Suche
E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Unternehmensnews
Stellenmarkt
Firmenverzeichnis
Advertorials
Who is Who
Köpfe und Karrieren
Kalender
Blogs
Verbände
App des Monats
Links
Aktuelle Ausgabe
Downloads
E-HEALTH-COM App
Mediadaten
Abonnement
ePaper
Newsletter
Suche

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Top-Thema |

Datenschutz

Am 24. Mai dieses Jahres trat die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft. In zwei Jahren wird sie das geltende Datenschutzrecht in Europa und damit auch in Deutschland sein. Was kommt auf die Unternehmen und die medizinischen Einrichtungen jetzt zu? Die Veränderungen sind nicht ganz unerheblich, wie ein genauer Blick in die neuen Regelungen zeigt.

 

Auf manchen Gesundheits-IT- und anderen Veranstaltungen vermitteln Vorträge zur DS-GVO den Eindruck, durch das neue europäische Datenschutzrecht werde sich wenig ändern. Vordergründig stimmt das auch: Weiterhin gilt das Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt. Auch zukünftig gelten die Gebote der Datenvermeidung und der Datensparsamkeit. Und natürlich sind auch weiterhin die Betroffenenrechte zu wahren. Schaut man sich die Regelungen hingegen im Detail an, so stellt man doch einiges an Veränderungen fest.

Zielsetzung der DS-GVO
Grundsätzliche Unterschiede zwischen Bundesdatenschutzgesetz (BDSG) und DS-GVO gibt es schon bei der Zielsetzung. Das BDSG dient dem Zweck, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“ (§ 1 Abs. 1 BDSG).


Die DS-GVO hingegen verfolgt mehrere Ziele:

  • Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten(Art. 1 Abs. 1 DS-GVO)
  • Regelungen bezüglich des freien Verkehrs solcher Daten (Art. 1 Abs. 1 DS-GVO)
  • Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DS-GVO)
  • Einschränkung des Schutzes personenbezogener Daten für den „freien Verkehr“ (Art. 1 Abs. 3 DS-GVO)


Mit anderen Worten: Das BDSG richtet(e) das gesetzliche Schutzziel auf den „Einzelnen“, also auf die Person, die DS-GVO dagegen adressiert stark „personenbezogene Daten“ und den „freien Verkehr“ dieser Daten.


Damit dies möglich ist, werden in den Erwägungsgründen mehrere Voraussetzungen genannt. Dazu zählt eine Stärkung und Präzisierung der Rechte der betroffenen Personen (ErwGr. 11), eine Verschärfung der Auflagen für Verantwortliche bezüglich der Datenverarbeitung (ErwGr. 11),
europaweit gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten (ErwGr. 11) und europaweit gleiche Sanktionen im Falle einer Verletzung des Schutzes personenbezogener Daten (ErwGr. 11). Die DS-GVO adressiert diese grundlegenden Voraussetzungen und hat damit von vornherein eine etwas andere Zielrichtung als das Bundesdatenschutzgesetz.

Anpassungsbedarf
Die Verordnung verursacht, wie nicht anders zu erwarten war, einen gewissen Anpassungsbedarf in den existierenden Prozessen. Insbesondere ist Folgendes zu beachten:

A. Die Verordnung führt zum Teil neue Begriffe und Definitionen ein. Bereits bekannte Begrifflichkeiten werden zum Teil abweichend vom bisherigen deutschen Recht definiert und erfordern daher eine neue Auslegung.


B. Im Bereich der Auftragsverarbeitung – bisher meist als Auftragsdatenverarbeitung bezeichnet – muss die Vertragsgestaltung angepasst werden. Änderungen bei Rechten und Pflichten, die gegebenenfalls gemeinsame Haftung von Auftraggeber und Auftragnehmer, hohe Bußgelder bei fehlerhafter Auftragsverarbeitung sowohl für Auftraggeber wie Auftragnehmer usw. erfordern die Überprüfung existierender Vereinbarungen zwischen Auftraggeber und Auftragnehmer.


C. Die DS-GVO führt neue Pflichten bezüglich der Verarbeitung personenbezogener Daten ein, zum Beispiel die Forderung nach Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („data protection by design and by default“).


D. Falls die gesetzlich geforderte Datenschutz-Folgenabschätzung, die die Vorabkontrolle ablöst, ein hohes Risiko aufzeigt, muss zwingend die Datenschutzaufsichtsbehörde einbezogen werden. Ein Verstoß gegen die Einbeziehung der zuständigen Aufsichtsbehörde kann ein hohes Bußgeld verursachen.


