Die EU Datenschutzgrundverordnung (DSGVO) – auf englisch „General Data Protection Regulation“ (GDPR) – muss spätestens ab dem 25. Mai 2018 eingehalten werden.
Viele Firmen, darunter auch Medizinproduktehersteller und Betreiber wie Krankenhäuser, sind darauf nicht ausreichend vorbereitet.
Dieser Beitrag verschafft einen Überblick über die wesentlichen Konzepte und Forderungen der Datenschutzgrundverordnung und beleuchtet Aspekte, die für den Kontext der Medizinprodukte relevant sind.
Aktuelles zur Datenschutzgrundverordnung DSGVO
- 2018-06-12: 2. Video und Checkliste zur Überprüfung von Verträgen mit Auftragsverarbeitern
- 2018-06-04: Das Johner Institut stellt eine kostenfreie Serie an Videotrainings zur DSGVO bereit. Hier registrieren.
- 2018-05-30: Die Abmahn-Machinerie ist angelaufen berichtet heise.de.
1. Ziele der DSGVO
Am 14. April 2016 hat das EU Parlament die EU Datenschutzgrundverordnung angenommen. Diese Verordnung müssen Unternehmen ab dem 25. Mai 2018 ohne weitere Übergangsfrist einhalten.
a) Ziel 1: Europaweit einheitliches Datenschutzrecht
Ein Ziel dieser Verordnung besteht darin, das fragmentierte nationale Datenschutzrecht durch einen europaweit einheitlichen Standard zu ersetzen. Entsprechend musste das Bundesdatenschutzgesetz BDSG weitgehend überarbeitet werden. Das ist geschehen. Es tritt zeitgleich mit der DSGVO am 25.05.2018 in Kraft.
b) Ziel 2: Datenschutz erhöhen
Die EU-Kommission möchte mit der Datenschutzgrundverordnung die rechtliche Grundlage für eine immer digitalisiertere Gesellschaft schaffen. Dazu erhöht sie die Anforderungen an den Datenschutz substanziell und sieht bei Verstößen empfindliche Geldbußen vor: Bis zu 4% des Umsatzes (nicht Gewinns!) oder 20 Mio. EUR zeigen, wie ernst es der Kommission ist.
Die Höhe der Strafe hängt von Faktoren ab wie
- Art und Menge der Daten, die von einem Dateneinbruch betroffen sind,
- vom Kooperationswillen der Firma mit den Behörden,
- von den Schutzmaßnahmen, die die Firma ergriffen hatte,
- ebenso von der Historie, die die Firma diesbezüglich hat, und
- von der Geschwindigkeit, mit der die Firma Behörden und Betroffene informiert.
c) Ziel 3: Weitere Rechte der Bürger stärken
Die Datenschutzgrundverordnung möchte nicht nur den Datenschutz erhöhen, sondern auch darüberhinausgehende Rechte der Bürger stärken. Dazu zählen beispielsweise diese Rechte:
- Bürger können persönliche Daten mitnehmen
- Sie dürfen Einsicht in ihre Daten nehmen
- Sie müssen den Zweck der Datenverarbeitung erfahren
- Es ist Ihr Recht, die Korrektur fehlerhafter Daten und i.d.R. auch die Löschung aller Daten zu verlangen
2. Grundlagen der Datenschutzgrundverordnung
a) Anwendungsbereich
Keine Einschränkung bezüglich Größe und Branche
Die Datenschutzgrundverordnung müssen alle natürlichen und juristischen Personen (i.d.R. Firmen) befolgen, die personenbezogenen Daten verarbeiten. Sie gilt für alle Sektoren und für alle Firmengrößen.
Nicht auf automatische und elektronische Datenverarbeitung begrenzt
Es ist auch unerheblich, ob die Daten automatisiert oder manuell verarbeitet werden. Die DSGVO beschränkt sich nicht einmal auf elektronische Daten. Zwar spricht sie von einem „Dateisystem“, definiert allerdings ein solches als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“
Geographischer Fokus
Die DSGVO müssen alle Firmen anwenden, die personenbezogenen Daten „im Rahmen einer Tätigkeit einer Niederlassung in der EU [verarbeiten], unabhängig davon, ob die eigentliche Verarbeitung in der EU erfolgt“ oder nicht (Abb. 1).
Firmen, die personenbezogenen Daten von in der EU ansässigen Bürger verarbeiten, müssen auch dann die DSGVO befolgen, wenn diese außerhalb der EU ansässig sind (Abb. 2). Damit hatte die EU sicher auch Firmen wie Facebook und Google im Blick.
