Datenschutzmanagement nach DSGVO: Leitfaden für Krankenhäuser

Artikel von Dr. Datenschutz·9. März 2018

Die bayerischen Datenschutzbehörden haben einen Leitfaden zu den Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern herausgegeben. Der Leitfaden soll bestehende Unsicherheiten abbauen und erste Hinweise zur Auslegung neuer Regelungen nach der Datenschutz-Grundverordnung (DSGVO) geben.

Der Inhalt im Überblick

Bestandteile des Datenschutzmanagements
Datenschutzmanagement als Sonderfall für Krankenhäuser?

Bestandteile des Datenschutzmanagements

Aufgrund der gestiegenen Rechenschafts- und Dokumentationspflichten der Datenschutz-Grundverordnung (DSGVO), konzentriert sich der Leitfaden auf die Einrichtung eines Datenschutzmanagements. Dies soll es ermöglichen, alle datenschutzrechtlich relevanten Fragen schnell und umfassend zu behandeln. Der nach Auffassung der Datenschutzbehörden wesentliche Inhalt eines solchen Datenschutzmanagements wird in dem Leitfaden in 9 Punkten dargestellt:

1. Die Festlegung eines Teams für das Datenschutzmanagement

Zunächst sollte ein Team bestimmt werden, welches, unterstützt vom Datenschutzbeauftragten, intern für die Umsetzung der datenschutzrechtlichen Anforderungen verantwortlich ist. In einer entsprechenden Dienstanweisung sollte festgelegt werden, wer bzw. welche Stelle intern für die Umsetzung und Einhaltung welcher datenschutzrechtlichen Anforderungen verantwortlich ist.

2. Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO

Einen elementaren Bestandteil des Datenschutzmanagements bildet das gemäß Art. 30 der Datenschutz-Grundverordnung anzufertigende Verzeichnis der Verarbeitungstätigkeiten, insbesondere wenn es über die nach Art. 30 DSGVO zwingend vorgesehenen Informationen hinaus zusätzliche Informationen enthält – z.B. Angaben zur Erforderlichkeit eine Datenschutz-Folgenabschätzung oder zur Rechtsgrundlage der Verarbeitung.

3. Die Auflistung ggf. bereits bestehender Datenschutzkonzepte für Verfahren

Alle bereits bestehenden Datenschutzkonzepte sollten im Datenschutzmanagement hinterlegt werden.

4. Auflistung aller Verträge zur Auftragsverarbeitung

Im Rahmen der bestehenden Rechenschaftspflichten sollte der Verantwortliche jederzeit in der Lage sein, Auskunft über alle bestehenden Auftragsverarbeitungen zu geben. Eine Auflistung aller bestehenden Vereinbarungen zur Auftragsverarbeitung sollte daher ebenfalls zentral beim Datenschutzmanagement-Team hinterlegt werden.

5. Ergebnisse von durchgeführten Risikoabschätzungen und ggf. ergriffenen Maßnahmen

Nach der DSGVO hat der Verantwortliche sicherzustellen, dass eine Verarbeitung personenbezogener Daten nur erfolgt, wenn zuvor geeignete Maßnahmen getroffen wurden, welche die Sicherheit der Verarbeitung gewährleisten. Die Sicherheit der Verarbeitung ist im Rahmen einer Risikofolgenabschätzung zu beurteilen. Im Rahmen des Datenschutzmanagements ist festzulegen, wie eine solche Risikoeinschätzung durchgeführt und dokumentiert werden soll. Die Risikobewertung ist anschließend regelmäßig zu überprüfen.

6. Die Auflistung durchgeführter Datenschutz-Folgenabschätzungen

Da in Krankenhäusern in besonderem Maße sensitive Daten verarbeitet werden, ist davon auszugehen, dass Krankenhäuser zukünftig für einige ihrer Verfahren eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen haben. Die Durchführung von Datenschutz-Folgenabschätzungen ist im Rahmen des Datenschutzmanagements zu dokumentieren. In bestimmten Fällen kann eine Konsultation der Aufsichtsbehörde erforderlich sein (Art. 36 DSGVO). Der Datenschutzbeauftragte ist an der Durchführung zu beteiligen, für die Durchführung letztendlich aber nicht verantwortlich.

