Personenbezogene Daten werden heute in nahezu allen Lebens- und Arbeitsbereichen digital erfasst, gespeichert und ausgewertet: Medizinische Einrichtungen wie Kliniken, Krankenhäuser oder Labore bilden da keine Ausnahme. Für den Umgang mit diesen Informationen hat das Bundesdatenschutzgesetz einen verlässlichen Rahmen geschaffen, der ab dem 25. Mai 2018 durch die Europäische Datenschutz-Grundverordnung (EU-DSGVO) ergänzt, weiter präzisiert und aktualisiert wird. Sie ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
Wir haben uns zur Europäischen Datenschutz-Grundverordnung mit Dr. Johannes Watterott unterhalten. Er schilderte uns aus seiner Sicht als Abfallbeauftragter der Kliniken Essen-Mitte zentrale Aspekte des Datenschutzes, die ihn aktuell betreffen und die zukünftig wichtig bleiben.
Unsere digitalisierte Welt dreht sich schnell – rechtlich sicherer Umgang mit Patientendaten und Mitarbeiterinformationen ist grundlegend, um vertrauens- und respektvoll im medizinischen Bereich arbeiten zu können. Alle Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen werden mit der Datenschutz-Grundverordnung jetzt europaweit einheitlich. Die Verordnung geht unmittelbar ins nationale Recht der EU-Mitgliedsstaaten über und harmonisiert das Datenschutzniveau innerhalb der Europäischen Union.
Die Europäische Datenschutz-Grundverordnung stärkt die Position des Einzelnen
Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform. Insgesamt 173 Erwägungsgründe liegen ihren Artikeln zu Grunde. Sie stellt Regeln auf, um das Recht auf den besonderen Schutz personenbezogener Daten zu wahren. Gleichzeitig gewährleistet sie den freien Datenverkehr im Europäischen Binnenmarkt unter festgelegten datenschutzrechtlichen Prämissen. Die Datenschutz-Grundverordnung definiert personenbezogene Daten wesentlich umfassender als bisherige Datenschutzgesetze. Informationen, über die durch Kombination mit zusätzlichen Merkmalen ein Personenbezug hergestellt werden könnte, fallen jetzt ebenfalls darunter.
Für die Verarbeitung personenbezogener Daten grundlegend
Die heute erhobenen personenbezogenen Daten müssen rechtmäßig, zweckgebunden, auf des Minimum beschränkt und richtig sein. Das heißt, es muss eine Rechtsgrundlage vorliegen, um personenbezogene Daten zu erheben. Dies kann ein Erfordernis im Rahmen einer Vertragserfüllung oder eine freiwillige, eindeutige, unmissverständliche, mit der Möglichkeit eines Widerrufs erteilte Einwilligung sein. Die Daten sind zweckgebunden. Sie dürfen nur für den legitimierten Erhebungsgrund ausgewertet werden und die Person muss über diesen Zweck hinreichend informiert sein. Zudem müssen die Daten angemessen, erheblich und auf das notwendige Maß beschränkt sein. Falsche Daten müssen unverzüglich berichtigt oder gelöscht werden.
Geltungsbereich innerhalb und außerhalb der EU
Alle Unternehmen mit Sitz in der EU fallen unter den Geltungsbereich der Regelungen. Die DSGVO bezieht jedoch auch Datensammler außerhalb der EU mit ein – insbesondere, wenn sie Informationen von EU-Bürgern verarbeiten, Produkte/Dienstleistungen in der EU anbieten oder beobachten, wie sich EU-Bürger innerhalb der EU in verschiedensten Lebensbereichen verhalten oder Entscheidungen treffen.
Transparent arbeiten und über Rechte informieren
Bei der Verarbeitung von personenbezogenen Daten gilt es Transparenz zu wahren. Die betroffenen Personen sind umfangreich über die Verarbeitung ihrer Daten und ihre Rechte zu informieren. Die DSGVO geht hier über die Anforderungen des Bundesdatenschutzgesetzes hinaus. Stichworte sind: Rechtsgrundlage Interessenabwägung, Speicherdauer, Übermittlung von Daten an ein Drittland.
Datenschutz als Grundeinstellung
Neue Produkte müssen Datenschutzaspekte schon von Beginn an berücksichtigen („Privacy by Design“). Zudem muss hoher Datenschutz bei Produkten, Dienstleistungen oder Funktionen jetzt Grundeinstellung („Privacy by Default“) sein – der initiale Zustand hat der entsprechenden Person einen hohen Schutz ihrer Daten zu gewährleisten. Betroffene haben das Recht auf Auskunft, Korrektur und Löschung der Daten sowie das Recht, die Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt zu bekommen.
Verschärfte Meldepflicht bei Datenschutzvorfällen
Sollte es zu Unregelmäßigkeiten kommen, die Rechte und Freiheiten von Personen beeinträchtigen könnten, muss binnen 72 Stunden eine Meldung an die betroffene Person und die zuständigen Aufsichtsbehörden gehen. Im Vorfeld einer Datenerhebung bzw. -verarbeitung ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten von Personen absehbar ist. Die Verantwortung hierfür liegt jetzt beim Unternehmen – nicht mehr beim Datenschutzbeauftragten. Die Regelungen in der DSGVO sind mit inhaltlichen Vorgaben konkreter gefasst als die bisherige Vorabkontrolle nach Bundesdatenschutzgesetz. Alle Maßnahmen der Datenverarbeitung müssen ein angemessenes Schutzniveau haben und dem Stand der Technik entsprechen.
Bei Verstößen gegen die DSGVO drohen hohe Strafgelder
Kommt es zu Verstößen gegen die Datenschutz-Grundverordnung können erhebliche Bußgelder auf ein Unternehmen zukommen – bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Die Strafzahlung wird durch die zuständige Aufsichtsbehörde nach einem Kriterienkatalog festgelegt. Darüber hinaus hängt die Höhe des Bußgeldes davon ab, gegen welchen Artikel der DSGVO verstoßen wurde.
Aktuelle Datenschutzaspekte aus Sicht eines Abfallbeauftragten – Nachgefragt bei Dr. Johannes Watterott, Kliniken Essen-Mitte
Zur Person: Dr. Johannes Watterott
- Promovierter Agraringenieur
- Abfall- und Umweltbeauftragter
- Seit 2001 bei den Kliniken Essen-Mitte angestellt
Wie kommen Sie als Abfallbeauftragter mit dem Thema Datenschutz in Berührung?
Dr. Johannes Watterott: Unsere Klinik hat selbstverständlich einen eigens berufenen Datenschutzbeauftragten. Als Abfallbeauftragter bin ich in erster Linie für die sichere Entsorgung zuständig – für alles, was bei uns aus dem Hause geht. Aber ich bin auch Fachkraft für Arbeitssicherheit. Das heißt, ich habe insbesondere den Datenschutz für unsere Beschäftigten im Blick.
Was gilt es für Sie heute beim Thema Datenschutz grundsätzlich zu beachten?
Dr. Johannes Watterott: Zunächst ist erwähnenswert, dass wir nach dem kirchlichen, evangelischen Datenschutz arbeiten, der auf dem Bundesdatenschutzgesetz beruht und darauf aufbaut. Personenbezogene Daten sind so wenig wie möglich zu erheben. Wenn wir solche Daten haben, müssen sie natürlich sicher aufbewahrt werden. Das ist unser Grundsatz: So wenig wie möglich Daten sammeln und diese so sicher wie möglich aufbewahren. Patientendaten scannen wir ein. Alles was in Papierform da ist, wird nach drei Monaten vernichtet. Und je weniger wir einscannen müssen, desto preiswerter wird es. Gleichzeitig sammeln wir natürlich alle sonstigen Unterlagen, die nicht Teil von Patientenakten sind in unseren Datenschutzbehältern. Die haben wir an zentralen Orten aufgestellt. Einzelblätter, die nicht in den Akten landen, auf denen aber Name oder Geburtsdatum steht, werden so eingesammelt, sicher verwahrt und schließlich vernichtet. Das gilt übrigens auch – und das vergessen viele Krankenhäuser – für die Patientenarmbänder, die zur Sicherheit verteilt werden, wenn der Patient zustimmt. Sind sie in Benutzung, müssen die Armbänder auch entsprechend entsorgt werden.
Datenschutz im Krankenhaus
Wie ist das Bewusstsein für den Umgang mit personenbezogenen Daten im Krankenhaus?
Dr. Johannes Watterott: Datenschutz ist im Gesundheitswesen schon immer stark verankert – nehmen Sie nur die Schweigepflicht. Aufgrund des sogenannten Patientengeheimnisses ist der Datenschutz im Krankenhausbereich und der Ärzteschaft etabliert. Hinsichtlich Datenschutz rennen wir da auch offene Türen ein, weil die Ärzte schon durch ihre Ausbildung und das Arzt-Patienten-Geheimnis sensibilisiert sind. Es ist auch ein Bewusstsein vorhanden, dass bei Fehlern entsprechende Strafen drohen.
Wo liegen Herausforderungen für Krankenhäuser in diesem Bereich?
Dr. Johannes Watterott: Der Datenschutz in unserer Klinik ist auf einem sehr guten Stand. Der größte Unsicherheitsfaktor – wenn man das so sagen will – ist eigentlich, dass die Patienten häufig selbst mit ihren Daten zu leichtfertig umgehen. Das haben wir schon sehr oft erlebt – ohne jetzt ins Detail gehen zu wollen. Unsere Mitarbeiter sind alle geschult. Der Datenschutzbeauftragte informiert und bildet unsere Angestellten und Ärzte weiter. Datenschutz ist eine Stabsstelle unterhalb der Geschäftsführung mit Weisungsbefugnis. Wir nutzen ein Datenschutz-Management-System. Diesen sorgsamen Umgang mit Daten und persönlichen Informationen haben die Patienten häufig für sich persönlich noch nicht so verinnerlicht.
Änderungen mit der Datenschutz-Grundverordnung
Welche Veränderungen erwarten Sie durch die neue Datenschutz-Grundverordnung?
Dr. Johannes Watterott: Durch die neue Datenschutz-Grundverordnung sehen wir keine gravierenden Veränderungen auf uns zu kommen. Die Regelungen waren vorher im Bundesdatenschutzgesetz schon verankert bzw. angelegt, wie etwa das Recht auf Vergessen, das Recht auf Löschen oder das Mitnehmen der Daten. Zwar sind die möglichen Strafmaßnahmen wesentlich härter, aber umsetzungstechnisch bedeutet die DSGVO für uns keine große Veränderung.
Immer mehr digitale und immer weniger analoge Daten – Wie stellen Sie sich mit Ihrem Krankenhaus darauf ein?
Dr. Johannes Watterott: Im Prinzip sind wir in diesem Bereich stark auf die Unterstützung unserer Mitarbeiter angewiesen. Unsere IT ist vergleichsweise sicher und wir entwickeln uns den Bedürfnissen entsprechend kontinuierlich weiter. Mit möglichen Bedrohungen von außen über das Netz können wir umgehen. Das funktioniert hervorragend. Die eigentliche Problematik liegt darin, dass Mitarbeiter eigene Datenträger mitbringen und an Computern nutzen, beispielsweise USB-Sticks. Da sehen wir die Herausforderung, um unsere Computersysteme weiter gegen Schadsoftware und mögliche Infiltration zu sichern. Wir arbeiten aber auch schon dagegen an, indem wir unter anderem nur Computer und Kleincomputer anschaffen, die keine USB-Anschlüsse oder Laufwerke mehr besitzen. Zudem sind bestimmte Anwendungen gesperrt, so dass ein Zugriff auf Daten nicht möglich ist. Wir passen unser IT-System fortlaufend an und sehen uns da auf einem sehr guten Weg.
