Problemstellung
Ab 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) gelten.1 Eine Anpassung des Bundesdatenschutzgesetzes (BDSG) hat bereits stattgefunden.2 Weitere Anpassungen in anderen Vorschriften sind ebenfalls bereits erfolgt (z. B. für die Bereiche des BDSG, SGB I und X), und es sind weitere zu erwarten.3
Gemäß Art. 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat die Verordnung allgemeine Geltung und ist in allen ihren Teilen verbindlich, gilt unmittelbar in jedem Mitgliedstaat und bildet künftig den maßgeblichen datenschutzrechtlichen Rahmen in allen Mitgliedstaaten der Europäischen Union (EU).
Ziel der Verordnung ist es, eine angemessene Balance zwischen den Grundrechten der Betroffenen im Hinblick auf ihre Daten und der Verarbeitung dieser personenbezogenen Daten durch Unternehmen zu schaffen.4 Gelingen soll dies durch eine höhere Transparenz und stärkere Mitbestimmung der Betroffenen, wie ihre Daten verarbeitet werden dürfen, und einen zukunftsorientierten Rechtsrahmen für datenverarbeitende Unternehmen.
Damit werden sich die künftigen datenschutzrechtlichen Rechte und Pflichten zu einem Großteil direkt aus der DSGVO ergeben. Zu Recht wird daher in der Literatur von einem neuen „primären Datenschutzrecht“ gesprochen, wonach die Rechtsanwender ihre Rechte und Pflichten unmittelbar aus dieser Verordnung entnehmen können.5 Nationale Regelungen sind darüber hinaus nicht (mehr) anzuwenden, wenn diese die Vorgaben der DSGVO behindern oder dieser widersprechen.6
Dies gilt in besonderer Weise für die Bearbeitung von Gesundheitsdaten. Gesundheitsdaten nach der DSGVO (vgl. § 4 Nr. 15) sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Damit zeigt sich, dass sich die Verantwortlichen in den Krankenhäusern dezidiert mit den Regelungen der DSGVO auseinandersetzen müssen.
Interessant ist dabei, dass auch die Bundesregierung wohl davon ausgeht, dass für Gesundheitsdaten ein tatsächlich besonderer Schutzbereich besteht, denn in einer Antwort auf eine sog. Kleine Anfrage wird wörtlich ausgeführt: „Im Rahmen dieses Prozesses wird auch geprüft, ob und inwieweit Gesundheitsdaten im nationalen Recht zusätzlich besonders geschützt werden müssen. Die Prüfung hinsichtlich der Gesundheitsdaten ist noch nicht abgeschlossen“.7 Somit müssen nationale und die DSGVO ergänzende Normen künftig trotzdem weiter berücksichtigt, deren Entwicklung beobachtet und in den Kontext der DSGVO eingeordnet werden.
Damit ist es für die Krankenhausleitung essenziell, sich mit der DSGVO, aber auch mit deren Erwägungsgründen intensiv auseinanderzusetzten, da hier neue Regelungen geschaffen werden und insbesondere bei deren Nichtbeachtung nach Art. 83 DSGVO empfindliche Geldbußen bis hin zu 20 Millionen Euro bzw. bis zu vier Prozent des Jahresumsatzes eines Unternehmens drohen können.
Dieser Beitrag soll einige wichtige Punkte exemplarisch herausgreifen und vor allem dazu dienen, die Krankenhausleitung für die anstehenden Notwendigkeiten zu sensibilisieren. Detailfragen soll sich dieser Beitrag nicht widmen. Es wird vielmehr ein kontinuierlicher Prozess in jedem Krankenhaus bleiben müssen, optimal auf die neue Rechtslage zu reagieren und Verstöße bzw. Geldbußen zu vermeiden.
Datenschutzbeauftragter
Die DSGVO sieht eine verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten für öffentliche Stellen vor (Art. 37 Abs. 1 DSGVO).8 Dies gilt für alle Krankenhäuser in öffentlicher Trägerschaft. Für private Krankenhausträger ergibt sich die Verpflichtung aus der umfangreichen Verarbeitung besonders sensibler Daten, wozu die Gesundheitsdaten gehören (Artikel 9, 10 DSGVO).
