Rechenschaftspflicht und Datenschutz-Folgeabschätzung

Umsetzung der DSGVO im Krankenhaus

| Autor / Redakteur: Uwe Dieterich* / Ira Zahorsky

Auf Patientendaten sollte nur das medizinische Fachpersonal zugreifen können. Der spezielle Schutz dieser Daten kann beispielsweise durch eine Single-Sign-on-Lösung erfolgen.
Auf Patientendaten sollte nur das medizinische Fachpersonal zugreifen können. Der spezielle Schutz dieser Daten kann beispielsweise durch eine Single-Sign-on-Lösung erfolgen. (Bild: © auremar - stock.adobe.com)

Zum 25. Mai 2019 jährt sich die Einführung der Datenschutzgrundverordnung. Zeit, auf die wichtigsten Neuerungen zurückzublicken und zu erläutern welche Anforderungen Krankenhäuser und medizinische Einrichtungen im speziellen zu beachten haben.

Wenn man ein Beispiel für die möglichen Folgen in Bezug auf die Datenschutzgrundverordnung (DSGVO) der Europäischen Union sucht, wird man knapp ein Jahr nach deren Einführung schnell fündig. Im medizinischen Bereich hat es ein portugiesisches Krankenhaus im Oktober 2018 geschafft in die internationalen Schlagzeilen zu geraten, da aufgrund von verschiedenen Verstößen gegen die neuen Richtlinien 400.000 Euro Strafe anfielen. Die Begründung für die hohe Strafe war unter anderem, dass Techniker auf personenbezogene Patientendaten zugreifen konnten, die eigentlich Ärzten vorbehalten gewesen wären. Zudem gab es im Krankenhaus-Informationssystem der Einrichtung 985 Benutzer mit dem Profil Arzt – angestellt waren zum fraglichen Zeitpunkt allerdings nur 296.

Dieses abschreckende Beispiel zeigt, dass die DSGVO nicht auf die leichte Schulter zu nehmen ist, obwohl die Geldstrafe noch weit unter den möglichen Beträgen liegt. Da das Thema Datenschutz allerdings noch immer für viele Verantwortliche ein Buch mit Sieben Siegeln ist, lohnt es sich nochmal die wichtigsten Neuerungen und Pflichten von Krankenhäusern darzulegen sowie Beispiele für eine gesunde Cyberhygiene im Umfeld von medizinischen Einrichtungen aufzuzeigen.

Wieso DSGVO?

Es dürfte klar sein, dass die eigentliche Aufgabe von Pflegepersonal und Ärzten nicht primär darin liegt, sich mit dezidierten Normen zur Cybersecurity oder einer Application Layer Firewall zu beschäftigen. Das Hauptaugenmerk eines Mediziners liegt in der medizinischen Versorgung von Patienten. Durch die Digitalisierung in Krankenhäusern wurde die medizinische Arbeit unterstützt und verbesserte Rahmenbedingungen für Angestellte geschaffen. Es entstanden neue Möglichkeiten zur sinnvollen Zusammenarbeit zwischen Abteilungen und Stationen und Abläufe konnten genauer reguliert werden. Wie aber auch in regulären Industriezweigen ging die Digitalisierung und die effizientere Gestaltung von Arbeitsabläufen einher mit zusätzlichen Anforderungen von Ärzten und Pflegern im Bereich von IT-Kenntnissen und Cyberhygiene.

Errungenschaften wie die Elektronische Patientenakte, digitale Pflegedokumentation oder mobile Datenerfassung erfordern ein modernes Verständnis von Datenverarbeitung, dem in der Vergangenheit oft noch ablehnend gegenübergetreten wurde. Während die Vorteile gerne angenommen wurden, wurden daraus resultierende Rechte und Pflichten bestenfalls zur Kenntnis genommen, da sie nicht zur eigentlichen Aufgabe gehören.

Genau wie bei der ärztlichen Schweigepflicht handelt es sich auch bei elektronischen und digitalen Daten um Informationen, die teilweise hochbrisant sind und deren Inhalte aufgrund der besonderen Art ihres Bezugs zu Patienten eine herausragende Stellung im Datenschutzrecht einnehmen – nicht erst seit der Einführung der DSGVO. Patientendaten waren schon durch das Bundesdatenschutzgesetz in Deutschland besonders geschützt und hatten eine spezielle Stellung im Umgang mit Informationstechnologien. Die Einführung der DSGVO war schlussendlich der Tatsache geschuldet, dass durch die Digitalisierung ein erheblich umsichtigerer Umgang mit Daten geboten war und besonders empfindliche Daten – wie eben Informationen zur Gesundheit – von vornherein eine besondere Stellung haben.

Zwei essentielle Neuerungen und hohe Strafen

Betrachtet man vor diesem Hintergrund die Neuerungen, die die Einführung der DSGVO mit sich gebracht hat, gibt es vor allem zwei große Änderungen, die Krankenhäuser seit dem 25. Mai 2018 zu beachten haben. Die meisten Rechte und Pflichten im Umgang mit persönlichen Daten bestanden bereits vor der Einführung der neuen Verordnung im Umgriff des erwähnten Bundesdatenschutzgesetzes.

Der erste große Komplex, der seit letztem Jahr wichtig ist, ist die Rechenschaftspflicht (Accountability). Unternehmen und insbesondere Krankenhäuser und medizinische Einrichtung müssen dezidiert nachweisen können, welche Unternehmungen und Anstrengungen ergriffen wurden, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Eine eingeschweißte Doppelseite mit einem Verfahrensverzeichnis zur aktuellen IT-Sicherheit reicht nicht mehr aus, um den neuen Standards Genüge zu tun. Vielmehr muss in einem umfangreichen Dokument alles festgehalten werden, was an Prozessen und Maßnahmen ergriffen wurde und wird, um die neue Verordnung einzuhalten. Dazu zählt etwa die detaillierte Beschreibung der Prozesse, der verwendeten Sicherheitsprogramme und der grundlegenden Cyberhygiene.

Die zweite wesentliche Neuerung stellt die Datenschutz-Folgeabschätzung dar. Hierbei gilt es für die Verantwortlichen vor der Verarbeitung von personenbezogenen Daten, vor allem bei Prozessen, die mit einem hohen Risiko für die Rechte und Freiheiten von Personen verbunden sind, Analysen durchzuführen, welche Folgen durch die Maßnahmen auftreten können. Besonders medizinische Daten sind hiervon betroffen und eine Bewertung der Risiken, die im Umgang mit den Daten auftreten können, sowie eine Beschreibung der Vorgänge und eine Aufstellung von Abhilfemaßnahmen gegen die zu erwartenden Risiken, ist unerlässlich.

Zur Abschreckung vor Missachtung der DSGVO wurden auch die möglichen Strafen auf ein empfindliches Maß erhöht. Diese gliedert sich in zwei Kategorien: In der ersten Kategorie, die bei weniger gewichtigen Verstößen angewendet wird, können bis zu 10 Millionen Euro Strafe oder 2 Prozent des jährlichen weltweiten Jahresumsatzes fällig werden. Bei schweren Verstößen gegen die neue Verordnung kann die Strafe sogar 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen.

Lesen Sie auf der nächsten Seite, wie man die Strafzahlungen vermeiden kann.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45773231 / Sicherheit/Datenschutz)