Chancen und Risiken für das Gesundheitswesen

EU-Datenschutzgrundverordnung

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Durch die Datenschutzgrundverordnung wurden EU-weit geltende einheitliche Datenschutzstandards eingeführt, die den Anforderungen des digitalen Wandels Rechnung tragen und den Schutz des Bürgers gewährleisten sollen.

EU-Datenschutzgrundverordnung

© stockpics – Fotolia

Mit der zunehmenden Digitalisierung und Vernetzung ist auch das Gesundheitswesen gefordert, sich mit Fragen des Datenschutzes und der Datensicherheit zu befassen, denn einerseits sehen viele in der Verordnung große Chancen, andererseits schüren die Verordnungen allerdings auch Ängste.

Diese versucht Heiko Kögel, Director Consulting von Rohde & Schwarz, Cybersecurity, zu zerstreuen: „Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Arztpraxen, Kliniken und medizinische Laboratorien haben die Chance, ihr Vertrauensverhältnis gegenüber ihren Patienten und Partnern zu untermauern, wenn sie die Richtlinie umsetzen“, betont er. Einen weiteren Vorteil sieht er darin, dass jedes Unternehmen ein Datenschutzmanagementsystem einführen muss. Und nicht zuletzt werde mit der DSGVO auch das Selbstbestimmungsrecht von Bürgern, Patienten und Probanden gestärkt, ergänzt die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS).

Kögel erläutert die zentralen Prinzipien der neuen Verordnung, die in Art. 5 festgelegt sind:

•    Rechtmäßigkeit und Transparenz: Ohne eine Ermächtigungs- beziehungsweise Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.

•    Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.

•    Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Maß beschränkt werden.

•    Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung beziehungsweise Löschung.

•    Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.

•    Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen vor Manipulation oder Fälschung gesichert werden. Vor dem Hintergrund, dass die Zahl der Cyberangriffe auf Datenbanken und Zugangsberechtigungen stetig steigt, hat dieses Prinzip in der EU-Verordnung einen neuen Stellenwert.

•    Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden.

Der Umgang mit Gesundheitsdaten

Der Umgang mit Gesundheitsdaten wird in einem eigenen Artikel (Art. 4, Nr. 15) festgelegt. Danach sind Gesundheitsdaten, personenbezogene Daten, die „sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Ebenso wie im Bundesdatenschutzgesetz ist die Verarbeitung dieser Daten grundsätzlich untersagt.

Um diese Vorgaben und Ausnahmeregelungen gesetzeskonform umsetzen zu können, ist es, so Kögel, wichtig, dass alle Mitarbeiter einer Praxis oder eines Labors geschult werden. Sogenannte Awareness-Programme seien dabei hilfreich. Entscheidend sei aber vor allem das Einsetzen eines Datenschutzbeauftragten, der den Prozess zur Umsetzung der EU-DSGVO initiiert. Für alle Daten, die verarbeitet werden dürfen, gilt: Ein wesentlicher Aspekt ist die Sicherheit bei der Datenverarbeitung. Um Integrität und Vertraulichkeit zu gewährleisten, müssen Unternehmen bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen ergreifen, die einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung der Daten, ihren Verlust sowie ihre unbeabsichtigte Zerstörung oder Schädigung sicherstellen. Die Wahl der konkreten Technologien und Maßnahmen soll dabei gemäß der Wahrscheinlichkeit und Schwere des Risikos für die Rechte der Betroffenen abgewogen werden.

