Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern

veröffentlicht am 27. April 2018

Autoren: Jana Wollmann und Christoph Naucke

​Ab dem 25. Mai 2018 führt die europäische Datenschutz-Grundverordnung (DSGVO) auch im Krankenhausbereich zu zahlreichen Neuerungen. Um hier die Umstellung zu erleichtern, haben der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht einen gemeinsamen Leitfaden zu den Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern (Stand: März 2018) erarbeitet.

[Datenschutzreform 2018 – Krankenhäuser: Praxishilfe zur Umsetzung der Datenschutz-Grundverordnung]

Der Leitfaden soll einen ersten Überblick über die rechtlichen Anforderungen an das Datenschutzmanagement im Krankenhausbereich, insbesondere über dessen Bestandteile verschaffen. Bereits mit dem Papier „Anforderungen an Technik und Sicherheit der Verarbeitung” des Bayerischen Landesbeauftragten für den Datenschutz wurde der Versuch unternommen, die „Verantwortlichen” im Sinne des Art. 4 Nr. 7 DSGVO für die datenschutzrechtliche Thematik zu sensibilisieren. Mit dem vorliegenden Leitfaden wollte der Landesbeauftragte für den Datenschutz gezielt die „Verantwortlichen” im Krankenhausbereich – nämlich die öffentlichen oder privaten Krankenhäuser selbst – ansprechen und erste Hinweise zur Auslegung der neuen Regelungen und Einrichtung eines Datenschutzmanagements geben.

Inhalt des Leitfadens

Der Leitfaden stellt bereits zu Anfang nochmal ausdrücklich klar, dass die aus der Datenschutz-Grundverordnung resultierenden Aufgaben des Verantwortlichen – also der öffentlichen oder privaten Krankenhäuser selbst – krankenhausintern grundsätzlich Sache der Leitungsebene sind, die hierbei von dem Datenschutzbeauftragten des Krankenhauses lediglich unterstützt wird. Diese Aufgaben dürfen auf einen „festen Kreis von Personen” delegiert werden, der unter Beteiligung des Datenschutzbeauftragten für die Sicherstellung bzw. Umsetzung der datenschutzrechtlichen Anforderungen verantwortlich ist. In einer allgemeinen Dienstanweisung zum Datenschutz sollte zudem festgelegt werden, welche Stellen oder Personen innerhalb des Krankenhauses für welche Aufgaben zuständig sind.

Des Weiteren enthält der Leitfaden zum einen den Hinweise darauf, dass soweit bereits Datenschutzkonzepte für einzelne Verarbeitungsverfahren erarbeitet worden sind und diese ebenfalls beim Datenschutzmanagement hinterlegt werden sollten und zum anderen zum Verzeichnis von Verarbeitungstätigkeiten im Sinne des Artikels 30 DSGVO, das das bisherige Verfahrensverzeichnis ablösen soll. Die Datenschutz-Grundverordnung verlangt von jeder öffentlichen Stelle den Nachweis, dass die von ihr oder in ihrem Auftrag vorgenommenen Verarbeitungen personenbezogener Daten im Einklang mit den datenschutzrechtlichen Vorschriften erfolgen („Rechenschaftspflicht”, vgl. Art. 5 Abs. 2 DSGVO). Als ein wesentlicher Bestandteil dieser Rechenschaftspflicht sind ab dem 25. Mai 2018 alle „Verarbeitungstätigkeiten” einer öffentlichen Stelle in einem Verzeichnis (Verarbeitungsverzeichnis) schriftlich oder elektronisch zu dokumentieren (Art. 30 Abs. 1 DSGVO). Auch dieses Verzeichnis ist zukünftig grundsätzlich durch den Verantwortlichen zu führen. Die Aufgabe kann lediglich delegiert werden.

Der Leitfaden stellt ausdrücklich klar, dass der Verantwortliche jederzeit in der Lage sein sollte, Auskunft über alle Auftragsverarbeitungen zu geben. Es wird daher empfohlen, eine Auflistung der vorhandenen Verträge zentral beim Datenschutzmanagement-Team zu hinterlegen.

Ferner geht der Leitfaden auf das Thema des richtigen Umgangs mit den Ergebnissen der Risikoabschätzungsmaßnahmen ein und betont, dass nach derzeitigem Stand davon auszugehen ist, dass die Krankenhäuser zukünftig für einige ihrer Verfahren zur Verarbeitung personenbezogener medizinischer Daten grundsätzlich eine Datenschutz-Folgenabschätzung durchführen müssen, für deren Durchführung ein Team aus mehreren Personen nötig sein wird. Der Datenschutzbeauftragte des Krankenhauses ist nach Art. 35 Abs. 2 DSGVO an der Folgenabschätzung „lediglich” zu beteiligen. Alle Schritte sowie Ergebnisse der Folgenabschätzung sollen gut dokumentiert werden, ebenso wie die Entscheidung, ob eine vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich ist, wann diese gegebenenfalls erfolgt ist und mit welchem Ergebnis.

Abschließend erklärt der Leitfaden, durch welche Maßnahmen Patientenrechte gewahrt bleiben und wie bei Feststellung der Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu verfahren ist.

Zukünftig soll es möglich sein, den Nachweis, dass eine Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt, über Zertifizierungen zu führen (Art. 42 und 43 DSGVO).

Bei Fragen stehen wir Ihnen gerne zur Verfügung.