Die europäische Datenschutz-Grundverordnung (DS-GVO) erzeugte eine bewusstere Wahrnehmung des Themas Datenschutz, auch im Bereich der medizinischen Versorgung. Patientendaten sind besonders sensible Daten, daher wurde diesen schon immer ein hohes Schutzniveau zugeordnet. Die in der DS-GVO enthaltenen Regelungen waren daher nichts grundlegend Neues.
Die DS-GVO enthält dennoch viele Herausforderungen, denen sich Leistungserbringer in der Gesundheitsversorgung stellen mussten und müssen. Denn die Anforderungen an Unternehmen sind gestiegen, ebenso wie die rechtlichen und wirtschaftlichen Konsequenzen bei einer Nichteinhaltung des geltenden Datenschutzrechts. Eine Beratung durch einen auf das Datenschutzrecht im Gesundheitswesen spezialisierten Rechtsanwalt ist dabei von zentraler Bedeutung.
Bundesweite Beratung: +49 (0)30 - 23540-500 TELEFONTERMIN ONLINE BUCHEN
Entwicklung eines Datenschutzkonzeptes
Im Gesundheitswesen ist ein geeignetes Datenschutzkonzept für jedes Krankenhaus und jede Arztpraxis unerlässlich, um den Missbrauch der sensiblen Infos zu unterbinden. Das Konzept ist auch erforderlich, um dokumentiert nachweisen zu können, dass der Datenschutz entsprechend der EU-DSGVO eingehalten wird.
Unterstützung bei dem verpflichtenden Verzeichnis der Verarbeitungstätigkeiten
Nach Art. 30 DSGVO ist für die meisten Unternehmen die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten Pflicht.
Ein Verfahrensverzeichnis muss folgende Informationen nach Art. 30 Abs. 1 DS-GVO beinhalten:
Name und Kontaktdaten des Verantwortlichen
Name und Kontaktdaten des Datenschutzbeauftragten
Sowie für jede Verarbeitungstätigkeit einzeln:
- Bezeichnung der Verarbeitungstätigkeit
- Zwecke der Verarbeitung
- Kategorien betroffene Personen
- Kategorien von personenbezogenen Daten
- Kategorie von Empfängern
- Drittlandstransfer (Transfer von Daten außerhalb der EU, z. B. Clouddienste in den USA, DuDa/Jimdo-Webseite)
- Löschfristen
- Technische und organisatorische Maßnahmen (Verweis auf das Informationssicherheitskonzept)
Nach Art. 5 Abs. 2 DS-GVO müssen Sie auch die Rechtmäßigkeit der personenbezogenen Datenverarbeitung anhand dieses Verarbeitungsverzeichnisses regelmäßig überprüfen.
KMW unterstützt Sie bei der Erstellung entsprechender Verzeichnisse.
Beschäftigtendatenschutz
Bewerbermanagement, Nutzung von Internet und E-Mail, GPS-Ortung, Homeoffice, elektronische Personalakte, Veröffentlichung von Beschäftigtendaten, Datenübermittlungen, elektronische Zugangskontrolle.
Vertretung vor dem Landesdatenschutzbeauftragten als Aufsichtsbehörde oder gegenüber den Betroffenen
Die nationalen Aufsichtsbehörden können oder müssen nach der Datenschutz-Grundverordnung Bußgelder für bestimmte Datenschutzverstöße verhängen.
Die zuständige Behörde muss zunächst eine Verletzung datenschutzrechtlicher Vorschriften feststellen. Entweder wird zufällig im Rahmen einer Routinekontrolle ein Verstoß festgestellt oder die Behörde wird auf eine entsprechende Meldung hin tätig. Stellt sie daraufhin einen Rechtsverstoß fest, so ist der Verantwortliche zunächst gemäß § 55 OWiG anzuhören.
Bereits die erste Anhörung sollte sehr ernst genommen werden. Es sollten auf keinen Fall voreilig irgendwelche Stellungnahmen abgegeben werden. Vielmehr sollte zunächst über einen erfahrenen Rechtsanwalt Akteneinsicht eingeholt werden, um zu überprüfen, ob die Behörde die vorgeworfenen Taten überhaupt belegen kann.
Anschließend kann die Behörde einen entsprechenden Bußgeldbescheid erlassen. Gegen einen Bußgeldbescheid kann grundsätzlich ein Rechtsmittel eingelegt werden.
