bzw. Einzelarzt, oder wenn im Rahmen einer Ordinationsgemeinschaft oder Apparategemeinschaft die Patientenverwaltung gemeinsam vorgenommen wird, ist darauf abzustellen, ob eine „umfangreiche Datenverarbeitung“ vorliegt. In diesem Fall ist die Bestellung eines Datenschutzbeauftragten zu empfehlen.
Eine konkrete Anzahl ist gesetzlich nicht festgelegt und liegt auch von der Judikatur bislang keine Konkretisierung vor. Als Richtwert empfiehlt die Österreichische Ärztekammer die Betreuung von 5.000 verschiedenen Patienten pro Jahr. Wird diese Anzahl überschritten, wird eine umfangreiche Gesundheitsdatenverarbeitung vermutet und ist die Bestellung eines Datenschutzbeauftragten in den oben angeführten Fällen einer ärztlichen Zusammenarbeit zu empfehlen.

Benötige ich in der Gruppenpraxis oder dem Primärversorgungszentrum einen Datenschutzbeauftragten?

Die Österreichische Ärztekammer empfiehlt Gruppenpraxen und Primärversorgungszentren, einen Datenschutzbeauftragten zu bestellen, wenn mehr als 10 Mitarbeiter (Vollzeitäquivalente) Zugriff auf personenbezogene Daten/Patientenkarteien haben.
Das Gesetz legt die Kriterien, ab welcher Praxisgröße ein Datenschutzbeauftragter zu bestellen ist, nicht klar dar, weshalb offen ist, ab welcher Praxisgröße der Verantwortliche einen Datenschutz-beauftragten bestellen muss. Als Kriterium für die Größe bietet sich die (neue) deutsche Rechtslage an.
 

Wer kann Datenschutzbeauftragter sein?

Als Datenschutzbeauftragter kann ein Mitarbeiter fungieren, nicht aber ein Gesellschafter der Gruppenpraxis oder der „Verantwortliche“.

Aufgaben

Der Datenschutzbeauftragte hat jedenfalls die folgenden Aufgaben zu erfüllen:

  • Die Unterrichtung und Beratung des Verantwortlichen und der weiteren Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht.
  • Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.
  • Beratungen – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung.
  • Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese.
     

Braucht ein Datenschutzbeauftragter eine verpflichtende Ausbildung und/oder Zertifikat, oder kann man sich das Wissen dazu auch selbstständig aneignen als IT-Dienstleister?

Ein Datenschutzbeauftragter muss ein gewisses Maß an Erfahrung in datenschutzrechtlichen Dingen aufweisen. Konkrete Ausbildungen sind zwar nicht verpflichtend, doch empfehlenswert.

Datenschutz-Folgenabschätzung:

Sollte durch die Datenverarbeitung ein hohes Risiko für die "Rechte und Freiheiten" von betroffenen Personen (zB Patientinnen und Patienten, Mitarbeiterinnen und Mitarbeiter) bestehen, muss eine „Datenschutz-Folgenabschätzung" erstellt werden.

Für die einzelnen niedergelassenen Ärztinnen und Ärzte gelten die Ausnahmen zur Datenschutzfolgeabschätzung, daher besteht für die Patientenverwaltung und Honorarabrechnung keine Pflicht zur Durchführung einer Datenschutzfolgeabschätzung. Diese Ausnahme gilt nicht, falls mit einer ärztlichen Zusammenarbeit (siehe Datenschutzbeauftragter) mehr als 5.000 verschiedene Patienten pro Jahr betreut werden.

 

Ist eine Befundübermittlung per E-Mail erlaubt?

Nein, eine derartige Übermittlung ist nicht zulässig.
Auch eine Übermittlung von Gehaltszetteln per E-Mail ist verboten.


Ist eine Fax-Übermittlung zwischen Ärzten, Krankenanstalten, Pflegeheimen und Sozialversicherungsträgern zulässig?

Lt. Gesundheitstelematikgesetz kann die Weitergabe von Gesundheitsdaten ausnahmsweise auch per Fax erfolgen, wenn

  1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,
  2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,
  3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,
  4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und
  5.  allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

Auf der Homepage der Ärztekammer finden Sie unter dem Link https://www.aekstmk.or.at/Diverse Formulare eine Bestätigung zur Identitätsprüfung von Gesundheitsanbietern. Mit dieser Bestätigung vergewissern Sie sich, dass der Faxinhaber ident mit dem Adressaten ist.


