Sehr geehrte medix-Kundinnen und Kunden,

am 25. Mai 2018 tritt die DSGVO (Datenschutzgrundverordnung) in Kraft. Diese regelt die Rechte an persönlichen Daten, sowie die Pflichten, die jedem auferlegt werden, der mit persönlichen Daten arbeitet, diese speichert und/oder verarbeitet. Wir möchten in dieser Informationsübersicht zur DSGVO in medix auf die wesentlichsten Punkte eingehen:

1. Auskunftsrecht der betroffenen Person:
   Innerhalb von 4 Wochen nach Einlangen einer Anfrage muss man in der Lage sein, alle personenbezogenen Daten der anfragenden Person zu übermitteln.
2. Recht auf Datenübertragbarkeit:
   Innerhalb von 4 Wochen nach Einlangen einer Anfrage muss man zudem in der Lage sein, der anfragenden Person ihre personenbezogenen Daten so auszuhändigen, dass sie den Dienstleistungsanbieter wechseln kann. Dabei ist darauf zu achten, dass die Daten etwaiger dritter Personen vor der Übergabe unkenntlich (z.B. geschwärzt) gemacht werden müssen.
3. Recht auf Löschung:
   Personenbezogene Datensätze müssen nach Wegfall des Verarbeitungsgrundes (je nach Situation z.B. unmittelbar nach Vertragserfüllung, nach 7 Jahren, 30 Jahren, etc.) gelöscht werden, bzw. dürfen diese Daten nicht mehr über Suchfunktionen auffindbar und weiter verwendbar sein.
4. Nachvollziehbarkeit:
   Alle Änderungen, Löschungen und Übermittlungen der personenbezogenen Daten müssen protokolliert werden, damit auf Anfrage die Herkunft und Verwendung aller personenbezogenen Daten nachweisbar ist.
5. Verzeichnis von Verarbeitungstätigkeiten:
   Wer Daten verarbeitet (speichert) muss künftig für alle Verarbeitungen personenbezogener Daten Verarbeitungsverzeichnisse erstellen. Darin ist festzulegen, für welchen Zweck welche personenbezogenen Daten erhoben und gespeichert werden. Verarbeitung ist nur mit einem konkreten Rechtsgrund zulässig. Es gelten die Minimalprinzipien: So wenig Daten wie möglich und Speicherung so kurz wie nötig. Spätestens mit Wegfall des Rechtsgrundes sind die betreffenden Daten zu löschen.
6. Datenschutz-Folgenabschätzung:
   Jedes Unternehmen, das sensible personenbezogene Daten speichert oder verwendet, muss alle denkbaren Risiken analysieren und alle Maßnahmen zur Risikovermeidung anführen. Zudem muss die ständige Verfügbarkeit dieser Daten sichergestellt sein.

Grundsätzlich werden sowohl medixPro als auch medix4 die DSVGO-konforme Datenverarbeitung unterstützen. Ein passendes Update werden wir Ihnen zeitgerecht zur Verfügung stellen. Zu Ihrer Information umreißen wir in dieser Aussendung kurz die relevanten Bereiche in medix:

• Auskunftsrecht der betroffenen Person:
  
  Sowohl medixPro als auch medix4 werden es ermöglichen, dass Sie eine Auflistung zu einer Person mit allen relevanten Kontaktdaten und Verknüpfungen zu Akten, Schriftsätzen, usw. erhalten, welche Daten dieser Person beinhalten. Diese Auflistung (Stammdatenblatt) ist auch der Ausgangpunkt für alle in den weiteren Punkten aufgelisteten Aktivitäten.
• Recht auf Datenübertragbarkeit:
  
  Die im Stammdatenblatt gelisteten personenbezogenen Daten Dritter können in medixPro bzw. auch in medix4 manuell gelöscht oder anonymisiert (geschwärzt) werden. Danach können die anonymisierten Datensätze dann per Email oder USB-Speichermedium der anfragenden Person übergeben werden.
• Recht auf Löschung:
  
  Grundsätzlich wird sowohl in medixPro als auch in medix4 das manuelle Löschen von ganzen Akten bzw. die manuelle Anonymisierung von Personen in Akten möglich sein. Bitte beachten Sie, dass auch etwaige Protokollierungen und Metadaten, in denen personenbezogene Daten enthalten sind, gelöscht werden müssen.
• Nachvollziehbarkeit:
  
  Sowohl in medixPro als auch in medix4 werden zukünftig automatisch alle eingegebenen und verwendeten Daten protokolliert, um die Einhaltung aller gesetzlichen Vorgaben zu erfüllen.
• Verzeichnis von Verarbeitungstätigkeiten:
  
  Im Laufe des April 2018 wird auch ein medix-Verarbeitungsverzeichnis zur Verfügung gestellt werden, welches Sie bei der Erfüllung dieser Pflicht unterstützen soll. Dieses ersetzt aber nicht ein Kanzlei/Firmen Verarbeitungsverzeichnis, sondern kann es nur ergänzen. Im Bereich der Rechtsanwälte wird durch die Rechtsanwaltskammern an einem Muster-verarbeitungsverzeichnis gearbeitet und dieses wird den Anwälten dann auch von der
  Interessensvertretung zur Verfügung gestellt werden. 
• Datenschutz-Folgenabschätzung:
  
  Wir werden Ihnen umfassende Unterstützung bei der Erstellung einer Risikoanalyse bieten, sowie eine Beratung, durch welche Maßnahmen diese Risiken am einfachsten vermieden werden können. Dazu werden wir in der Folge auch noch spezielle Consultingpakete durch dafür zertifizierte Mitarbeiter bzw. Partner anbieten.

Im Laufe des April 2018 folgt von uns auch noch eine Zusammenstellung weiterer Hinweise zum DSGVO-konformen Umgang mit personenbezogenen Daten in medix. Die gesetzlichen Interessensvertretungen, namentlich die Rechtsanwaltskammern, werden in den nächsten Wochen ebenfalls noch Richtlinien bzw. Mustervorlagen zum Umgang mit personenbezogenen Daten bekannt geben. Wir werden Sie bei Verfügbarkeit selbstverständlich entsprechend informieren.

Mit freundlichen Grüßen,

Ihr XPERTen Team