FORTBILDUNG & KARRIERE I Verband der leitenden Krankenhausärzte Österreichs

Foto: istockphoto/ iLexx

Datenschutz:

So einfach geht es

Mit der Datenschutzgrundverordnung verhält es sich wie mit der Straßen- verkehrsordnung: wer Auto fahren will, muss sie beachten und wer Daten besitzt, muss auf sie Acht geben.

Regelungen zum Umgang mit sensiblen und personenbezogenen Daten sind nicht neu. „Big Data“, also die Daten- sammlung in großem Stil zur wirtschaftlichen Nutzung, hat es aber im Lauf der Zeit erforderlich gemacht, Regelun- gen rund um den Datenschutz nachzujustieren. Ziele sind ein einheitlicher Rechtsschutz, einheitliche Regeln für die Datenverarbeitung und ein starker Vollzug. Auch wenn es auf den ersten Blick nicht danach aussieht und die Verun- sicherung im Hinblick auf die in Kraft getretene Datenschutzgrundverordnung (DSGVO) groß ist, so werden Ein-Per- sonen-Unternehmen und Unternehmen wie Google längst nicht in einen Topf geworfen.


Zwei wesentliche Änderungen

Auch die Jahrestagung des Verbandes der leitenden Krankenhausärzte (VLKÖ) hat sich daher des Themas ange- nommen und diskutierte mit den Rechtsanwälten Mag. Brigitte Sammer und Mag. Andreas Schütz von der Kanzlei Taylor Wessing e/n/w/c Rechtsanwälte sowie Mag. Markus Dörfler LL.M., Partner bei Höhne, In der Maur & Partner Rechtsanwälte. „Zwei wesentliche Änderungen sind zu beachten: Die Strafbestimmungen wurden deutlich ver- schärft und die Beweislast umgekehrt“, bringt Dörfler die Kernfragen auf den Punkt. Was früher gemeldet werden muss, gilt es nun zu dokumentieren und auf Wunsch der Behörde vorzulegen. Das erfordert einen gewissen Pro- zessablauf in Einrichtungen aller Größen – also in Krankenhäusern, aber auch Ordinationen. Vor allem müssen Mit- arbeiter entsprechend geschult werden. „Das Prinzip der betrieblichen Eigenverantwortung wurde in den Vorder- grund gerückt, denn es entfallen die Meldepflichten und Genehmigungsverfahren. Die nun vorgesehenen Bußgel- der können bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro betragen“, konkretisiert Dörfler. Dieses Damo- klesschwert schürt wohl am meisten die Verunsicherung, wie mit der DSVGVO in der Praxis umzugehen ist.


Der Schutzbereich

Schützenwert sind jene Daten, die sich direkt oder indirekt auf eine natürliche Person beziehen, auch wenn es sich scheinbar um belanglose Daten handelt. Demnach sind Daten von juristischen Personen oder Verstorbenen ausge- nommen. Unabhängig davon, ob sie ganz oder teilweise automatisiert verarbeitet werden – also auch handschriftli- che Patientenkarteien – sind demnach aber von der DSGVO betroffen. Unverändert bleibt die bisherige Rollenver- teilung zwischen

• den Verantwortlichen oder Auftraggebern, die entscheiden, wozu die Daten verarbeitet werden,

• den Betroffenen, das sind die natürlichen Personen, deren Daten schutzwürdig sind und

• dem Auftragsverarbeiter, einem Dienstleister, der zum Beispiel Newsletter versendet, Internetdienste zur Verfü- gung stellt oder Daten ausliest, speichert oder archiviert.


Transparenz erforderlich

Als datenschutzrechtlicher Verantwortlicher muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden – oder anders gesagt: Sie müssen sich im Klaren sein, wo in ihrem Betrieb schützenwerte Daten anfallen und wie sie damit umgehen. „Dazu muss der Arzt als Ordinationsinhaber oder das Krankenhaus nachweislich einen Prozessablauf eingerichtet haben, der es ermöglicht, die Aufsichtsbehörde binnen 72 Stunden zu informieren, sollte der Schutz von personenbezogenen Daten verletzt worden sein. Das Wichtigste dabei: Es muss ein Nachweis vorliegen, dass die Zustimmungserklärung zur Datenverarbeitung tatsächlich wirksam eingeholt wurde. Bisher war es ausreichend, dass die Verarbeitung nach Treu und Glauben, für einen gewissen Zweck, in möglichst geringem Umfang, richtig, für einen begrenzten Zeitraum und sicher erfolgt. Nun kommt noch eine wichtige Anforderung hinzu: Die Verarbei- tung muss transparent erfolgen. Das bedeutet, dass die jeweilige betroffene Person über den Verarbeitungsvorgang informiert werden muss. „Die DSGVO legt fest, dass jede Person, die von einer Datenverarbeitung betroffen ist, nun erweiterte Auskunfts- und Kontrollmöglichkeiten hat. Es werden hohe Ansprüche an transparente Information, Kom- munikation und Modalitäten für die Ausübung dieser Rechte gestellt“, erklärt Dörfler.


