Die Datenschutzgrundverordnung (DSGVO) im Gesundheitswesen

Drei Menschen bei Besprechung

Ihr Leitfaden für den richtigen Umgang mit sensiblen Daten im Rahmen der DSGVO

Der besondere Umgang mit personenbezogenen Daten ist für die meisten Akteure im Gesundheitswesen schon längst fester Bestandteil ihres beruflichen Alltags. Mit dem Inkrafttreten der Datenschutzgrundverordnung, kurz DSGVO, am 25. Mai 2018, sind jedoch zusätzliche Auflagen wirksam geworden, die viele Unternehmen vor eine organisatorische und technische Herausforderung stellen.

Folgend möchten wir Ihnen einen Leitfaden an die Hand geben, der Sie im sicheren Umgang mit diesen Daten unterstützt.

Sozial- und Gesundheitsdaten gelten als besonders sensible Daten und müssen nach der DSGVO entsprechend geschützt werden. Diese finden sich im Gesundheitswesen in Forschungsinstituten, Apotheken, Krankenhäusern und selbstverständlich auch in Arztpraxen. Stellen Sie prinzipiell sicher, dass:

      • Die Daten nicht in falsche Hände geraten
      • Speichern Sie Daten transparent und kommunizieren Sie die Speicherung an die betroffenen Leistungsempfänger
      • Dokumentieren Sie detailliert alle getroffenen Datenschutzmaßnahmen 

Diese Aspekte sind dringend zu beachten und werden bei Verstoß, teils mit Bußgeldern in Millionenhöhe geahndet. Doch wie sichert man sich ausreichend ab? Zur Klärung dieser Frage haben wir Ihnen folgend einen Leitfaden zum richtigen Umgang mit Personendaten erstellt: 

Lassen Sie sich von einem Experten unterstützen: 

Benennen Sie einen dauerhaften Datenschutzbeauftragten für Ihr Unternehmen. Ein Datenschutzbeauftragter ist für Unternehmen, welche mehr als zehn Personen dauerhaft mit der Verarbeitung von Daten beschäftigen, verpflichtend. Jedoch empfiehlt es sich, gerade beim Umgang mit sensiblen Daten Vorsicht walten zu lassen und daher präventiv Maßnahmen zum Schutz einzuleiten. Ein Datenschutzbeauftragter muss nicht zwingend dauerhaft im Unternehmen angestellt sein, auch externe Dienstleister bieten ihren Service auf Vertragsbasis an. 

Ein weiterer bedeutender Punkt ist das korrekte Führen eines Verzeichnisses aller Verarbeitungstätigkeiten. Dieses ist zwingend erforderlich, sobald eine Verarbeitung von Daten stattfindet. Das zentrale Dokument ist Ihr Nachweis über die intern getroffenen Datenschutzmaßnahmen und Einhaltung der DSGVO.

Treffen Sie technische und organisatorische Datenschutzmaßnahmen: 

Auch die Auflagen in Bezug auf technische Anwendungen und organisatorische Prozesse sollen sicherstellen, dass die DSGVO eingehalten wird. Digitale Lösungen im Gesundheitswesen erleichtern beispielsweise das Dokumentieren von Krankheitsverläufen oder die Führung von Patientenakten, doch genau diese Informationen sind zunehmend durch Hacker-Angriffe gefährdet. Sichern Sie Ihre IT-Systeme durch bspw. den Einsatz einer Firewall, das Durchführen regelmäßiger Back-ups, sichere Verschlüsselung der Datenträger bzw. der Datenübermittlung und stellen Sie, falls notwendig, ein Notstromaggregat bereit. Im Gegenzug meinen die organisatorischen Maßnahmen die Rahmenbedingungen der technischen Verarbeitung: Verpflichten Sie Ihre Mitarbeiter zur Vertraulichkeit, lassen Sie Ihre Mitarbeiter an Datenschutz-Schulungen teilnehmen, führen Sie das Vier-Augen-Prinzip ein und bestimmen Sie eine zugriffsberechtigte Person. 

Die Datenschutz-Folgenabschätzung (DSFA):

Eine der bedeutendsten Neuerungen im Rahmen der Datenschutzgrundverordnung ist die Datenschutz-Folgenabschätzung (DSFA). Die Risikoanalyse bewertet die individuellen Verarbeitungsvorgänge sensibler Daten in Bezug auf die Risiken für die betroffenen Personen und fungiert als Ersatz der bisherigen Vorabkontrolle. Ziel dabei ist die Identifikation geeigneter Strategien zur Risikominimierung. Zudem möchte man sicherstellen, dass Unternehmen die DSGVO und deren Auflagen einhalten. Generell ist nicht jeder zu einer Folgenabschätzung verpflichtet, doch die Verarbeitung der sensiblen Daten im Gesundheitswesen stellt ein hohes Risiko für betroffene Leistungsempfänger dar.

Sollten Unternehmen über die Folgenabschätzung hohe Datenschutzrisiken erkennen, müssen diese bei der zuständigen Aufsichtsbehörde gemeldet werden. Infolgedessen unterstützt die Aufsichtsbehörde das betroffene Unternehmen mit Handlungsempfehlungen zur Schließung der Datenschutzlücken. Die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) e.V hat eine Liste für Branchen und Verarbeitungsvorgänge veröffentlicht. Für das Gesundheitswesen relevante Vorgänge sind bisher: die zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind, der Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten und die Forschung mit medizinischen Daten. 

Datenpanne - was tun?

Im unschönen Fall einer Datenpanne muss die Verletzung des Datenschutzes binnen 72 Stunden der zuständigen Behörde gemeldet werden. Dokumentieren Sie detailliert Ihr Vorgehen und legen Sie sich im besten Fall einen Notfallplan zurecht. Dieser sollte neben der Meldebehörde die Art und den Umfang der Panne beschreiben. Führen Sie dort ebenfalls die eventuellen Folgen und Ihre ergriffenen Maßnahmen zur Behebung der Panne auf. 

Mit diesem Leitfaden können Sie Ihr persönliches Datenschutzkonzept zur Wahrung der DSGVO in Ihrem Betrieb erstellen. Wir kennen uns mit den Besonderheiten im Gesundheitswesen aus und möchten Sie in Ihrem Arbeitsalltag unterstützen.

Als Karriereberater helfen wir auf beiden Seiten – Bewerbern und suchenden Unternehmen. Real Life Sciences findet seit über 20 Jahren die passenden Experten für Top-Positionen in Life Sciences. 

Kontaktieren Sie uns, wir beraten Sie zu Ihrem Anliegen. 

Der Real Life Sciences Service Cycle

24 Jun 2020

In der Arbeitswelt 4.0 müssen Prozesse effizient und ressourcenschonend sein. Die Personalbeschaffung wird daher zunehmend ausgelagert und Unternehmen bedienen sich vermehrt den Services unserer Personalberatung. Wir informieren Sie in diesem Artikel ausführlich über unsere Services – unser Versprechen an Sie.

5 Tipps, um Burnout am Arbeitsplatz zu vermeiden

26 Aug 2020

Burnout ist ein Syndrom, das durch chronischen, unkontrollierbaren Stress am Arbeitsplatz entsteht. Burnout geht häufig mit einer Depression einher und lautet daher in der Diagnose des Psychologen stressbedingte Überlastungsstörung, Depression, Angststörung o.ä. Es ist ein Komplex aus verschiedenen Krankheiten und Symptomen, welche zusammenhängen und aufgrund einer Überlastung entstehen.

Herausforderungen für Unternehmen während der Corona-Pandemie: 5 Handlungsempfehlungen

17 Apr 2020

Die Corona-Krise stellt Gesellschaft und Unternehmen vor noch nie dagewesene Herausforderungen. Durch die sich schnell ändernden Bedürfnisse der Kunden verändern sich gleichzeitig auch die Rahmenbedingungen der Unternehmen. Dabei wird Flexibilität belohnt, denn wer schnell reagiert, kann im besten Fall gestärkt aus der Krise hervorgehen.

Für Freelancer: staatliche Hilfen in Zeiten der Corona-Pandemie

01 Apr 2020

Die wirtschaftlichen Konsequenzen der Corona-Krise spüren nicht nur große Unternehmen, sondern vor allem auch viele Freelancer. Nur die wenigsten haben ausreichende Rücklagen, um mehrere Wochen ohne Einkünfte zu überstehen. Wir zeigen Ihnen deshalb, welche staatlichen Hilfen Freiberufler in der Corona-Krise in Anspruch nehmen können.