E. Im Bereich der datenschutzrechtlichen Einwilligungen ist eine Anpassung hinsichtlich der Informationspflichten erforderlich. Zum Beispiel muss dem Betroffenen mitgeteilt werden, wann seine Daten gelöscht werden. Auch hier kann die zuständige Aufsichtsbehörde ein hohes Bußgeld bei einer Verarbeitung mit fehlender oder fehlerhafter Einwilligung verhängen.


F. Die DS-GVO führt weiterhin neue Betroffenenrechte ein, zum Beispiel das Recht auf Datenübertragbarkeit. Bestehende Rechte – überwiegend Informationspflichten – werden zum Teil erweitert. Fehler bei der Wahrung von Betroffenenrechten sind bußgeldbewehrt.


G. Es muss eine Anpassung der internen Dokumentation entsprechend den Vorgaben der DS-GVO erfolgen, wobei die DS-GVO deutlich strengere Maßstäbe an die Dokumentation anlegt als das BDSG. Auch eine fehlende/fehlerhafte Dokumentation ist bußgeldbewehrt.

Sanktionen
Die Sanktionen durch Bußgelder werden massiv verschärft. Einerseits werden die Bußgelder deutlich erhöht. Konkret drohen bis zu 10 bzw. 20 Millionen Euro oder zwei bzw. vier Prozent des weltweiten Vorjahresumsatzes, je nachdem, was höher ist. Zudem werden die Bußgeldtatbestände deutlich erweitert. So ist beispielsweise ein Bußgeld zu verhängen bei Verstößen gegen Art.  25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen), Art. 28 (Auftragsverarbeiter), Art. 29 (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftrags-
verarbeiters), Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 31 (Zusammenarbeit mit der Aufsichtsbehörde), Art. 32 (Sicherheit der Verarbeitung), Art. 33 und 34 (Meldung von Datenpannen an Aufsichtsbehörde und Betroffene), Art. 35 (Datenschutzfolgenabschätzung) und Art. 36 bis 39 (Datenschutzbeauftragter).


Dieses zwingende Bußgeld steht in deutlichem Kontrast zur bisherigen Praxis. Das BDSG enthielt in § 43 Abs. 3 eine Kann-Regelung: „Die Ordnungswidrigkeit kann ... geahndet werden.“ Die DS-GVO hingegen verankert eine Pflicht zur Verhängung eines Bußgeldes, das heißt bei Verstoß muss ein Bußgeld angeordnet werden. Lediglich über die Höhe des Bußgeldes kann die zuständige Aufsichtsbehörde noch in einem gewissen Rahmen entscheiden. Aber auch hier existieren in der DS-GVO Vorgaben, welche Bewertungskriterien die Aufsichtsbehörde bei der Festlegung der Höhe eines Bußgeldes heranziehen muss. Zugleich müssen vergleichbare Verstöße überall in Europa in ähnlicher Weise bestraft werden. Eine Tat darf beispielsweise in Irland nicht deutlich weniger stark sanktioniert werden als in Frankreich. Somit wird deutschen Aufsichtsbehörden auch bei der Bestimmung der Höhe von Bußgeldern bei Verstößen gegen die DS-GVO ein enges Korsett angelegt.

Was ist zu tun?
Wie sollten sich Einrichtungen des Gesundheitswesens mit Blick auf die sich ändernden Anforderungen verhalten? Zunächst sollte die Budgetplanung beim Datenschutzbeauftragten angepasst werden: Der Datenschutzbeauftragte muss Fortbildungen besuchen, um sich einen Überblick zu verschaffen und sich das Wissen darüber anzueignen, was konkret an Umsetzungen im Unternehmen bzw. in der Einrichtung ansteht. Weiterhin sollte neue Literatur zur Datenschutz-Grundverordnung angeschafft werden, und wahrscheinlich wird am Anfang unter Umständen externe Beratung eingeholt werden müssen.


Notwendig ist darüber hinaus wahrscheinlich eine Anpassung der eingesetzten IT-Systeme. Die wenigsten Systeme im medizinischen Umfeld, ob ambulant oder stationär, können zum Beispiel das „Recht auf Datenübertragbarkeit“, das es bisher ja noch nicht gab, erfüllen. Die vorhandenen Systeme müssen demnach im Hinblick auf diesen Punkt evaluiert und gegebenenfalls erweitert bzw.
bezüglich der Erfüllung der Vorgaben der DS-GVO validiert werden.


