Datenschutzrechtliche Verpflichtungen
Datenschutzrechtliche Verpflichtungen
Datenschutzrechtliche Verpflichtungen
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Verantwortung für die Wahrung des Datenschutzes und des Arzt-/ Praxis-/ Apothekengeheimnisses<br />
Diese Verantwortung für die gesamte Praxis / Apotheke obliegt in erster Linie dem Inhaber<br />
der Praxis / Apotheke.<br />
Datengeheimnis<br />
a) Allen Mitarbeiterinnen und Mitarbeitern einer Praxis / Apotheke wird es in § 5<br />
BDSG ausdrücklich untersagt, personenbezogene Daten unbefugt zu erheben, zu<br />
verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach der Beendigung<br />
ihrer Tätigkeit fort.<br />
b) Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu<br />
verpflichten.<br />
Wer diese Verpflichtung vornimmt, richtet sich nach der internen Organisation der Praxis<br />
/ Apotheke. Der Inhaber der Praxis / Apotheke kann diese Aufgabe z. B. an den Datenschutzbeauftragten<br />
delegieren.<br />
Die Verpflichtung ist zwar an keine besondere Form gebunden. Erforderlich ist jedoch in<br />
jedem Einzelfall eine „persönliche“ Verpflichtung. Sie ist aktenkundig zu machen und<br />
sollte von dem bzw. der Verpflichteten durch Unterschrift bestätigt werden.<br />
Mit der Verpflichtung ist eine Belehrung über die sich aus dem Datenschutzrecht ergebenden<br />
<strong>Verpflichtungen</strong> zu verbinden.<br />
Erstellung eines Verfahrensverzeichnisses<br />
In jeder Praxis / Apotheke, in der personenbezogene Daten automatisiert verarbeitet<br />
werden, muss ein Verfahrensverzeichnis geführt werden. Es enthält eine Übersicht über<br />
die in der Praxis / Apotheke eingesetzten automatisierten Verarbeitungen personenbezogener<br />
Daten. Dabei geht es nicht um die Darstellung einzelner Verarbeitungsvorgänge,<br />
sondern um die jeweils eingesetzten automatisierten Verfahren als Ganzes.<br />
1
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Im Verfahrensverzeichnis müssen bei der Praxis / Apotheke folgende Angaben enthalten<br />
sein:<br />
1. der Name oder die Firma;<br />
2. der Inhaber;<br />
3. die Anschrift (Postanschrift);<br />
4. die Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung;<br />
5. eine Beschreibung der von der Datenerhebung, -verarbeitung oder -nutzung betroffenen<br />
Personengruppen und der diesbezüglichen Daten oder Datenkategorien;<br />
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden<br />
können;<br />
7. Regelfristen für die Löschung von Daten;<br />
8. eine geplante Datenübermittlung in Drittstaaten (falls zutreffend).<br />
Verantwortlich für die Erstellung des Verfahrensverzeichnisses ist der Inhaber der Praxis<br />
/ Apotheke.<br />
Das Verfahrensverzeichnis ist dem in der Praxis / Apotheke bestellten Beauftragten für<br />
den Datenschutz zur Verfügung zu stellen. Es kann von jedermann eingesehen werden.<br />
Der betriebliche Datenschutzbeauftragte<br />
Betriebliche Voraussetzungen<br />
In einer Praxis / Apotheke muss ein betrieblicher Datenschutzbeauftragter bestellt werden,<br />
wenn mindestens fünf Arbeitnehmer mit der automatisierten oder mindestens 20<br />
2
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Arbeitnehmer mit der nicht automatisierten Datenerhebung, -verarbeitung und -nutzung<br />
beschäftigt werden.<br />