7. Die Behandlung von Datenschutzverletzungen

Nach Art. 33 DSGVO sind Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden – es sei denn, die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Aufgrund der Sensitivität der in Krankenhäusern verarbeiteten Daten ist davon auszugehen, dass die Ausnahme nur selten greift. Um der Meldepflicht nachkommen zu können, sind interne Prozesse zu dokumentieren, zu implementieren und bekanntzugeben, um sicherstellen zu können, dass der Meldepflicht nachgekommen werden kann. Darüber hinaus müssen alle Datenschutzverletzungen dokumentiert werden (Art. 33 Abs. 5 DSGVO).

8. Die Einführung von Regelungen zu den Betroffenenrechten

Der Verantwortliche hat die Wahrung der Betroffenenrechte aus Kapitel 3 der DSGVO sicherzustellen. Um den Anforderungen nachkommen zu können, sollten interne Prozesse definiert werden, aus denen sich ergibt, wie beispielsweise mit einem Auskunftsverlangen einer betroffenen Person umzugehen ist. Auch ist festzulegen, auf welche Weise die umfassenden Informationspflichten aus Art. 13 f. DSGVO gewahrt werden.

9. Eine Dokumentation von Zertifizierungen bzw. sonstigen Nachweisen betreffend die Datensicherheit

Zukünftig wird es möglich sein, das Einhalten datenschutzrechtlicher Anforderungen über Zertifizierungen sowie Datenschutzsiegel und -prüfzeichen nachzuweisen (Art. 42 und 43 DSGVO). Das Vorliegen entsprechender Zertifizierungen sollte dokumentiert werden.

Datenschutzmanagement als Sonderfall für Krankenhäuser?

Die Einführung eines Datenschutzmanagements, wie von den bayerischen Datenschutzbehörden empfohlen, wird den Umgang mit den Anforderungen der Datenschutz-Grundverordnung erheblich vereinfachen und wesentlich übersichtlicher gestalten. Da es sich bei den im Datenschutzmanagement behandelten Anforderungen nicht um spezifische Regelungen nur für Krankenhäuser handelt, eignet sich das Datenschutzmanagement aus dem Leitfaden auch hervorragend als Anleitung für die Implementierung eines Datenschutzmanagements bei sonstigen Verantwortlichen. Weitere Informationen finden Sie auch in unserem Beitrag Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis.

- Bayerischer Landesbeauftragter für den Datenschutz
  BayLDA: Good-Practice-Checkliste für KI-ToolsNews·7. Februar 2024
- Unzulässiger Einsatz von Mailchimp und die FolgenNews·30. März 2021
- Aufgaben und Befugnisse der DatenschutzaufsichtsbehördeFachbeitrag·19. Juni 2020
Mehr zum Thema
- besondere personenbezogene Daten
  EuGH: Verarbeitung von GesundheitsdatenUrteil·22. Februar 2024
- Sensible Daten nach der DSGVO: Definition & BeispieleFachbeitrag·26. Januar 2024
- Diversität in Unternehmen und DatenschutzFachbeitrag·25. Januar 2024
Mehr zum Thema
- Datenschutzbeauftragter
  Folgen von Datenschutzverstößen im AngestelltenverhältnisFachbeitrag·29. Februar 2024
- Verantwortliche sind für die Umsetzung der DSGVO zuständigFachbeitrag·3. November 2023
- Betriebsrat: Unterrichtung und Einsichtnahme vs. DatenschutzFachbeitrag·26. September 2023
Mehr zum Thema
- Datenschutzmanagement
  Datenschutz messbar machen – Reifegrade und KennzahlenFachbeitrag·19. Februar 2024
- Was besagt die Rechenschaftspflicht im Sinne der DSGVO?Fachbeitrag·4. April 2023
- ISO 27701: Datenschutz-Folgenabschätzung (DSFA)Fachbeitrag·4. Februar 2022
Mehr zum Thema
- Krankenhaus
  Sicherheitslücken in vernetzten medizinischen Geräten (IoMT)Fachbeitrag·10. November 2023
- Spahn plant Triage-Software in Notaufnahmen – auf Kosten der PatientenNews·25. März 2021
- YouTuber deckt auf: Tausende Krankenhausakten frei zugänglichNews·3. Juni 2020
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.