Ist eine elektronische Terminanfrage bzw. -abfrage zulässig?

Nur dann, wenn diese technisch sicher (verschlüsselt) ist.


Hat ein Patient Recht auf Auskunft über verarbeitete Daten?

Jeder Patient hat ein Anrecht auf Auskunft, ob personenbezogene Daten verarbeitet werden. Der Antrag ist schriftlich einzubringen (auch elektronisch möglich). Sollte der Patient eine mündliche Auskunft verlangen, so wird der Zuständige die Identität des Patienten in geeigneter Weise feststellen und die Auskunft ebenso mündlich erteilen.

Der Zuständige wird sämtliche Datenbestände nach Informationen, die die betroffene Person betreffen, durchsuchen und diese Informationen zusammenstellen.


Welche Informationen erhält der Patient?

Die Auskunft wird folgende Informationen umfassen:
Welche Informationen werden über die Person verarbeitet

  • Die Zwecke der Verarbeitung
  • Datenkategorien
  • Empfänger und Kategorien von Empfängern
  • Dauer der Datenspeicherung
  • Herkunft der Daten
  • Sollte eine automatisierte Entscheidungsfindung und Profiling erfolgt sein, die Methoden und Kriterien sowie die Tragweite und Auswirkungen der Datenverarbeitung

Die Auskunft ist binnen einer Frist von einem Monat zu erteilen. Handelt es sich um eine umfangreiche und komplexe Auskunft kann die Frist einmalig um weitere zwei Monate verlängert werden. Die Auskunft ist kostenlos zu erteilen. Verwaltungskosten können vom Patienten dann verlangt werden, wenn die Auskunft unbegründet oder in excessiver Ausübung des Rechts verlangt wurde.

Diese Auskunft ist unabhängig von Befundabschriften (§ 51 Ärztegesetz), für die weiterhin Kostenersatz verlangt werden kann.
Wir werden uns bemühen, zeitnah ein Muster zur Verfügung zu stellen.
 

Hat ein Patient ein Recht auf Löschung von Daten aus der Patientenkartei?

Verlangt ein Patient die Löschung von Daten aus der Patientenkartei, kann dem aufgrund des § 51 Abs 3 Ärztegesetz nicht entsprochen werden. Die Aufzeichnungen sowie die Dokumentation sind mindestens zehn Jahre aufzubewahren. Die Nachhaftung beträgt 30 Jahre.


Hat eine Sozialversicherung ein Anrecht auf Auskunft über Patientendaten?

Alle gesetzlichen Krankenversicherungen, dazu zählt auch die AUVA, haben ein Anrecht auf Auskünfte der versicherten Patienten in medizinischen Fragen, insbesondere zur Bekanntgabe von Diagnosen gegenüber den ausgewiesenen bevollmächtigten Ärzten des Versicherungsträgers.


Was geschieht mit Patientendaten, wenn eine Ordination übernommen wird?

Gem. § 51 ÄrzteG ist der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger verpflichtet, die Dokumentation von seiner Vorgängerin/seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung der Patientin/des Patienten ist hierfür nicht erforderlich. Eine Weiterverwendung ist aber nur zulässig, wenn die jeweilige Patientin/der jeweilige Patient in die Weiterverwendung eingewilligt hat. Für die Ärztin bzw. den Arzt der die Kassenstelle bzw. die Ordination übernommen hat, bedeutet dies, dass er die Patientin/den Patienten vor Beginn der ersten Behandlung fragen muss, ob sie/er in die alten Patientenakte Einsicht nehmen darf.


Wie lange sind personenbezogene Daten aufzubewahren?

Gem. § 51 ÄrzteG sind Aufzeichnungen sowie sonstige der Dokumentation dienliche Unterlagen mindestens 10 Jahre aufzubewahren. Aus nachhaftungsrechtlichen Gründen wird jedoch empfohlen, diese 30 Jahre aufzubewahren. Es ist in regelmäßigen Abständen zu prüfen, welche Patientendaten zu löschen sind. Diese Daten sind sodann unwiederbringlich zu löschen. Die Löschung kann auch durch Anonymisierung erfolgen.


