Was ist zu beachten, damit die Einführung dieser in Deutschland und der EU so wichtigen Datenschutzverordnung termingerecht klappt?

Am 25. Mai 2018 ändert sich zwar nicht alles, aber doch Gewichtiges für Krankenhäuser in Deutschland und der Europäischen Union. Die EU-Datenschutzgrundverordnung (EU-DSGVO) – seit 25. Mai 2016 in Kraft – wird ab diesem Tag „scharf gestellt“. Krankenhäuser müssen spätestens dann nachweisen, dass sie klar definierte Anforderungen zum Datenschutz erfüllen und deren Einhaltung kontrollieren. Wer sich nicht daran hält, dem drohen abschreckend hohe Strafen. 

Vielerorts wird der Datenschutz relativ lax gehandhabt - leider auch immer wieder im sensiblen Krankenhausbereich. ‚Bei uns ist ja noch nie etwas passiert’, heißt es dann. Strafen drohen bis jetzt nicht wirklich angesichts der eher homöopathischen Höhe der Bußgelder. Die Schöpfer der EU-DSGVO haben sich deswegen genau überlegt, was passieren muss, damit EU-weit der Datenschutz den ihm gebührenden Stellenwert erhält. Sie setzen den Hebel bei den Bußgeldern und der Haftung an. Mit dem Inkrafttreten der neuen Regelung am 25. Mai 2018 kann es richtig teuer werden für Krankenhäuser und deren Datenschutzbeauftragte. Abschreckend bedeutet, dass die Haftungsrisiken auf maximal vier Prozent vom Jahresumsatz oder 20 Mio. € steigen. Unternehmen und Behörden werden zudem rechenschaftspflichtig, sie müssen noch mehr dokumentieren.

Darauf müssen Krankenhäuser vorbereitet sein

 Die Anreize sind damit klar gesetzt. Worauf müssen Krankenhäuser bis dahin vorbereitet sein? Es gilt, interne Arbeitsabläufe zu organisieren, Verfahrensverzeichnisse und Folgeabschätzungen genauso gewissenhaft vorzubereiten wie etwa Notfallpläne. Technische Schutzmaßnahmen, z.B. durch Verschlüsselung und Zwei-Faktor-Authentifizierung müssen möglicherweise ausgebaut, Mitarbeiter sensibilisiert und geschult und last but not least Verträge mit Dienstleistern und Auftragsverarbeitern geprüft und bei Bedarf angepasst werden.

Da sich keine Klinik datenschutzrechtlich im leeren Raum bewegt, gilt es zunächst den aktuellen Status zu erfassen. Wie weit hat sie die Vorgaben des derzeitigen bundesdeutschen Datenschutzrechtes (BDSG) umgesetzt, wie weit die 2011 in der ersten Fassung veröffentlichte Orientierungshilfe Krankenhausinformationssysteme (OH KIS)? Was lässt sich davon übernehmen, was muss man abändern, was ergänzen, wo sind umfangreichere Lücken? Eine Checkliste dient zur Selbstauskunft und als Basis für die Vor-Ort-Begehung durch einen externen Sicherheitsberater. Der Spezialist klopft die Angaben auf Plausibilität ab, prüft z.B. Zutrittskontrollsysteme und entwirft darauf aufbauend seinen Beratungsbericht für den Umstieg auf die EU-DSGVO.

Was jedes EU-DSGVO-Projekt berücksichtigen sollte

Es gibt vier Bereiche, die jedes EU-DSGVO-Projekt berücksichtigen muss. Als erstes geht es um die Fragen nach dem Datenschutzbeauftragten. Jedes Unternehmen mit mehr als neun Mitarbeitern, die sich mit personenbezogenen Daten beschäftigen, hat die Pflicht, einen Datenschutzbeauftragten zu bestellen. Meist werden externe Datenschutzbeauftragte bestellt, weil interne Mitarbeiter keine Zeit für die umfangreichen Aufgaben haben oder auch aus Haftungs- bzw. Wissensgründen ausscheiden. Eine zentrale Aufgabe für ein Datenschutzmandat ist es, personenbezogene Daten in einer verantwortlichen Stelle in jeder Hinsicht sicher zu aufzubewahren.

