Datenschutz und Datensicherheit
Der Datenschutz im Gesundheitswesen, sei es in einer Arztpraxis, Physio-Therapie-Praxis, Zahnarztpraxis oder anderer Einrichtung des Gesundheitswesens braucht wirksame und sinnvolle Lösungen
Datenschutz
Der Schutz unserer personenbezogenen Daten bewegt uns heute mehr denn je. Galt der Datenschutz bis vor wenigen Jahren noch als ein Nischen- oder Orchideenthema, ist er heute in aller Munde und insbesondere seit dem Inkrafttreten der DSGVO nicht mehr wegzudenken.
Doch was heisst Datenschutz eigentlich?
Datenschutz – so kurzgesprochen die allgemeine Definition – ist der Schutz von personenbezogenen Daten vor unbefugter Verarbeitung, Offenbarung und Verlust. Hinter dem eher technisch klingenden Begriff “Datenschutz” steckt in Wahrheit ein sehr menschliches und natürliches Bedürfnis: Der Wunsch, selber darüber bestimmen zu dürfen, wer meine Daten hat, verarbeitet und wer was über mich weiß.
Datenschutz beschäftigt uns heute in erster Linie als eine Pflicht die wir zu erfüllen haben. Diese verbreitete Wahrnehmung tut dem hohen Schutzgut des Datenschutzes jedoch Unrecht. Im Bereich der Heilberufe spielt Datenschutz dabei eine ganz besondere Rolle: Datenschutz bedeutet Vertrauen schaffen und die Vertrauensbeziehung zwischen Arzt, Zahnarzt, Therapeut und Patient ist ihr Kapital. Die beruflichen Schweigepflichten und das Berufsrecht wirken in das Datenschutzrecht weitreichend hinein.
Was ist also im Datenschutz zu tun?
Das neue Datenschutzrecht bringt eine Vielzahl neuer Regeln mit sich, die es zu beachten gilt. Hervorzuheben sind dabei insbesondere die Transparenzpflichten (Art. 12, 13, 14 ff. DSGVO), nach denen Sie z.B. die Patienten darüber zu informieren zu welchen Zwecken Sie Daten verarbeiten oder Auskunft erteilen müssen, wenn Patienten wissen möchten, welche Daten Sie speichern. Von entscheidender Bedeutung sind auch die Benachrichtigungspflichten gem. Art. 33, 34 DSGVO, welche alle verantwortlichen Stellen verpflichten, Datenschutzverstöße zu melden.
Müssen jetzt alle Schränke abschließbar sein?
Entgegen oftmals anderslautender Behauptungen gibt das Datenschutzrecht nach der DSGVO so gut wie keine konkreten Handlungsanweisungen dafür, wie Datensicherheit herzustellen ist. Richtig ist zwar, dass Sie durch geeignete technische und organisatorische Maßnahmen dafür Sorge tragen müssen, dass Vertraulichkeit, Integrität und Verfügbarkeit der von Ihnen verarbeiteten Daten gewährleistet sind.
In der Wahl der Mittel sind Sie jedoch weitestgehend frei. Diese müssen lediglich dem Stand der Technik entsprechen und für ein angemessenes Datenschutzniveau sorgen.
Welche Maßnahmen sind geeignet?
Datenschutz kann nicht dadurch erzielt werden, dass wir Checklisten über umzusetzende Maßnahmen abarbeiten und abhaken. Das Datenschutzgesetz (die DSGVO) verlangt von uns vielmehr eine risikobasierte Auswahlentscheidung über die Implementierung von technischen und organisatorischen Maßnahmen der Datensicherheit in unserem Betrieb.
In Art. 25 der DSGVO heißt es, dass insbesondere die Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken abgewogen werden müssen. Die Maßnahmen der Datensicherheit müssen sodann geeignet sein, die erkannten Risiken zu bannen.