Umgang mit sensiblen Daten

Die bisherigen „sensiblen Daten“ heißen nunmehr „besondere Kategorien von Daten“ und umfassen nun auch ge- netische und biometrische Daten. Sollte durch die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen, sind Sie verpflichtet, eine „Datenschutz-Folgenabschätzung“ zu erstellen. Unter welchen Umständen ein solches Risiko für die „Rechte und Freiheiten“ besteht, ist derzeit noch offen. Unter gewis- sen Voraussetzungen – etwa in einem Krankenhaus – muss auch ein Datenschutzbeauftragter bestellt werden. Neu ist auch der Begriff der Datenschutz-Folgeabschätzung. In Fällen von Datenverarbeitungen, die mit neuen Techno- logien arbeiten oder im Hinblick auf ihre Art, ihres Umfangs, ihrer Umstände oder ihrer Verarbeitungszwecke als ein erhöhtes Risiko für die Privatsphäre der betroffenen Person erscheinen, muss der Verantwortliche im Voraus eine so- genannte „Datenschutz-Folgeabschätzung“ durchführen, die auch eine Konsultation der Datenschutzbehörde erfor- dern kann. Das bedeutet, dass der Verantwortliche die Folgen der Datenverarbeitung vorab für die Zukunft abschät- zen muss. Das betrifft vorrangig Spitäler oder Gesundheitseinrichtungen, jedoch voraussichtlich nicht die niederge- lassenen Ärzte.


Tipps für die Umsetzung

Die DSGVO ist grundsätzlich eine praxisorientierte Regelung, die von Unternehmen eine offene und transparente Kommunikation verlangt. Um top vorbereitet zu sein, hat es gerade in Spitälern Sinn, die Rechts-, Compliance- und IT-Teams in einer Arbeitsgruppe zusammenzufassen und auf zwei Ziele hinzuarbeiten: sicherzustellen, dass Daten richtlinienkonform gespeichert und verarbeitet werden und zu achten, dass für alle gespeicherten Daten gültige Nutzereinwilligungen vorhanden sind. Im Sinne einer leichten und verständlichen Sprache – Patienten befinden sich gerade im Gesundheitssetting oft in Ausnahmesituationen – ist umso mehr darauf zu achten, dass Erfassungsbögen frei von Juristendeutsch sind und Missverständnisse oder gar Misstrauen gar nicht erst aufkeimen lassen.


rh

Der VLKÖ


Der VLKÖ ist die Plattform leitender Ärzte im Gesundheitswesen. Sie hat engen Kon- takt zu über 1.500 Ärzten in Führungsposition und vertritt deren Anliegen und Interes- sen. Eines der Hauptanliegen des Verbandes ist es, gesundheitspolitische Themen voranzutreiben, um neue, dringend benötigte Lösungsansätze für Probleme, mit de- nen sich Primarärzte im Berufsalltag konfrontiert sehen, zu diskutieren und so auch zu Verbesserungen beizutragen. Die Mitglieder des VLKÖ verfügen über hohe fachliche Expertise und Kompetenz hinsichtlich ihrer Organisation und über sehr gute Kenntnis des österreichischen Gesundheitswesens. Damit stellt der Verband eine informative Plattform von Primar- und OberärztInnen dar. Durch die enge Zusammenarbeit mit al- len wichtigen medizinischen Fakultäten, Akademien und Gesundheitsinstitutionen hat der Verband einen weitreichenden Einblick in das ärztliche Gesundheitswesen der Krankenhäuser und arbeitet stets auch an einer soliden Zusammenarbeit mit der nie- dergelassenen Kollegenschaft.

www.leitendekrankenhausaerzte.at