In einer Praxis / Apotheke sind heute nahezu alle Mitarbeiter mit der Datenverarbeitung<br />
beschäftigt, z. B. am Empfang, im Labor, am HV-Tisch, bei der Bestellung, bei der Abwicklung<br />
der Abrechnung, bei der Durchführung von Werbeaktionen.<br />
Arbeitnehmer sind Personen, die aufgrund eines Arbeitsverhältnisses verpflichtet sind, im<br />
Dienste eines anderen abhängige Arbeit zu leisten. Entscheidend ist die persönliche Abhängigkeit,<br />
d. h. die Eingliederung in den Betriebsablauf und die Weisungsgebundenheit<br />
hinsichtlich Art, Umfang, Ausführung, Zeit und Ort der Arbeit.<br />
Auf den Umfang der Beschäftigung stellt das Gesetz nicht ab. Es zählen nicht allein die<br />
Ganztagsstellen, sondern maßgebend ist die Zahl der in der Regel beschäftigten Arbeitnehmer.<br />
Neben den Vollzeitbeschäftigten gehören auch die Teilzeitkräfte und Leiharbeitnehmer<br />
dazu, ebenso Auszubildende und Praktikanten.<br />
Die Arbeitnehmer müssen nicht ständig, d. h. das ganze Jahr über, in der Praxis / Apotheke<br />
beschäftigt sein. Entscheidend ist vielmehr, dass für die Erhebung, Verarbeitung<br />
und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Mitarbeitern<br />
ausgewiesen ist.<br />
Auch die Inhaber von Mischarbeitsplätzen zählen dazu. Allerdings genügt ein völlig untergeordneter<br />
Anteil von Datenverarbeitung an der Aufgabenstellung eines Beschäftigten<br />
nicht. Dies könnte z. B. bei einer Laborkraft der Fall sein.<br />
Die Aufgaben des Datenschutzbeauftragten<br />
Der Datenschutzbeauftragte wirkt auf die Einhaltung der datenschutzrechtlichen Vorschriften<br />
hin. Dabei hat er gem. § 4g Abs. 1 BDSG insbesondere<br />
3
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
• die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe<br />
personenbezogene Daten verarbeitet werden sollen, zu überwachen. Zu diesem<br />
Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener<br />
Daten rechtzeitig zu unterrichten;<br />
• die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete<br />
Maßnahmen mit dem Datenschutzrecht und mit den jeweiligen besonderen Erfordernissen<br />
des Datenschutzes vertraut zu machen.<br />
Seine Überwachungsaufgabe bezieht sich vor allem<br />
• auf die Begleitung der EDV-Programme, mit deren Hilfe personenbezogene Daten<br />
verarbeitet werden,<br />
• auf den Schutz der Kunden- und Arbeitnehmerdaten,<br />
• auf die Prüfung, ob die Datenerhebungen, -verarbeitungen und -nutzungen jeweils<br />
rechtlich zulässig sind,<br />
• auf die datenschutzrechtliche Ausgestaltung der Kundenkarte,<br />
• darauf, ob die Weitergabe von Daten an Dritte zulässig ist,<br />
• auf die Beachtung der Datenvermeidung und Datensparsamkeit bei der Gestaltung<br />
und Auswahl der DV-Systeme (vgl. § 3a BDSG),<br />
• auf die Frage, ob § 35 BDSG – Berichtigung, Löschung und Sperrung von Daten –<br />
beachtet wird,<br />
• auf die vollständige und ordnungsgemäße Vernichtung der Datenträger,<br />
• auf die Fragen der Datensicherheit (§ 9 BDSG), z. B.:<br />
- Auswahl, Konfiguration und Einsatz der richtigen EDV-Geräte, Nutzung<br />
von Bildschirmschonern,<br />
- Verwendung von Diskettenlaufwerken,<br />
- Dunkelschaltung nicht genutzter Bildschirme,<br />
- Sicherung der Vertraulichkeit ankommender Faxe,<br />
- sichere Ablage der Kunden- bzw. Patientendaten durch Verschlüsselung,<br />
4
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
- Abschottung der Internetnutzung von der die Patienten- bzw. Kundenda-<br />
ten enthaltenden Praxis-/Apotheken-EDV,<br />
- Passwortgebrauch.<br />
Bei technischen Fragen muss der Systemadministrator den Datenschutzbeauftragten,<br />
soweit erforderlich, unterstützen.<br />
Der Datenschutzbeauftragte ist Ansprechpartner des Inhabers und der Mitarbeiter der<br />
Praxis / Apotheke in allen Datenschutzfragen. Auch Patienten bzw. Kunden können sich<br />
vertrauensvoll an ihn wenden. Er ist bei allen den Datenschutz und die Datensicherheit<br />
betreffenden Beschwerden und Anfragen einzuschalten.<br />
Anhand des ihm vom Inhaber der Praxis / Apotheke zur Verfügung gestellten Verfahrensverzeichnisses<br />
erhält der Datenschutzbeauftragte einen Überblick über die automatisierte<br />
Verarbeitung der jeweiligen personenbezogenen Daten.<br />
Bei automatisierten Verarbeitungen mit besonderen datenschutzrechtlichen Risiken hat<br />
der Datenschutzbeauftragte bereits vor Beginn der Verarbeitung eine Prüfung vorzunehmen<br />
(sog. Vorabkontrolle).<br />
Eine wichtige Aufgabe des Datenschutzbeauftragten besteht in der Einweisung des Personals<br />
in einen praktizierten Datenschutz in der eigenen Praxis / Apotheke, z. B. bei der<br />
Bedienung und Beratung der Patienten / Kunden, beim Umgang mit Telefon und Fax, mit<br />
der EDV-Sicherheit oder mit der korrekten Vernichtung von Unterlagen.<br />
Es ist zu beachten, dass der Datenschutzbeauftragte dem Inhaber der Praxis / Apotheke<br />
die Verantwortung für die Belange des Datenschutzes und der Datensicherheit nicht abnimmt.<br />
Seine Funktion besteht vielmehr in der Unterstützung des Inhabers bei der Sicherung<br />
dieser Belange.<br />
Die Stellung des Datenschutzbeauftragten:<br />
• Er ist dem Inhaber der Praxis / Apotheke unmittelbar zu unterstellen.<br />
• Dieser muss ihn bei der Erfüllung seiner Aufgaben unterstützen.<br />
5
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
• Der Datenschutzbeauftragte ist in Ausübung seiner Fachkunde auf dem Gebiet des<br />
Datenschutzes weisungsfrei.<br />
• Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.<br />
• In Zweifelsfällen kann sich der Datenschutzbeauftragte an die zuständige Datenschutzaufsichtsbehörde<br />
wenden.<br />
• Die Bestellung zum Datenschutzbeauftragten kann nur widerrufen werden, wenn ein<br />
wichtiger Grund i. S. d. § 626 BGB (außerordentliche Kündigung) gegeben ist oder die<br />
Aufsichtsbehörde dies verlangt, weil sie festgestellt hat, dass der Datenschutzbeauftragte<br />
die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit<br />
nicht besitzt.<br />
Welche Eigenschaften muss der Datenschutzbeauftragte besitzen?<br />
• Fachkunde: Er muss die einschlägigen rechtlichen Regelungen kennen und imstande<br />
sein, diese in die Praxis umzusetzen. Er muss mit der Datenverarbeitung im Unternehmen<br />
vertraut sein.<br />
• Zuverlässigkeit: Dazu gehören sorgfältige und gründliche Arbeitsweise sowie die Fähigkeit,<br />
die datenschutzrechtlichen Belange gegenüber dem Inhaber der Praxis /<br />
Apotheke ggf. auch nachdrücklich zu vertreten.<br />
• Es dürfen keine Interessenkollisionen mit anderen übertragenen Aufgaben auftreten.<br />
Externer oder interner Datenschutzbeauftragter?<br />
Nach dem BDSG (Anhang 1) kann auch eine Person, die nicht in der betreffenden Praxis<br />
/ Apotheke angestellt ist, zum externen Datenschutzbeauftragten bestellt werden. Bei<br />
kleinen Einheiten, wie Praxis / Apotheken, hat dies den Vorteil, dass man das eigene<br />
Personal nicht mit dieser „fremden“ und ungewohnten Aufgabe befassen muss. Vielmehr<br />
kann man sich einer externen Person bedienen, die mit großer Fachkenntnis und Berufserfahrung<br />
die Aufgaben den gesetzlichen Anforderungen entsprechend rationell und in<br />
wirtschaftlich sinnvoller Weise erledigt.<br />
6
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Eine derartige Lösung hat allerdings bei den Praxen / Apotheken einen Nachteil. Der externe<br />
Datenschutzbeauftragte darf aufgrund der Schweigepflicht des Praxisinhabers /<br />
Apothekers im Rahmen seiner Tätigkeit nicht ohne Weiteres in Patientendaten Einsicht<br />
nehmen. Da in einer Praxis / Apotheke hauptsächlich Patientendaten verarbeitet werden,<br />
könnte sich die Haupttätigkeit des Datenschutzbeauftragten nur auf grundsätzliche Fragen<br />
des Datenschutzes und der Datensicherheit in der Praxis / Apotheke und auf die<br />
Arbeitnehmerdaten beziehen. Für die Patientendaten müsste jedes Mal die Einwilligung<br />
der Betroffenen eingeholt werden.<br />
Wir halten für Praxen / Apotheken auch eine interne Lösung für geeignet. Als Datenschutzbeauftragte<br />
kommen in erster Linie Praxis- / Apothekenmitarbeiter in Betracht, die<br />
den Betrieb und die eingesetzte EDV gut kennen und darüber hinaus bereit sind, sich mit<br />
der Umsetzung des Datenschutzrechts in der Praxis / Apotheke zu befassen.<br />
Die Bestellung zum Datenschutzbeauftragten<br />
Die Bestellung des Datenschutzbeauftragten muss binnen eines Monats nach dem Eintreten<br />
der Voraussetzungen schriftlich durch den Inhaber der Praxis / Apotheke erfolgen.<br />
Im Hinblick auf die eingeschränkten Kündigungsmöglichkeiten gegenüber einem Datenschutzbeauftragten<br />
ist es denkbar, die Dauer seiner Tätigkeit zu befristen. Die Befristung<br />
sollte jedoch i. d. R. einen Zeitraum von zwei Jahren nicht unterschreiten.<br />
Wird ein Datenschutzbeauftragter trotz bestehender Verpflichtung vorsätzlich oder fahrlässig<br />
nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, so kann<br />
dies durch die Aufsichtsbehörde mit einem Bußgeld geahndet werden.<br />
Die Haftung des Datenschutzbeauftragten<br />
Es gelten die allgemeinen Haftungsgrundsätze, die allerdings zu einer unterschiedlichen<br />
Behandlung des externen und des internen Datenschutzbeauftragten führen.<br />
7
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Für den internen Datenschutzbeauftragten sind die Grundsätze der beschränkten Arbeitnehmerhaftung<br />
anzuwenden. Dabei haftet der Arbeitnehmer bei Vorsatz in vollem Umfang.<br />
Bei Fahrlässigkeit richtet sich die Frage, ob und in welcher Höhe der Arbeitnehmer<br />
haftet, nach dem Verschuldensgrad im Einzelfall.<br />
Im Gegensatz dazu haftet der externe Datenschutzbeauftragte für Vorsatz und jede Fahrlässigkeit<br />
in vollem Umfang. Es ist aber denkbar, die Haftung des externen Datenschutzbeauftragten<br />
im Dienstvertrag an die des internen anzugleichen.<br />
