service 44 dsgvo datensicherheit DenPhaMedDatensicherheit

Service – Recht – DSGVO

Das Grundgesetz, die Europäische Charta und weitere Regelungen wie die Datenschutzgrundverordnung sollen Persönlichkeitsrechte schützen. Sehr prägnant hat beispielsweise der Philosoph und Publizist Richard David Precht diese Absicht in seinem Buch „Jäger, Hirten, Kritiker“ zusammengefasst: „Und je mehr es um die Privatsphäre geht, umso höher der Schutzzaun. In seiner Safe-Harbor-Entscheidung vom Oktober 2015 erlegte der EU-Gerichtshof den EU-Mitgliedsstaaten die Pflicht auf, den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. (…) In diesem Sinne ist es erfreulich, dass im Mai 2016 die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet wurde.“

Diese wurde jedoch zunächst von der allergrößten Masse der Betroffenen schlichtweg ignoriert. So kam es im Jahr 2018 bundes- wie europaweit zu einem Datenschutzhype, wie wir ihn seit dem „Millenium-Bug“ der Jahrtausendumstellung nicht erlebt haben. Mit dem Unterschied, dass letzterer sich als unbegründete Hysterie erwies, während die DSGVO zur Überraschung von Kammern, Verbänden, Vereinen und Unternehmen tatsächlich wie angekündigt im Mai 2018 in Kraft getreten ist.

Zwei Jahre Vorlauf sind tatenlos verstrichen

Leider gehörten augenscheinlich auch die allermeisten Organisationen der – aufgrund des Umgangs mit sensiblen Daten besonders geforderten – Gesundheitsbranche zu den völlig überraschten Akteuren. Jedenfalls war von organisierten und wirkungsvollen Vorbereitungen in den Jahren 2016 und 2017 kaum etwas nach außen gedrungen. Weshalb es 2018 zu hektischen Anpassungen kam.

service 431 datensicherheit dsgvo eu DenPhaMedAm Stichtag zum 25. Mai 2018 jedenfalls fanden sich Ärzte, Apotheker, Kliniken, aber auch Sanitätshäuser und selbst Krankenkassen sowie Softwaredienstleister in einer ausgesprochen unbequemen Situation wieder: Die wenigsten wussten, ob ihre Vorbereitungen für die DSGVO ausreichend waren oder nicht.

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) gilt ohne Übergangsfristen seit dem 25. Mai 2018.

Seitdem gelten auch für alle IT-Dienstleister deutlich verschärfte Datensicherheits-Anforderungen.

So haften solche Dienstleister ihren Auftraggebern gegenüber schon bei kleinsten Datenschutzverletzungen oder leichter Fahrlässigkeit in voller Höhe für verursachte Schäden. Denn in der Regel befinden sich die Daten zumindest auch im Zugriffs- oder Verfügungsbereich des IT-Dienstleisters. Mehr

Deshalb sollten Ärzte und Apotheker sich davon überzeugen, dass die Einhaltung der Verträge zur Auftragsdatenverarbeitung (ADV) tatsächlich gegeben ist. Das Gesetzt sieht sogar ausdrücklich vor, dass der Auftraggeber diesen Sachverhalt regelmäßig überprüfen muss. Mehr noch, der Auftragsverarbeiter (früher „Auftragsdatenverarbeiter“) muss nach Art. 28, 1 DSGVO hinreichende Garantien dafür bieten, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Mehr

Der Auftraggeber wiederum ist verpflichtet, seinen Dienstleistern das geforderte Sicherheitsniveau für die zur Verfügung gestellten Gesundheitsdaten vorzugeben. Der Datenverantwortliche – also die Praxis oder die Apotheke – ist also gehalten, sich im Gegensatz zu früher wesentlich mehr Kontrollrechte einräumen zu lassen. Da diese im Einzelnen jedoch noch nicht näher geregelt sind, sollten sie präventiv eher strenger ausgelegt werden.

Damit sind Praxen und Apotheken gehalten, sich von ihren Dienstleistern wie Systemadministratoren, Rezeptabrechnungsgesellschaften, Privatärztliche Verrechnungsstellen sowie Lieferanten von Verwaltungs- und Dokumentationssystemen die Gesetzeskonformität der Auftragsdatenverarbeitung bestätigen zu lassen. Diese Bestätigungen sollten am besten in der eigenen QM-Dokumentation hinterlegt werden, denn sie gehören in Zukunft auch zum Qualitätsmanagement in Apotheken und Praxen. Mehr

Insbesondere Apotheker, die mit externen Zyto-Herstellern, Blisterzentren oder Sanitätsfachhäusern kooperieren, sollten – ebenso wie Zahnärzte, die externe Zahntechniker beauftragen, oder Ärzte, die mit Laboren jedweder Art Patientendaten austauschen – die Datensicherheitskriterien exakt definiert haben, die sie von ihren Zulieferern erwarten. Und sie sollten deren Einhaltung kontrollieren und sich schriftlich bestätigen lassen. Mehr

Es drohen satte Strafen 

Die Strafen für Verstöße gegen das Bundesdatenschutzgesetz waren bislang so gering, dass sie keinen Änderungsdruck hin zu mehr Datenschutz erzeugten. Entsprechend lax wurde auch bisher immer mal wieder mit der Datensicherheit umgegangen. Um das zu ändern und den Datenschutz nachhaltig in den Focus zu rücken, insbesondere bei den Branchen, die üblicherweise mit sensiblen Daten arbeiten, allen voran natürlich die IT-Fachleute und das Gesundheitswesen, wurden die Bußgelder drastisch erhöht. Nach der DSGVO droht ein Strafmaß von bis zu vier Prozent des gesamten Jahresumsatzes, wobei die Obergrenze bei 20 Millionen Euro liegt. Alle Auftragsverarbeiter müssen sich zudem zwingend bis 2020 zertifizieren lassen.

Nach Artikel 82 DSGVO haftet zwar auch der Auftragsverarbeiter für von ihm verursachte materielle und immaterielle Schäden. Für ihn gilt jedoch ein anderer Maßstab als für datenverantwortliche Apotheken oder Praxen. Denn Auftragsverarbeiter haften für durch Verarbeitungen verursachte Schäden nur dann, wenn sie den von der Apotheke speziell auferlegten Pflichten nicht nachkommen oder wenn sie rechtmäßige Weisungen des verantwortlichen Auftraggebers nicht beachten oder ihnen zuwiderhandeln.

Hier finden Sie aktuelle Schadenbeispiele

Datensicherheit ist seit 2018 Chefsache

Deshalb kommt den Vorgaben an Auftragsverarbeiter und der Wahrnehmung der Kontrollrechte des Apotheken- oder Praxisinhabers größte Bedeutung zu.

service 431 datensicherheit chefsache DenPhaMedAnders gesagt: Datensicherheit ist in allen Apotheken und Arztpraxen in Zukunft Chefsache. Mit Sicherheit wird es in Zukunft etliche Präzisierungen und juristische Klärungen geben. Diese werden voraussichtlich vor allem das Sicherheitsniveau der technischen Datenverarbeitung, die konkreten Inhalte der Vorgaben an Auftragsverarbeiter und den Umfang der Kontrollpflichten betreffen. Von daher sollten Apothekeninhaber ihre Ansprüche an die Auftragsverarbeiter zuerst einmal eher zu hoch als zu niedrig ansetzen. Mehr

In dieser Situation kann ein Abwarten keine Alternative sein, gerade auch angesichts der Obliegenheiten und des Strafrahmens der EU-DSGVO. Für die allermeisten Praxen und Apotheken dürften die vorgesehenen Strafzahlungen, wenn sie verhängt werden, einen schwer kompensierbaren Liquiditätsverlust darstellen. Von daher ist es wichtig, sich gegen das Risiko eines Verstoßes gegen die Datensicherheit zu versichern:

Außerdem sollten sich Praxisbetreiber und Apothekeninhaber nicht nur von der ordnungsgemäßen Arbeit ihrer Auftragsverarbeiter und IT-Dienstleister überzeugen, sondern es ist auch angeraten, sich von diesen bestätigten zu lassen, dass sie für den Fall einer Datenschutzverletzung in ausreichendem Maße versichert sind. Ihre Anfrage: Datenschutz-Erklärung, Auftragsdatenverarbeiter und IT-Dienstleister (Mail an Zentralbüro)

Umgekehrte Beweislast auch für Auftragsverarbeiter

Das Datenschutzrecht beinhaltet auch die Rechenschaftspflicht des Daten-Verarbeiters, denn alle IT-Dienstleister, die ADV-Aufträge für Ärzte oder Apotheker ausführen, sind in der Nachweispflicht, ob sie die Vorgaben der DSGVO einhalten. Damit gilt für sie ebenso wie für alle Ärzte und Apotheker die umgekehrte Beweislast.

Daher steigt auch für alle Datenverarbeitungsunternehmen, IT-Dienstleister sowie Datenschutzbeauftragte das Risiko von Vermögensschäden durch Datenschutzverletzungen jedweder Art. Denn einen Unterschied zwischen kleinen oder großen Datenlecks kennt das Datenschutzrecht nicht.

Empfehlen Sie Ihren IT-Dienstleistern und Ihrem Datenschutzbeauftragten im Zweifel, bei unseren Versicherungsexperten einen entsprechenden Cyber-Risk-Schutz speziell für IT-Berufe mit Auftragsdatenverarbeitung berechnen zu lassen. Denn auch hier helfen Standardangebote meist nicht aus, wenn es um Gesundheitsdaten geht.

service 431 datensicherheit website DenPhaMedUnd wie sicher ist Ihre Webseite?

Die Veränderungen beim Datenschutz wirken sich nicht nur im Verhältnis zu Dienstleistern aus, sondern betreffen auch Internetauftritte. Vorschriften wie etwa die europäische Datenschutz-Grundverordnung (EU-DSGVO) gelten nicht nur für Internetauftritte von Online-Händlern, sondern für alle Unternehmen und Gewerbetreibende – also auch für Apotheken, Arztpraxen und Sanitätsfachhäuser.

Webseiten-Betreiber, die geltende Datenschutzbestimmungen auf ihren Internetauftritten nicht einhalten, müssen mit Abmahnungen und Bußgeldern rechnen. Wie das verhindert werden kann, zeigen wir Ihnen gerne. Mehr