Health&Care -

Datenschutz-Grundverordnung Herausforderungen und Umsetzung für Pflegeeinrichtungen – Teil 1

Es bleiben noch elf Wochen, dann läuft die Übergangsfrist der europäischen Datenschutz-Grundverordnung ab und alle Vorkehrungen zum Erfüllen der neuen Gesetzeslage müssen erfüllt sein. In zwei Teilen erklärt Berater Christoph Naucke die Anforderungen an Pflegeeinrichtungen und gibt zwölf wichtige Handlungsempfehlungen. Eins bis sechs finden Sie in diesem ersten Teil.

Themenseite: Datensicherheit

Pflegeanbieter sind von den neuen Bestimmungen der Datenschutz.-Grundverordnung (DSGVO) uneingeschränkt betroffen und dabei ganz besonderen Herausforderungen ausgesetzt, da sie besonders intensiv mit personenbezogenen Daten umgehen müssen. Der Kreis der betroffenen Personen reicht von Bewohnern und Klienten über Mitarbeiter bis zu Angehörigen, Betreuern und sogar Lieferanten, sofern diese in der Rechtsform des Einzelunternehmens tätig sind. Anspruchsvoll für Pflegeheime und Pflegedienste dürfte ganz besonders die faktische Beweislastumkehr sein, die mit der DSGVO einhergeht.

Haftung kann sogar Ehrenamtliche betreffen

Weitgehend bekannt ist, dass die Sanktionen bei Rechtsverstößen erheblich verschärft werden. Weniger bekannt ist dagegen häufig, dass die generelle Haftung der gesetzlichen Vertreter für die Compliance auch in Bezug auf Datenschutzverstöße gilt. Bei Lücken in der Beweisführung, dass die datenschutzrechtlichen Vorschriften eingehalten werden, kann also der Verdacht auf ein betriebliches Organisationsverschulden bestehen, mit entsprechender zivil- und ggf. auch strafrechtlicher Haftung. Gänzlich unbekannt ist oft, dass diese Haftung auch ehrenamtliche gesetzliche Vertreter trifft, z.B. ehrenamtliche Vorstände eines Vereins.

Was ist jetzt zu tun?

Die neuen Anforderungen bedeuten insbesondere dann eine Herausforderung, wenn Einrichtungen sich bereits jetzt eher unsicher sind, ob sie denn die bisherigen Anforderungen des BDSG erfüllen. Für Pflegeeinrichtungen gelten zwölf Punkte, die aus Sicht der Experten aus der Sozialwirtschaft zu bearbeiten gilt . Die ersten sechs Punkte lauten wie folgt:

  1. Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB): Die Pflicht zu Bestellung eines bDSB wird für Pflegeeinrichtungen in aller Regel zu bejahen sein. Jedoch haben in der Pflegebranche zahlreiche Anbieter bislang darauf verzichtet.
  2. Klärung der anzuwendenden Rechtsgrundlage(n): Neben der DSGVO tritt zum gleichen Stichtag das Bundesdatenschutzgesetz (BDSG) neu in Kraft. Daneben bestehen Landesdatenschutzgesetze sowie für separate Gesetze im kirchlichen Bereich. Daher sollte man als Pflegeeinrichtung die Frage klären, welche Rechtsnormen anzuwenden sind.
  3. Dokumentationskonzept: Auf Grund der Beweislastumkehr wird es wesentlich wichtiger als in der Vergangenheit, die Einhaltung der datenschutzrechtlichen Vorgaben aktiv und laufend zu dokumentieren. Dafür kommt bei komplexeren Betrieben ein Datenschutzmanagementsystem in Frage, in dem alle Fäden zusammenlaufen.
  4. Identifikation und Argumentation bezüglich besonders sensibler Daten: Das Entstehen sogenannter „besonders sensibler“ Daten  im Sinne von Artikel 9 DSGVO ist in einer Pflegeeinrichtung praktisch unvermeidbar, da Gesundheitsdaten automatisch zu diesen Daten zählen. Da für die Verarbeitung dieser Daten ein grundsätzliches Verbot mit Ausnahmen gilt, sollte schriftlich festgehalten werden, inwiefern hier eine solche Ausnahme vorliegt.
  5. Verarbeitungsverzeichnis: Ebenfalls zwingend notwendig für die Erfüllung der nunmehr umgekehrten Beweislast ist das Führen eines datenschutzrechtlichen Verarbeitungsverzeichnisses. Anders sind die gesetzlich verankerten Betroffenenrechte (Siehe Teil 2 des Artikels) nicht einzuhalten. Im Regelfall ist hierzu nichts oder weniges schriftlich vorhanden, so dass tatsächlich dringender Handlungsbedarf besteht.
  6. Technisch und organisatorische Maßnahmen: Die DSGVO verlangt, dass das Unternehmen angemessene technische und organisatorische Maßnahmen trifft, um personenbezogene Daten angemessen zu schützen. In Verbindung mit der Beweislastumkehr bedeutet dies, dass das Unternehmen abwägen muss, mit welchen welche Schutzmaßnahmen ein angemessenes Niveau erreicht wird und dass es diese Maßnahmen umsetzen muss. Abwägung, Entscheidung und Maßnahmenumsetzung müssen aus Nachweisgründen dokumentiert sein.

Am 20. März lesen Sie im zweiten Teil des Artikels die verbleibenden sechs Punkte mit Hinweisen u.a. zu den Themen Datenschutzfolgenabschätzung, Auftragsdatenverarbeitung und Betroffenenrechten.

Zum Autor
Christoph Naucke, Associate Partner bei Rödl & Partner, Betriebswirt (BA), Bankkaufmann, Compliance Officer (TÜV), Kontakt: christoph.naucke@roedl.de
© hcm-magazin.de 2020 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen