Neuregelung für den Datenschutz

EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung in Kraft getreten. Seit diesem Stichtag müssen die Anforderungen, die die Verordnung an Unternehmen stellt, umgesetzt sein. Wenn nicht, drohen üppige Strafzahlungen - auch Gesundheitsdienstleistern. Übergangsfristen sind nicht vorgesehen.

Die neue Verordnung regelt den Umgang mit personenbezogenen Daten neu. Das betrifft gerade auch Gesundheitsdienstleister, bei denen ausgesprochen sensible Daten zusammenkommen. Seit dem 25. Mai 2018 müssen beispielsweise IT-Risiken erfasst und eine Risikoeinschätzung samt Dokumentation vorgenommen werden. Vorhandene Datenschutzprogramme müssen um ein Risikomanagement für Datenpannen ergänzt werden und alle Verträge mit Auftragsdatenverarbeitern wie Abrechnungsstellen sind zu überprüfen.

Ein Restrisiko bleibt

Wir empfehlen, dass Sie für die Umsetzung der Vorgaben Spezialisten beauftragen. Denn für Laien scheint eine rechtssichere Umsetzung zu komplex. Das gilt gerade auch angesichts der Zunahme der Internetkriminalität, die dazu geführt hat, dass Datendiebstähle fast schon zum Alltag gehören.

Bitte beachten Sie außerdem: 100% Sicherheit vor Datenpannen und Hackerangriffen gibt es nicht. Allerdings sind die Restrisiken versicherbar. Und verbunden mit einem professionellem Krisenmanagement verlieren IT-Attacken einen Großteil ihres Schreckens. Eine Cyber-Versicherung kann weit mehr sein als nur eine Police. Mit einem hochspezialisierten Expertennetzwerk erfüllt sie zudem die rechtlichen Erfordernisse und Obliegenheiten im Schadenfall. Wir informieren Sie gerne.


Was ist neu?

Mit dem Inkrafttreten der Datenschutz-Grundverordnung sind Gesundheitsdienstleister verpflichtet, über die Einhaltung der DSGVO Rechenschaft abzulegen. Das bedeutet, dass Datenverarbeitungsprozesse zum Beispiel in einer Praxis oder einer Apotheke dokumentiert werden müssen. Besonders beachtet werden, sollten unter anderem folgende Punkte:

  • Datenverarbeitungsprozesse: Es muss überprüft werden, ob Sie Daten gemäß der DSGVO verarbeiten. Haben also Kunden oder Patienten der Datennutzung zugestimmt, wurde der Zweck der Datenverarbeitung ausreichend konkret bestimmt?
  • Widerrufsrecht: Privatpersonen können ihre Zustimmung zu Datenverarbeitungsvorgängen jederzeit widerrufen. Darüber müssen alle Patienten oder Kunden verständlich informiert werden. Die wohl sicherste Lösung ist es, dies schriftlich vorzunehmen. Schweigepflichtentbindungserklärungen müssen dementsprechend angepasst werden.
  • Recht auf Vergessenwerden: Privatpersonen können die Löschung ihrer Daten verlangen. Kollidieren solche Wünsche mit gesetzlichen Aufbewahrungspflichten des Arztes, sollten Mediziner Unterstützung bei der jeweils zuständigen Ärztekammer suchen.
  • Informationsrecht: Bürger können laut DSGVO verlangen, dass man sie über die konkrete Verarbeitung ihrer Daten informiert. Es besteht auch ein Recht auf Datenportabilität. Soll heißen, dass Daten zu übermitteln sind.
  • Verzeichnis aller Datenverarbeitungsvorgänge: Grundsätzlich muss ein Verzeichnis der Datenverarbeitungsvorgänge erstellt werden. Dies hilft Ihnen, Anfragen von Patienten oder Kunden verordnungskonform zu beantworten.
  • Datenschutzbeauftragte/r: Ab zehn mit der Datenverarbeitung betrauten Mitarbeitern benötigt jedes Unternehmen - also auch Arztpraxen und Apotheken - einen internen oder externen Datenschutzbeauftragten. Bei weniger Angestellten sind in aller Regel die Inhaber zugleich Datenschutzbeauftragte.
  • Auftragsdatenverarbeitung: Gesundheitsdienstleister, die mit anderen Unternehmen zusammenarbeiten, die Zugang zu personenbezogenen Daten haben, müssen sich von diesen Firmen schriftlich bestätigen lassen, dass sie entsprechend der Vorgaben der DSGVO arbeiten.
  • Meldepflichten: Kommt es zu einem Verstoß gegen die DSGVO - wenn beispielsweise ein Datenleck entdeckt wird -, dann sind die Aufsichtsbehörden und betroffene Patienten oder Kunden innerhalb von 72 Stunden zu informieren.

EU-DSGVO: Was tun?

Die Datenschutz-Grundverordnung stärkt die Rechte von Verbrauchern. Für Unternehmen bedeutet dies, dass sie mit dem In-Kraft-Treten der EU-DSGVO neue und strengere Datenschutz-Richtlinien befolgen müssen. Auf was dabei geachtet werden muss, erläutern die Autoren zweier Bücher, die sich speziell an Entscheider richten.

Weitere Informationen und Sicherheits-Test

Die VdS Schadenverhütung GmbH bietet zahlreiche Informationen und Fortbildungen zum Thema Cyber-Sicherheit an. Darüber hinaus gibt es auch einen kostenfeien Quick-Checkfür Cyber-Security.