Inhaltsverzeichnis

1     Zweck und Umfang. 1

2     Gesetzliche Grundlagen. 1

3     Begriffe 1

4     Geltungsbereich. 1

5     Zielsetzung. 1

6     Grundsätze des Datenschutzes 2

6.1      Rechtmässigkeit 2

6.2      Verhältnismässigkeit 2

6.3      Zweckbindung. 2

6.4      Transparenz. 2

6.5      Datenqualität 2

6.6      Treu und Glauben. 2

7     Datensicherheit: Massnahmen. 3

7.1      Organisatorische Massnahmen. 3

7.2      Technische Massnahmen. 3

7.3      Archivierung. 3

7.4      Vernichtung. 3

8     Rechte der betroffenen Personen. 4

8.1      Aufklärung/Orientierung. 4

8.2      Auskunfts-/Einsichtsrecht 4

8.3      Recht auf Berechtigung. 4

8.4      Sperrung/Verweigerung der Datenbekanntgabe. 4

9     Handlungsanleitung. 4

9.1      Verhalten bei telefonischen und schriftlichen Anfragen. 5

9.2      Grundsätze der E-Mail-Nutzung. 5

9.3      Verwendung Bild-/Tonaufnahmen. 5

10       Verantwortlichkeiten. 6

10.1     Verwaltungsrat/Geschäftsleitung. 6

10.2     Geschäftsleitung. 6

10.3     Datenschutzverantwortliche/r 7

10.4     Leitung HR. 7

10.5     Führungspersonen. 7

10.6     Mitarbeitende. 8

11    Anhang 1. 9

 

 

1       Zweck und Umfang

Das vorliegende Datenschutzkonzept von der eins a spitex GmbH trägt der Bedeutung und dem Stellenwert des Datenschutzes im Sinne der Achtung der Privatsphäre und der Persönlichkeitsrechte unseren Klienten, Mitarbeitenden und allenfalls auch unseren Geschäftspartnern. Es bildet die verbindliche Grundlage für alle Datenschutzrelevanten Massnahmen und Aktivitäten in der Eins a Spitex, namentlich für das Bearbeiten von:

  • Personendaten der Klienten
  • Personendaten der Mitarbeitenden, inklusive Daten über Stellenbewerbenden und ehemalige Mitarbeitende.
  • Information über Geschäftspartner und weitere Dritte, soweit Personendaten betroffen sind.

2       Gesetzliche Grundlagen

Grundlage für dieses Datenschutzkonzept ist das Bundesgesetz über den Datenschutz vom 25. September 2020 (DSG; SR 235.1) und die Verordnung über den Datenschutz vom 31. August 2022 (DSV; SR 235.11) sowie gegebenenfalls das Datenschutzrecht des Kanton Thurgaus.

3       Begriffe

Wichtige Begriffe sind in Anhang 1 definiert.

4       Geltungsbereich

Das vorliegende Datenschutzkonzept gilt für alle Organe und Mitarbeitenden der eins a spitex GmbH, die im Rahmen der Erfüllung ihrer Funktion und Aufgaben Personendaten bearbeiten.

Es gilt ebenfalls für externe Personen und Firmen, sofern sie sich durch entsprechende schriftliche Vereinbarung zu dessen Einhaltung verpflichten.

 

5       Zielsetzung

Das Hauptziel dieses Konzepts ist die Gewährleistung des Schutzes der Persönlichkeit natürlicher Personen vor widerrechtlicher oder unverhältnismässiger Bearbeitung der Daten von Personen gemäss Ziffer 1. Dieses Konzept soll als verbindliche Richtlinie für alle eins a spitex GmbH tätigen Personen darin unterstützen, in Eigenverantwortung datenschutzrechtlich einwandfrei zu handeln.

Mit der Umsetzung dieser Zielsetzung vermeidet die eins a spitex GmbH auch materielle Nachteile und Imageschäden, welche ihr aufgrund von datenschutzwidrigen Handlungen erwachsen könnten.

6       Grundsätze des Datenschutzes

6.1       Rechtmässigkeit

Rechtmässig ist die Datenbearbeitung, wenn sie durch die Einwilligung der betroffenen Person, eine gesetzliche Ermächtigung oder ein überwiegendes öffentliches oder privates Interesse gerechtfertigt ist.

6.2       Verhältnismässigkeit

Die Datenerhebung muss erforderlich sein, zudem soll ein überwiegendes Interesse an der Erhebung bestehen. Datenerhebungen auf Vorrat sind wiederrechtlich, nicht mehr benötigte Daten sind zu vernichten.

