EU-Datenschutzgrundverordnung in Krankenhäusern – neuer Leitfaden!

In Zusammenarbeit des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) und des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) entstand der kürzlich erschienene Leitfaden zu den Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern (Stand: März 2018).

Zusammenfassung

Der Leitfaden positioniert sich als einführender, durchaus praxistauglicher Überblick zu den rechtlichen Anforderungen an das Datenmanagement in Krankenhäusern. Zielsetzung ist die Vermittlung eines umfassenden Einblicks in den Umfang und die Ausgestaltung der erforderlichen Maßnahmen, um Rechtskonformität, insbesondere im Hinblick auf die Neuerungen und Verschärfungen nach der DSGVO, zu gewährleisten.

Im Ergebnis lässt sich festhalten, dass der Leitfaden sehr geeignet ist, um einen ersten Überblick über die zentralen Problemstellungen im Kontext Datenschutz nach DSGVO und Krankenhäusern zu erhalten. Hingegen kann er jedoch nicht die erforderliche inhaltliche Tiefe der Thematik darlegen und ist somit nicht als umfassender Schritt-für-Schritt-Leitfaden auf dem Weg hin zu einem rechtskonformen Datenschutzmanagement zu verstehen.

Zum näheren Inhalt des Leitfadens

Besonders im Fokus des Leitfadens stehen die – im Vergleich zum aktuell geltenden nationalen Datenschutzrecht nach dem Bundesdatenschutzgesetz – neuen und teilweise verschärften Anforderungen an das Datenschutzmanagement nach der DSGVO und vor allem die Themen der „Verantwortlichkeit“ sowie die „konkreten Umsetzungsmaßnahmen“. Im Einzelnen:

Zum Schwerpunkt „Verantwortlichkeit“ hebt der Leitfaden zunächst hervor, dass, entgegen der teilweise anzutreffenden gegenteiligen Annahme, die Erfüllung der datenschutzrechtlichen Anforderungen dem Krankenhausbetreiber selbst als „Verantwortlichem“ im Sinne des Art. 4 Nr. 7 DSGVO obliegt. Folglich wird ihm diese Aufgabe nicht – wie vermutet werden könnte – vom jeweiligen betrieblichen oder externen Datenschutzbeauftragten abgenommen, welcher nach Art. 39 Abs. 1 DSGVO lediglich in beratender und überwachender Funktion tätig ist.

Ergänzend werden Hinweise zu den konkreten Aufgabenstellungen gegeben, wobei diese von Tipps begleitet werden und in einer „allgemeinen Dienstanweisung im Datenschutz“ münden.

Der Schwerpunkt „konkrete Umsetzungsmaßnahmen“ bezieht sich auf zwei zentrale Pflichten nach der EU-Datenschutzgrundverordnung:

– Die Rechenschaftspflicht nach Art. 5 Abs. 2, Art. 24 Abs. 1 S. 1 DSGVO, wobei Maßnahmen so zu dokumentieren sind, dass sie jederzeit etwa im Rahmen einer Datenschutzprüfung dargelegt werden können, sowie

– die Meldung jeder einzelnen Datenschutzverletzung an die Aufsichtsbehörde (vgl. Art. 33, 34 DSGVO) Hier liegt eine Verschärfung gegenüber der alten Rechtslage vor, wonach eine Meldepflicht nur bestand, wenn durch die Verletzung besonders schwerwiegende Beeinträchtigungen drohten.

Ausgehend hiervon geht der Leitfaden auf verschiedene, im Kontext stehende Pflichten (Verfahrensverzeichnis, Datenschutz-Folgenabschätzung, Datenschutzverletzungen im Kontext Betroffenenrechte) ein und stellt entsprechende Anforderungen an die Maßnahmen zur Erfüllung dieser Pflichten vor.

Abschließend wird die Wichtigkeit eines allgemein umfassenden und effizienten Datenschutzmanagements betont, um den aufgezeigten regulatorischen Anforderungen gerecht werden und die einzelnen hierfür erforderlichen Maßnahmen zielgerichtet in die Prozesse des Krankenhauses implementieren zu können.

Fragen?

Egal, ob die Lektüre des Leitfadens weitergehende Fragen aufgeworfen hat oder Sie die Thematik ausgehend von dem Leitfaden umfassend in Angriff nehmen möchten: Wir begleiten Sie nach Wunsch gerne auf den nächsten Schritten hin zu einem umfassenden rechtskonformen Datenschutzmanagement. Unsere Ansprechpartner finden Sie hier.