DATENSCHUTZ

Sensible Daten

Personendaten müssen ab Mai 2018 besser denn je geschützt werden. Obwohl der Schutz von personenbezogenen Daten schon bisher einen hohen Stellenwert einnimmt, kommen mit dem neuen EU-Datenschutzrecht einige Änderungen auf die NÖ Kliniken zu.

Die Arbeitsgruppe zum Datenschutz kümmert sich um organisatorische und technische Sicherheitsmaßnahmen sowie rechtliche Fragestellungen im Anwendungsbe- reich der DSGVO: (v.l.) Dr. Friedrich Keyzlar (Leiter der Stabsstelle Ressourcen- und Risikomanagement), Mag. Tina Wozniak (Abteilung Recht und Personal), DI (FH) Mag. Andreas Hofleitner (Abteilung Informations- und Kommunikationstechnologie) und Dr. Stephan Kallab, LL.M, MBL (Abteilung Recht und Personal).

Geheimhaltungspflicht


Mitarbeiterinnen und Mitar- beiter in den NÖ Landes- und Universitätskliniken un- terliegen sowohl berufsrecht- lichen als auch krankenan- staltenrechtlichen Geheim- haltungspflichten. Diese sind nochmals im § 6 DSG (2018) statuiert, wonach Mitarbeite- rinnen und Mitarbeiter perso- nenbezogene Daten, die ih- nen ausschließlich aufgrund ihrer berufsmäßigen Be- schäftigung anvertraut oder zugänglich gemacht wurden, geheim zu halten haben, so- weit kein rechtlich zulässiger Grund für eine Übermittlung besteht. Verletzungen der Verschwiegenheitspflicht können zu berufsrechtlichen (im schlimmsten Fall Unter- sagung der Berufsaus- übung), verwaltungsstraf- rechtlichen und sogar straf- rechtlichen Konsequenzen führen.

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft und verein- heitlicht damit das Datenschutzrecht innerhalb der EU. Alle Datenanwendungen müssen bis zu diesem Stichtag an die neue Verordnung angepasst werden, da bei Datenschutzverstößen an- sonsten strenge Konsequenzen drohen. Bisher mussten (fast) alle Datenanwendungen, in denen personenbezogene Daten verarbeitet wurden, an das Datenverarbeitungsregister bei der Daten- schutzbehörde gemeldet werden. „Damit war Datenschutz immer schon gewährleistet“, sagt Dr. Friedrich Keyzlar, Leiter der Stabsstelle Ressourcen- und Risikomanagement in der Holding-Zen- trale, „aber mit Inkrafttreten der neuen DSGVO wird nun noch transparenter dokumentiert.“ Ge- mäß DSGVO sind Gesundheitsdaten dabei besonders schützenswert und unterliegen einem noch strengeren Verwendungsregime. Unter „Verarbeitung“ wird insbesondere das Erheben, Speichern, Abfragen und auch Offenlegen von personenbezogenen Daten verstanden. Jede Ver- arbeitung stellt dabei einen Eingriff in das Grundrecht auf Datenschutz dar und darf daher immer nur bei Vorliegen einer Rechtfertigungs- bzw. Rechtsgrundlage erfolgen. Die Verarbeitung ist un- ter anderem dann zulässig, wenn:

-eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder

-die Verarbeitung zur Gesundheitsvorsorge erfolgt und daher notwendig ist, um den Behand- lungsvertrag oder eine gesetzliche Verpflichtung (insb. NÖ KAG) zu erfüllen oder

-sie im lebenswichtigen Interesse des Betroffenen erfolgt, dieser jedoch außerstande ist selbst eine Willenserklärung abzugeben.


Die neue DSGVO verlangt, dass jedes Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten führt. Dieses Verzeichnis muss in transparenter Weise alle betriebenen Datenanwendungen in der NÖ Landeskliniken-Holding sowie den unter ihrer Betriebsführerschaft stehenden NÖ Landes- und Universitätskliniken anführen, jeweils laufend aktuell gehalten und der Datenschutzbehörde auf Verlangen übermittelt werden. Um ein solchesVerzeichnis erstellen zu können, müssen alle Verarbeitungstätigkeiten lückenlos erfasst werden. Dazu waren viele Vorarbeiten nötig, sagt Fried- rich Keyzlar: „Jede Klinik musste die aktuellen Datenverarbeitungsprozesse in Erfassungsformu- lare eintragen. Das haben wir ins Verarbeitungsverzeichnis eingetragen.“


