Personendaten müssen ab Mai 2018 besser denn je geschützt werden. Obwohl der Schutzvon personenbezogenen Daten schon bisher einen hohen Stellenwert einnimmt, kommenmit dem neuen EU-Datenschutzrecht einige Änderungen auf die NÖ Kliniken zu.
Die Arbeitsgruppe zum Datenschutz kümmert sich um organisatorische und technische Sicherheitsmaßnahmen sowie rechtliche Fragestellungen im Anwendungsbe-reich der DSGVO: (v.l.) Dr. Friedrich Keyzlar (Leiter der Stabsstelle Ressourcen- und Risikomanagement), Mag. Tina Wozniak (Abteilung Recht und Personal), DI (FH)Mag. Andreas Hofleitner (Abteilung Informations- und Kommunikationstechnologie) und Dr. Stephan Kallab, LL.M, MBL (Abteilung Recht und Personal).
Geheimhaltungspflicht
Mitarbeiterinnen und Mitar-beiter in den NÖ Landes-und Universitätskliniken un-terliegen sowohl berufsrecht-lichen als auch krankenan-staltenrechtlichen Geheim-haltungspflichten. Diese sindnochmals im § 6 DSG (2018)statuiert, wonach Mitarbeite-rinnen und Mitarbeiter perso-nenbezogene Daten, die ih-nen ausschließlich aufgrundihrer berufsmäßigen Be-schäftigung anvertraut oderzugänglich gemacht wurden,geheim zu halten haben, so-weit kein rechtlich zulässigerGrund für eine Übermittlungbesteht. Verletzungen derVerschwiegenheitspflichtkönnen zu berufsrechtlichen(im schlimmsten Fall Unter-sagung der Berufsaus-übung), verwaltungsstraf-rechtlichen und sogar straf-rechtlichen Konsequenzenführen.
Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft und verein-heitlicht damit das Datenschutzrecht innerhalb der EU. Alle Datenanwendungen müssen bis zudiesem Stichtag an die neue Verordnung angepasst werden, da bei Datenschutzverstößen an-sonsten strenge Konsequenzen drohen. Bisher mussten (fast) alle Datenanwendungen, in denenpersonenbezogene Daten verarbeitet wurden, an das Datenverarbeitungsregister bei der Daten-schutzbehörde gemeldet werden. „Damit war Datenschutz immer schon gewährleistet“, sagt Dr.Friedrich Keyzlar, Leiter der Stabsstelle Ressourcen- und Risikomanagement in der Holding-Zen-trale, „aber mit Inkrafttreten der neuen DSGVO wird nun noch transparenter dokumentiert.“ Ge-mäß DSGVO sind Gesundheitsdaten dabei besonders schützenswert und unterliegen einemnoch strengeren Verwendungsregime. Unter „Verarbeitung“ wird insbesondere das Erheben,Speichern, Abfragen und auch Offenlegen von personenbezogenen Daten verstanden. Jede Ver-arbeitung stellt dabei einen Eingriff in das Grundrecht auf Datenschutz dar und darf daher immernur bei Vorliegen einer Rechtfertigungs- bzw. Rechtsgrundlage erfolgen. Die Verarbeitung ist un-ter anderem dann zulässig, wenn:
-eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder
-die Verarbeitung zur Gesundheitsvorsorge erfolgt und daher notwendig ist, um den Behand-lungsvertrag oder eine gesetzliche Verpflichtung (insb. NÖ KAG) zu erfüllen oder
-sie im lebenswichtigen Interesse des Betroffenen erfolgt, dieser jedoch außerstande ist selbsteine Willenserklärung abzugeben.
Die neue DSGVO verlangt, dass jedes Unternehmen ein Verzeichnis der Verarbeitungstätigkeitenführt. Dieses Verzeichnis muss in transparenter Weise alle betriebenen Datenanwendungen in derNÖ Landeskliniken-Holding sowie den unter ihrer Betriebsführerschaft stehenden NÖ Landes-und Universitätskliniken anführen, jeweils laufend aktuell gehalten und der Datenschutzbehördeauf Verlangen übermittelt werden. Um ein solchesVerzeichnis erstellen zu können, müssen alleVerarbeitungstätigkeiten lückenlos erfasst werden. Dazu waren viele Vorarbeiten nötig, sagt Fried-rich Keyzlar: „Jede Klinik musste die aktuellen Datenverarbeitungsprozesse in Erfassungsformu-lare eintragen. Das haben wir ins Verarbeitungsverzeichnis eingetragen.“
Verantwortung
Auf die NÖ Landeskliniken-Holding sowie die NÖ Kliniken kommen im Bereich des Datenschutz-rechts nun mehr Aufgaben zu; die Meldung ans Datenverarbeitungsregister entfällt, dafür musseigenverantwortlich für die gesetzeskonforme Verarbeitung der Daten gesorgt und die Datenver-arbeitungsvorgänge selbst dokumentiert werden, um die Einhaltung der datenschutzrechtlichenBestimmungen der Datenschutzbehörde auf Verlangen auch jederzeit nachweisen zu können.Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur erforderlichepersonenbezogene Daten verarbeitet werden. Friedrich Keyzlar hält den Aufwand für gerechtfer-tigt: „In den Kliniken gibt es hochsensible Daten. Die neue DSGVO präzisiert nun vieles, insbe-sondere auch die erforderlichen technischen und organisatorischen Datensicherheitsmaßnah-men, die sicherstellen sollen, dass Daten nicht in die falschen Hände geraten.“
Jegliche Einsichtnahme beispielsweise in Patientenakten, die nicht aufgrund von dienstlichenPflichten bzw. der genannten Rechtsgrundlagen erfolgt, kann einen Datenschutzverstoß darstel-len. Neben hohen Geldbußen (Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresum-satzes – je nachdem, welcher Betrag höher ist) kann die Datenschutzbehörde auch Nutzungsver-bote für Datenanwendungen aussprechen. Zudem kann die in ihrem Datenschutzrecht verletztePerson Schadenersatzansprüche geltend machen. Die neue DSGVO sieht zudem vor, dass imFalle von Datenschutzverletzungen binnen 72 Stunden eine Meldung an die Aufsichtsbehördebzw. ggf. auch an die betroffene Person erfolgen muss. Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung) müssen unverzüglich, spätestens aber innerhalbeines Monats, erledigt werden. Diese Frist kann um höchstens zwei weitere Monate verlängertwerden. Eine Arbeitsgruppe mit Expertinnen und Experten aus den Bereichen Recht, IKT undRiskmanagement der Holding-Zentrale beschäftigt sich seit einigen Monaten mit den organisato-rischen und technischen Sicherheitsmaßnahmen sowie rechtlichen Fragestellungen. Als Hilfe fürdie NÖ Kliniken wird zur Zeit eine Datenschutz-Richtlinie mit genauen Verhaltensanweisungen er-stellt, insbesondere zum Umgang mit Betroffenenrechten und Datenschutzverletzungen. Des Wei-teren wird daran gearbeitet, den Mitarbeiterinnen und Mitarbeitern weitere Unterstützungsleistun-gen, wie Schulungsprogramme, zur Verfügung stellen zu können. Dadurch soll der Schutz perso-nenbezogener Daten in den NÖ Kliniken noch besser gewährleistet werden.
Beim Arbeitstreffen der Gesundheitsdienstleister in der Holding-Zentrale: (v.l.) Ing. FranzHoheiser-Pförtner, MSc (KAV Wien), DI Markus Kohlheimer, BSc (NÖ Landeskliniken-
Holding), Mag. Klaus Schindelwig, MSc, und Dr. Simone Schieferer (beide Tirol Kliniken),Dr. Friedrich Keyzlar (NÖ Landeskliniken-Holding)
Kooperation der Gesundheitsdienstleister
Die NÖ Landeskliniken-Holding hat gemeinsam mit denführenden Gesundheitsdienstleistern Österreichs (u. a. Ti-rol Kliniken, KAV Wien, SALK, KABEG, GESPAG) Umset-zungsschritte und Vorbereitungsmaßnahmen für die neueEU-Datenschutz-Grundverordnung erarbeitet. 40 Vertrete-rinnen und Vertreter haben zahlreiche Detailfragen abge-handelt und gemeinsame Empfehlungen und Vertragsfor-mulierungen erstellt – mit dem Ziel, eine wirksame Lobbyder Gesundheitsdienstleister Österreichs gegenüber invol-vierten Behörden und Firmen zu bilden. Im Februar 2018fand ein solcher Workshop erstmals in der Holding-Zentra-le in St. Pölten statt.