Was Pflegedienste und Pflegeheime tun müssen, um sich auf die neue Datenschutz-Grundverordnung vorzubereiten

Wir haben einige Hilfen zusammengestellt, um Pflegeeinrichtungen und Diensten bei der DSGVO-Umsetzung zu unterstützen.

Rechtsanwalt Dr. Carlo Piltz ist Datenschutzexperte und Teamleader Cyber Security & Datenschutz bei der Kanzlei reuschlaw Legal Consultants in Berlin. Er ist zertifizierter (TÜV®) und Certified Information Privacy Professional/Europe (CIPP/E)

Die Herausforderungen der ambulanten und stationären Pflege in puncto Datenschutz liegen im Umgang mit hochgradig sensiblen und damit schützenswerten Daten, beispielsweise Gesundheitsinformationen. Stationäre Einrichtungen sind keine geschlossenen Systeme: Besucher, Dienstleister und Angehörige sind Teil des täglichen Lebens, wodurch sich besondere datenschutzrechtliche Herausforderungen stellen. In der ambulanten Pflege dagegen liegt der Fokus eher auf den mobilen Endgeräten und den vielen Datenpaketen, die zwischen den Institutionen und Beteiligten ausgetauscht werden. Wir haben einige Hilfen zum kostenfreien Download zusammengestellt, um Pflegeeinrichtungen und Diensten bei der DSGVO-Umsetzung zu unterstützen.


DSGVO für Pflegeheime und Pflegedienste aus Behördensicht

Erste Hinweise auf die Prüfung des Umsetzungsstatus von Datenschutzkonzepten liefert eine Befragung der Datenschutzbehörde in Niedersachsen. In dieser stichpunktartigen Abfrage bei Unternehmen und Institutionen wurde neben dem aktuellen Stand auch nach konkreten Beispielen aus der Praxis gefragt. Diese „Befragung“ impliziert eine gewisse Freiwilligkeit, zeigt jedoch bereits wie ernst die Behörden die neuen Datenschutzregeln nehmen. Zwar sind die Landesbehörden für Datenschutz untereinander abgestimmt, dennoch sollte jede Pflegeeinrichtung und jeder Pflegedienst bei der Bearbeitung auf die Vorgaben der für sein Bundesland zuständigen Behörde achten. Auf den Webseiten der jeweiligen Behörde werden in der Regel Vorlagen und Hinweise zum Umgang bspw. mit Datenpannen und bestimmten Verarbeitungen gegeben.

In der Pflege passt der Vergleich mit dem MDK sehr gut: Für Betreiber oder Verantwortlicher ist es von enormer Bedeutung, im Falle eine Prüfung eine aussagekräftige Dokumentation vorlegen zu können. Eine Prüfung kann aufgrund der schieren Menge an Unternehmen und Verarbeitung nur dokumentationsbasiert erfolgen. Daher sollten Betreiber einen digitalen oder analogen Datenschutzordner jederzeit griffbereit halten.

Download-Angebote

Um den Einstieg und die weitere Umsetzung der neuen Regelungen zu vereinfachen, stellen wir drei wichtige Dokumente kostenlos zum Download zur Verfügung.

  1. Checkliste: Zehn Dinge, die Pflegedienste und Pflegeeinrichtungen tun müssen
  2. Fragenkatalog der Datenschutzbehörde
  3. Testbögen für Ihre Datenschutzschulung
    den Antwortbogen können Sie (ebenfalls kostenfrei) per E-Mail anfordern: info@bock.net
  4. Schaubild Datenschutzmanagementkonzept

Zudem wollen wir anhand des folgenden Schaubildes spezifisch aufzeigen, was, wann, wie umgesetzt werden sollte.

Datenschutz in der Praxis

Zwei sehr schöne Vergleiche, die Betreiber in ihren Schulungen und zur Einordung von Sachverhalten nutzen können, sind folgende: Personenbezogene Daten sind zu behandeln wie Gift und die DSGVO funktioniert ähnlich wie die Straßenverkehrsordnung. Zwar ist nicht jedes Gift sofort tödlich, aber es sollte sich auf den Umgang vorbereitet werden. Wer Gift verliert und es könnte jemand zu Schaden kommen, sollte den Verlust melden. Gift sollte immer vor unbefugten Zugriff gesichert sein. Für Daten gelten dieselben Regeln.

Zudem gilt die DSGVO wie die Straßenverkehrsordnung: Sie macht keinen Unterschied zwischen beruflichem und privaten Fehlverhalten. Auch für zu schnelles Fahren ist jeder persönlich verantwortlich. Ein Problem, das sich nur auf politischer Ebene und unter hohem Druck der Behörden regeln lässt, ist, dass Hard- und Software wie Handys nicht DSGVO-konform ist, anders als es zum Beispiel für Autos in Bezug auf die Straßenverkehrsordnung gilt. Dies bedeutet, dass die Verantwortung für den sach- und fachgerechten Umgang mit Handys derzeit allein auf den Verantwortlichen der Einrichtung und beim Benutzer selbst liegen. Die großen Anbieter der meistgenutzten Betriebssysteme stehen seit Beginn der DSGVO unter massivem Druck Lösungen zu finden, und erste Anzeichen sind zu erkennen dass selbst Facebook, Google oder Apple bereit sind, mehr für den Datenschutz und die Transparenz zu tun.

Beispiele für Problemzonen in der Praxis:
 

Whatsapp

Eines der größte Probleme stellt der beliebte Messenger dar, den vielen Verantwortliche und Mitarbeiter für die unkomplizierte Kommunikation nutzen. Dies gänzlich aus dem Alltag auszuschließen ist in der Praxis nicht möglich. Hier können Sie sich nur mit Unterweisungen, Vorschriften und Schulungen zur Pseudonymisierung sowie Anonymisierung helfen.

Fotodokumentation

Weisen Sie ihre Mitarbeiter, vor allem Pflegehelfer, darauf hin, dass Mobiltelefone nicht einmal im Ausnahmefall für die Fotodokumentation genutzt werden sollten. Die Einwilligung der Betroffenen umfasst nicht die Weitergabe der Fotos in Clouddienste, wie sie auf fast allen Android- und Apple-Produkten standardmäßig eingesetzt werden.

Empfang

Sensibilisieren Sie Ihren Empfang für die beiden Themen Auskunftsrecht und Löschpflichten. Geben Sie konkrete Arbeitsanweisungen für telefonisch oder mündlich übermittelte Anfragen vor. Auskunftspflichten müssen zwingend innerhalb eines Monats erfolgen, sonst wird der Betrieb auditierungspflichtig, es müssen also die aktuellen, internen Prozesse geprüft und dokumentiert werden.

Social Media

Viele Teams oder sogar ganze Einrichtungen nutzen Facebook oder den Facebook Messenger für die Kommunikation im Team. Laut EuGH-Urteil vom 05.06.2018, Az. C-210/16 haften die Betreiber von einzelnen Fanpages für die Datenverstöße von Facebook mit. Hier sollten Sie ihre Mitarbeiter anhalten, keine sensiblen Daten auszutauschen – weder Daten von sich selbst noch von anderen Personen. Den Einsatz von Messengern aus Social Media-Diensten wie Facebook gilt es betrieblich zu untersagen.

Interview mit Rechtsanwalt Dr. Carlo Piltz

Herr Dr. Piltz, auch bislang gab es ja schon Datenschutz-Pflichten, warum ist die neue Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 so ein großes Ding?

„Groß“ ist sie vor allem zunächst im Hinblick auf ihren Umfang. Aber natürlich ging es dem Gesetzgeber nicht unbedingt um den reinen Umfang an Vorschriften. Neu ist zum Beispiel, dass der Umgang mit personenbezogenen Daten erstmals durch ein unmittelbar anwendbares europäischen Gesetz geregelt wird. In allen Mitgliedstaaten gilt ab dem 25.5.2018 die DSGVO. Es wird zwar weiterhin nationale Regelungen geben, jedoch nur in engen Bereichen.
Weiterhin wird sich der Pflichtenumfang für datenverarbeitende Stellen erweitern. Hinzu kommen insbesondere mehr Dokumentationspflichten.
Auch die Betroffenenrechte (z. B. Auskunft oder Löschung) werden gestärkt. Ein paar neue Rechte kommen sogar hinzu.
Zuletzt hat sich der Gesetzgeber dazu entschlossen, den Bußgeldrahmen für Verstöße gegen die DSGVO massiv anzuheben. Bei Verstößen können die Aufsichtsbehörden nun zum Teil bis zu 20 Mio EUR oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens als Bußgeld festsetzen. Man orientiert sich hier am Kartellrecht.

Neben Name und Geburtsdatum kennen Pflegedienste und Pflegeeinrichtungen viele intime gesundheitsbezogene Daten ihrer Pflegebedürftigen. Gelten dafür besondere Datenschutz-Anforderungen?

Die gesundheitsbezogenen Daten der Pflegebedürftigen werden von der DSGVO als sogenannten „besonderen Kategorien personenbezogener Daten“ eingeordnet, denn sie stellen – beispielsweise neben den Daten über rassische und ethnische Herkunft – besonders sensible Daten dar. Diese Daten werden von der DSGVO besonders geschützt. Dieser Schutz manifestiert sich in erhöhten Anforderungen für den rechtmäßigen Umgang mit diesen Daten.
So werden etwa an die Einwilligung in die Verarbeitung gesundheitsbezogener Daten strengere Anforderungen gestellt, als im Fall der Einwilligung für „normale“ Daten. Insbesondere dürfen Gesundheitsdaten auch nicht allein auf Grundlage einer Interessenabwägung zwischen den berechtigten Interessen des Unternehmens und den schutzwürdigen Interessen und Grundrechten der Betroffenen verarbeitet werden.
Die Verarbeitung zwecks Gesundheitsvorsorge ist aber natürlich zulässig, auch ohne eine Einwilligung des Patienten. Auch zur Durchführung eines Behandlungsvertrages ist eine Verwendung von Gesundheitsdaten natürlich gestattet.
Zu beachten ist, dass der Gesetzgeber die Unternehmen daneben aber auch zu höheren technischen und organisatorischen Schutzmaßnahmen bei dem Umgang mit Gesundheitsdaten verpflichtet. Schlagworte sind hier: Verschlüsselung, Rechte- und Rollenkonzepte, Sensibilisierung der an Verarbeitungsvorgängen Beteiligten.

Bedeutet dies, dass Pflegekräfte im Einsatz künftig keinen Zugriff mehr auf Gesundheitsdaten haben dürfen? Gesundheitsbezogenen Daten sind für die Pflege doch essentiell!

Die Pflicht zu Datenminimierung bedeutet, dass Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein sollen. Es sollen also nur jene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Diese dürfen dann aber auch genutzt werden. Datenminimierung bedeutet nicht, dass keine Daten mehr verarbeitet werden dürfen. Diese Pflicht erstreckt sich auf die Menge der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugänglichkeit.

Angenommen, eine Pflegekraft verliert ihr privates Mobiltelefon, auf dem aber auch Daten ihrer Pflegebedürftigen gespeichert sind. Was tun?

Als erstes sollte die Pflegekraft ihre SIM-Karte sperren lassen, so dies über den Anbieter möglich ist.
Danach muss geprüft werden, welche Arten von Daten betroffen sind, welche Personen betroffen sind und welche Risiken für diese Personen bestehen. Wenn das Unternehmen zu dem Schluss kommt, dass hier ein Risiko für die Rechte und Freiheiten natürlicher Personen existiert, dann muss unverzüglich und möglichst binnen 72 Stunden, nachdem der Verlust bekannt wurde, dieser Verlust an die zuständige Aufsichtsbehörde gemeldet werden, also an das Landesamt beziehungsweise den Landesbeauftragten für den Datenschutz.
Sollte sich nach der internen Analyse des Vorfalls im Unternehmen sogar ein hohes Risiko für die Betroffenen ergeben, dann müssen auch die Betroffenen selbst über den Verlust informiert werden. Dies gilt aber dann nicht, wenn das Unternehmen z.B. geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere etwa Verschlüsselung.

Welche Auskunftsrechte haben eigentlich Angehörige von Pflegebedürftigen?

Grundsätzlich stehen die Betroffenenrechte, wie das Recht auf Auskunft, nur der Person selbst zu. Es wird davon ausgegangen, dass diese Rechte auch nicht abtretbar sind. Jedoch kann der Betroffene, z.B. der Patient, einen Angehörigen mit der Ausübung seines Rechts bevollmächtigen. Dann müsste das Unternehmen die gesetzlich vorgesehenen Informationen an den Angehörigen erteilen, die sich aber inhaltlich natürlich nur auf den Patienten beziehen.

Auch der Angehörige hat (als Betroffener) einen eigenen Auskunftsanspruch hinsichtlich Daten, die das Unternehmen über ihn selbst speichert. Er kann sich an das Unternehmen wenden und Auskunft verlangen.


Share

Newsletter abonnieren

Diese Webseite nutzt Cookies

Wir nutzen Cookies zur Verbesserung der Nutzerfreundlichkeit und um unsere Webseite entsprechend weiterzuentwickeln.