Bestehen bleibt die Möglichkeit, einen gemeinsamen Datenschutzbeauftragten für eine Unternehmensgruppe bzw. mehrere öffentliche Stellen zu bestellen (Art. 37 Abs. 2 bzw. 3 DSGVO), wobei aber fraglich ist, wie das Merkmal der „leichten Erreichbarkeit“ im Rahmen des Art. 37 Abs. 2 DSGVO auszulegen ist. So ist fraglich, ob neben einer gesicherten Präsenz und ausreichenden Kommunikationsfähigkeit auch eine räumliche Komponente zu beachten ist, d. h., keine zu weite räumliche Entfernung zwischen den Niederlassungen und dem Präsenzort des gemeinsamen Datenschutzbeauftragten besteht. Dies ist aktuell in der (noch jungen) Diskussion offen.
Der Aufgabenkreis des Datenschutzbeauftragten wird gemäß Art. 39 Abs. 1 DSGVO gegenüber den bisherigen rechtlichen Vorgaben erweitert und konkretisiert dessen verbindliche Aufgaben deutlich, wobei insbesondere der Fokus auf Beratung und Überwachung liegt. Zu nennen wären hauptsächlich die Pflicht zur Unterrichtung des Verantwortlichen, zur Schulung, zur Überwachung der Einhaltung der DSGVO und die Funktion als Anlaufstelle für Aufsichtsbehörde bzw. betroffene Personen sowie die Beratung im Rahmen der Datenschutz-Folgeabschätzung (DSFA).
Nach Maßgabe des Art. 37 Abs. 7 DSGVO müssen künftig die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden, wobei die Nennung der Funktion und Erreichbarkeit ausreichend seien sollen.9 Zu erwarten ist abschließend ein hoher Fortbildungsbedarf, um das notwendige umfassende Fachwissen sicherzustellen.
Für die Krankenhausleitung ist es daher wichtig, die Bestellpflicht eines Datenschutzbeauftragten zu beachten. Zum Datenschutzbeauftragten können Beschäftigte oder Externe benannt werden. Voraussetzung sind eine entsprechende Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis sowie soziale Fähigkeiten, um die Aufgaben erfüllen zu können. Es sind Interessenskonflikte zu vermeiden. Diese entstehen, wenn der Datenschutzbeauftragten zusätzlich einer anderen Tätigkeit nachgeht – was grundsätzlich möglich ist –, er sich dann aber selbst kontrollieren müsste. Das wird dann angenommen, wenn er in leitender Position in der Geschäftsleitung, in der IT-Abteilung oder in der Personalabteilung tätig ist. Der Datenschutzbeauftragte ist unmittelbar der obersten Managementebene unterstellt und berichtet dieser. Im Hinblick auf den Datenschutz ist er weisungsfrei. Der Datenschutzbeauftragte hat zu beraten, zu kontrollieren und darauf hinzuwirken, dass der Datenschutz eingehalten wird. Zum Nachweis, dass er seine Aufgaben angemessen erfüllt, ist es ratsam, die Aktivitäten zu dokumentieren und ggf. in einem Tätigkeitsbericht niederzulegen. Er hat aber keine Entscheidungsbefugnis, weshalb weiterhin die Verpflichtung zur Sicherstellung und der Nachweis, dass die Datenverarbeitung im Einklang mit den Regelungen der DSGVO steht, beim Verantwortlichen liegen. (Art. 24 Abs. 1 DSGVO).10
Da der Datenschutzbeauftragte keine internen Entscheidungs- bzw. Anordnungsbefugnisse besitzt und es somit an einer Schutzgarantenstellung fehlt, ist eine strafrechtliche Verantwortlichkeit im Regelfall nicht gegeben.11
Neue Regeln zur Einwilligung
Aufgrund des grundsätzlichen Verbots der Verarbeitung insbesondere von Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) wird künftig der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 a DSGVO i. V. m. Art. 6 und 7 DSGVO eine besondere Bedeutung zukommen.
Zwar gibt es neben der Einwilligung noch den Weg über eine grundsätzliche datenschutzrechtliche Zulässigkeit der Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 2 h i. V. m. § 9 Abs. 3 DSGVO. Hinzutreten werden zudem weitere Erlaubnistatbestände nach § 22 Abs. 1 und 2 BDSG in der neuen Fassung, die am 25. Mai 2018 in Kraft treten wird.12 Dennoch wird die Einholung einer rechtskonformen Einwilligung ein wichtiger Punkt bleiben.