Auch die Prozesse im Unternehmen bzw. in der medizinischen Einrichtung müssen angepasst werden: Die Verträge zur Auftragsdatenverarbeitung müssen überarbeitet und neu abgeschlossen werden, soweit sie überhaupt schon existieren. Die IT-Sicherheit in der eigenen Einrichtung, sei es im stationären oder ambulanten Umfeld, muss auditiert werden: Steht eine dem „Stand der Technik“ entsprechende IT-Landschaft zur Verfügung? Dann müssen die Rechtsgrundlagen der Datenverarbeitung geprüft werden. Hier ist vor allem Augenmerk auf die Anpassung der Patienteneinwilligung zu richten. Achtung: Nur eine Einwilligung, die den Anforderungen der DS-GVO genügt, kann nach Eintreten der Geltung der DS-GVO weiterhin als Legitimationsgrundlage für eine Datenverarbeitung im Sinne von Art. 4 Abs. 2 DS-GVO gelten.


Daneben müssen die Prozesse im Zusammenhang mit den Auskunftsansprüchen Betroffener an die Forderungen der DS-GVO angepasst werden. Es müssen insbesondere die Verarbeitungszwecke, die Rechtsgrundlage, aufgrund welcher die Verarbeitung erfolgt, und die Speicherfristen bei der Information des Betroffenen/Patienten mitberücksichtigt werden. Und eine Benachrichtigung Betroffener bei Aufhebung einer Sperrung muss vorgesehen werden. Letzteres ist nicht zu unterschätzen: Wie oft erfolgt die Aufhebung einer Sperrung in einem KIS aus Abrechnungsgründen? Hier sind gegebenenfalls Anpassungen im Prozess notwendig, um einen optimalen Zeitpunkt für die Sperrung der Daten zu erreichen.


Weiterhin ist die Etablierung einer Datenschutz-Folgenabschätzung in den Prozessmanagement-Workflow erforderlich. Dabei kann die Datenschutz-Folgenabschätzung tiefer gehen als die bisherige Vorabkontrolle und auch andere Pflichten nach sich ziehen. Abgesehen von dem bisher Gesagten muss schließlich auch der Workflow im Zusammenhang mit Datenverlust beziehungsweise Datenlecks angepasst werden. Bei einer Meldepflicht innerhalb von 72 Stunden sollten Zuständige benannt und Entscheidungshilfen vorbereitet werden. Denn im Falle eines Falles fehlt die Zeit, derartige organisatorische Fragen zu beantworten.

Fazit
Die zwei Jahre Umsetzungsfrist sind knapp bemessen. Jedes Unternehmen und jede medizinische Einrichtung sollte so früh wie möglich anfangen, sich mit der DS-GVO zu beschäftigen. Prozesse anzupassen ist immer eine zeitlich aufwendige Angelegenheit. Die europäische Datenschutz-Grundverordnung bedingt eine Reihe von notwendigen Anpassungen, wie die oben dargestellten Beispiele aufzeigen, wenn ab Mai 2018 weiterhin gesetzeskonform gearbeitet werden soll. Die Umsetzung des DS-GVO kann nur erfolgreich geschehen, wenn Anwender und Hersteller von IT-Systemen gemeinsam Lösungen erarbeiten und der nationale Gesetzgeber im medizinischen Umfeld die Möglichkeiten zur Anpassung der DS-GVO auf nationale Notwendigkeiten hin nutzt.

 

Autor:  Dr. Bernd Schütze
ist Senior Experte Medical Data Security bei Telekom Healthcare Solutions. Er ist Mitglied in verschiedenen Gesellschaften und Berufsverbänden, u.a. Leiter der GMDS-AG „Datenschutz und IT-Sicherheit im Gesundheitswesen“(DIG).

Kontakt: schuetze(at)medizin-informatik.org

Meistgelesen

Blog
DiGA: Die unerschlossene Welt der IVD-Daten
Unternehmensnews
Kooperation geschlossen: Nui Care und DAK-Gesundheit unterstützen pflegende Angehörige
Unternehmensnews
„Noah Labs Ark“ erhält die medizinische Zulassung
Unternehmensnews
Arvato Systems übernimmt Betrieb und Weiterentwicklung der AOK-Webpräsenz

Cookies auf e-health-com.de

Diese Website nutzt Cookies, um ihre Dienste anbieten zu können und Zugriffe zu analysieren. Dabei ist uns der Datenschutz sehr wichtig.

Legen Sie hier Ihre Cookie-Einstellungen fest. Sie können Sie jederzeit auf der Seite Cookie-Informationen ändern.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts