DS-GVO neu! Europäisches Datenschutzrecht

Wichtig ! Neues europäisches Datenschutzrecht  ab 25. Mai 2018

„Betrifft vor allem auch Ärzte bzw. Gesundheitsdienstleister“

„Ich würde es nicht auf die leichte Schulter nehmen, denn die Strafandrohungen sind exorbitant“, so der Salzburger Rechtsanwalt und Datenrechtschutz-Experte Johannes Paul.  Mit  25. Mai 2018 tritt  EU-weit die neue  Datenschutzgrundlagenverordnung (DS-GVO) in Geltung.  Die DS-GVO gilt für die Verarbeitung personenbezogener Daten, die in einem System gespeichert werden.  „Dazu zählen alle   Informationen, die direkt oder indirekt Rückschlüsse auf eine Person zulassen, wie Name und Geburtsdatum, aber auch IP-Adresse, Standortdaten und Sozialversicherungsnummer“, so der Rechtsexperte.

Neue Rechte und Pflichten hinsichtlich  der Verarbeitung personenbezogener Daten    

 „Bereits das Erheben von Daten zählt als Verarbeitung. Ärzte bzw. Gesundheitsdienstleister verarbeiten sogenannte besondere Kategorien von Daten   (bislang sensible Daten genannt). Dazu gehören u.a. personenbezogene Gesundheitsdaten, genetische oder biometrische Daten.“ Diese Daten erfordern einen besonders sensiblen Umgang, daher finden sich in der DS-GVO diesbezüglich auch spezielle Bestimmungen.   

„Die DS-GVO trifft jeden Arzt, jede Praxis, jeden Gesundheitsdienstleister“

„Es macht Sinn, rechtzeitig abzuklären, inwieweit man von den neuen Anforderungen im Datenschutzrecht betroffen ist und welche technischen oder organisatorischen Maßnahmen noch zu setzen sind“, so die Empfehlung des Salzburger Rechtsanwalts.  Neu geregelt werden, neben der Verpflichtung zur transparenten Information, etwa auch die Meldepflichten bei Datenzwischenfällen;  außerdem sind Risiken selbstständig zu bewerten und, unter bestimmten Voraussetzungen, ist  ein Datenschutzbeauftragter zu bestellen.

Zentraler Punkt der neuen DS-GVO  ist die Pflicht, die Einhaltung der  rechtlichen Vorgaben zu dokumentieren. Alle Daten-Verarbeiter müssen daher ab dem 25. Mai 2018 ein schriftliches Verzeichnis der Verarbeitungstätigkeit führen, indem sich alle Datenverarbeitungsprozesse des Unternehmens wiederfinden.

Auch die Verpflichtung zur  Information ist in der neuen Verordnung explizit und ausführlich geregelt: Bereits bei der Erhebung der Daten muss  dem Betroffenen insbesondere klargemacht werden, ob und von wem welche Daten zu welchem Zweck und für welche Dauer verarbeitet werden.

Des Weiteren  sieht die Verordnung einen Datenschutzbeauftragten für Unternehmer vor, deren Kerntätigkeit die umfangreiche Verarbeitung von besonderen Kategorien von Daten ist – also beispielsweise der Verarbeitung von Gesundheitsdaten.  Diese Pflicht kann daher grundsätzlich jeden Arzt treffen, wobei nach den Erwägungsgründen der DS-GVO die Verarbeitung von Patientendaten bloß durch einen einzelnen Arzt noch nicht die Pflicht zur Bestellung eines Datenschutzbeauftragten auslösen sollte.

„Sollte Unsicherheit darüber herrschen,  ob etwa ein Datenschutzbeauftragter zu bestellen ist oder   nicht, würde ich   die Sicherheitsvariante wählen“, so der Rechtsexperte, „das  bedeutet zwar einen gewissen Aufwand, dem gegenüber steht jedoch bei  Verstoß das Risiko einer empfindlichen Geldstrafe.“ 

Zukünftig wird auch jede einzelne Datenverarbeitung hinsichtlich  möglicher Risiken zu prüfen sein.  „Eine Risikoanalyse ist insofern wichtig, als dass unter Umständen eine Datenschutzfolgeabschätzung vorzunehmen ist. Vor allem sensible Daten bergen ja oft ein hohes Risikopotenzial, insbesondere wenn sie in fremde Hände gelangen. Aufgrund dieser Analyse muss ich überlegen, welche Absicherungsmaßnahmen (Datenschutzsicherheitsmaßnahmen)  –  in technischer oder organisatorischer Hinsicht – nötig sind, um ein vorhandenes Risiko zu minimieren.“

Bewusstsein schafft Veränderung: „Privatsphäre und das Recht auf informationelle Selbstbestimmung ist ein Grundrecht, das durch die Entwicklungen der Zeit  immer mehr gefährdet wird. Wir dürfen nicht vergessen, dass durch   Datenschutz nicht die Daten selbst sondern die Personen geschützt werden, die von der Datenverarbeitung betroffen sind. Mit der  DS-GVO soll hier mehr Transparenz, Klarheit und vor allem Sicherheit für jeden einzelnen von uns geschaffen werden.“ 

Weiterführende Infos zum Thema auf

eulaw.at

http://www.eulaw.at/kanzlei/aktuelles/newsletter/detail/article/neues-europaeisches-datenschutzrecht-gilt-ab-25-mai-2018-wen-betrifft-es-und-was-ist-zu-beachten/