Verantwortung

Auf die NÖ Landeskliniken-Holding sowie die NÖ Kliniken kommen im Bereich des Datenschutz- rechts nun mehr Aufgaben zu; die Meldung ans Datenverarbeitungsregister entfällt, dafür muss eigenverantwortlich für die gesetzeskonforme Verarbeitung der Daten gesorgt und die Datenver- arbeitungsvorgänge selbst dokumentiert werden, um die Einhaltung der datenschutzrechtlichen Bestimmungen der Datenschutzbehörde auf Verlangen auch jederzeit nachweisen zu können. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur erforderliche personenbezogene Daten verarbeitet werden. Friedrich Keyzlar hält den Aufwand für gerechtfer- tigt: „In den Kliniken gibt es hochsensible Daten. Die neue DSGVO präzisiert nun vieles, insbe- sondere auch die erforderlichen technischen und organisatorischen Datensicherheitsmaßnah- men, die sicherstellen sollen, dass Daten nicht in die falschen Hände geraten.“

Jegliche Einsichtnahme beispielsweise in Patientenakten, die nicht aufgrund von dienstlichen Pflichten bzw. der genannten Rechtsgrundlagen erfolgt, kann einen Datenschutzverstoß darstel- len. Neben hohen Geldbußen (Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresum- satzes – je nachdem, welcher Betrag höher ist) kann die Datenschutzbehörde auch Nutzungsver- bote für Datenanwendungen aussprechen. Zudem kann die in ihrem Datenschutzrecht verletzte Person Schadenersatzansprüche geltend machen. Die neue DSGVO sieht zudem vor, dass im Falle von Datenschutzverletzungen binnen 72 Stunden eine Meldung an die Aufsichtsbehörde bzw. ggf. auch an die betroffene Person erfolgen muss. Informationen und Betroffenenrechte (v. a. Recht auf Auskunft, Berichtigung, Löschung) müssen unverzüglich, spätestens aber innerhalb eines Monats, erledigt werden. Diese Frist kann um höchstens zwei weitere Monate verlängert werden. Eine Arbeitsgruppe mit Expertinnen und Experten aus den Bereichen Recht, IKT und Riskmanagement der Holding-Zentrale beschäftigt sich seit einigen Monaten mit den organisato- rischen und technischen Sicherheitsmaßnahmen sowie rechtlichen Fragestellungen. Als Hilfe für die NÖ Kliniken wird zur Zeit eine Datenschutz-Richtlinie mit genauen Verhaltensanweisungen er- stellt, insbesondere zum Umgang mit Betroffenenrechten und Datenschutzverletzungen. Des Wei- teren wird daran gearbeitet, den Mitarbeiterinnen und Mitarbeitern weitere Unterstützungsleistun- gen, wie Schulungsprogramme, zur Verfügung stellen zu können. Dadurch soll der Schutz perso- nenbezogener Daten in den NÖ Kliniken noch besser gewährleistet werden.

Beim Arbeitstreffen der Gesundheitsdienstleister in der Holding-Zentrale: (v.l.) Ing. Franz Hoheiser-Pförtner, MSc (KAV Wien), DI Markus Kohlheimer, BSc (NÖ Landeskliniken-

Holding), Mag. Klaus Schindelwig, MSc, und Dr. Simone Schieferer (beide Tirol Kliniken), Dr. Friedrich Keyzlar (NÖ Landeskliniken-Holding)

Kooperation der Gesundheitsdienstleister


Die NÖ Landeskliniken-Holding hat gemeinsam mit den führenden Gesundheitsdienstleistern Österreichs (u. a. Ti- rol Kliniken, KAV Wien, SALK, KABEG, GESPAG) Umset- zungsschritte und Vorbereitungsmaßnahmen für die neue EU-Datenschutz-Grundverordnung erarbeitet. 40 Vertrete- rinnen und Vertreter haben zahlreiche Detailfragen abge- handelt und gemeinsame Empfehlungen und Vertragsfor- mulierungen erstellt – mit dem Ziel, eine wirksame Lobby der Gesundheitsdienstleister Österreichs gegenüber invol- vierten Behörden und Firmen zu bilden. Im Februar 2018 fand ein solcher Workshop erstmals in der Holding-Zentra- le in St. Pölten statt.