Die Umsetzung der neuen Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht die Regelungen zum Datenschutz in der EU. Sie wird ab dem 25. Mai 2018 anwendbar sein und das alte Bundesdatenschutzgesetz (BDSG) ablösen. Gleichzeitig wird eine ergänzende Neufassung des nationalen Rechts eingeführt (BDSGneu 2018).
Die DSGVO regelt den Datenschutz und zwar speziell die personenbezogenen Daten (z.B. Name, Geburtsdatum, Kontaktdaten). Besondere personenbezogene Daten unterliegen
einem verschärften Schutz. In diese Kategorie fallen auch Gesundheitsdaten. Die DSGVO beschäftigt sich insbesondere mit der Verarbeitung von personenbezogenen Daten, wozu z.B. die Erhebung, Speicherung und Löschung der Daten zählt. Grundsatz der DSGVO ist das „Verbot mit Erlaubnisvorbehalt“, was bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, außer es liegt eine ausdrückliche Erlaubnis vor (per gesetzlicher Regelung oder per Einwilligung des Betroffenen).
Da in Deutschland schon zuvor ein strenger Datenschutz bestand, müssen Praxen nur mit Anpassungen im Detail rechnen. Doch auch diese sind nicht zu unterschätzen.
Insgesamt werden die Verbraucher-und damit die Patientenrechte gestärkt. Insbesondere gibt es für Patienten spezifische Verbesserungen bezüglich der Datenportabilität (Praxen müssen den Patienten Daten auf Wunsch in einem gängigen und sicheren Format aushändigen).
Was ist nun in den Praxen konkret zu tun?
Zunächst kann das Thema nicht einfach an den Datenschutzbeauftragten delegiert werden, sondern ist „Chefsache“, was sich schon in der Höhe der möglichen Bußgelder widerspiegelt. Trotzdem muss der betriebliche Datenschutzbeauftragte natürlich unbedingt in die Umsetzung der neuen DSGVO eingebunden werden. Das Projekt sollte schnellstmöglich in Angriff genommen werden und zwei Phasen umfassen:
1. Phase: Bestandsaufnahme
• Finden Sie heraus, welche Prozesse in der Praxis anzupassen sind. Bestehen schon Beschreibungen (sog. Verfahrensverzeichnisse) für die Datenverarbeitung Ihrer RIS- und
PACs-Systeme oder für die Verarbeitung der Mitarbeiterdaten? Gibt es weitere Prozesse, in denen personenbezogene Daten verarbeitet werden?
• Beschreiben Sie die Organisation Ihres Datenschutzes.
• Sammeln Sie Unterlagen, auf welchen Sie Patienten und Mitarbeiter über den Datenschutz informieren (sollten).
• Für Fremdfirmen, die Zugriff auf Ihre personenbezogenen Daten haben (Auftragsdatenverarbeiter), benötigen Sie weiterhin Vereinbarungen zur Auftragsdatenverarbeitung (ADV). Fügen Sie diese zur IST-Aufnahme hinzu.
2. Phase: Handlungsbedarf eruieren
• Rechtsgrundlagen: Dokumentieren Sie die Rechtsgrundlage für die Verarbeitung von Gesundheits- und Mitarbeiterdaten, z.B. RöV, Berufsordnung für Ärzte, SGB V, Einverständniserklärung Patient.
• Betroffenenrechte: Diese wurden gestärkt. Bitte prüfen Sie, ob Sie Ihre Patienten und Mitarbeiter verständlich und ausreichend informieren. Achten Sie auch künftig auf geeignete Löschprozeduren der Softwarehersteller.
• Verzeichnisse von Verarbeitungstätigkeiten: Diese hießen bisher Verfahrensverzeichnisse und unterscheiden sich von der bisherigen Form in einigen Punkten. Positiv zu erwähnen: Früher mussten sie in Teilen auf Anfrage offengelegt werden, egal, wer sich dafür interessierte („Jedermannverzeichnis“). Ab 25. Mai müssen sie nur noch gegenüber den Aufsichtsbehörden zugänglich gemacht werden. Zwar sind Einrichtungen mit weniger als 250 Mitarbeitern nach Art. 30 Abs. 5 DSGVO von der Führung eines Verzeichnisses von Verarbeitungstätigkeiten befreit, aber dies gilt nicht für die Verarbeitung von Gesundheitsdaten.
• Auftragsdatenverarbeitung: Prüfen Sie, ob die bestehenden Vereinbarungen bzw. Verträge mit Fremdfirmen zur Auftragsverarbeitung den neuen Vorgaben entsprechen (Artikel 28 und 29 DSGVO).
• Dokumentationspflicht: An einigen Stellen fordert die DSGVO eine Dokumentation, z.B. in Bezug auf die rechtmäßige Verarbeitung, auf das vorgenannte Verarbeitungsverzeichnis, Datenschutzvorfälle sowie die Dokumentation von Weisungen an die Auftragsdatenverarbeiter.
• Ermittlung der Schutzbedarfskategorie: Das Standard-Datenschutzmodell, an dem sich Praxen orientieren müssen, unterscheidet einen normalen, hohen und sehr hohen Schutzbedarf. Bei Gesundheitsdaten ist die Ermittlung einfach: Es handelt sich immer um einen hohen Schutzbedarf.
• Datenschutz-Folgenabschätzung: Die Datenschutz-Folgenabschätzung (DSFA) soll eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen. Hier sind die Maßgaben der Aufsichtsämter noch nicht verabschiedet.
• Meldepflichten: Zum einen sind die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde zu melden (aber bitte nicht vor Mai 2018, da die Ämter noch nicht darauf vorbereitet sind). Zum anderen besteht eine Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten. Diese sind künftig binnen 72 Stunden an die Aufsichtsbehörde und an die Betroffenen zu melden. Erstellen Sie hierzu eine Maßnahmenplanung. Achten Sie darauf, dass die Meldung leider nicht mehr vor einer möglichen Strafe schützt.
• Die Prüfung auf Datensicherheit muss regelmäßig eingeplant werden.
Hinweis: Wer herausfinden will, wo er mit seinem Projekt steht, kann einen schnellen Selbsttest auf der Seite des Bayerischen Landesamts für Datenschutzaufsicht durchführen: https://www.lda.bayern.de/tool/start.html
Praxen werden nicht umhinkommen, die Umsetzung baldmöglichst in Angriff zu nehmen. Bis zum 25. Mai 2018 müssen alle Anpassungen vorgenommen werden. Gelingt dies nicht, drohen empfindliche Strafen. Bei Verstößen können Bußgelder in Höhe von zwei bis vier Prozent des Jahresumsatzes (der Praxis) verhängt werden.
Das Thema ist seitens der Praxen auf jeden Fall ernst zu nehmen. Mitgliedspraxen, die das CuraProtect-Datenschutzpaket gebucht haben, werden in den nächsten Monaten fokussiert im Datenschutz betreut, damit die notwendigen Anpassungen entlang des vorliegenden Projektplans zeitgerecht vorgenommen werden können.
Ihre Ansprechpartnerin:
Anette Butzmann, Fachkraft für Datensicherheit bei Curagita
