Umfassende Pflicht zur Datenminimierung: Herausforderung Datenabfragemöglichkeiten und Zugriffsrechte

Verletzungen des Schutzes personenbezogener Daten können meldepflichtig gegenüber der zuständigen Aufsichtsbehörde sein. Die meisten denken dabei an den einmaligen Vorfall, bei dem beispielsweise Empfängeradressen oder Briefkuverts vertauscht werden. Die Praxis der Datenschutz-Auditierung in Organisationen und Unternehmen der Sozialwirtschaft, in Krankenhäusern, Pflegeeinrichtungen und Hochschulen zeigt jedoch: Häufig sind grundlegende Dinge so eingerichtet, dass darin eine Art „permanenter Datenschutzverstoß” zu sehen ist, zumindest bis zum Zeitpunkt der Behebung dieses Mangels. Ein Beispiel dafür ist die Nichteinhaltung des Grundsatzes der Datenminimierung. Dieses Prinzip ist in Art. 5 Abs. 1 lit. c) DSGVO begründet. Demnach dürfen personenbezogene Daten nur verarbeitet werden, wenn sie „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt” sind.

Doch was bedeutet das konkret in der Praxis? Auch die konkrete Möglichkeit einer Mitarbeiterin oder eines Mitarbeiters, auf Datensätze beispielsweise von Patienten, Bewohnern oder Klienten zuzugreifen, bedeutet eine Form der Verarbeitung personenbezogener Daten: Die Verarbeitungsform der „Abfrage” ist in der Definition der Verarbeitung personenbezogener Daten in Art. 4 Nr. 2 DSGVO ausdrücklich mit aufgezählt.

Daher muss der Verantwortliche als Arbeitgeber, gerade wenn es sich bei den verarbeiteten Daten um sensible Daten wie beispielsweise Gesundheitsdaten handelt, Wege finden, um die geforderte Beschränkung auf das tatsächlich notwendige Maß umgesetzt wird. In der Praxis wird dies auf eine Kombination organisatorischer und technischer Maßnahmen hinauslaufen.

Die naheliegendste und sicherlich wichtigste Maßnahme ist die organisatorische Regelung. Die Mitarbeiter sollten in jedem Fall, beispielsweise im Rahmen der Datenschutzanweisung, ausdrücklich angewiesen sein, ausschließlich solche Datensätze und darin nur die einzelnen Felder abzufragen bzw. sich anzusehen, die sie für den konkreten Arbeitsschritt aktuell benötigen.

Dies sollte auf der technischen Ebene so gut flankiert werden, wie dies im Einzelfall möglich ist. Für Systeme, in denen personenbezogene Daten verarbeitet werden, wie beispielsweise Krankenhausinformationssysteme, Bewohner- bzw. Klientenmanagementsysteme in der Pflege oder auch CRM-Systeme, ist ein Rollen- und Berechtigungskonzept erforderlich. In diesem Konzept muss der Need-to-Know-Gedanke des Datenschutzes berücksichtigt und umgesetzt werden. Zusätzlich sollte darauf geachtet werden, dass im Zusammenhang mit dem Berechtigungskonzept auch eine Begründung verschriftlicht ist, warum welche Nutzergruppe Zugriff auf bestimmte Datensätze oder besonders sensible Felder tatsächlich benötigt.

Der Prozess der Berechtigungsvergabe und der regelmäßigen, proaktiven Überprüfung aller bestehenden Nutzerberechtigungen sollte nach Möglichkeit automatisiert angestoßen werden und muss für spätere Nachweiszwecke für einen sachkundigen Dritten zweifelsfrei nachzuvollziehen sein.

Die Branchenexperten für die Gesundheits- und Sozialwirtschaft bei Rödl & Partner unterstützen im Bedarfsfalls passgenau und pragmatisch bei der Erstellung geeigneter Datenschutzrichtlinien sowie bei der Erstellung oder bei der Prüfung geeigneter Rollen- und Berechtigungskonzepte.