Die neuen Prinzipien stellen Kögel zufolge Unternehmen im Gesundheitsbereich vor konkrete Herausforderungen. „Sie müssen Maßnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederherstellung der Daten ermöglichen. Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet: Datenschutzfolgenabschätzungen – stellt eine erhöhte Anforderung dar. Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.“

Einwilligung und Datenübertragung

Die GMDS hat sich insbesondere mit den Themen Einwilligung und Datenübertragbarkeit befasst. Wie das bisherige Datenschutzrecht verbiete auch die DSGVO jede Verarbeitung personenbezogener Daten, soweit nicht eine gesetzliche Norm die Erlaubnis zur Datenverarbeitung erteilt oder die Datenverarbeitung durch die Einwilligung der betroffenen Person legitimiert werde. Die DSGVO beschreibt in Art. 7 (Kasten) die „Bedingungen für die Einwilligung“. Dazu gehören unter anderem die Nachweisbarkeit der Einwilligung durch die verantwortliche Stelle, die eindeutige, unmissverständliche und freiwillig abgegebene Willenserklärung des informierten Einwilligenden sowie die Widerrufsmöglichkeit. Eine Einwilligung sei immer zweckgebunden, das heißt, sie gelte immer bezogen auf die für die zur Erreichung des konkreten Zweckes notwendigen Verarbeitungsvorgänge. Die Datenschutzgrundverordnung gibt jedoch der GMDS zufolge im Gegensatz zum Bundesdatenschutzgesetz keine konkrete Form für die Einwilligung vor. Jedoch müsse der Widerruf einer Einwilligung ebenso leicht wie der Vorgang der Einwilligungserteilung selbst sein. „Ist die Einwilligung Bestandteil eines größeren Dokumentes wie zum Beispiel Teil eines anderen Vertrags, so muss die Einwilligung von den anderen in diesem Vertrag abgebildeten Sachverhalten klar zu unterscheiden sein.“ In der Stellungnahme „Recht auf Datenübertragbarkeit“ weist die GMDS darauf hin, dass im Gesundheitswesen häufig eine Sekundärnutzung von Daten stattfindet, sei es zur Forschung, zu statistischen Auswertungen, aber auch zur Etablierung von Patientenakten. Forschung müsse, wann immer möglich, mit anonymen Daten erfolgen, wobei dann datenschutzrechtliche Vorgaben nicht gelten. Häufig erfolge aber auch eine Verarbeitung aufgrund einer Einwilligung mit nicht anonymen Daten.

Art. 7 – EU-DSGVO – Einwilligung

1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

In diesem Fall steht, so die GMDS, dem Betroffenen das Recht auf Datenübertragbarkeit zu. Bei Probanden erfolge häufig ein intensives Monitoring ihrer Vitaldaten. Ferner werden auch beispielsweise Körpersubstanzen im Labor analysiert und die durch die Laboranalyse gewonnenen Daten in die Forschungsakte mit aufgenommen. Da zu erwarten ist, dass die Probanden daher von ihrem Recht auf Datenübertragung Gebrauch machen werden und einen Transfer der eigenen Daten zum Beispiel in ihre elektronische Patientenakte verlangen, müssen sich Forschende künftig auch mit dem Problem der Datenübertragung auseinandersetzen. Dieses vor allem auch deshalb, weil entsprechend Art. 12 DSGVO eine Informationspflicht hinsichtlich des Rechts auf Datenübertragung gemäß Art. 20 DSGVO bestehe. Zugleich haben Betroffene der Stellungnahme zufolge künftig auch das Recht, dass Verantwortliche (Krankenhäuser, Arztpraxen, häusliche Krankenpflege, aber auch andere Forschungsinstitutionen) ihre Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zur Verfügung stellen. Damit erhöhen sich für die Forschenden durch diese Regelung der DSGVO einerseits die Anforderungen, andererseits bieten sich auch neue Chancen, um an die für die Forschung notwendigen Daten zu gelangen und diese entsprechend des Forschungszwecks zu verarbeiten.

Die Verweigerung der Datenübertragung durch den Verantwortlichen sieht die DSGVO nicht als „Kavaliersdelikt“ an. Eine Aufsichtsbehörde kann ein Bußgeld von bis zu „20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ verhängen.

Um sich den konkreten Herausforderungen im Gesundheitswesen zu stellen, empfiehlt Kögel die Einführung eines sogenannten Informationssicherheitsmanagementsystems. Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen zunächst definiert, dann umgesetzt und kontinuierlich verbessert wird.

 

Entnommen aus MTA Dialog 4/2018