6.3       Zweckbindung

Die Daten dürfen nur zum Zweck bearbeitet werden, der bei der Erhebung der Daten genannt wurde. Ihre Daten dürfen zu keinem für die betroffene Person nicht erkennbaren Zweck bearbeitet werden.

6.4       Transparenz

Die Datenerhebung und – Bearbeitung muss klar erkennbar sein. Die notwendigen Informationen sollen direkt bei der betroffenen Person beschafft werden.

6.5       Datenqualität

Es muss sichergestellt sein, dass die bearbeitenden Daten richtig, vollständig und aktuell sind. Unrichtige und unvollständige Daten sind zu korrigieren oder zu vernichten.

6.6       Treu und Glauben

Widersprüchliches und rechtmissbräuchliches Verhalten ist unzulässig.

 

7       Datensicherheit: Massnahmen

Mit organisatorischen und technischen Massnahmen sollen der Datenschutz gewährleistet und Personendaten insbesondere vor dem Zugang Unbefugter, Missbrauch, Vernichtung, Verlust, technischen Fehlern, Fälschung, Diebstahl etc., geschützt werden.

7.1       Organisatorische Massnahmen

Zugang zu Personendaten besteht bei der eins a spitex GmbH nach dem Grundsatz «So viel wie nötig, so wenig wie möglich».

Die/Der Datenschutzverantwortliche regelt deshalb in Zusammenarbeit mit den jeweils zuständigen Führungspersonen für jede Datensammlung, wer unter welchen Bedingungen Zugang zu Personendate hat und wie dies überwacht wird.

Sie/Er führt ein Verzeichnis der Bearbeitungstätigkeiten gemäss den gesetzlichen Anforderungen und hält dieses aktuell.

Sie/Er regelt zudem, wem Zugang zum archivierten Daten gewährt wird.

7.2       Technische Massnahmen

Der Schutz elektronischen bearbeiteter Daten wird insbesondere durch die Verwendung und regelmässige umfassende Verschlüsselung, den Einsatz von Firewalls, Virenschutzprogrammen etc. und di Protokollierung von Zugriffen gewährleistet.

Durch Zugangs- und Personendatenträgerkontrollen wird verhindert, dass unbefugte Personen Zugang zu Datenbeständen haben oder diese verändern, zerstören, entwenden etc.

7.3       Archivierung

Personendaten, die für die Bearbeitung nicht mehr benötigt werden, werden gemäss den Richtlinien der/des Datenschutzverantwortlichen aufbereitet und während der definierten Dauer archiviert.

7.4       Vernichtung

Daten von untergeordneter Bedeutung werden unmittelbar nach Erreichen des Bearbeitungszwecks vernichtet (physisch zerstört oder elektronisch unwiederbringlich gelöscht). Die/Der Datenschutzverantwortliche bestimmt die Einzelheiten.

 

8       Rechte der betroffenen Personen

Dem Ziel, im Alltag regelmässige eintretende Situationen datenschutzrechtlich korrekt zu handhaben, dienen die folgenden Handlunganleitungen.

8.1       Aufklärung/Orientierung

Klienten sowie Mitarbeitende werden beim Vertragsabschluss über ihre datenschutzrechtlichen Rechte und Pflichten informiert.

Der/Die Datenschutzverantwortliche orientiert sie danach angemessen über die Beschaffung betreffender Personaldaten.

8.2       Auskunfts-/Einsichtsrecht

Die von der Bearbeitung ihrer Daten betroffene Person darf über Erhebung, Herkunft, Inhalt, Zweck, Kategorie und Rechtsgrundlage Auskunft verlangen und in die Datensammlung Einsicht zu nehmen. Sie hat auch das Recht auf die Bekanntgabe der an der Sammlung Beteiligten und Datenempfänger

Die Auskunft bzw. Einsicht verlangende Person muss sich über ihre Identität ausweisen.

Die Auskunft ist innert 30 Tagen in allgemeinverständlicher Weise, schriftlich und kostenlos zu erteilen.

Die Erteilung von Auskünften und die Einsichtsrechte dürfen ausnahmsweise beschränkt oder verweigert werden, wenn wichtige und überwiegende öffentliche Interessen oder besonders schützenswerte Interessen von Dritten entgegenstehen.

Besteht das Risiko, dass die betroffene Person (v.a. Minderjährige) mi der Auskunftserteilung oder Einsichtnahme einer zu hohen Belastung ausgesetzt werden könnte, kann sie eine andere Person bestimmen, der an ihrer Stelle Auskunft erteilt bzw. Einsicht gewährt wird.

8.3       Recht auf Berechtigung

Widerrechtliche oder unrichtige bearbeitete sowie unrichtige Daten müssen berichtigt oder vernichtet werden.

8.4       Sperrung/Verweigerung der Datenbekanntgabe

Jede betroffene Person kann die Bekanntgabe ihrer Daten sperren lassen, wenn sie ein schutzwürdiges Interesse nachweist. Dies gilt dann nicht, wenn die Datenbekanntgabe eine gesetzliche Verpflichtung darstellt, aufgrund überwiegender Interessen Dritter erforderlich ist oder zur Aufklärung von mutmasslich rechtsmissbräuchlichen Handlungen der betroffenen Person erforderlich ist.

 

9       Handlungsanleitung

Dem Ziel, dass im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt gehandhabt werden, dienen die folgenden Handlunsanleitungen:

9.1       Verhalten bei telefonischen und schriftlichen Anfragen

Ohne ausdrückliche Einwilligung der betroffenen Person oder ohne entsprechende gesetzliche Erlaubnis dürfen Personendaten nicht an Aussenstehende weitergegeben werden.

Bei telefonischen Anfragen ist die eindeutige Identifizierung der anfragenden Person sicherzustellen. Werden Telefongespräche aufgezeichnet, muss darauf hingewiesen werden und die Zustimmung des/der Gesprächspartner/in eingeholt werden.

9.2       Grundsätze der E-Mail-Nutzung

E-Mails können durch Dritte mitgelesen oder verändert werden. Grundsätzlich sollen deshalb möglichst wenig Personendaten per E-Mail übermittelt werden und sie sollen keine sensiblen Informationen oder Angaben über Passwörter und andere Zugangsdaten enthalten.

Per E-Mail dürfen besonders schützenswerte Daten grundsätzlich nur verschlüsselt übermittelt werden, sofern die betroffene Person keine gegenteilige, schriftliche Erklärung angegeben hat.

Zu beruflichen Zwecken bearbeitete Personendaten dürfen nicht auf privaten Geräten gespeichert werden.

Im Übrigen sind auch die Vorschriften im Reglement der eins a spitex GmbH über die Informatiknutzung zu beachten.

9.3       Verwendung Bild-/Tonaufnahmen

Auf Bild-, Film- und/oder Tonaufnahmen erkennbar dürfen nur Personen festgehalten werden, welche dazu ihre Einwilligung gegeben haben.

Die Einwilligung der betroffenen Person muss freiwillig, ausdrücklich und nach vorgängiger Aufklärung über den Zweck und die Verwendung der Aufnahmen erfolgen. Die Zustimmung kann schriftlich oder bei Anwesenheit mehrerer Personen mündlich oder nonverbal erfolgen und ist zu dokumentieren.

 

10   Verantwortlichkeiten

10.1   Verwaltungsrat/Geschäftsleitung

Der Verwaltungsrat ist auf strategischer Ebene für die Gewährleistung des Datenschutzes der eins a spitex GmbH verantwortlich. Der Verwaltungsrat besteht aus Frau Stefanie Reinermann und Herr Christof Büschl.

Er nimmt den Datenschutz als relevantes Thema in sein Risikomanagement-System auf und beurteilt die entsprechenden Risiken in strategisch stufengerechter Weise.

Er erlässt das vorliegende Datenschutzkonzept und überprüft dieses regelmässig.

Er bestimmt die/den Datenschutzverantwortliche/n, regelt ihre/seine Aufgaben, Verantwortlichkeiten und Kompetenzen unter Berücksichtigung der Vorschriften der Gesetzgebung in einem Pflichtheft und nimmt ihre/sein regelmässige Berichtserstattung entgegen.

 

10.2   Geschäftsleitung

Die Geschäftsleitung ist in Zusammenarbeit mit der/dem Datenschutzverantwortlichen zuständig für die Umsetzung dieses Konzepts und für die Einhaltung der datenschutzrechtlichen Vorgaben im Rahmen aller Datenbearbeitung auf operativer Ebene.

Sie sorgt in geeigneter Weise dafür, dass alle Mitarbeitenden regelmässig für die Belange des Datenschutzes sensibilisiert und über die vorgaben dieses Konzepts und deren Anwendung im beruflichen Alltag informiert werden.

