Datenverarbeitung

Persönlich gut beraten

Mehr als 100 Mal in Deutschland: Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater:
- zur Beratersuche...

Datenverarbeitung: Keine Regeln ohne Ausnahmen

26.02.2018

Datenverarbeitung darf nur nach Zustimmung der Betroffenen erfolgen. Künftig aber auch dann, wenn ein Patient körperlich oder rechtlich nicht (mehr) in der Lage ist, sein Okay zu geben.

Die Verarbeitung besonderer personenbezogener Daten wie genetische oder biometrische Daten und Gesundheitsdaten ist nach der Datenschutzgrundverordnung (DSGVO) untersagt, wenn dort keine ausdrücklich genannte Ausnahme vorliegt. Diese Daten dürfen jedoch dann verarbeitet werden, wenn eine wirksame Einwilligung der betroffenen Person vorliegt. Erstmals gesetzlich geregelt ist, dass die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person auch dann erfolgen darf, wenn die Zustimmung aus körperlichen oder rechtlichen Gründen nicht erteilt werden kann. „Damit hat beispielsweise die Datenerhebung bei der Erstversorgung bewusstloser Patienten endlich eine gesetzliche Grundlage“, betont Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.

Die neue DSGVO sowie das neue Bundesdatenschutzgesetz (BDSG) enthalten zudem gesetzliche Erlaubnisse für die Datenverarbeitung in der Gesundheitsvorsorge und Arbeitsmedizin, bei der Beurteilung der Arbeitsfähigkeit von Beschäftigten, der medizinischen Diagnostik und der Behandlung im Gesundheits- oder Sozialbereich. Die Verarbeitung hat dabei stets durch ärztliches Personal oder sonstige Personen zu erfolgen, die einer entsprechenden Geheimhaltungspflicht unterliegen. Ab jetzt sind auch externe Dienstleister (Auftragsverarbeiter) in den Kreis der Geheimnisträger aufgenommen und die entsprechenden Regelungen ergänzt worden, beispielsweise im Strafgesetzbuch. Die Erlaubnis, solche Daten verarbeiten zu dürfen, zieht die gesetzliche Pflicht nach sich, Maßnahmen einzusetzen, die die Interessen der betroffenen Person wahren (siehe Tabelle). Zudem ist ein Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen einzurichten. „Unabhängig von ihrer Größe müssen Arztpraxen, Krankenhäuser und Labore künftig ein Datenschutz- Managementsystem einrichten und vorhalten“, macht Susann Harder, Rechtsanwältin bei Ecovis in Rostock und externe Datenschutzbeauftragte, deutlich. „Unserer Einschätzung nach drohen auch und gerade in der Gesundheitswirtschaft erhebliche Bußgelder“, warnt Keller.

Die Pflichten bei der Datenverarbeitung

Welche Maßnahmen zum Schutz von Personendaten angemessen und spezifisch sind, hat der Verantwortliche unter Berücksichtigung einer Vielzahl von Aspekten zu entscheiden.

Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter