Was Pflegedienste und Pflegeeinrichtungen tun müssen, um sich auf die Datenschutz-Grundverordnung vorzubereiten – Interview mit Rechtsanwalt Dr. Carlo Piltz

Rechtsanwalt Dr. Carlo Piltz ist Datenschutzexperte und Teamleader Cyber Security & Datenschutz bei der Kanzlei reuschlaw Legal Consultants in Berlin. Er ist zertifizierter (TÜV®) und Certified Information Privacy Professional/Europe (CIPP/E)
Rechtsanwalt Dr. Carlo Piltz ist Datenschutzexperte und Teamleader Cyber Security & Datenschutz bei der Kanzlei reuschlaw Legal Consultants in Berlin. Er ist zertifizierter (TÜV®) und Certified Information Privacy Professional/Europe (CIPP/E)

Herr Dr. Piltz, auch bislang gab es ja schon Datenschutz-Pflichten, warum ist die neue Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 so ein großes Ding?


„Groß“ ist sie vor allem zunächst im Hinblick auf ihren Umfang. Aber natürlich ging es dem Gesetzgeber nicht unbedingt um den reinen Umfang an Vorschriften. Neu ist zum Beispiel, dass der Umgang mit personenbezogenen Daten erstmals durch ein unmittelbar anwendbares europäischen Gesetz geregelt wird. In allen Mitgliedstaaten gilt ab dem 25.5.2018 die DSGVO. Es wird zwar weiterhin nationale Regelungen geben, jedoch nur in engen Bereichen.

Weiterhin wird sich der Pflichtenumfang für datenverarbeitende Stellen erweitern. Hinzu kommen insbesondere mehr Dokumentationspflichten.

Auch die Betroffenenrechte (z. B. Auskunft oder Löschung) werden gestärkt. Ein paar neue Rechte kommen sogar hinzu.

Zuletzt hat sich der Gesetzgeber dazu entschlossen, den Bußgeldrahmen für Verstöße gegen die DSGVO massiv anzuheben. Bei Verstößen können die Aufsichtsbehörden nun zum Teil bis zu 20 Mio EUR oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens als Bußgeld festsetzen. Man orientiert sich hier am Kartellrecht.

Neben Name und Geburtsdatum kennen Pflegedienste und Pflegeeinrichtungen viele intime gesundheitsbezogene Daten ihrer Pflegebedürftigen. Gelten dafür besondere Datenschutz-Anforderungen?


Die gesundheitsbezogenen Daten der Pflegebedürftigen werden von der DSGVO als sogenannten „besonderen Kategorien personenbezogener Daten“ eingeordnet, denn sie stellen – beispielsweise neben den Daten über rassische und ethnische Herkunft – besonders sensible Daten dar. Diese Daten werden von der DSGVO besonders geschützt. Dieser Schutz manifestiert sich in erhöhten Anforderungen für den rechtmäßigen Umgang mit diesen Daten.

So werden etwa an die Einwilligung in die Verarbeitung gesundheitsbezogener Daten strengere Anforderungen gestellt, als im Fall der Einwilligung für „normale“ Daten. Insbesondere dürfen Gesundheitsdaten auch nicht allein auf Grundlage einer Interessenabwägung zwischen den berechtigten Interessen des Unternehmens und den schutzwürdigen Interessen und Grundrechten der Betroffenen verarbeitet werden.

Die Verarbeitung zwecks Gesundheitsvorsorge ist aber natürlich zulässig, auch ohne eine Einwilligung des Patienten. Auch zur Durchführung eines Behandlungsvertrages ist eine Verwendung von Gesundheitsdaten natürlich gestattet.

Zu beachten ist, dass der Gesetzgeber die Unternehmen daneben aber auch zu höheren technischen und organisatorischen Schutzmaßnahmen bei dem Umgang mit Gesundheitsdaten verpflichtet. Schlagworte sind hier: Verschlüsselung, Rechte- und Rollenkonzepte, Sensibilisierung der an Verarbeitungsvorgängen Beteiligten.

Bedeutet dies, dass Pflegekräfte im Einsatz künftig keinen Zugriff mehr auf Gesundheitsdaten haben dürfen? Gesundheitsbezogenen Daten sind für die Pflege doch essentiell!


Die Pflicht zu Datenminimierung bedeutet, dass Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein sollen. Es sollen also nur jene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Diese dürfen dann aber auch genutzt werden. Datenminimierung bedeutet nicht, dass keine Daten mehr verarbeitet werden dürfen. Diese Pflicht erstreckt sich auf die Menge der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit.

Angenommen, eine Pflegekraft verliert ihr privates Mobiltelefon, auf dem aber auch Daten ihrer Pflegebedürftigen gespeichert sind. Was tun?


Als erstes sollte die Pflegekraft ihre SIM-Karte sperren lassen, so dies über den Anbieter möglich ist.

Danach muss geprüft werden, welche Arten von Daten betroffen sind, welche Personen betroffen sind und welche Risiken für diese Personen bestehen. Wenn das Unternehmen zu dem Schluss kommt, dass hier ein Risiko für die Rechte und Freiheiten natürlicher Personen existiert, dann muss unverzüglich und möglichst binnen 72 Stunden, nachdem der Verlust bekannt wurde, dieser Verlust an die zuständige Aufsichtsbehörde gemeldet werden, also an das Landesamt beziehungsweise den Landesbeauftragten für den Datenschutz.

Sollte sich nach der internen Analyse des Vorfalls im Unternehmen sogar ein hohes Risiko für die Betroffenen ergeben, dann müssen auch die Betroffenen selbst über den Verlust informiert werden. Dies gilt aber dann nicht, wenn das Unternehmen z.B. geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere etwa Verschlüsselung.

Welche Auskunftsrechte haben eigentlich Angehörige von Pflegebedürftigen?


Grundsätzlich stehen die Betroffenenrechte, wie das Recht auf Auskunft, nur der Person selbst zu. Es wird davon ausgegangen, dass diese Rechte auch nicht abtretbar sind. Jedoch kann der Betroffene, z.B. der Patient, einen Angehörigen mit der Ausübung seines Rechts bevollmächtigen. Dann müsste das Unternehmen die gesetzlich vorgesehenen Informationen an den Angehörigen erteilen, die sich aber inhaltlich natürlich nur auf den Patienten beziehen.

Auch der Angehörige hat (als Betroffener) einen eigenen Auskunftsanspruch hinsichtlich Daten, die das Unternehmen über ihn selbst speichert. Er kann sich an das Unternehmen wenden und Auskunft verlangen.

Zehn Dinge, die Pflegedienste und Pflegeeinrichtungen tun müssen, um sich auf die DSGVO vorzubereiten. Jetzt das PDF herunterladen!



Share

Newsletter abonnieren