Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Sie bringt einige Herausforderungen für die Healthcare-Branche mit sich – besonders im eHealth-Bereich.

Draußen sonnig, innen bewölkt: Teilweise angespannt war die Stimmung bei der 7. Hamburger eHealth-Lounge am 22. Februar dieses Jahres. Das war nicht der Location, der „Sturmfreien Bude“ im Karo-Viertel, oder gar dem Gastgeber, dem eHealth-Netzwerk Hamburg, geschuldet. Es lag vielmehr am Thema – der neuen Datenschutzgrundverordnung (DSGVO), die Ende Mai dieses Jahres nach zweijähriger Übergangsfrist in Kraft tritt.
Datenschutzgrundverordnung Vortrag Ines Krumrei bei der eHealth Lounge in Hamburg

Was bringt die neue Datenschutzgrundverordnung? Ines Krumrei (vorne) hatte für fast alle Fragen der Teilnehmer der eHealth-Lounge in Hamburg eine Antwort parat.

Denn die Regelung bringt einige Änderungen im Umgang mit Daten im Healthcare-Alltag mit sich. Und in der Gesundheitsbranche agierende Unternehmen stehen den Herausforderungen teils noch fragend gegenüber. Was genau ändert sich? Und welche Sanktionen erwarten diejenigen, die gegen die neue DSGVO verstoßen? Ines Krumrei, Auditorin für Qualitätsmanagement, Informationssicherheitsmanagement und Datenschutz der DQS, Datenschutzauditorin (GDD/BvD) und Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., konnte letzte Frage in ihrem Vortrag klar beantworten. „Bei Verstößen gegen die Pflichten der Verantwortlichen oder Auftragsverarbeiter gemäß  Artikel 8, 11, 25 bis 39, 42, 43 können Geldbußen von bis zu 10 Mio. Euro oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden“, so die Expertin. Der Bußgeldrahmen habe sich verschärft und die Haftung werde auf die Auftragsverarbeiter erweitert. Im Mittelpunkt stehe die natürliche Person und der Schutz ihrer Grundrechte, ihrer Daten – und das, auch wenn Öffnungsklauseln einzelnen Mitgliederstaaten nationale Regelungen erlauben, unionsweit.

Die neue DSGVO: Was bringt sie?

Prinzipiell gilt: Die Verarbeitung personenbezogener Daten, wie beispielsweise Name, Adresse, Religionszugehörigkeit, biometrische Daten, Autokennzeichen und Gesundheitsdaten ist untersagt. Selbst eine eMail-Adresse gehört zu den personenbezogenen Daten. Zur Verarbeitung zählen Prozesse wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen bis hin zur Löschung oder Vernichtung der Daten. Damit greift die Datenschutzgrundverordnung tief in bestehende, sozial-ökonomische Prozesse ein. Und damit diese nicht vollständig zum Erliegen kommen, gewährleistet unter anderem der Artikel 9 der DSGVO eine Verarbeitung von Daten in Form von Erlaubnisvorbehalten. „Eine Datenverarbeitung ist dann erlaubt, wenn die betroffene Person ausdrücklich zustimmt, wenn sie für die Vertragserfüllung oder Ausübung von Rechten erforderlich ist, dem Schutz lebenswichtiger Interessen dient oder wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist“, erläutert Ines Krumrei. Medizinisches Fachpersonal und deren Dienstleister dürfen also personenbezogene Daten speichern und mit diesen arbeiten. Allerdings immer unter dem Vorbehalt der vollkommenen Transparenz. Die Datenhoheit hat alleine der Patient. Er kann jederzeit von seinem vollständigen Auskunftsrecht Gebrauch machen.

Kein Job nebenbei: Der Datenschutzbeauftragte

Wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, was durch die vielen in Unternehmen verwendeten IT-Systeme und IT-Anwendungen schnell erreicht werden kann, brauchen Sie in Ihrem Unternehmen einen Datenschutzbeauftragten“, so Ines Krumrei. Und der hat vor allem eine Aufgabe: Er muss protokollieren, und zwar jeden Schritt der Datenverarbeitung. Das beginnt beispielsweise bereits bei der Aushändigung der neuen elektronischen Gesundheitskarte beim Arzt. Die Einwilligung des Patienten zum Speichern von Daten muss der Versicherte dem Arzt oder der Klinik schriftlich erteilen; ein Verweis darauf wird auf der Gesundheitskarte vermerkt. Im Fokus stehen ebenfalls eHealth-Anwendungen, die auf Künstliche-Intelligenz- und Big-Data-Systemen basieren, was vielfach im Bereich der Forschung der Fall ist. Auch hier besteht die Einwilligungspflicht des Patienten. In Ausnahmefällen greift das sogenannte Forschungsprivileg, bei welchem die Einwilligungspflicht zwar entfällt, aber die Gewährleistung eines hohen Datenschutzniveaus greift. In diesen Bereich fällt auch die Nutzung von digitalen Biomarkern, den medical Wearables, zum Erfassen von sensorischen und medizinischen Daten zwecks Therapie-Optimierung oder zu Forschungszwecken. Es ist Aufgabe des Datenschutzbeauftragten, jedes einzelne Anwendungsgebiet einwandfrei im Austausch mit den Aufsichtsbehörden zu klären.

Eines steht fest: Die DSGVO kommt. So oder so

Die neue Datenschutzgrundverordnung bedeutet für eHealth-Unternehmen im ersten Schritt vor allem eines: Arbeit. Und das sorgt, zumindest bei den Teilnehmern der eHealth-Lounge, für Aufregung. Vor allem Vertreter von Klinikbetrieben reagierten mit Unmut. Der Aufwand sei kaum noch zu schaffen, das Ganze werde in einem großen Knall münden. Die Krankenhäuser, so die einhellige Meinung, würden jetzt schon am Rande ihrer Auslastung arbeiten. Die Anforderung einer lückenlosen Protokollierung aller Datenverarbeitungsschritte würde den Rahmen sprengen, hieß es aus den Reihen der Besucher. Bedenken, die Ines Krumrei nachvolllziehen kann. Dennoch: Die DSGVO kommt. Und mit ihr verlieren alte Datenschutzzertifikate ihre Rechtmäßigkeit. Neue sind derzeit noch nicht auf dem Markt. Die Unternehmen sind gut beraten, sich zu rüsten und ein funktionales Datenschutzmanagement einzuführen, das dem Unternehmenskontext und dessen Anforderungen, Erwartungen und Anwendungsbereichen entspricht. Verantwortliche müssen benannt, Prozesse eingeleitet und Mitarbeiter einbezogen werden. Auch diese müssten für die neuen Regelungen des Datenschutzes sensibilisiert werden. Healthcare-Betriebe müssen Ziele und Fristen festlegen, Fehler frühzeitig korrigieren – und auf diese Weise ihr Datenschutzmanagement kontinuierlich verbessern. Daran führt kein Weg vorbei. Tipp: Ines Krumreis Vortrag finden Sie hier in der Übersicht.
Beitragsbild: © Weissblick/stock.adobe.com