Für die Krankenhausleitung ist es daher wichtig zu gewährleisten, dass die jeweiligen hausinternen Formulare, ggf. unter Zuhilfenahme von Mustern, an die neue Rechtslage angepasst werden und die notwendigen technischen und organisatorischen Maßnahmen in jedem Krankhaus vorgenommen werden, damit die Vorgaben der DSGVO und des neuen BDSG ab deren Inkrafttreten eingehalten werden. Empfehlenswert ist weiterhin die Einwilligung in Schriftform.
Gesetzliche Befugnisnorm
Nach Art. 9 Abs. 2 h DSGVO ist die Datenverarbeitung erlaubt, wenn diese u. a. für die Zwecke der Gesundheitsvorsorge oder für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist und dies auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs geschieht.
Sobald diese Zwecke vorliegen, darf nach § 9 Abs. 3 DSGVO eine Verarbeitung vorgenommen werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem nationalen Recht dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem nationalen Recht einer Geheimhaltungspflicht unterliegt. In dieselbe Richtung geht der neue § 22 Abs. 1 Nr. 1 b und c BDSG.
Damit hat die Krankenhausleitung wegen dieser gesetzlich gestatteten Verarbeitungstätigkeit intern, ggf. unter Zuhilfenahme von externer Hilfe, die in jedem Krankenhaus stattfindenden Verarbeitungstätigkeiten zu definieren und die dazugehörige Befugnisnorm (europarechtlich oder nationalrechtlich) zu bestimmen, um weiterhin rechtssicher zu agieren.
Verzeichnis der Verarbeitungstätigkeiten
Die bereits angesprochenen Verarbeitungstätigkeiten müssen nach den rechtlichen Vorgaben nicht nur intern definiert werden. Nach Art. 30 DSGVO ist auch ein Verzeichnis aller Verarbeitungstätigkeiten zu führen und zu pflegen. Das Verzeichnis ist schriftlich, ggf. in einem elektronischen Format, zu führen und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Dies gilt im Übrigen für alle Verfahren, unabhängig ob automatisiert oder papiergebunden, mit denen personenbezogene Daten systematisch verarbeitet werden, also exemplarisch auch die Mitarbeiter-, Patienten- und Lieferantendaten.
Dieses Verzeichnis dient damit als Grundlage für die Nachweispflichten gegenüber der Aufsichtsbehörde, für die Auskünfte an Betroffene, für die Information der Betroffenen, für das interne Risikomanagement und ist auch die Grundlage für die DSFA. Inhalte sind der Name und die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung, die Beschreibung der Daten- und Betroffenenkategorien, die Kategorien von Empfängern, die Übermittlung der Daten in Drittländer, die Fristen für Löschung und die Beschreibung der Sicherheitsmaßnahmen. In das Verzeichnis ist zudem eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen aufzunehmen, da gemäß Literatur der formulierten Einschränkung auf die „Möglichkeit“ in der Praxis keine Bedeutung zukommen wird.13
Das Verzeichnis von Verarbeitungstätigkeiten ist von zentraler Bedeutung für ein datenschutzkonformes Management im Krankenhaus, sowohl bei der Verarbeitung personenbezogener Daten, bei den Rechenschaftspflichten gegenüber den Betroffenen und auch bei Datenschutzverletzungen.14Das Verzeichnis hilft den Mitarbeiterinnen und Mitarbeitern im Krankenhaus, sich einen Überblick über die Verarbeitungsvorgänge zu verschaffen, was dort mit Daten geschieht, wie es geschieht und ob dies rechtmäßig geschieht.
Die Krankenhausleitung hat deshalb klare Regelungen aufzustellen für die Zuständigkeiten und Verantwortlichkeiten zur Erstellung, Führung, und Aktualisierung dieser Verzeichnisse und die Mitarbeiter entsprechend dafür zu sensibilisieren. Anknüpfungspunkte können die bereits nach altem Datenschutzrecht bestehenden Verfahrensverzeichnisse sein. Diese sind entsprechend anzupassen und ggf. um neue Verfahren zu ergänzen. Augenmerk sollte hierbei auch auf Verfahren mit personenbezogenen Daten gelegt werden, die in der medizinischen Diagnostik, bei technischen Geräten (Fotoapparate, Kopierer, etc.) und bei der nicht automatisierten Verarbeitung, eingesetzt werden.
