Gratis
15. März 2018 - DSGVO

9 Schritte zum erfolgreichen Datenschutz im Gesundheitswesen

Krankenhäuser verarbeiten nicht nur regelmäßig Daten mit Personenbezug, sondern fast ausschließlich besonders schützenswerte. Die Datenschutz-Grundverordnung (DSGVO) bringt einen Anstieg der Rechenschafts- und Dokumentationspflichten auch für Krankenhäuser mit sich. Die bayerischen Datenschutzbehörden wollen mit einem Leitfaden unterstützen.

Umsetzung der DSGVO im Gesundheitsbereich Die DSGVO erweitert die Rechenschafts- und Dokumentationspflichten auch im Gesundheitsbereich. Die bayerischen Datenschutzbehörden unterstützen Gesundheitseinrichtungen mit einem 9-Punke-Leitfaden. (Bild: utah778 / iStock / Thinkstock)

Die wichtigsten Neuerungen der DSGVO – nicht nur – in Hinblick auf Krankenhäuser sind

Hilfestellungen mit einem Fokus auf eine spezielle Branche sind derzeit (noch) Mangelware. Hier setzen der Bayerische Landesbeauftragte für den Datenschutz und das Bayerisches Landesamt für Datenschutzaufsicht gemeinsam an.

Datenschutz durch erfolgreiches Management

Die bayerischen Behörden tun sich zusammen, um bestehende Unsicherheiten abzubauen. Sie geben erste Hinweise zur Auslegung der neuen Regelungen in Form eines gemeinsamen Leitfadens.

Der Leitfaden beschäftigt sich ganz speziell mit der Umsetzung der Datenschutz-Grundverordnung in Krankenhäusern.

9 Schritte zum Erfolg

Das Dokument berücksichtigt 9 Bereiche, die nach Ansicht der Behörden ein Datenschutzmanagement umfassen sollte:

1. Datenschutz-Team

Zunächst bestimmt die Geschäftsleitung ein Team, das der Datenschutzbeauftragte unterstützt.

Es ist intern dafür verantwortlich, die datenschutzrechtlichen Anforderungen umzusetzen.

Eine Dienstanweisung definiert, wer für die Einhaltung und Umsetzung welcher Anforderungen verantwortlich ist.

2. Verfahrensverzeichnis

Elementarer Bestandteil des Datenschutzmanagements bildet das Verzeichnis der Verarbeitungstätigkeiten. Die Autoren skizzieren es in aller Kürze.

3. Vorhandene Datenschutzkonzepte

Wichtig ist außerdem, dass eventuell vorhandene Schutzkonzepte hinterlegt werden.

4. Verträge zur Auftragsverarbeitung

Eine Auflistung aller bestehenden Vereinbarungen zur Auftragsverarbeitung sollte das Team zentral ablegen.

5. Risikoabschätzungen inkl. Ergebnisse

Für technische Verfahren sieht die DSGVO einen risikobasierten Ansatz vor. Der Verantwortliche betrachtet die Risiken für natürliche Personen.

Die Ergebnisse und Einschätzungen sowie die ergriffenen Maßnahmen dokumentiert er anschließend.

6. Datenschutz-Folgenabschätzungen

Krankenhäuser werden zukünftig für ihre Verfahren zur Verarbeitung personenbezogener medizinischer Daten grundsätzlich zu einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet sein. Alle Schritte einer DSFA sollten daher dokumentiert werden.

7. Frühzeitiger Alarm durch Dokumentation

Innerhalb von 72 Stunden sind Datenschutzverletzungen der zuständigen Aufsichtsbehörde zu melden.

Das Team sollte interne Prozesse dokumentieren und implementieren, damit ein Krankenhaus seiner Meldepflicht nachkommen  kann.

8. Standardisierung im Betroffenenrecht

Die Art. 13 ff. DSGVO definieren eine Reihe von Rechten betroffener Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten.

Damit sich Anfragen von Betroffenen (z.B. Datenlöschung) schnell bearbeiten lassen, sind entsprechende Verfahrensweisen und Zuständigkeiten festzulegen.

9. Zertifizierungen & Nachweise

Zukünftig soll es möglich sein, den Nachweis über eine rechtskonforme Verarbeitung personenbezogener Daten über Zertifizierungen zu führen.

Solche Zertifikate müssen dann ebenfalls dokumentiert werden.

Da der Bezug zu den Krankenhäusern nicht zu sehr in die Tiefe geht, eignet sich die Lektüre des Leitfadens auch für alle anderen verantwortlichen Stellen. Sie müssen ja ebenfalls ein Datenschutzmanagement gemäß DSGVO einrichten.

Den kostenlosen Leitfaden können Sie hier herunterladen.

Stephan Lamprecht