Datenschutz und Datensicherheit

Sensible Daten müssen vor unbefugtem Zugriff und Missbrauch geschützt werden. (Foto: epitaph, photocase)
Sensible Daten müssen vor unbefugtem Zugriff und Missbrauch geschützt werden. (Foto: epitaph, photocase)

Human- und veterinärmedizinische Einrichtungen sind dazu verpflichtet, personenbezogene Daten sicher und geschützt vor unbefugtem Zugriff aufzubewahren und nach Ablauf der gesetzlichen Aufbewahrungsfrist ordnungsgemäß zu entsorgen. Egal ob Mitarbeiterinformationen, Patientendaten, Forschungsergebnisse oder auch interne Lohnabrechnungen – alle sensiblen Daten müssen vor Missbrauch und unbefugtem Zugriff geschützt sein.

Immer wieder kommt es im Gesundheitswesen zu Vorfällen, die auf fehlenden Datenschutz bzw. fehlendes Bewusstsein für diese sensiblen Informationen zurückzuführen sind. Patientenakten als Faschingskonfetti oder Röntgenfilme im Container am Straßenrand – die Liste ließe sich fortführen. Damit Arztpraxen und Kliniken vermeiden können, dass Mitarbeiter die Privatsphäre von Patienten und Kollegen durch den unsachgemäßen Umgang mit deren Daten verletzen und empfindliche Strafen gemäß europäischem Datenschutzrecht verhängt werden, fasst Abfallmanager Medizin nachfolgend Basiswissen zu Datenschutz und Datensicherheit zusammen.

Grundrecht auf Datenschutz

„Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union […] sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, formuliert Erwägungsgrund 1 der Datenschutzgrundverordnung (DSGVO). Auch das Bundesverfassungsgericht hat aus dem allgemeinen Persönlichkeitsrecht (Artikel 2 Abs. 1 Grundgesetz (GG) i.V.m. Artikel 1 Abs. 1 GG) das Recht auf informelle Selbstbestimmung abgeleitet. Jeder Einzelne kann demnach selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten entscheiden. Aber: Das Bundesverfassungsgericht legt auch fest, dass eine Person keine uneingeschränkte Herrschaft über ihre Daten hat.

Dieser Grundrechtsschutz wird durch die Datenschutzgrundverordnung konkretisiert.

Datenschutzgrundverordnung (DSGVO) regelt Datenschutz europaweit

Seit Mai 2018 gilt in den Mitgliedsstaaten der Europäischen Union und damit auch in Deutschland die Datenschutzgrundverordnung (DSGVO) unmittelbar und allgemein. Daneben bestehen nationale Datenschutzgesetze, in Deutschland das Bundesdatenschutzgesetz (BDSG) und speziellere Datenschutzregelungen, weiterhin Landesdatenschutzgesetze und spezielle Datenschutzregelungen des Landesrechts. In welcher Hierarchie die Vorschriften anzuwenden sind, ist hier skizziert.

Die Datenschutzgrundverordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Artikel 1 Abs. 1 DSGVO).

Verarbeitung personenbezogener Daten streng reglementiert

Personenbezogene Daten sind nach Artikel 4 DSGVO alle Informationen, die sich auf eine ermittelbare natürliche Person beziehen. Ermittelbar ist eine Person dann, wenn sie direkt oder indirekt identifiziert werden kann. Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten, es sei denn, sie ist rechtmäßig (Artikel 6 DSGVO). Grundsätze für die Verarbeitung personenbezogener Daten schreibt Artikel 5 Absatz 1 fest:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Gesundheitsdaten fallen unter die besonderen Kategorien personenbezogener Daten, deren Verarbeitung in Artikel 9 DSGVO geregelt ist. Die Verarbeitung dieser Daten ist u. a. nur dann erlaubt, wenn die Person ausdrücklich eingewilligt hat, es um den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person geht und es Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich machen.

„Verarbeitung“ meint im Übrigen jeden Vorgang im Zusammenhang mit personenbezogenen Daten – vom Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung bis hin zum Löschen oder der Vernichtung.

Datensicherheit gewährleisten

Datenschutz und Datensicherheit gehören untrennbar zusammen. Welche Bedingungen zu schaffen sind, um die Sicherheit der Datenverarbeitung zu gewährleisten, schreibt insbesondere Artikel 32 DSGVO fest. Die IHK München und Oberbayern fasst zusammen: Die Verordnung verlange Datensicherheitsmaßnahmen, die geeignet sind, das Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei sei der Stand der Technik adäquat zu berücksichtigen. Es bedürfe also einer stetigen Anpassung der Maßnahmen.

Konkrete Maßnahmen gibt Artikel 32 mit Ausnahme der Pseudonymisierung und Verschlüsselung personenbezogener Daten allerdings nicht vor. Stattdessen werden vier Schutzziele benannt:

  • Vertraulichkeit,
  • Integrität,
  • Verfügbarkeit und
  • Belastbarkeit der Systeme und Dienste im Zusammenhang müssen auf Dauer sichergestellt sein.

Orientierung für geeignete technisch-organisatorische Maßnahmen, auch für den Umgang mit sensiblen Daten, kann der Katalog des § 64 Absatz 3 Bundesdatenschutzgesetz (BDSG neu) bieten. Im Fall einer automatisierten Verarbeitung sollen die nach einer Risikobewertung getroffenen Maßnahmen Folgendes bezwecken:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Zur Gewährleistung der Datensicherheit aufgerufen sind nicht nur Verantwortliche, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, sondern auch Auftragsverarbeiter wie Druckdienstleister, Callcenter, externe Buchhalter, externe Rechenzentren oder auch Entsorgungsunternehmen. Mit diesen ist nach Artikel 28 DSGVO ein Datenschutzvertrag (AV-Vertrag) zu schließen.

Quellen

Sensible Daten müssen vor unbefugtem Zugriff und Missbrauch geschützt werden. (Foto: epitaph, photocase)
Sensible Daten müssen vor unbefugtem Zugriff und Missbrauch geschützt werden. (Foto: epitaph, photocase)