Die europ�ische Datenschutz-Grundverordnung (DSGVO) erlebt zurzeit ihren zweiten Fr�hling � im wahrsten Sinne des Wortes: Im vergangenen Mai, am 25.05.2018, ist sie in Kraft getreten. Schon damals haben wir Sie hier im Relias-Blog dar�ber informiert, was sich f�r Pflegeheime und Pflegedienste �ndert � und was gleich bleibt.
Einige Dinge waren damals auch in Expertenkreisen noch unklar. Das vergangene Jahr hat hier neue Erkenntnisse gebracht, oder zumindest einen gewissen Konsens unter Fachleuten. Au�erdem, wie wir im alten Blogbeitrag schon vermuteten, hat die DSGVO in der Zwischenzeit auch die Gerichte besch�ftigt, die allein durch ihre Entscheidungen schon mehr Klarheit in der Auslegung der DSGVO geschaffen haben.
Wie sieht es in Ihrer Einrichtung aus? Haben Sie die Einf�hrung der DSGVO zum Anlass genommen, Ihre Strukturen und Prozesse im Bereich Datenschutz neu unter die Lupe zu nehmen?
Im folgenden Beitrag werden wir einige Fragen beantworten, die nach einem Jahr DSGVO immer noch h�ufig gestellt werden.
Bu�gelder: auch im Gesundheitswesen
Diese Bef�rchtung hat wohl jeden schon einmal umgetrieben, der sich mit der DSGVO befasst hat: K�nnte auch meiner Einrichtung eines der ber�chtigten hohen Bu�gelder aufgebrummt werden � von immerhin bis zu 20 Millionen Euro oder 4% des Jahresumsatzes?
Nach einem Jahr zeigt sich: Ja, Bu�gelder wurden auch im Gesundheitswesen verh�ngt � nicht in Millionen-, aber doch in schmerzhafter H�he. Insgesamt betr�gt die Gesamth�he der DSGVO-Bu�gelder, die in den vergangenen 12 Monaten in allen Branchen und allen EU-L�ndern verh�ngt wurden, knapp 56 Millionen Euro, davon 483.500 EUR in Deutschland.
Die Mehrheit � zwei Drittel � aller F�lle von DSGVO-Verst��en wurden aufgrund von Anzeigen von Einzelpersonen bekannt. An zweiter Stelle stehen Meldungen, die von Verantwortlichen in Unternehmen und Organisationen entsprechend ihrer gesetzlichen Verpflichtung an die Aufsichtsbeh�rden gemacht wurden, wenn ein Datenleck bekannt wurde.
Die Seite EnforcementTracker, auf der Berichte �ber DSGVO-Zwischenf�lle gesammelt werden, berichtet einen Zwischenfall im Jahr 2019 in Baden-W�rttemberg: Hier wurden Gesundheitsdaten versehentlich im Netz ver�ffentlicht. F�llig wurde daf�r ein Bu�geld von 80.000 EUR. Welche Organisation betroffen war, dar�ber schweigen die Beh�rden.
Falsche KIS-Profile kosteten 400.000 EUR
Ein Blick �ber die Landesgrenzen: Noch wesentlich h�her fiel das Bu�geld f�r ein Krankenhaus in Portugal aus, in dem falsche oder veraltete Nutzerprofile den unerlaubten Zugriff auf Patientendaten erm�glichten. Das Krankenhausinformationssystem (KIS) verf�gte �ber 985 �rztliche Nutzerprofile, w�hrend das Krankenhaus tats�chlich nur 296 �rzte besch�ftigte. Hierf�r wurde ein hohes Bu�geld von 400.000 EUR f�llig.
Billiger hingegen kam ein Krankenhaus auf Zypern weg: Hier wurden 5.000 EUR f�llig, weil der zust�ndige Mitarbeiter der Aufforderung eines Patienten nicht nachkam, ihm eine Kopie seiner Patientenakte auszuh�ndigen.
Fehlerm�glichkeiten im Alltag
Ein konkreter Fall, bei denen eine Pflegeeinrichtung mit einem Bu�geld nach DSGVO belegt wurde, ist nicht bekannt. Aber die deutschen Beh�rden sind sparsam mit Informationen zu Datenschutz-Zwischenf�llen � gewisserma�en selbst „daten-sparsam“. So ist bei mehreren Verst��en nicht bekannt, in welcher Branche sie stattgefunden haben. In Hamburg wurde beispielsweise ein Unternehmen mit einem Bu�geld von 20.000 EUR belegt, weil es eine Datenschutzverletzung zu sp�t an die Beh�rden und die Betroffenen gemeldet hat.
Ein weiteres Beispiel, das ohne weiteres aus einem kleinen Unternehmen stammen k�nnte (in diesem Fall war es jedoch eine Privatperson): Jemand aus Sachsen-Anhalt, der wiederholt E-Mails an �ber 100 Empf�nger geschickt hatte, in denen alle Empf�nger-Adressen im Header der E-Mail sichtbar waren (d.h. im Feld �Empf�nger� oder �CC�), musste daf�r 2.000 EUR zahlen.
Datenschutzbeauftragte und Datenschutz-Folgenabsch�tzung
Was m�ssen Pflegeheime und Pflegedienste also beachten, um sich DSGVO-konform zu verhalten?
Einrichtungen, in denen �mindestens 10 Personen st�ndig mit der automatisierten Verarbeitung personenbezogener Daten besch�ftigt sind�, m�ssen einen Datenschutzbeauftragten benennen. Im Klartext sind das Einrichtungen mit mindestens 10 Mitarbeitern, die am Computer mit Patienten- oder Bewohnerdaten arbeiten.
Ein Datenschutzbeauftragter (DSB) kann ein fest angestellter Mitarbeiter oder ein externer Vertragspartner sein. Wenn Sie einen internen DSB bestellen, w�hlen Sie diesen sorgf�ltig aus: Aktuellen internen Datenschutzbeauftragten kann n�mlich nicht gek�ndigt werden, au�er aus schwerwiegenden Gr�nden, die eine fristlose K�ndigung rechtfertigen. Und auch nach Ende der Bestellung als DSB besteht noch f�r ein Jahr K�ndigungsschutz.
Der DSB ist auch f�r die Durchf�hrung der Datenschutz-Folgenabsch�tzung zust�ndig � hierzu lesen Sie mehr in unserem vorherigen Blogbeitrag zur DSGVO f�r Pflegeheime und Pflegedienste.
Voraussetzungen eines internen DSB
Vorteile der Bestellung von internen DSB sind, dass diese sich im Unternehmen auskennen und das Vertrauen von Kollegen und Kunden haben. Zudem k�nnen Sie bei langj�hrigen Mitarbeitern gut beurteilen, ob diese die vom Gesetz geforderte �pers�nliche Zuverl�ssigkeit� besitzen.
Sie m�ssen allerdings darauf achten, dass die neue T�tigkeit als DSB nicht in Konflikt mit anderen T�tigkeiten des Mitarbeitenden steht, er oder sie sich also selbst kontrollieren m�sste. Notfalls muss er / sie von bisherigen T�tigkeiten freigestellt werden und ein neues Aufgabengebiet zugewiesen bekommen.
Zweite Voraussetzung f�r die Bestellung zum DSB, neben der pers�nlichen Zuverl�ssigkeit, ist die Fachkunde. Diese gilt zum Beispiel als gegeben, wenn der DSB lange berufliche Erfahrung im Datenschutz hat, was aber bei Mitarbeitenden im Gesundheitswesen wohl eher selten der Fall ist. In der Regel sollten zuk�nftige interne DSB daher durch eine Fortbildung auf ihre T�tigkeit vorbereitet werden.
Was gilt f�r Einrichtungen mit weniger als 10 Mitarbeitern?
Wenn Ihr Pflegeheim oder ambulanter Pflegedienst nicht dazu verpflichtet ist, einen DSB zu bestellen, sind Sie dann in Sachen DSGVO aus dem Schneider?
Leider nein. Im Gegenteil: Als Inhaber*in oder Gesch�ftsf�hrer*in sind Sie in diesem Fall letztendlich f�r den gesamten Umgang mit personenbezogenen Daten in der Organisation verantwortlich. Sie m�ssen sicherstellen, dass ein Verfahrensverzeichnis gef�hrt wird und dass auf Anfragen von Betroffenen � etwa zur Auskunft, L�schung oder Berichtigung von Daten � zeitnah reagiert wird, und Sie m�ssen bei einer Datenpanne beurteilen, ob die Meldung an die Aufsichtsbeh�rden notwendig ist, und diese � wenn ja � innerhalb von 72 Stunden abgeben.
Auch in kleinen Organisationen sollten Sie oder ein Mitarbeiter Ihres Vertrauens sich in Sachen Datenschutz weiterbilden , um nicht das Risiko eines signifikanten Bu�geldes einzugehen � und nat�rlich, um das Vertrauen von Patienten, Bewohnern, Kunden und Angeh�rigen in Ihre Organisation weiterhin zu erhalten.
Relias Learning bietet Datenschutz-Kurse im Rahmen der Pflichtfortbildungen an. Diese sind speziell auf Angeh�rige unterschiedlicher Gesundheitsberufe zugeschnitten sind und ber�cksichtigen auch die abweichenden Regelungen in evangelischen und katholischen Einrichtungen.
Bildnachweis:�Jan Engel – stock.adobe.com
