service 44 dsgvo datensicherheit DenPhaMedDatensicherheit

Service – Recht – DSGVO

Zumindest auf dem Papier schützen Grundgesetz und die Europäische Charta den Schutz der Persönlichkeitsrechte. „Und je mehr es um die Privatsphäre geht, umso höher der Schutzzaun. In seiner Safe-Harbor-Entscheidung vom Oktober 2015 erlegte der EU-Gerichtshof den EU-Mitgliedsstaaten die Pflicht auf, der Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. (…) In diesem Sinne ist es erfreulich, dass im Mai 2016 die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet wurde“. (Precht, S. 227f)

Diese wurde jedoch zunächst von der allergrößten Masse der Betroffenen schlichtweg ignoriert. So kam es im Jahr 2018 bundes- wie europaweit zu einem Datenschutzhype, wie wir ihn seit dem „Millenium-bug“ der Jahrtausendumstellung nicht erlebt haben. Mit dem Unterschied, dass letzterer sich als unbegründete Hysterie erwies, während die DSGVO zur Überraschung von Kammern, Verbänden, Vereinen und Unternehmen tatsächlich wie angekündigt im Mai 2018 in Kraft getreten ist.

Zwei Jahre Vorlauf sind tatenlos verstrichen

Leider gehörten augenscheinlich auch die allermeisten Organisationen der – aufgrund der besonders die Privatsphäre betreffenden Datenqualität besonders geforderten – Gesundheitsbranche zu den völlig überraschten. Jedenfalls war von organisierten, plan- wie wirkungsvollen Vorbereitungen in den Jahren 2016 und 2017 kaum etwas nach außen gedrungen. Weshalb das Gaspedal dann 2018 hektisch, planlos und in vielen Details ebenso kenntnisarm wie hyperventilierend durchgetreten wurde.

service 431 datensicherheit dsgvo eu DenPhaMedAm Stichtag zum 25. Mai 2018 jedenfalls fanden sich Ärzte wie Apotheker, Kliniken wie Sanitätshäuser und selbst Krankenkassen und Softwaredienstleister in einer ausgesprochen unbequemen Situation wieder: Die wenigsten wussten, ob ihre Vorbereitungen für die DSGVO ausreichend waren oder nicht.

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) gilt ohne Übergangsfristen seit dem 25. Mai 2018.

Seit dem gelten auch für alle IT-Dienstleister deutlich verschärfte Datensicherheits-Anforderungen.

So haften solche Dienstleister ihren Auftraggebern gegenüber schon bei kleinsten Datenschutzverletzungen oder leichter Fahrlässigkeit in voller Höhe für verursachte Schäden. Denn in der Regel befinden sich die Daten zumindest auch im Zugriffs- oder Verfügungsbereich des IT-Dienstleisters. Mehr

Damit sollten Ärzte und Apotheker sich davon überzeugen, dass Einhaltung der Verträge zur Auftragsdatenverarbeitung (ADV) gegeben ist. Das Gesetzt sieht sogar ausdrücklich vor, dass der Auftraggeber diesen Sachverhalt regelmäßig überprüfen muss. Mehr noch, der Auftragsverarbeiter (früher „Auftragsdatenverarbeiter“) muss nach Art. 28 I DSGVO hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen durchführt, personenbezogene Daten im Einklang mit den Anforderungen des DSGVO verarbeitet und den Schutz der Rechte der betroffenen Personen gewährleistet. Mehr

Der Auftraggeber wiederum ist verpflichtet, seinen Dienstleistern das geforderte Sicherheitsniveau für die zur Verfügung gestellten Gesundheitsdaten vorzugeben. Der Datenverantwortliche – also die Praxis oder die Apotheke – ist also gehalten, sich im Gegensatz zu früher wesentlich mehr Kontrollrechte einräumen zu lassen. Da diese im Einzelnen jedoch noch nicht näher geregelt sind, sollten sie präventiv eher strenger angelegt sein.

Damit sind Praxen und Apotheken gehalten, sich von ihren Dienstleistern wie Systemadministratoren, Rezeptabrechnungsgesellschaften, Privatärztliche Verrechnungsstellen sowie Lieferanten von Verwaltungs- und Dokumentationssystemen die Gesetzeskonformität der Auftragsdatenverarbeitung bestätigen zu lassen. Diese Bestätigungen sollten am besten in der eigenen QM-Dokumentation hinterlegt werden, denn sie gehören in Zukunft auch zum Qualitätsmanagement in Apotheken und Praxen. Mehr

Insbesondere Apotheker, die mit externen Zyto-Herstellern, Blisterzentren oder Sanitätsfachhäusern kooperieren sollten – ebenso wie Zahnärzte, die externe Zahntechniker beauftragen oder Ärzte, die mit Laboren jedweder Art Patientendaten austauschen – die Datensicherheitskriterien exakt definiert haben, die sie von ihren Zulieferern erwarten. Und sie sollten deren Einhaltung kontrollieren und sich schriftlich bestätigen lassen. Mehr


Es drohen satte Strafen – und erste wurden auch schon verhängt

Die Strafen für Verstöße gegen das Bundesdatenschutzgesetz waren bislang so klein, dass sie keinen Änderungsdruck hin zu mehr Datenschutz erzeugten. Entsprechend lax wurde auch bisher immer mal wieder mit der Datensicherheit umgegangen. Um das zu ändern und den Datenschutz nachhaltig in den Focus zu rücken, insbesondere bei den Branchen, die üblicherweise mit sensiblen Daten arbeiten, allen voran natürlich die IT-Fachleute und das Gesundheitswesen, wurden die Bußgelder drastisch erhöht. Nach der DSGVO droht ein Strafmaß von bis zu vier Prozent des gesamten Jahresumsatzes, wobei die Obergrenze bei 20 Millionen Euro liegt. Alle Auftragsverarbeiter müssen sich zudem zwingend bis 2020 zertifizieren lassen.

Nach Artikel 82 DSGVO haftet zwar auch der Auftragsverarbeiter für von ihm verursachte materielle und immaterielle Schäden. Für ihn gilt jedoch ein anderer Maßstab als für datenverantwortliche Apotheken oder Praxen. Denn Auftragsverarbeiter haften für durch Verarbeitungen verursachte Schäden nur dann, wenn sie den von der Apotheke speziell auferlegten Pflichten nicht nachkommen oder wenn sie rechtmäßige Weisungen des verantwortlichen Auftraggebers nicht beachten oder ihnen zuwiderhandeln.

Hier finden Sie immer wieder aktuellste Schadenbeispiele

Datensicherheit: Seit 2018 Chefsache

Deshalb kommt der Vorgabe an den Auftragsverarbeiter und der Wahrnehmung der Kontrollrechte des Apotheken- oder Praxisinhabers größte Bedeutung zu.

service 431 datensicherheit chefsache DenPhaMedAnders gesagt: Datensicherheit ist in allen Apotheken und Arztpraxen in Zukunft Chefsache. Mit Sicherheit werden in Bezug auf das Sicherheitsniveau der technischen Datenverarbeitung, die konkreten Inhalte der Vorgaben an die Auftragsverarbeiter und den Umfang der Kontrollpflichten noch viele Präzisierungen und wahrscheinlich auch juristische Klärungen erfolgen. Von daher sollten Apothekeninhaber ihre Ansprüche an die Auftragsverarbeiter zunächst erstmal eher zu hoch als zu niedrig ansetzen. Mehr

Die Alternative „Abwarten, was da noch kommt“ kann jedenfalls vor dem Hintergrund der Obliegenheiten und des Strafrahmens der EU-DSGVO für keinen Apotheken- und Praxisinhaber eine Option sein. Für die allermeisten Praxen und Apotheken dürfte die vorgesehenen Strafzahlungen einen schwer kompensierbaren Liquiditätsverlust darstellen. Von daher ist es wichtig, sich auch selbst gegen dieses Risiko eines Verstoßes gehen die Datensicherheit zu versichern:

Außerdem sollten sich Praxisbetreiber und Apothekeninhaber nicht nur von der ordnungsgemäßen Arbeit seiner Auftragsverarbeiter und IT-Dienstleister zu überzeugen, sondern es ist auch angeraten, sich von diesen bestätigten zu lassen, dass sie für den Fall einer Datenschutzverletzung in ausreichendem Maße versichert sind. Anfrage Datenschutz-Erklärung Auftragsdatenverarbeiter und IT-Dienstleister (Mail an Zentralbüro)

Umgekehrte Beweislast nun auch für Auftragsverarbeiter

Das neue Datenschutzrecht beinhaltet jedoch auch die Rechenschaftspflicht des Daten-Verarbeiters, denn alle IT-Dienstleister, die ADV-Aufträge für Ärzte oder Apotheker ausführen, sind in der Nachweispflicht, ob sie die Vorgaben der DSGVO einhalten. Damit gilt für sie ebenso wie für alle Ärzte und Apotheker die umgekehrte Beweislast.

Damit steigt auch für alle Datenverarbeitungsunternehmen, IT-Dienstleister sowie Datenschutzbeauftragte das Risiko von Vermögensschäden durch Datenschutzverletzungen jedweder Art. Denn einen Unterschied zwischen kleinen oder großen Datenlecks kennt das neuen Datenschutzrecht nicht.

Empfehlen Sie Ihren IT-Dienstleistern und Ihrem Datenschutzbeauftragten im Zweifel, bei unseren Versicherungsexperten einen entsprechenden Cyber-Risk-Schutz spezielle für IT-Berufe mit Auftragsdatenverarbeitung berechnen zu lassen. Denn auch hier helfen Standardangebote gerade dann meist nicht aus, wenn es um Gesundheitsdaten geht.

service 431 datensicherheit website DenPhaMedUnd wie sicher ist Ihre Webseite?

Die Veränderungen beim Datenschutz wirken sich nicht nur im Verhältnis zu Dienstleistern aus, sondern betreffen auch Internetauftritte. Vorschriften wie etwa die europäische Datenschutz-Grundverordnung (EU-DSGVO) gelten aber nicht nur für Webseiten von Online-Händlern, sondern für alle Unternehmen und Gewerbetreibende – also auch für Apotheken, Arztpraxen und Sanitätsfachhäuser.

Webseiten-Betreiber, die geltende Datenschutzbestimmungen auf ihren Internetseiten nicht einhalten, müssen daher mit Abmahnungen und Bußgeldern rechnen. Wie das verhindert werden kann, zeigen wir Ihnen gerne. Mehr