339
Passwort vergessen

Neues Datenschutzrecht 2018

Die Zeit drängt

Die Zeit drängt

  • f&w
  • Management
  • 05.02.2018

f&w

Ausgabe 2/2018

Seite 130

Am 25. Mai 2018 läuft die Umsetzungsfrist der EU-Datenschutz-Grundverordnung (DSGVO) ab, und das neue Bundesdatenschutzgesetz (BDSG) tritt in Kraft. Diese umwälzende Reform des europäischen und deutschen Datenschutzrechts zwingt Krankenhäuser zum Handeln. Sie müssen nun zahlreiche neue gesetzliche Vorgaben zeitnah umsetzen, um drastisch erhöhte Bußgelder und andere Konsequenzen zu vermeiden. Eine Übersicht zu einigen der wichtigsten Neuerungen.

Auf den ersten Blick scheinen die Reformen der EU-Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) einige Parallelen zu dem alten BDSG aufzuweisen. Dieser Schein trügt. Insbesondere werden die Krankenhäuser neben den deutlich höheren Organisationsaufwänden auch einige Investitionen aufbringen müssen.

Neue Verantwortlichkeiten und Prozesse

Neben den bereits bestehenden Nachweispflichten in der Dokumentation, der Patientenaufklärung und dem Qualitätsmanagement werden nun auch für den Datenschutz höhere Anforderungen an die Dokumentation gestellt. So sind die bisherigen Verträge eines Krankenhauses zur Auftragsdatenverarbeitung (altes BDSG) zu überarbeiten und an die neuen Vorgaben der Auftragsverarbeitung (EU-DSGVO und neues BDSG) anzupassen. Ein Merkmal der Auftragsverarbeitung ist die Verteilung der Verantwortlichkeit. Bis dato lag diese letztverantwortlich beim Auftraggeber. Dies ändert sich dahin gehend, dass der Auftragnehmer zusätzlich in die Verantwortung der Verarbeitung personenbezogener Daten mit einbezogen wird.

Die EU-DSGVO verlangt von Unternehmen die Implementierung komplexer neuer Prozesse. So muss ein Krankenhaus beispielsweise im Zuge der Einführung neuer Verfahren der Datenverarbeitung (wie neuer Hard- oder Software) eine sogenannte Datenschutzfolgeabschätzung vornehmen und dokumentieren. Bei diesem Prozess müssen detaillierte Aspekte rechtlicher und technischer Art geprüft werden.

Tritt während der Datenverarbeitung eine Datenpanne auf, die gemäß Gesetz einen Handlungsbedarf erfordert, sind auch hier strengere Meldepflichten an Aufsichtsbehörden und Betroffene vorgesehen. Insbesondere müssen Krankenhäuser binnen 72 Stunden reagieren. Dies erfordert die Zusammenarbeit aller an der Datenverarbeitung beteiligten Personen.

Dokumentationspflichten und Beschäftigungsdatenschutz

Im neuen Gesetz sind verschiedene neue Dokumentationspflichten vorgesehen: So ist zum Beispiel im Rahmen des Beschäftigungsdatenschutzes die Beweislast bei Datenschutzverletzungen umgekehrt: Ein Krankenhaus muss künftig die Einhaltung datenschutzrechtlicher Vorgaben zu Beschäftigungsdaten mittels geeigneter Dokumentation nachweisen. Auch hat der deutsche Gesetzgeber im Rahmen der Prüfung der Datensicherheit den zu dokumentierenden Anforderungskatalog erweitert und insofern merklich ergänzt, dass Krankenhäuser künftig eine Prüfung der Schutzmaßnahmen zu gewährleisten und zu dokumentieren haben.

Die Auswahl notwendiger Schutzmaßnahmen erfolgt anhand des Stands der Technik – inklusive einschlägiger Richtlinien und Empfehlungen des Bundesamts für Sicherheit in der Informa­tions­technik (BSI) –, der Implementierungskosten, der Art des Umfangs, der Umstände und der Zwecke der Verarbeitung, der Eintrittswahrscheinlichkeit sowie der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter von betroffenen Personen.

Der neue Beschäftigtendatenschutz enthält eine deutlich umfangreichere und ausführlichere Regelung als bisher. Dazu gehört der von der Rechtsprechung entwickelte Grundsatz, dass stets eine Interessenabwägung zwischen den vom Arbeitgeber verfolgten Zwecken und den Belangen des Beschäftigten erforderlich (und zu dokumentieren) ist.

In diesem Zusammenhang gibt es eine neue Regelung für die Einwilligungen von Beschäftigten zur Speicherung oder sonstigen Verarbeitung ihrer Daten. Diese Einwilligungen schließen die Datenverarbeitung durch Betriebsräte sowie die inhaltlichen Anforderungen an Betriebsvereinbarungen, die Datenverarbeitungen regeln oder diese voraussetzen, mit ein. Für Arbeitgeber und Betriebsräte besteht daher die Notwendigkeit, viele der bestehenden Betriebsvereinbarungen an das neue Recht anzupassen und geeignete Rahmenbetriebsvereinbarungen zu erstellen.

Benennung eines DSB, Bußgelder drastisch erhöht

Entgegen häufig verbreiteter Speku­lationen wurde im neuen BDSG die bislang geltende Verpflichtung, dass Unternehmen regelmäßig einen Datenschutzbeauftragten (DSB) zu benennen haben, beibehalten. Auch wenn die EU-DSGVO eine andere Regelung vorsieht, hat der deutsche Gesetzgeber im Rahmen einer sogenannten Öffnungsklausel an der bisherigen Regelung festgehalten, wonach ein Betrieblicher DSB erforderlich ist, soweit Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Betriebliche DSB ist künftig nach außen hin bekannt zu geben.

Es ist nicht Kerninhalt der Neuregelung, doch von durchaus erheblicher praktischer Bedeutung: Statt bislang maximal 300.000 Euro sind Bußgelder nunmehr auf bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr (je nachdem, welcher Wert der höhere ist) angehoben. Dabei gilt der Jahresumsatz des gesamten Konzerns, nicht der einzelner juristischer Personen.

Zudem ist im neuen BDSG klar­gestellt, dass – auf 300.000 Euro beschränkte – Bußgelder auch gegenüber den an der Datenverarbeitung beteiligten Personen verhängt werden können.

Datenschutzkonzept ist unabdingbar

Kliniken sollten die Umsetzung der EU-DSGVO nicht auf die lange Bank schieben. Auch wenn die Aufsichtsbehörden aktuell noch zögerlich mit Informationen zu Häufigkeit und Inhalten von Kontrollen und dem Verhängen von Bußgeldern sind, wird der Zeitpunkt der Kontrollen kommen. Unter dem Aspekt, dass ein Krankenhaus als Kritische Infrastruktur (KRITIS) gesehen wird und somit für das staatliche Gemeinwesen eine enorme Bedeutung hat, ist ein gut implementiertes Datenschutzkonzept gemäß gesetzlicher Vorgaben unabdingbar. Die Zeit wird knapp, der 25. Mai 2018 ist nicht mehr weit.

Checkliste: wichtige Änderungen nach der EU-DSGVO (auszugsweise):

  • Implementierung Datenschutz-Folgeabschätzung
  • Berücksichtigung Minderjährigendatenschutz
  • Anpassung Betriebsvereinbarungen
  • Dokumentation im Beschäftigungsdatenschutz
  • Überarbeitung Datenschutzerklärung
  • Organisation Meldepflichten bei Datenschutzpannen
  • Überarbeitung Verpflichtung Auftragsdatenverarbeitung
  • Erweiterung Prüfung und Dokumentation Daten­sicherheit

Autoren

Unsere Zeitschriften

f&w

Pflege und Krankenhausrecht

Empfehlung der Redaktion

Patientenservice soll im Krankenhaus das auffangen, wofür Pflege und Ärzte oft keine Zeit haben. Die Pflegedirektorin der Uniklinik Köln, Vera Lux, begründet, warum diese Angebote so wichtig sind.

Weitere Artikel dieser Ausgabe


Neueste Klinik-Personalie

Personalie

Schneider wird Vorstandsvorsitzender der Düsseldorfer Uniklinik

  • News des Tages

Der Direktor der Klinik für Psychiatrie, Psychotherapie und Psychosomatik an der Uniklinik RWTH Aachen, Frank Schneider, wird ...


Kontakt zum Kundenservice

Rufen Sie an: 0 56 61 / 73 44-0
Mo - Fr 08:00 bis 17:00 Uhr

Senden Sie uns eine E-Mail:
info@bibliomedmanager.de

Häufige Fragen und Antworten finden Sie im Hilfe-Bereich