Datensicherheit

DSGVO – Was bedeutet das neue Gesetz für Unternehmer?


Grundgesetz und Europäische Charta schützen zwar – zumindest auf dem Papier – die Persönlichkeitsrechte des Menschen, aber das schien dem EU-Gerichtshof bei Weitem nicht auszureichen. Daher wurde im Mai 2016 die heute viel diskutierte Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Dem wurde zunächst von den meisten Betroffenen nicht viel Beachtung geschenkt aber nun, nachdem das neue Gesetz seit dem 25. Mai 2018 tatsächlich Anwendung findet, ist die Verunsicherung bei Unternehmen, Verbänden und Vereinen groß. Auch die Gesundheitsbranche wurde scheinbar von dem plötzlichen Datenschutz Hype im Jahr 2018 völlig überrascht, nachdem in den zwei Jahren Vorlaufzeit kaum etwas von den Vorbereitungsmaßnahmen nach außen gedrungen war. Nicht nur Ärzte, Apotheker und Kliniken standen plötzlich vor der brennenden Frage, ob sie auch wirklich ausreichend auf die Anforderungen der DSGVO vorbereitet waren, sondern auch Krankenkassen und Software-Dienstleister.
Seit dem Stichtag im Mai 2018 müssen vor allem IT-Unternehmen mit den deutlich verschärften Datensicherheitsanforderungen des neuen Gesetzes leben. Diese haften schon bei den geringsten Datenschutzverletzungen gegenüber ihren Kunden in vollem Umfang für die daraus resultierenden Schäden.

Ärzte und Apotheker kommen auch nicht wesentlich besser davon, denn sie sind zur uneingeschränkten Einhaltung der Verträge zur Auftragsdatenverarbeitung (ADV) verpflichtet. Damit noch nicht genug – nach Artikel 28 I DSGVO müssen sie sogar nachweisen, dass sie sowohl geeignete technische und organisatorische Maßnahmen durchführen und personenbezogene Daten nach den Anforderungen der DSGVO verarbeiten, als auch die Rechte der betroffenen Personen dabei adäquat schützen.
Doch auch der Auftraggeber wird in die Pflicht genommen, denn er muss laut Gesetz regelmäßig selbst überprüfen, ob Ärzte und Apotheker die Auftragsdatenverarbeitung auch wirklich korrekt nach den vertraglich festgelegten Regeln durchführen. Das Sicherheitsniveau für die Verarbeitung der zur Verfügung gestellten Gesundheitsdaten, gibt der Auftraggeber den Datenverantwortlichen – also der Arztpraxis oder Apotheke vor. Daher ist es für Ärzte und Apotheker unerlässlich, sich in Zeiten der DSGVO wesentlich mehr Kontrollrechte einräumen zu lassen, um den Anforderungen des Auftraggebers im Konsens mit dem neuen Gesetz gerecht werden zu können. Die Gesetzeskonformität wiederum sollten sie sich von ihren Dienstleistern, also etwa den Systemadministratoren, privatärztlichen Verrechnungsstellen, Rezeptabrechnungsgesellschaften sowie den Lieferanten von Verwaltungs- und Dokumentationssystemen betätigen lassen. Idealerweise werden diese Bestätigungen in der eigenen Qualitätsmanagement-Dokumentation der Praxis- oder Apothekeninhaber hinterlegt, die damit auf der sicheren Seite sind.

Vor allem Apotheker oder Ärzte und Zahnärzte, die beispielsweise mit externen Sanitätsfachhäusern, Laboren oder Zahntechnikern zusammenarbeiten, müssen ihre Kriterien zur Datensicherheit ganz genau definieren und deren Einhaltung durch die Kooperationspartner kontrollieren.