Datensicherheit<br />
In einer Praxis / Apotheke müssen die technischen und organisatorischen Maßnahmen<br />
getroffen werden, die erforderlich sind, um die Ausführung der Vorschriften des BDSG zu<br />
gewährleisten (§ 9 BDSG und Anlage dazu).<br />
Erforderlich sind diese Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis<br />
zu dem angestrebten Schutzzweck steht.<br />
Bezüglich der Sicherungsmaßnahmen muss im jeweiligen Einzelfall geprüft werden, ob<br />
und inwieweit sie für eine Praxis / Apotheke erforderlich bzw. zweckmäßig sind.<br />
Kontrollen und Sanktionen im Datenschutz<br />
Um die Einhaltung der datenschutzrechtlichen Vorschriften im nichtöffentlichen Bereich –<br />
und damit auch bei den Praxen / Apotheken – zu gewährleisten, sieht das BDSG ein besonderes<br />
Kontrollsystem vor, das wie folgt ausgestaltet ist:<br />
Der Betroffene<br />
Er kann den Umgang mit seinen personenbezogenen Daten selbst kontrollieren. Dabei<br />
hat er gegenüber der Stelle, die mit seinen Daten umgeht, Rechtsansprüche auf<br />
• Auskunft bezüglich seiner Daten (§ 34 BDSG),<br />
• Benachrichtigung (§§ 4, 33 Abs. 1 BDSG),<br />
• Berichtigung, Sperrung oder Löschung (§ 35 BDSG),<br />
8
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
• Widerspruch (§§ 28 Abs. 4, 29 Abs. 4, 35 Abs. 5 BDSG),<br />
• Schadenersatz (§ 7 BDSG).<br />
Der Betroffene kann sich zur Durchsetzung seiner sich aus dem Datenschutzrecht ergebenden<br />
Rechte an folgende Institutionen wenden:<br />
• an die verantwortliche Stelle,<br />
• an den betrieblichen Datenschutzbeauftragten,<br />
• als Arbeitnehmer an den Betriebsrat, soweit vorhanden,<br />
• an die Datenschutzaufsichtsbehörde,<br />
• an ein Zivilgericht zur gerichtlichen Geltendmachung seiner Ansprüche.<br />
Der betriebliche Datenschutzbeauftragte<br />
Er ist das „Kontrollorgan vor Ort“. Die Überwachung der Einhaltung der datenschutzrechtlichen<br />
Vorschriften gehört zu den wichtigsten Aufgaben eines betrieblichen Datenschutzbeauftragten.<br />
Er hat jedoch keine eigenen Durchsetzungs- und Sanktionsmöglichkeiten. Vielmehr kann<br />
er lediglich auf die Einhaltung der datenschutzrechtlichen Vorschriften hinwirken.<br />
Der Betriebsrat<br />
Soweit in einer Praxis / Apotheke ein Betriebsrat besteht, hat dieser bezüglich der personenbezogenen<br />
Daten, die sich auf die Arbeitnehmer beziehen, die allgemeinen sich aus<br />
dem Betriebsverfassungsgesetz ergebenden Kontrollbefugnisse.<br />
Darüber hinaus gestaltet er die Verarbeitung von Mitarbeiterdaten maßgebend mit und<br />
hat damit maßgeblichen Einfluss auf die Datenverarbeitung und die Verwirklichung des<br />
Datenschutzes im Unternehmen, z. B.<br />
• bei der Einführung einer automatischen Zeiterfassung oder<br />
• beim Abschluss einer Betriebsvereinbarung über die Nutzung von E-Mail und Internet<br />
am Arbeitsplatz und die entsprechenden Kontrollmöglichkeiten des Arbeitgebers.<br />
9
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Die Datenschutzaufsichtsbehörde<br />
Die Aufsichtsbehörde kontrolliert die Ausführung dieses Gesetzes sowie anderer Vorschriften<br />
über den Datenschutz.<br />
Die wesentlichen Aufgaben im Einzelnen:<br />
• Bearbeitung von Anfragen, Eingaben und Beschwerden<br />
• Beratung von Unternehmen bzw. von deren betrieblichen Datenschutzbeauftragten<br />
• Führung des öffentlichen Registers meldepflichtiger Verarbeitungen<br />
• Kontrollen (Informationsrecht, Betretens-, Besichtigungs-, Prüfungs- und Einsichtsrecht).<br />
Im Falle der Verweigerung können Mittel des Verwaltungszwangs, z. B.<br />
Zwangsgeld oder Ersatzvornahme, eingesetzt werden<br />
• Herausgabe von Tätigkeitsberichten (mindestens zwei Jahre)<br />
Maßnahmen bei Datenschutzverstößen:<br />
• Beanstandung gegenüber der verantwortlichen Stelle, z. B. dem Unternehmen<br />
• Unterrichtung des Betroffenen<br />
• Unterrichtung der Gewerbeaufsichtsbehörden bei schwerwiegenden Verstößen<br />
• Durchführung von Bußgeldverfahren<br />
• Stellen eines Strafantrags<br />
• Erlass von förmlichen Anordnungen zur Datensicherheit, ggf. Untersagung von einzelnen<br />
EDV-Verfahren<br />
• Aufforderung zur Abberufung des Beauftragten für den Datenschutz<br />
10
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Umsetzung in der Praxis / Apotheke<br />
Schulung der Mitarbeiter<br />
In einem ersten Schritt werden alle Mitarbeiter der Praxis / Apotheke, die in direktem<br />
Kontakt mit der Erhebung und Bearbeitung von kundensensiblen Daten stehen, in einer<br />
Schulung auf den besonderen Umgang mit diesen Daten belehrt. Die Belehrung orientiert<br />
sich an den grundsätzlichen Anforderungen des Bundesdatenschutzgesetzes und den<br />
individuellen Gegebenheiten der einzelnen Praxis / Apotheke.<br />
Allen beteiligten Mitarbeitern wird ein entsprechendes Merkblatt zum Datenschutz ausgehändigt,<br />
und ferner bestätigen die Mitarbeiter auf einer Verpflichtungserklärung, über die<br />
datenschutzrechtlich relevanten Sachverhalte unterwiesen zu sein.<br />
Benennung zum Datenschutzbeauftragten<br />
Soweit noch nicht geschehen, wird zwischen der jeweiligen Praxis / Apotheke und dem<br />
Datenschutzbeauftragten eine schriftliche Vereinbarung zu dessen Aufgaben und Pflichten<br />
erstellt. Die Benennung zum Datenschutzbeauftragten wird in der Praxis / Apotheke<br />
bekannt gemacht.<br />
Erstellung eines Verfahrensverzeichnisses<br />
In der jeweiligen Praxis / Apotheke wird ein Verfahrensverzeichnis erstellt, in dem neben<br />
den Daten der Praxis / Apotheke der Umfang, der Zweck und die Datenkategorien der<br />
erhobenen Daten festgelegt werden. Dieses Verfahrensverzeichnis ist zur eventuellen<br />
Nachweisführung gegenüber Aufsichtsbehörden erforderlich.<br />
Istaufnahme in der Praxis / Apotheke<br />
Anhand einer Checkliste werden in Form eines internen Audits (= Datenschutzaudit) alle<br />
relevanten Prozesse dahin gehend hinterfragt, an welchen Stellen sensible Daten erfasst,<br />
archiviert und ggf. weiterbearbeitet oder weitergegeben werden.<br />
11
<strong>Datenschutzrechtliche</strong> <strong>Verpflichtungen</strong><br />
Im Anschluss an diese Aufnahme wird ein Datenschutzbericht (= Auditbericht) erstellt,<br />
der zum einen schon existierende Datenschutzmaßnahmen aufzeigt, zum anderen aber<br />
auch die Schwachstellen benennt, die durch die Praxis / Apotheke abgestellt werden<br />
müssen.<br />
Begleitende Maßnahmen<br />
Die datenschutzrechtlich relevanten Abläufe und die daraus resultierenden Maßnahmen<br />
in der Praxis / Apotheke werden einmal jährlich durch ein Audit auf ihre Wirksamkeit hin<br />
überprüft.<br />
12