Hintergrund: Weshalb ändert sich was?

Im Jahre 1995 wurde die Richtlinie 95/46 EG erlassen, welche im Kern die Datenschutzprinzipien wiedergibt (also z.B. Prinzip der Datensparsamkeit, Zweckbindung, Transparenz etc…). Die DSGVO übernimmt die Begrifflichtkeiten aus der Richtlinie. Das Problem liegt nun darin das Deutschland in den vergangenen Jahren diese Richtlinie niemals komplett umgesetzt hat. Daher führt die DSGVO nun bereits seit vielen Jahren bekannte „Neuerungen“ ein welche umgesetzt werden müssen.

Besonders interessant für den Gesundheitsbereich dürfte daher der Art.4 DSGVO sein in welchem die Begrifflichkeiten festgelegt sind. Zum Beispiel werden hier die Gesundheitsdaten definiert oder auch der Begriff der verantwortlichen Stellen.

Die Rechtsgrundlage für die Verarbeitung von Daten

Als geltende Rechtsgrundlagen können die Artikel 4, 9 und 7 DSGVO genannt werden. Artikel 9 DSGVO beschäftigt sich mit der Verarbeitung besonderer Kategorien von Daten, unter welche Gesundheitsdaten gezählt werden. Artikel 4 DSGVO beschreibt die Einwilligung von Betroffenen. In Verbindung mit Artikel 9 Abs.2 DSGVO bleibt die Legitimation der Einwilligung des Patienten erhalten und somit rechtskräftig. Die Anforderungen an die Einwilligung wird in Artikel 7 DSGVO besprochen. Wir empfehlen diese Anforderungen auch in den entsprechenden Dokumenten umzusetzen.

Betroffenenrechte im Gesundheitswesen

Die Betroffenenrechte werden in den Artikeln 12 Transparenz, 13-14 Informationen vor Beginn der Verarbeitung, 15 Auskunft, 16 Berichtigung, 17 Löschung, 18 Sperrung und 21 Widerspruchsrecht definiert. Als neu ist der Artikel 19 zu beurteilen. Dieser hat Auswirkungen auf das Gesundheitswesen im Generellem. Im Kern geht es darum, daß Empfängern an die Betroffenendaten weitergegeben werden und wurden darüber informiert werden müssen wenn Änderungen, Berichtigungen, Löschungen oder Einschränkungen der übermittelten Daten stattfinden. Im Klartext bedeutet Artikel 19 DSGVO also nichts anderes als eine erhebliche höhere Dokumentation der Übermittlungsvorgänge. Jedes Krankenhaus, jede Praxis etc. klar dokumentieren muss welche Daten an wen zu welchen Zweck gesendet wurden. Zusätzlich müssen diese Daten aktuell gehalten werden. Das bedeutet natürlich einen erheblichen Mehraufwand für das Gesundheitswesen.

Ärzte, Anwälte, Steuerberater und viele Berufe mehr gelten als sogenannte Berufsgeheimnisträger. Wir hören öfters die Argumentation das Berufsgeheimnisträger sich nicht an die DSGVO halten muss. Artikel 9 Abs. 3 in Verbindung mit Erwägungsgrund 53 widerlegt dies. Also auch Geheimnisträger müssen sich an die DSGVO halten.

Das Unternehmen Krankenhaus/Praxis – How to

Wie unterscheidet sich ein Krankenhaus oder die ambulante Versorgung gegenüber einem „normalen“ Unternehmen aus datenschutzrechtlicher Sicht?  Wir stellen kurz die wichtigsten Aufgaben vor welche auf jeden Fall erfüllt sein müssen.

Verzeichnis von Verarbeitungstätigkeiten

Basierend auf Artikel 30 DSGVO müssen auch im Gesundheitsbereich alle Prozesse welche personenbezogene Daten verarbeiten klar dokumentiert werden. Die Erleichterung welche sich aus Art.30 Ab.5 DSGVO ergibt kann leider im Gesundheitsbereich aufgrund der Sensibilität der Daten (besondere Kategorie, Gesundheitsdaten) nicht angewendet werden.

Data Protection by Design/Default

Artikel 25 besagt das der Verantwortliche dahingehend verpflichtet ist seine Prozesse so datenschutzfreundlich wie möglich zu gestalten. Dies beeinhaltet auch die Voreinstellungen der Systeme. Der Umkehrschluss, nämlich das der Hersteller solcher Systeme verpflichtet ist diese datenschutzfreundlich zu gestalten, gilt nicht! Die Hersteller sollen laut Erwägungsgrund 78 lediglich dazu „ermutigt“ werden datenschutzkonforme Verbesserungen in Ihr Produkt einfließen zu lassen. Der Verantwortliche ist also nach wie vor in der Pflicht nur Produkte zu nutzen welche Einstellungsmöglichkeiten bezüglich des Datenschutzes aufweisen.

Datensicherheit – TOM´s

Artikel 32 beschreibt die datenschutzrechtlich benötigten technischen und organisatorischen Maßnahmen (TOM´s). Diese müssen den aktuellen Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gewährleisten. Beispiele hierfür wären die Pseudonymisierung und die Verschlüsselung personenbezogener Daten. Die TOM´s können nur mit dem Aufbau von IT-Sicherheitsmaßnahmen erreicht werden. Systeme und Dienste müssen sicherstellen das die Vertraulichkeit, die Integrität, Verfügbarkeit und Belastbarkeit gewährleistet sind. Verlangte das BDSG nur Maßnahmen welche zur Erfüllung beitragen so gibt die DSGVO klare zu erfüllende Ziele vor. (z.B. die Wirksamkeit der TOM´s)

Die Datenschutz Folgeabschätzung

Um es kurz zu machen: eine Datenschutz Folgeabschätzung muss im Gesundheitswesen immer verbindlich nach Artikel 35 DSGVO durchgeführt werden. Es handelt sich immer um eine besondere Kategorie von Daten nach Artikel 9  Abs.1 (Gesundheitsdaten).

Auftragsverarbeitung

Werden personenbezogene Daten im Auftrag von einem Dritten verarbeitet benötigt dies eine Vertragsgrundlage. Artikel 28 DSGVO spezifiziert welche Anforderungen an den Auftragsverarbeiter gestellt werden. Eine Vorlage zur Auftragsdatenverarbeitung kann vom GDD kostenfrei heruntergeladen werden.

Meldung von Datenpannen

Auch für das Gesundheitswesen gelten die Meldepflichten nach Artikel 33 und 34 DSGVO. Einerseits muss die zuständige Aufsichtsbehörde unverzüglich über die Panne informiert werden andererseit muss ebenfalls die betroffene Person informiert werden (spätesten 72 Stunden nach Eintritt des Vorfalls). Vorbeugen kann hier nur eine gute IT-Sicherheit. Eine verschlüsselte Festplatte welche verloren geht kann datenschutzrechtlich anders bewertet werden als eine unverschlüsselte – eventuell kann sogar von einer Meldung abgesehen werden (Prüfung durch Datenschutz Folgeabschätzung).

Grundsätzlich unterscheided sich der Datenschutz im Gesundheitswesen also nicht wesentlich von dem eines „normalen“ Unternehmens. Durch die Verarbeitung von sensiblen Daten sind allerdings strengere Kriterien in Bezug auf mögliche Sicherheitslösungen (vorallem im IT Bereich) zu ergreifen.

Datenschutz im Bereich der Forschung

Der Begriff der Forschung ist in der DSGVO nicht weiter definiert. Es bestehen allerdings Erwägungsgründe welche Aufschluss darüber geben wie der Gesetzgeber dieses Thema versteht. Unter den Begriff Forschung fallen zum Beispiel Klinische Prüfungen, Grundlagenforschung oder privat finanzierte Forschungen. Das Hauptproblem hierbei ist das die Gesundheitsdaten häufig für Sekundärnutzungen benötigt werden. Dies ist aber nur mit einer rückwirkenden Einwilligung durch den Patienten möglich, welche häufig nicht gegeben wird. Ohne diese Einwilligung ist die Nutzung besonderer Kategorien von Daten nur für den eigentlichen Zweck möglich (vgl. Artikel 9 DSGVO).

Fazit:

Die DSGVO hat viele Neuerungen gebracht. Besonders mit Hinblick auf Big Data Analysen und Cloudanwendungen sowie elektronische Patientenakten sind hohe Anstrengungen im Bereich der IT-Sicherheit zu unternehmen um diese sensiblen Daten bestmöglichst zu schützen. Bestehende Prozesse müssen aufgenommen und eventuell angepasst werden um DSGVO konform zu sein. Der Dokumentationsaufwand ist um ein vielfaches angestiegen.