Datenschutzverordnung im Kontext der Digitalisierung
Wie wird sich der Umgang mit personenbezogenen Daten im Zuge der Digitalisierung und automatisierten Verarbeitung verändern?
Dr. Johannes Watterott: Der Sicherheitsanspruch ist schon jetzt sehr hoch. Der Anspruch bleibt auch künftig auf diesem Niveau. Da wir momentan sämtliche analogen Daten scannen, haben wir sehr große digitale Datenmengen, die es zu speichern und digital zu sichern gilt. Das ist mit Blick auf die langen Zeiträume eine große Herausforderung für die Zukunft. Da wir die personenbezogenen Informationen vom Netz abgekoppelt speichern, ist der unerlaubte Zugriff von außen nicht möglich.
Wie gewährleisten Sie bei den verbliebenen analogen Patientendaten die Sicherheit und reibungslose Vernichtung in Ihrem Krankenhaus?
Dr. Johannes Watterott: Die sichere Lagerung wird bei uns dadurch gewährleistet, dass wir die Patientenakten an einen sicheren Ort verbringen. Wir haben die Lagerung und Vernichtung extern vergeben. Das sind Hochsicherheitslager, in denen die Akten und Patientendaten sicher untergebracht sind. Im Fall der Fälle ist für uns zu jeder Zeit ein Zugriff darauf möglich. Regelmäßig erhält das Unternehmen von uns die Information, entsprechende Jahrgänge zu vernichten. Wir haben noch ein paar Kilometer an Daten, die wir sukzessive nach Ablauf der Aufbewahrungsfristen vernichten.
Austauschmöglichkeit als Abfallbeauftragte
Wo informieren Sie sich als Abfall- und Umweltbeauftragter?
Dr. Johannes Watterott: Wir haben sowohl Arbeitskreise in Essen als auch landes- und bundesweit. Im Umweltarbeitskreis Essener Krankenhäuser sind zudem auch Krankenhäuser aus Nachbarstädten mit organisiert. Wir treffen uns vier, fünf mal im Jahr. Der landesweite Arbeitskreis läuft über die Krankenhausgesellschaft Nordrhein-Westfalen. Hier finden so etwa zweimal im Jahr gemeinsame Gespräche statt. Der Bundesarbeitskreis trifft sich seltener. Aber wir sind innerhalb dieser Arbeitskreise sehr gut vernetzt und müssen die Räder nicht immer neu erfinden. Sobald irgendetwas Neues oder ein neues Gesetz ansteht, wird das diskutiert in diesen Kreisen. Das ist auch unsere Hauptinformationsquelle. Zudem gibt es in Nordrhein-Westfalen den jährlichen Umwelttag. Die Abfallbeauftragten und technischen Leiter der rund 450 Krankenhäuser in NRW sind stets zum Informationsaustausch eingeladen.
Wir danken Ihnen für das Gespräch.
Quellen
- Datenschutz-Grundverordnung (DSGVO): Finaler Text der EU-DSGVO inklusive Erwägungsgründe
- Datenschutz-Grundverordnung (DSGVO): Erwägungsgründe
- Unabhängiges Landeszentrum für Datenschutz (ULD): Das Standard-Datenschutzmodell (SDM)
- Unabhängiges Landeszentrum für Datenschutz (ULD): Das Standard-Datenschutzmodell (Pdf-Download)
- Haufe.de: EU-Datenschutz-Grundverordnung - die 10 wichtigsten Regeln
- Deloitte: Die EU-Datenschutzverordnung – Datenschutz im Zeitalter von Big Data und Digitalisierung