Ganz wichtig ist auch ein interner Koordinator: Dem externen Datenschutzbeauftragten sollte ein interner Koordinator zur Seite stehen. „Meine Erfahrung aus der jahrelangen Praxis als externer Sicherheitsbeauftragter ist es, dass der Koordinator, entsprechend geschult, unsere Arbeit enorm erleichtert. Er kennt Prozesse, Mitarbeiter, Dienstleister und spricht ohne Vermittlungsprobleme die richtigen Mitarbeiter an“, sagt Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit und Geschäftsführer der YourIT GmbH. Verfahrensverzeichnis und Auftragsdatenverarbeitung sowie ähnliche aufwändige Erfassungstätigkeiten liegen in der Obhut des internen Koordinators.

Zentral ist die Frage nach der „Kritikalität“ der verarbeiteten Daten. Ein Unternehmen mit B2B-Geschäft muss primär die Personaldaten schützen, wofür es genügt, die Mitarbeiterdaten nur in einen bestimmten Bereich auf dem Server oder klassisch in Ordnern in einem speziell gesicherten Personalarchiv abzulegen. Und den Zugang genau zu regeln. Ein Krankenhaus verarbeitet hingegen kritische personenbezogene B2C-Daten. Rezepte enthalten Anforderungen an ein Produkt oder ein Medikament. Auf einer Rechnung steht unter Umständen ein Patientenname. Mit etwas Kombinationsgabe und Vorwissen kann man aus Auftrag und Namen entschlüsseln, welche Krankheit die Person hat. Gesundheitsdaten sind hochsensibel. Entsprechend strenger gelten hier die gesetzlichen Anforderungen der EU-DSGVO. Ein Krankenhaus muss definitiv trennen zwischen Verwaltung und normalem Patientenbereich. Das ist nicht neu. Und Krankenhäuser sollten das längst getan haben. Ströbele: „Leider muss ich immer wieder erleben, dass Krankenhäuser und Unternehmen im Gesundheitsbereich mit personenbezogenen Daten ähnlich umgeht wie beispielsweise ein Industriebetrieb aus dem B2B-Bereich.“

Last but not least sollte geklärt sein, ob es ein Verfahrensverzeichnis gibt. Vorbereiten muss man sich ebenfalls für den Bereich Verfahren und der Verarbeitungsaktivitäten. Dieser wurde bisher häufig vernachlässigt, sicherlich auch, weil es hier bisher keinen Bußgeldparagrafen gab. Heute muss ein Krankenhaus ein Verfahrensverzeichnis bzw. künftig ein Verzeichnis der Verarbeitungsaktivitäten in Bezug auf personenbezogene Daten vorweisen. Gefragt wird hier insbesondere: Welche Daten werden zu welchem Zweck mit welchem Rechtsgrund verarbeitet, wann sollen sie gelöscht werden? Welche technischen und organisatorischen Maßnahmen gewährleisten die gebotene Sicherheit?

Ziel: ein umfassendes Informationssicherheits-Management

Wer die EU-DSVGO angeht, sollte den nächsten Schritt mitdenken. Laut Verordnung betreffen die „Sicherheit der Bearbeitung“ geeignete technische und organisatorische Maßnahmen, aber eben auch die Fähigkeit, die Vertraulichkeit und Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten. Die EU-DSGVO fordert also letztlich ein Informationssicherheits-Management (ISMS) wie z.B. in der ISO 27001. Deren Pfeiler sind Vertraulichkeit, Integrität und Sicherheit der Daten. Angesichts der Gefahren aus dem Cyberraum sollte der Datenschutz wie ihn die EU-DSGVO einfordert, nur der erste Schritt in Richtung des umfassenden Schutzes aller Informationen sein.

Dieser Beitrag ist auch in Management & Krankenhaus 11/2017 auf S. 21 nachzulesen.