Datenschutzfolgeabschätzung
Bestehen bei einer künftigen Verarbeitung personenbezogener Daten hohe Risiken für die Rechte und Freiheiten natürlicher Personen, sind vorab neuerdings die damit verbundenen Risiken abzuschätzen. Art. 35 Abs. 1 DSGVO regelt zu dieser DSFA, dass diese Risiko-Abschätzung insbesondere bei der Verwendung neuer Technologien stattzufinden hat, wenn Art, Umfang, Umstände und Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Nach Art. 35 Abs. 3 DSGVO i. V. m. Art. 9 DSGVO ist dies insbesondere bei der Verarbeitung von Gesundheitsdaten der Fall.
Die Folgen der vorgesehenen Verarbeitungsvorgänge sind vorab abzuschätzen. Dabei ist zunächst notwendig, dass eine Beschreibungen der geplanten Verarbeitungsvorgänge und eine Bewertung deren jeweiliger Notwendigkeit und Verhältnismäßigkeit stattfinden. Sodann muss die Darstellung von Schutzmaßnahmen und deren Bewertung erfolgen, will man rechtskonform agieren. Wichtig ist in diesem Zusammenhang, dass eine entsprechende Technikgestaltung das Risiko minimiert. Dazu muss eine IT-Sicherheitsprozessen implementiert sein, die Vertraulichkeit, Unversehrtheit, und Verfügbarkeit im Krankenhaus gewährleisten. Weiter muss ein Berechtigungsmanagement eingeführt und die Verschlüsselung von Inhalten (z. B. E-Mailkommunikation) gewährleistet werden.
Schließlich bedarf es Maßnahmen zur Abwehr von Sicherheitsrisiken (z. B. Hackerangriffen) und Maßnahmen für eine benutzerfreundliche Technikgestaltung (z. B. Zugang, PW-Schutz, Benutzeroberflächen, benutzerfreundliche Geräte). Die Klinikleitung sollte daher ein besonderes Augenmerk auf die Notwendigkeit bzw. auf die korrekte Implementierung der DSFA legen, da Art. 83 Abs. 4 a DSGVO hohe Geldbußen vorsieht.
Auftragsverarbeitung
Neue Regelungen gelten auch für den Einsatz externer Dienstleister. Dies sind in den Art. 24 bis 31 DSGVO verortet. Unter einem „Auftragsverarbeiter“ versteht Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Wie bisher muss mit dem Auftragsverarbeiter ein schriftlicher Vertrag über die weisungsgebundene Tätigkeit abgeschlossen werden. Inhaltlich werden die Aufsichtsbehörden ein besonderes Augenmerk auf die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung legen.15
Die Auftragsverarbeitung wird in den Krankenhäusern einen hohen Praxisbezug haben, da beispielsweise die Wartung und Fernwartung von medizinisch-technischen Geräten, der Einsatz externer IT-Dienstleister im Krankenhaus, der Einsatz externer Dienstleister für die Archivierung, das Scannen, die Entsorgung, den Schreibdienst und die Abrechnung ein häufig anzutreffendes Konstrukt ist.
Dabei darf das Krankenhaus künftig nur noch mit geeigneten Auftragsnehmern arbeiten, die Garantien dafür bieten, dass eine Verarbeitung im Einklang mit den datenschutzrechtlichen Vorgaben der DSGVO gewährleistet ist, um die Rechte der Betroffenen zu gewährleisten.16 Dabei haftet der Auftragsverarbeiter zwar wie der Verantwortliche für Einhaltung datenschutzrechtlicher Vorgaben, jedoch müssen die erwähnten Nachweise der Garantie für eine datenschutzgerechte Verarbeitung z. B. durch Zertifizierungen oder Einhaltung genehmigter Verhaltensregeln eingeholt und nachgehalten werden.17
Die Krankenhausleitung muss daher sicherstellen, dass vor allem in den zugrundeliegenden Verträgen mit den externen Dienstleistern die (Mindest-)Vorgaben des Art. 28 DSGVO eingehalten werden. Somit müssen die bestehenden, aber auch die neuen Verträge überprüft und – wenn nötig – angepasst bzw. neu vereinbart werden. Denn auch wenn dem Auftragsverarbeiter neue Verantwortlichkeiten und Pflichten zur Einhaltung der Rechte und Pflichten aus der DSGVO auferlegt wurden (Betroffenenrechte, Bestellung von Datenschutzbeauftragten, Führen von Verfahrensverzeichnissen, Haftungsregelungen, etc.), bleibt der Auftraggeber dafür verantwortlich, nur geeignete Dienstleister einzusetzen. Besonderes Augenmerk sollte dem Einsatz von Subunternehmern geschenkt werden, die nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen einzubinden sind und für die – sofern sie aus Drittländern kommen – dieselben EU-Datenschutzstandards gelten müssen.
Vorkehrungen für Schutzverletzungen
Die DSGVO beinhaltet neue bzw. erweiterte Meldepflichten bei Verletzungen des Schutzes von personenbezogene Daten an die Aufsichtsbehörde (Art. 33) bzw. an die betroffene Person (Art. 34). Die Risiken, dass personenbezogene Daten verloren gehen, gestohlen oder gehackt werden, sind vielfältig. Sei es durch falsche Systemanwendungen, unbefugte Zugriffe, verlorengegange Hardware, Einbruch, den Verlust von Back up-Platten, Schadsoftware u. v. m.
Die Hürde, wann eine Meldung an die Aufsichtsbehörde erfolgen soll, wurde hierbei beträchtlich gesenkt. So genügt es künftig, dass eine Datenpanne zu einem Risiko für die Rechte und Freiheiten der Betroffen führen kann. Die Information des Betroffenen ist dagegen nurmehr notwendig, wenn ein hohes Risiko besteht und dieses durch entsprechende technische und organisatorische Maßnahmen nicht abzuwenden ist. Dabei werden die formalen Anforderungen an die Meldung, die Meldefristen (72 Stunden!) und die Dokumentationspflichten (Fakten, Auswirkungen, Abhilfe) wichtige Aspekte sein.
Auch wegen drohender Bußgelder sind vonseiten der Krankenhausleitung die Implementierung eines (schnell) funktionierenden Meldewesens und die Festlegung der Meldeketten zu beachten sein. Die Information der Mitarbeiter ist hierbei wesentlich. Sie sind es, die eine Datenpanne intern zu melden haben. Dazu müssen sie aber zunächst über die Meldepflichten aufgeklärt werden und die zuständigen Ansprechpartner im Betrieb kennen.
Betroffenenrechte
Die Art. 12 bis 22 DSGVO regeln die sog. Betroffenenrechte ausführlich. Eine große Rolle spielen die Grundsätze der Transparenz und der Grundsatz der Informiertheit.
Dabei besteht ein Anspruch der Betroffenen (identifizierte oder identifizierbare natürliche Person; vgl. Art. 4 Nr. 1 DSGVO) auf eine transparente Darstellung der Verarbeitungsvorgänge in verständlicher Form und auf die Erfüllung der bestehenden Informationspflichten über Verarbeitung und Zweck. Dazu gehört neben dem Recht auf Auskunft über die geplante Dauer der Speicherung auch das Recht auf Berichtigung und Löschung („Recht auf Vergessenwerden“). Die Auskunft ist zudem grundsätzlich unentgeltlich zu erteilen und hat ohne unangemessene Verzögerung, innerhalb eines Monats zu erfolgen (Art. 12 Abs. 3 DSGVO). Auch wurden die Widerspruchsrechte der Betroffenen gestärkt. (Art. 21 DSGVO). Völlig neu ist das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Damit ist der Verarbeitende verpflichtet, die zur Verfügung gestellten Daten einem Dritten in einem entsprechenden Format zur Verfügung zu stellen.
Interessant und wichtig zu verfolgen wird sein, wie sich die Informationsrechte aus anderen nationalen Vorgaben zu den Betroffenenrechten aus der DSGVO verhalten werden. Wie eingangs dargestellt, besteht hier durchaus die Möglichkeit, dass die bekannten Patientenrechte aus dem BGB im Hinblick auf Informationen an Bedeutung einbüßen können.
Daher muss das Augenmerk der Klinikleitung darauf liegen, Maßnahmen zur betrieblichen Verfahrensweise bei Auskunftsrechten der Betroffenen zu schaffen oder zu ergänzen und auch Möglichkeiten zur Berichtigung bereitzuhalten bzw. Vorgaben für Löschung/Sperrung sicherstellen sowie Möglichkeiten für Einschränkung und Widerspruch zu schaffen.