Ist die Übermittlung von Patientendaten mittels SMS/Dirketnachrichtendienst (Messenger, Whats App, etc.) erlaubt?

Eine derartige Übermittlung ist nicht zulässig, zumal diese Daten in weiterer Folge über einen anderen nicht berechtigten Dritten (zB Facebook) abgeglichen werden.

 

Ist der Versand von Erinnerungen zu Untersuchungen (Recall-System) per Mail oder SMS zulässig.
Wie sieht es bei Erinnerungen zu einem bereits vereinbarten Termin aus?

Der Versand einer Erinnerung im Rahmen eines Recall-Systems oder der Erinnerung an einen bereits
vereinbarten Termin erfordert die vorherige nachweisliche Einwilligung des Patienten. Zudem sollte
darauf geachtet werden, dass möglichst wenige Informationen, insbesondere kein konkreter Hinweis
auf den zuletzt wahrgenommenen Termin, übermittelt werden.
Auch der Versand von Informationen via SMS weist gewisse Sicherheits risiken auf (Stichwort SS7-
Hack). Dennoch ist das Sicherheitsniveau hier als wesentlich höher zu qualif izieren als beim Versand
von E-Mails. Insofern ist dem Versand von SMS der Vorzug zu geben.

 

Wie darf ich Patienten in meiner Ordination aufrufen?

Als Verantwortlicher stellen Sie sicher, dass Patienten diskret aufgerufen werden. Dazu werden die verantwortliche Ärztin bzw. der Arzt oder dessen Mitarbeiter lediglich den Nachnamen des Patienten aufrufen. Der Verantwortliche und dessen Mitarbeiter werden so mit dem Patienten kommunizieren, dass ein Dritter keine Kenntnis über den Inhalt der Kommunikation erhält. Eine alternative sehr diskrete Möglichkeit wäre, Patienten über ein Nummernsystem aufzurufen.


Müssen Datensicherungen (Backups) verschlüsselt werden?

Das Datenschutzanpassungsgesetz sieht vor, dass Datensicherheitsmaßnahmen auch die Wiederherstellung von Daten sicherstellt. Bei Gefahr eines unberechtigten Zugriffs müssen diese auch verschlüsselt werden.


Was passiert bei Verstößen gegen die DSGVO?

Das Strafausmaß reicht bis zu € 20 Millionen bzw. 4 % des gesamten Jahresumsatzes. Die Strafkompetenz liegt in Zukunft bei der Datenschutzbehörde.


Wo finden Sie die DSVGO?

Den Text der Verordnung finden Sie hier
Das für Österreich geltende Datenschutzanpassungsgesetz (BGBl. I Nr. 120/2017) tritt mit 25.5.2018 in Kraft, womit das Datenschutzgesetz (DSG) an die europarechtlichen Vorgaben angepasst wird.

 

Erläuterungen zur Erfüllung der Informationspflicht gemäß
Datenschutzgrundverordnung (DSGVO) für Websites

Die Bundeskurie niedergelassene Ärzte hat uns Erläuterungen und ein Musterformular zur Erfüllung der lnformationspflicht gemäß der Datenschutzgrundverordnung und dem Telekommunikationsgesetz 2003 für Websites von Ordinationen und Gruppenpraxen zur Verfügung gestellt.

Zweck der lnformationsverpflichtung gemäß Datenschutzgrundverordnung ist, die Datenverarbeitung der betroffenen Person (insb. Patientin bzw. Patient) transparent zu machen und der Person dadurch die Möglichkeit zu eröffnen, ihre Betroffenenrechte wahrzunehmen.

Ärztinnen und Ärzte als Verantwortliche gemäß Datenschutzgesetz sind von dieser Pflicht ärztegesetzlich grundsätzlich ausgenommen. Allerdings besteht eine wesentliche Ausnahme: Sollte die Ärztin bzw. der Arzt ,,außerhalb" des Behandlungsvertrags personenbezogene Daten erheben (sei es auch nur für Analysezwecke) - hier konkret im Rahmen von Websites – müssen die Betroffenen darüber informiert werden, was mit diesen Daten passiert.

 

Stand: 29.05.2018