Datenschutzmanagement nach DSGVO: Leitfaden für Krankenhäuser

News

Die bayerischen Datenschutzbehörden haben einen Leitfaden zu den Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern herausgegeben. Der Leitfaden soll bestehende Unsicherheiten abbauen und erste Hinweise zur Auslegung neuer Regelungen nach der Datenschutz-Grundverordnung (DSGVO) geben.

Bestandteile des Datenschutzmanagements

Aufgrund der gestiegenen Rechenschafts- und Dokumentationspflichten der Datenschutz-Grundverordnung (DSGVO), konzentriert sich der Leitfaden auf die Einrichtung eines Datenschutzmanagements. Dies soll es ermöglichen, alle datenschutzrechtlich relevanten Fragen schnell und umfassend zu behandeln. Der nach Auffassung der Datenschutzbehörden wesentliche Inhalt eines solchen Datenschutzmanagements wird in dem Leitfaden in 9 Punkten dargestellt:

1. Die Festlegung eines Teams für das Datenschutzmanagement

Zunächst sollte ein Team bestimmt werden, welches, unterstützt vom Datenschutzbeauftragten, intern für die Umsetzung der datenschutzrechtlichen Anforderungen verantwortlich ist. In einer entsprechenden Dienstanweisung sollte festgelegt werden, wer bzw. welche Stelle intern für die Umsetzung und Einhaltung welcher datenschutzrechtlichen Anforderungen verantwortlich ist.

2. Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO

Einen elementaren Bestandteil des Datenschutzmanagements bildet das gemäß Art. 30 der Datenschutz-Grundverordnung anzufertigende Verzeichnis der Verarbeitungstätigkeiten, insbesondere wenn es über die nach Art. 30 DSGVO zwingend vorgesehenen Informationen hinaus zusätzliche Informationen enthält – z.B. Angaben zur Erforderlichkeit eine Datenschutz-Folgenabschätzung oder zur Rechtsgrundlage der Verarbeitung.

3. Die Auflistung ggf. bereits bestehender Datenschutzkonzepte für Verfahren

Alle bereits bestehenden Datenschutzkonzepte sollten im Datenschutzmanagement hinterlegt werden.

4. Auflistung aller Verträge zur Auftragsverarbeitung

Im Rahmen der bestehenden Rechenschaftspflichten sollte der Verantwortliche jederzeit in der Lage sein, Auskunft über alle bestehenden Auftragsverarbeitungen zu geben. Eine Auflistung aller bestehenden Vereinbarungen zur Auftragsverarbeitung sollte daher ebenfalls zentral beim Datenschutzmanagement-Team hinterlegt werden.

5. Ergebnisse von durchgeführten Risikoabschätzungen und ggf. ergriffenen Maßnahmen

Nach der DSGVO hat der Verantwortliche sicherzustellen, dass eine Verarbeitung personenbezogener Daten nur erfolgt, wenn zuvor geeignete Maßnahmen getroffen wurden, welche die Sicherheit der Verarbeitung gewährleisten. Die Sicherheit der Verarbeitung ist im Rahmen einer Risikofolgenabschätzung zu beurteilen. Im Rahmen des Datenschutzmanagements ist festzulegen, wie eine solche Risikoeinschätzung durchgeführt und dokumentiert werden soll. Die Risikobewertung ist anschließend regelmäßig zu überprüfen.

6. Die Auflistung durchgeführter Datenschutz-Folgenabschätzungen

Da in Krankenhäusern in besonderem Maße sensitive Daten verarbeitet werden, ist davon auszugehen, dass Krankenhäuser zukünftig für einige ihrer Verfahren eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen haben. Die Durchführung von Datenschutz-Folgenabschätzungen ist im Rahmen des Datenschutzmanagements zu dokumentieren. In bestimmten Fällen kann eine Konsultation der Aufsichtsbehörde erforderlich sein (Art. 36 DSGVO). Der Datenschutzbeauftragte ist an der Durchführung zu beteiligen, für die Durchführung letztendlich aber nicht verantwortlich.

7. Die Behandlung von Datenschutzverletzungen

Nach Art. 33 DSGVO sind Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden – es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Aufgrund der Sensitivität der in Krankenhäusern verarbeiteten Daten ist davon auszugehen, dass die Ausnahme nur selten greift. Um der Meldepflicht nachkommen zu können, sind interne Prozesse zu dokumentieren, zu implementieren und bekanntzugeben, um sicherstellen zu können, dass der Meldepflicht nachgekommen werden kann. Darüber hinaus müssen alle Datenschutzverletzungen dokumentiert werden (Art. 33 Abs. 5 DSGVO).

8. Die Einführung von Regelungen zu den Betroffenenrechten

Der Verantwortliche hat die Wahrung der Betroffenenrechte aus Kapitel 3 der DSGVO sicherzustellen. Um den Anforderungen nachkommen zu können, sollten interne Prozesse definiert werden, aus denen sich ergibt, wie beispielsweise mit einem Auskunftsverlangen einer betroffenen Person umzugehen ist. Auch ist festzulegen, auf welche Weise die umfassenden Informationspflichten aus Art. 13 f. DSGVO gewahrt werden.

9. Eine Dokumentation von Zertifizierungen bzw. sonstigen Nachweisen betreffend die Datensicherheit

Zukünftig wird es möglich sein, das Einhalten datenschutzrechtlicher Anforderungen über Zertifizierungen sowie Datenschutzsiegel und -prüfzeichen nachzuweisen (Art. 42 und 43 DSGVO). Das Vorliegen entsprechender Zertifizierungen sollte dokumentiert werden.

Datenschutzmanagement als Sonderfall für Krankenhäuser?

Die Einführung eines Datenschutzmanagements, wie von den bayerischen Datenschutzbehörden empfohlen, wird den Umgang mit den Anforderungen der Datenschutz-Grundverordnung erheblich vereinfachen und wesentlich übersichtlicher gestalten. Da es sich bei den im Datenschutzmanagement behandelten Anforderungen nicht um spezifische Regelungen nur für Krankenhäuser handelt, eignet sich das Datenschutzmanagement aus dem Leitfaden auch hervorragend als Anleitung für die Implementierung eines Datenschutzmanagements bei sonstigen Verantwortlichen. Weitere Informationen finden Sie auch in unserem Beitrag Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.