Georg Thieme Verlag KG

DatenschutzDSGVO-Vorschriften sind in Kliniken schwierig umzusetzen

Die Datenschutzgrundverordnung (DSGVO) hat mit ihren zahlreichen Dokumentationspflichten und Anforderungen an die rechtmäßige Verarbeitung von personenbezogenen Daten sowie gravierenden Bußgeldandrohungen bei Verstößen viel Aufregung verursacht.

Stethoskop auf Papierstapel
Lenetsnikolai/stock.adobe.com

Symbolfoto

Knapp ein Jahr nach der Einführung zeigt sich, dass nicht alle Vorschriften leicht umsetzbar sind. In der medizinischen Profession hat Datenschutz eine lange Tradition. Seit jeher vertrauen Patienten darauf, dass ihre Gesundheitsdaten „sicher“ sind. Die Gesundheitsbranche war also gut aufgestellt, als im Mai 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft trat. Trotzdem steckt der Teufel im Detail. Strenge Dokumentations-, Informations- und Meldepflichten und weitgehende Betroffenenrechte stellen auch Krankenhäuser vor Herausforderungen. Bei Verstößen drohen empfindliche Bußgelder.

Dokumentationspflichten

Zentral für die Dokumentationspflichten ist die Erstellung des Verarbeitungsverzeichnisses (Art. 30 DSGVO). Dieses muss alle Prozesse erfassen, in denen die verantwortliche Stelle personenbezogene Daten verarbeitet. Die meisten Kliniken haben mittlerweile ein den Anforderungen der DSGVO entsprechendes Verarbeitungsverzeichnis erstellt. Auch die bei für die betroffene Person riskanten Verarbeitungsprozessen erforderliche Datenschutz-Folgenabschätzung (Art. 35 DSGVO) muss dokumentiert werden. Da Krankenhäuser besonders sensible Gesundheitsdaten (Art. 9 DSGVO) verarbeiten, trifft sie diese Pflicht oft.

Aufstellung und Anwendung tragfähiger Maßstäbe für die Risikobewertung sind nicht einfach.Wenig Probleme bereiten Krankenhäusern datenschutzrechtliche Informationspflichten gegenüber betroffenen Personen (vor allem Art. 13, 14 DSGVO). Da Krankenhäuser gegenüber Patienten auch im originär medizinischen Kontext schon seit langem zahlreiche Informationspflichten treffen, besteht hier eine gewisse Routine.

Sensibler sind Meldepflichten gegenüber Datenschutzbehörden bei Datenschutzrechtsverstößen (Art. 33 DSGVO). Wegen der knappen Frist – in der Regel 72 Stunden ab der Feststellung des Verstoßes – ist es wichtig, einen Prozess in der Klinikorganisation zu definieren, der eine effiziente Prüfung und Abwicklung dieser Meldung ermöglicht.

Betroffenenrechte

Unter den Rechten betroffener Personen sind insbesondere das Auskunftsrecht (Paragraf 15 DSGVO) und der Anspruch auf Übertragung der Daten an eine andere Stelle (Datenportabilität, Art 20 DSGVO) schwierig umzusetzen. Für Auskünfte durch ein geeignetes Verfahren muss sichergestellt sein, dass einer betroffenen Person kurzfristig mitgeteilt werden kann, welche ihrer personenbezogenen Daten zu welchem Zweck verarbeitet werden.

Die Datenportabilität erfordert ein System, mit dem komplette Datenbestände an eine andere verantwortliche Stelle übertragen werden können. Praktikable Lösungen werden noch gesucht – nicht nur im Gesundheitssektor.

DSGVO-Verstöße sind mit hohen Bußgeldern bewehrt (Art. 83 DSGVO). Nach einer inoffiziellen „Schonfrist“ nutzen die Aufsichtsbehörden nun diese Möglichkeit. In Portugal wurde bereits ein Bußgeld in Höhe von 400 000 Euro gegen ein Krankenhaus verhängt, in dem Patientendaten für alle Mitarbeiter zugänglich waren. Um nicht auf der datenschutzrechtlichen Intensivstation zu landen, müssen Krankenhäuser stetig daran arbeiten, ihre Organisation in Einklang mit der DSGVO zu halten.

Bitte loggen Sie sich ein, um einen neuen Kommentar zu verfassen oder einen bestehenden Kommentar zu melden.

Jetzt einloggen

  • Derzeit sind noch keine Kommentare vorhanden. Schreiben Sie den ersten Kommentar!