Datenschutz – Es wird nicht mehr nur mit Wattebällchen geworfen

PrintMailRate-it

​veröffentlicht am 16. Juni 2019

 

Ein Jahr DSGVO: Die Datenschutzaufsichtsbehörden nehmen sich zunehmend auch die Leistungserbringer im Gesundheitswesen vor. Wenn eine Einrichtung nicht besonders groß ist, bedeutet das nicht, dass sie unter dem Radar fliegt. Typische Fußangeln sind die Themen Rollen und Berechtigungen, das gänzliche Fehlen eines Risikoportfolios, die Wahl der richtigen Rechtsgrundlagen und die persönlichen Haftungsrisiken, auch beispielsweise für ehrenamtliche Vorstände.

 

Der Ablauf der 2-jährigen Übergangsfrist für die gefühlt neue Datenschutzgrundverordnung traf die Gesundheits- und Sozialwirtschaft im Mai 2018 ebenso überraschend wie den größten Teil der deutschen und der europäischen Wirtschaft. Mittlerweile hat sich der erste Pulverdampf verzogen, die allererste Aufregung wieder gelegt, und manche Schreckensmeldungen erwiesen sich dann doch als Fabel – oder viel mehr Fake News, wie man heute sagen muss. Heißt das also „Alles halb so wild”, wie die Welt am Sonntag Mitte Mai zu diesem Thema titelte? Für die Seite der Leistungserbringer im Gesundheitswesen, für Arztpraxen, MVZs, Krankenhäuser und Pflegeeinrichtungen zum Beispiel, wäre das nach meinem Eindruck ein gefährlicher Irrtum.

 

Zeit der Wattebällchen ist vorbei 

Richtig ist: Die Welt am Sonntag hat recherchiert, dass in Deutschland mit Ausnahme von Mecklenburg-Vorpommern und Thüringen seit Ende der Übergangsfrist zur DSGVO 75 Bußgelder mit einer rechnerischen Durchschnittshöhe von 5.984 Euro pro Fall verhängt wurden. Nicht viel angesichts der Zahl der Unternehmen in Deutschland. Richtig ist aber auch: Für die ersten neun Monate seit dem 25. Mai 2018 berichtet das Portal govinfosecurity.com über etwa 65.000 Datenschutzverletzungen in Europa, die den Behörden angezeigt wurden, und die Summe der verhängten Bußgelder beläuft sich nach diesem Bericht auf 63 Mio. Euro. Auch wenn dabei ein Rekord-Bußgeld wie das in Frankreich gegen Google verhängte Bußgeld i. H. v. 50 Mio. Euro mitgerechnet ist: Die Behörden gehen von Ermahnungen zu Bußgeldern über, die „informelle” weitere Übergangsfrist läuft eindeutig ab. Dazu passt die Aussage des Bayerischen Landesbeauftragten für den Datenschutz, Thomas Petri, vom Januar 2019: „Für eine Übergangszeit habe ich mich dazu entschlossen, zurückhaltend mit dem Verhängen von Sanktionen zu sein. Manchmal können insoweit Bußgeldverfahren mehr hemmen als befördern. Auf meine Zurückhaltung sollten sich die öffentlichen Wettbewerbsunternehmen allerdings nicht vorbehaltlos verlassen.”

 

Dass ein weiteres rekordverdächtiges Bußgeld in Portugal mit 400.000 Euro ausgerechnet gegen ein Krankenhaus verhängt wurde, spricht eine eindeutige Sprache. Wenn man berücksichtigt, dass dabei die Faktoren „zu geringe Governance über die Nutzung der Rollen im zentralen IT-System” und „zu wenig Bereitschaft, den Forderungen der Aufsichtsbehörde Folge zu leisten” eine Schlüsselrolle spielten, zeichnet sich eine Herausforderung sicherlich auch für zahlreiche Krankenhäuser und Pflegeheime in Deutschland ab.

 

Krankenhäuser und Pflegeeinrichtungen müssen sich auf Besuch der Aufsicht einstellen

Eine weitere Erkenntnis 12 Monate nach dem Ende der Übergangsfrist lautet: Die Aufsichtsbehörden in Deutschland haben ein lebhaftes Interesse an Krankenhäusern und Pflegeeinrichtungen. Wer angenommen
hatte, dass man sich behördlicherseits auf die Googles dieser Welt fokussieren würde und es bis zum ersten Besuch einer Aufsichtsbehörde in einer Einrichtung mittlerer Größe noch Jahre dauern werde, muss umdenken. Auch ein besonderes Wohlwollen angesichts des besonderen Auftrags der Gesundheitsdienstleister ist bislang nicht wirklich zu erkennen. Auch wenn die Behörden so rücksichtsvoll sind, ihren Besuch vorher anzukündigen: Die Zeit zwischen der Ankündigung einer Vor-Ort-Prüfung und deren eigentlichem Termin reicht vielleicht für ein paar Aufräumarbeiten, aber für das Aufarbeiten tiefsitzender, struktureller Mängel im Datenschutz reicht sie nicht.

 

Datenschutzfolgenabschätzung: Das fehlende Risikoverständnis ist oft das eigentliche Risiko

Für Verarbeitungstätigkeiten mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen sieht Art. 35 der DSGVO die Datenschutzfolgenabschätzung (DSFA) vor. Natürlich gilt dieses Merkmal in Kliniken und Pflegeeinrichtungen theoretisch für nahezu alle Verarbeitungstätigkeiten, bei denen Patientendaten im Spiel sind, und natürlich wird eine mögliche Erwartungshaltung, dass eine Einrichtung die besonders aufwändige DSFA zu nahezu allen Verarbeitungstätigkeiten erstellt, in der Praxis oft nicht einlösbar sein. Die Bestrebungen der DKG, den heterogenen Umgang mit diesem Thema auf Ebene der Landesbehörden zu vereinheitlichen, sind verständlich und sinnvoll.

 

Unverzichtbare Grundlage einer ggf. anstehenden Diskussion mit der Aufsichtsbehörde zu diesem Punkt ist allerdings eine dokumentierte Bewertung darüber, wie hoch das konkrete Risiko für die Rechte und Freiheiten des Betroffenen (nicht der Einrichtung) in der konkreten Verarbeitungstätigkeit ausfällt. Nach unserem Eindruck führt die vorliegende Diskussion um das „Wie” der DSFA leicht zu einem vollständigen Unterbleiben dieser Risikoermittlung an sich. Dieses Unterbleiben ist jedoch mit dem Grundverständnis des Datenschutzes nicht zu vereinbaren, egal ob es um technische und organisatorische Maßnahmen (TOMs) und Sicherheitskonzepte oder um die Identifikation der notwendigen DSFAs geht.

 

Praxisherausforderungen: Fussangel Rechtsgrundlage, Haftungsrisiken auch für Ehrenamtliche

Die Wahl der geeigneten Rechtsgrundlage bedeutet für viele Krankenhäuser, Arztpraxen und Pflegedienstleister eine Herausforderung. Nach unserer Wahrnehmung wird gerade im ambulanten Bereich noch zu häufig der Weg der Einwilligung gewählt, ohne dass dies erforderlich wäre, weil bereits eine rechtliche Verpflichtung festgestellt werden kann. Die Unterscheidung zwischen der Informationspflicht (immer gegeben) und der Notwendigkeit einer Einwilligung (bei Weitem nicht immer gegeben) fällt zusätzlich schwer. Letztlich muss sich der Verantwortliche ja für jede Verarbeitung, die er auf eine Einwilligung stützen will, die Frage beantworten, wie denn in der Zukunft diese Einwilligung zu jedem einzelnen Patienten rechtssicher dokumentiert und auf einfache Weise verfügbar gemacht werden soll – vom Workflow bei der Verweigerung der Einwilligung oder deren Widerruf gar nicht zu sprechen.


Soweit als Rechtsgrundlage der Verarbeitung die rechtliche Verpflichtung gewählt wird, misslingt häufig die ausreichend detaillierte Herleitung. Obwohl es auch zu diesem Punkt uneinheitliche Handhabungen der Landesbehörden gibt: Nachdem mehr und mehr Aufsichtsbehörden auf die Linie einschwenken, dass die Detaillierung (z. B. DSGVO – BDSG – SGB – Landesrecht o. ä.) bei der Nennung der Rechtsgrundlage zwingend erforderlich ist, müssen wir hier zur Präzision raten. Sie hat den Nebeneffekt, dass auch das eigene Verständnis davon, wo denn genau eine rechtliche Verpflichtung begründet sein soll, erfreulich geschärft wird.

 

Die Erfahrung zeigt außerdem, dass immer wieder auch an die persönliche Haftung erinnert werden muss: Für Datenschutzverstöße gilt wie für alle Rechtsgebiete, dass die gesetzlichen Vertreter dafür verantwortlich sind, Maßnahmen zu ergreifen, um Rechtsverstöße zu verhindern. Anderenfalls besteht der Verdacht auf ein sogenanntes Organisationsverschulden, das zu persönlichen Haftungsrisiken der gesetzlichen Vertreter führt. Dies gilt auch für gesetzliche Vertreter, die ehrenamtlich tätig sind, z. B. für ehrenamtliche Vorstände eines e. V.

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Thumb Datenschutz in der Gesundheits- und Sozialwirtschaft
Deutschland Weltweit Search Menu