Beachtliche Strafen drohen bei Verstößen gegen Bundesdatenschutzgesetz


Bis zur strikten Anwendung der DSGVO wurden Verstöße gegen das Bundesdatenschutzgesetz nur mit geringen Strafen geahndet, sodass Unternehmen es hier und da auch mal nicht so genau mit der Datensicherheit genommen haben. Diese Zeiten sind jetzt vorbei, denn nach dem neuen Gesetz drohen nun wesentlich höhere Strafen, die sich in einem Rahmen von bis zu vier Prozent des gesamten Jahresumsatzes bis hin zu einer Obergrenze von 20 Millionen Euro bewegen können. Damit rückt der Datenschutz vor allem in der IT und im Gesundheitswesen, also in Branchen, die mit besonders sensiblen Daten umgehen, ganz besonders in den Fokus. Darüber hinaus sind alle Auftrag verarbeitenden Unternehmen dazu verpflichtet, sich bis spätestens 2020 zertifizieren zu lassen.

Artikel 82 DSGVO macht zwar auch den Auftrags-Verarbeiter für die von ihm verursachte Schäden haftbar, aber im Gegensatz zu den Daten-Verantwortlichen nur dann, wenn er den von der Apotheke speziell auferlegten Pflichten oder den rechtmäßigen Weisungen des verantwortlichen Auftraggebers nicht nachkommt.

Datensicherheit seit DSGVO Chefsache


Seit 2018 ist die DSGVO nicht nur für alle Daten-Verarbeiter zur Pflichtlektüre, sondern auch in allen Apotheken und Arztpraxen zur Chefsache geworden. Inhaber sollten ihre Ansprüche an die Auftrags-Verarbeiter im Zweifelsfall eher zu hoch als zu niedrig ansetzen, da im Bereich der Datensicherheit in Zukunft noch die eine oder andere Änderung hinsichtlich des Sicherheitsniveaus der technischen Datenverarbeitung zu erwarten ist. Möglicherweise müssen Inhalte der Vorgaben an die Auftrags-Verarbeiter und die Richtlinien zum Umfang der Kontrollpflichten präzisiert oder gegebenenfalls sogar noch juristisch geklärt werden. Apotheken- und Praxisinhaber sollten sich also angesichts des hohen Strafmaßes bei Verstößen gegen das neue Gesetz nicht einfach zurücklehnen und abwarten, was auf sie zukommt, sondern aktiv werden. Die meisten Apotheken und Arztpraxen könnten im Ernstfall die bei Verstößen gegen die Datensicherheit anfallenden Bußgelder wohl kaum auffangen, sodass sie ohne geeignete Versicherung gegen dieses Risiko ihre Existenz gefährden.

Versicherungsnachweis auch für Daten-Verarbeiter Pflicht


Ebenso ist der für Apotheken und Arztpraxen tätige Daten-Verarbeiter in der Pflicht, den Nachweis einer ausreichenden Versicherung gegen Datenschutzverletzungen zu erbringen. Das heißt, es gilt für beide Parteien hinsichtlich der Risiko-Abdeckung die umgekehrte Beweislast. Im Klartext bedeutet das für alle Daten verarbeitenden Unternehmen, IT-Dienstleister und Datenschutzbeauftragte ein erhöhtes Risiko von Vermögensschäden durch Datenschutzverletzungen. Dabei spielt es keine Rolle, ob der Schaden durch kleine oder große Datenlecks entstanden ist. Speziell für diese Branchen gibt es den sogenannten Cyber-Risk-Schutz, der auch Apotheken und Arztpraxen einen geeigneten Schutz beim Umgang mit brisanten Gesundheitsdaten bietet. Ebenso muss die Einhaltung der DSGVO-Richtlinien im Rahmen von Internetauftritten gewährleistet sein, denn auch hier gibt es oftmals ein böses Erwachen, wenn der Unternehmer sich darüber zu wenig oder gar keine Gedanken gemacht hat. Die Europäische Datenschutz-Grundverordnung hält nämlich auch im online Bereich für alle Unternehmen und Gewerbetreibende Vorschriften bereit, die eingehalten werden müssen. Bei Verstößen müssen Betreiber von Webseiten ebenfalls mit Abmahnungen und teils hohen Bußgeldern rechnen.

Beratung anfragen


Schützen Sie sich vor den Folgen einer Datenschutzverletzung und fragen Sie über nachfolgenden Button eine Beratung an.

Markus Fischer hat 4,77 von 5 Sternen | 67 Bewertungen auf ProvenExpert.com