Fazit
Die DSGVO beschäftigt die Krankenhäuser bereits jetzt und auch künftig in besonderem Maße, da die datenschutzrechtlichen Vorgaben zu zahlreichen internen Anpassungs- und Umsetzungsmaßnahmen führen werden, die aller Voraussicht nach ressourcen-, kosten- und zeitintensiv sein werden. Zwar gibt es aufgrund des bestehenden Datenschutzrechts bereits zahlreiche Vorhaltungen bzw. interne Vorgehensweisen (Arbeitshilfen, Dienstanweisungen, Merkblätter, etc.), diese müssen aber dennoch überprüft und – soweit nötig – angepasst werden.
Durch den neuen Begriff des „Verantwortlichen“ kommt der Krankenhausleitung eine besondere Verantwortung bei der Umsetzung der DSGVO zu. Zwar hat der betriebliche Datenschutzbeauftragte in einem ersten Schritt die Aufgabe, die Geschäftsleitung zu informieren. Dennoch bleibt die Verantwortung für die Einhaltung der datenschutzrechtlichen Grundlagen bei der Krankenhausleitung. Nur diese hat die notwendigen Entscheidungsbefugnisse, um Maßnahmen umzusetzen, Aufgaben festzulegen und zu delegieren.
Empfehlenswert ist eine strukturierte, projektbezogene Vorgehensweise in Teamarbeit. Dazu ist zunächst in einer Analyse des Ist-Zustands festzustellen, wie und unter welchen Bedingungen und auf welche Art und Weise bereits jetzt Datenverarbeitungsprozesse im Unternehmen stattfinden. Danach ist aufgrund der neuen datenschutzrechtlichen Vorgaben durch die DSGVO der Soll-Zustand zu ermitteln. In einem dritten Schritt sind durch Abgleich der bestehenden mit den noch fehlenden Regelungen der Handlungsbedarf zu ermitteln und die Umsetzungsmaßnahmen sowie die Verantwortlichkeiten festzulegen.
Dieser Prozess dürfte in den meisten Krankenhäusern bereits begonnen haben. Dass nicht alle Maßnahmen bis zum 25. Mai 2018 umgesetzt werden können, dürfte nicht nur allein an den Krankenhäusern liegen. Auch die Aufsichtsbehörden haben ihre Beratungen noch nicht vollständig abgeschlossen. Dennoch ist zu erwarten, dass Betroffene und Behörden künftig die Einhaltung der gesetzlichen Vorgaben einfordern werden.
Angesichts der vielen bußgeldbewerten Tatbestände kann den Entscheidungsträger in den Krankenhäusern nur geraten werden, sich intensiv mit den Vorgaben der DSGVO zu beschäftigen und den notwendigen praktischen Vollzug einzuleiten.
Anmerkungen:
;Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rats vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO).
2 BGBl. 05.07.2017, Teil I, Nr. 44, 2097 ff.
3 Vgl. BGBl. 24.07.2017, Teil I, Nr. 49, 2541 ff. (SGB I und X).
4 Vgl. Internetauftritt des BMWI, Themenseite, Internationale Digitalpolitik, Europäische Datenschutzgrundverordnung.
5 Ehmann/Selmayr, Datenschutz-Grundverordnung, Einführung Rdnr. 3.
6 Ehmann/Selmayr, a. a. O.
7 Antwort der Bundesregierung, Drs 18/9058.
8 Für private Unternehmen vgl. § 38 BDSG.
9 Vgl. Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 37, Rdnr. 45.
10 Datenschutzkonferenz, DSK-Kurzpapiere zur DSGVO, Kurzpapier Nr. 12, 4.
11 OLG Frankfurt, Urt. v. 22.05.1987; so auch Pulte, Betriebsbeauftragte in der Wirtschaft, 8; vgl. zum vergleichbaren Hygienebeauftragten Walter/Heppekausen, PKR 2/2012, 29 ff.
12 BGBl. 05.07.2017, Teil I, Nr. 44, 2097 ff.
13 Bertermann in Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 30, Rdnr. 10.
14 Kranig, Sachs, Gierschmann, Datenschutz-Compliance nach der DS-GVO, 2016, 51.
15 Bayer. Landesamt für Datenschutzaufsicht, Kurzpapiere zur DSGVO, X Auftragsverarbeitung nach DSGVO, Stand 26.10.2016.
16 Bertermann in Ehmann/Selmayr, Datenschutz-Grundverordnung, Art. 28, Rdnr. 10.
17 Bertermann, a. a. O.