10.3   Datenschutzverantwortliche/r

Die/Der Datenschutzverantwortliche nimmt betriebsintern die Aufgaben gemäss der Gesetzgebung und dem Pflichtheft wahr.

  • Sie/Er ist nach innen und aussen die Ansprechperson für alle Fragen bezüglich des Datenschutzes.
  • Sie/Er prüft die Rechtsmässigkeit der Datenbearbeitung der eins a spitex GmbH.
  • Sie/Er verfügt über ein Weisungsrecht, soweit dies für die Einhaltung der Gesetzgebung und die Umsetzung dieses Konzepts erforderlich ist.
  • Sie/Er erstattet gegebenenfalls Meldungen an die Datenschutzbeauftragten des Bundes und/oder des Kantons.
  • Sie/Er berichte dem Verwaltungsat/Geschäftsleitung regelmässig über die Datenbearbeitung in der eins a spitex GmbH, weist dabei auf erkannte Risiken hin und gibt Empfehlungen für mögliche Verbesserungen ab. Über besondere Vorkommnisse von grösserer Tragweite orientiert sie/er unverzüglich.
  • Sie/Er führt regelmässige Dateschutz-Audits durch und zieht hierfür bei Bedarf xterne Unterstützung bei.
  • Sie/Er steht dem Verwaltungsrat, der Geschäftsleitung, den Mitarbeitenden sowie den Klientinnen und Klienten bei datenschutzrechtlichen Fragen beratend zur Verfügung.

10.4   Leitung HR

Die Leitung HR ist für die sorgfältige und datenschutzkonforme Bearbeitung der Personendaten der Mitarbeitenden im Rahmen der Personalarbeit verantwortlich.

10.5   Führungspersonen

Die Vorgesetzten aller Stufen nehmen die Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, dem Datenschutz bei ihrem Handeln am Arbeitsplatz Rechnung zu tragen.

Sie sind in ihren Verantwortungsbereichen für die Durchsetzung und einhaltend des Datenschutzes verantwortlich, insbesondere im Rahmen dieses Konzepts und der Geschäftsprozesse.

Sie sorgen in Zusammenarbeit mit der/dem Datenschutzverantwortlichen für die datenschutzmässige Sensibilisierung und handlungsorientierte Anleitung der Mitarbeitenden.

10.6   Mitarbeitende

Alle Mitarbeitenden der eins a spitex GmbH, welche Personendaten bearbeiten, tragen dem Datenschutz eigenverantwortlich Rechnung und handeln dabei insbesondere gemäss dem vorliegenden Konzept und den Weisungen der/des Datenschutzverantwortlichen.

Sie wenden sich bei Fragen und Unsicherheiten an ihre Vorgesetzten oder an die/den Datenschutzverantwortliche/n.

 

Dieses Konzept gilt ab 01. Juni 2023

Wängi, 30. Mai 2023

eins a spitex GmbH

__________________________                                                __________________________

Die Geschäftsführerin                                                              Die Datenschutzverantwortliche
Frau Stefanie. Reinermann                                                       Frau Elena Lombardi

 

 

11   Anhang 1

 

Personendaten

Angaben über eine bestimmte oder bestimmbare natürliche Person

Besonders Schützenswerte Personendaten

a)     Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;

b)     Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer ethnischen Gruppe oder Herkunft;

c)     Genetische Daten;

d)     Biometrische Daten, die eine natürliche Person eindeutig identifizieren;

e)     Daten über verwaltungs- und strafrechtliche Verfolgung oder Sanktionen;

f)      Daten über Massnahmen der sozialen Hilfe.

Bearbeiten von Personendaten

Jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, wie das Beschaffen, Speichern, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

Bekanntgabe von Personendaten

Jedes Übermitteln oder Zugänglichmachen von Personendaten.

Datensammlung

Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach bestimmten Personen erschliessbar sind.

Datenschutzverantwortliche/r

Person, welche betriebsintern die Einhaltung der Datenvorschriften überwacht, u.a. ein Verzeichnis der Datensammlung führt.

Inhaber/in der Datensammlung

Verantwortliche/r für eine Datenbearbeitung. Sie/Er entscheidet allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung.

Persönlichkeitsprofil

Zusammenstellung von Daten, die ein Beurteilung wesentlicher Aspekte der Persönlichkeiten einer natürlichen Person erlaubt.

Profilling

Bewertung bestimmter Merkmale einer Person aufgrund von automatisiert bearbeitenden Personendaten (um z.B. die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, bestimmte Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen).

Verwendetes Bildmaterial

Photo by Dominik Lange on Unsplash