Eineinhalb Jahre DSGVO

 

Seit bereits mehr als einem Jahr ist die neue Datenschutzgrundverordnung die neue Realität in allen Anstalten. Diese wurde mit dem Ziel verfasst, einheitlich geltende Standards zum Umgang mit personenbezogenen Daten in der EU zu gewährleisten. Bei Verstoß müssen Unternehmen mit einer maximalen Strafhöhe von 4% des weltweiten Umsatzes rechnen – somit trifft es auch Großunternehmen auf eine substantielle Weise.  

Der Stand aktuell weißt dennoch keine auffälligen Entscheidungen der Behörden auf, mit der prominenten Ausnahme des vor kurzem diskutieren Falls von „Datenhandel“ der Österreichischen Post. Die Post hat dabei offenbar Daten wie Name, Adresse, Geschlecht und Alter mit anderen Parametern wie der Parteiaffinität verbunden und weiterverkauft. Der Post wurde am 12. Februar 2019 ein Bescheid mit der Aufforderung zugestellt, dass mit sofortiger Wirkung die Berechnung und Speicherung der „Parteiaffinitäten“ zu unterlassen ist. Daten zur „Parteiaffinität“ hätte die Post nicht verarbeiten dürfen, teilte die Datenschutzbehörde mit. Gegen den Bescheid hat die Post nun Einspruch erhoben. 

Das Gesundheitswesen, insbesondere da Gesundheitsdaten besonders heikles Material sind, ist gezwungen sich dank der neuen Verordnung besonders auf die Finger zu schauen. So sind Sammelmails mit mehreren Adressanten (im CC) – die bei Studienkooperationen durchaus Relevanz haben – nun sehr bedenklich, insbesondere wenn der Inhalt der Mail ein Krankheitsbild oder Diagnose enthält. Auch innerhalb desselben Hauses (Krankenhaus, Klink) besteht die DSGVO und somit können PatientInnen oft nicht ohne Weiteres von einer Abteilung in eine andere überstellt werden.  

Auch in nicht schriftlich fixierter Form muss man die DSGVO im Kopf behalten und benötigt eine weitere Sensibilisierung des Personals. So beispielsweise ist es wichtig bei Anmeldung von Patientinnen oder einem Telefonat dies in einer diskreten Weise durchzuführen und unterschiedliche Datenträger – inklusive Dokumente in Papierform und Rezepte – nicht in einem öffentlich zugänglichen Ort platzieren. Auch Gespräche zwischen dem Personal sollte auf eine Weise gestaltet werden, bei der Dritte nicht mitlauschen können. Nicht mehr benötigte schriftliche Aufzeichnungen auf Papier sollten mit Hilfe eines Shredders (Crosscut) vernichtet werden oder einem befugten Entsorger übergeben werden. Grundsätzlich sind niedergelassene Ärzte verpflichtet, Patientendaten mindestens 10 Jahre aufzubewahren, allerdings können bis zur absoluten Verjährung (30 Jahre) Schadenersatzansprüche gestellt werden. Sensible Daten sollten nach Betriebsende in einem versperrten Kasten verwahrt werden, der Raum ist nach Betriebsende zu versperren. Somit müssen Datenflüsse auf allen Ebenen neu strukturiert werden, das Personal eingeschult und klar dargelegt werden, welche personenbezogenen Daten wie verarbeitet werden dürfen. Die Faustregel lautet jedoch: Das Verarbeiten von Daten ist unzulässig, wenn kein Rechtfertigungsgrund vorliegt 

Wenn Sie mehr über DSGVO lernen möchten, besuchen Sie unseren Kurs Datenschutz im Study Management!