Ausnahmen
Ausnahmen lässt die Datenschutzgrundverordnung nur zu, wenn die Daten im privaten Rahmen verarbeitet werden oder wenn diese die nationale Sicherheit und Strafverfolgung betreffen.
b) Personenbezogene Daten
Personenbezogene Daten definiert die Datenschutzgrundverordnung als alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Definition des DSGVO
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“
Quelle: DSGVO
Beispiele für personenbezogene Daten
Beispiele für personenbezogene Daten sind: Name, Aufenthaltsort, Identifikationsnummer, IP-Adressen besuchter Webseiten, Daten zu physischen, physiologischen, genetischen, mentalen, ökonomischen, kulturellen oder sozialen Belangen.
Die personenbezogenen Daten beschränken sich somit keinesfalls auf Daten, die zur Identifikation einer Person notwendig sind (s. Abb. 3). Enthielten jedoch die Daten kein Datum, das alleine oder in Kombination mit anderen (externen) Daten die Identifikation erlauben würde, wären diese Daten nicht personenbezogen.
„Besondere Kategorien“ personenbezogener Daten
Besonders schutzwürdig stuft die DSGVO personenbezogene Daten ein,
- „aus denen die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit hervorgehen“, sowie
- „genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung“.
c) Grundsätze und Prinzipien
Verbot mit Erlaubnisvorbehalt
Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, es sein denn es sind bestimmte Voraussetzungen und mindestens eine der folgenden Bedingungen erfüllt:
- Die betroffene Person hat Zustimmung gegeben (zweckgebunden)
- Die Verarbeitung der Daten ist für die Erfüllung eines Vertrags mit dieser Person notwendig
- Der Verarbeiter der Daten ist zur Verarbeitung rechtlich verpflichtet
- Die Verarbeitung ist notwendig, um lebenswichtige Interessen dieser oder anderer Personen zu schützen (z.B. ansteckende Krankheiten)
Wirtschaftliche Interessen
Die DSGVO berücksichtigt auch wirtschaftliche Interessen und fördert den „freien Datenverkehr“ in Europa.
Weitere Grundsätze
Weitere Grundsätze (z.B. neben der Zustimmungspflicht und Transparenz) sind:
- Datenminimierung
- Zweckbindung
- Richtigkeit
- (Zeitliche) „Speicherbegrenzung“
- Rechenschaftspflicht
- Integrität und Vertraulichkeit
Privacy by Design und Privacy By Default
Unter “Privacy by Design” versteht man die Eigenschaft eines Produkts oder einer Technologie, dass bei seiner Entwicklung und Konstruktion bereits die Grundsätze des Datenschutzes berücksichtigt wurden. Beispielsweise kann das Produkt Daten einzelner Betroffenen löschen oder es psyeudonymisiert die Daten schon vor dem Abspeichern.
Unter „Privacy by Default“ versteht man, dass bei einem Produkt oder einer Technologie die höchsten Datenschutzeinstellungen von Beginn an aktiviert sind. Bei einer Webseite heißt das z.B., dass „personenbezogene Cookies“ deaktiviert sind und nur bei Zustimmung genutzt werden dürfen.
3. Rollen
Die Datenschutzgrundverordnung sieht mehrere Rollen vor:
- Zum einen die betroffenen Personen, also die in der EU ansässigen Personen
- Zum anderen die natürliche oder juristische Person, die für die Datenverarbeitung verantwortlich ist („Verantwortlicher“ – „Controller“)
- Dann die natürliche oder juristische Person, die im Auftrag des Verantwortlichen die Daten verarbeitet („Auftragsverarbeiter“ – „Processor“)
- Und die nationalen Aufsichtsbehörden
- Schließlich die Datenschutzbeauftragten
a) Für die Datenverarbeitung Verantwortlicher
„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“
Quelle: DSGVO
Beispiele für Verantwortliche sind Arbeitgeber, Krankenhäuser und Firmen, die über ihre Webseiten Produkte und Dienstleistungen anbieten.
b) Auftragsverarbeiter
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“
Quelle: DSGVO
Beispiele für Auftragsverarbeiter sind typischerweise Rechenzentren, Anbieter von Cloud-Service oder Software as a Service.
Firmen wie Google oder Amazon können damit in zwei Rollen auftreten: Als Verantwortlicher, wenn sie Services den Personen direkt anbieten (z.B. Gmail), und als Auftragsverarbeiter, wenn sie im Auftrag einer Firma Daten speichern z.B. wenn ein Verantwortlichen einen Amazon Webservice nutzt.
c) Betroffene Person
Alle in der EU ansässigen Personen können „betroffene Personen“ sein, beispielsweise in ihrer Rolle als Angestellte, Patienten und Kunden.
d) Datenschutzbeauftragter
Die DSGVO fordert für die Verantwortlichen und Auftragsverarbeiter i.d.R. einen Datenschutzbeauftragten. Lesen Sie weiter unten mehr zu dessen Aufgaben, Rechten und Pflichten sowie zu den Ausnahmeregelungen.
Lesen Sie hier mehr zum Thema Datenschutzbeauftragte.
4. DSGVO: Rechte und Pflichten
Auf 88 Seiten regelt die Datenschutzgrundverordnung die Rechten und Pflichten der u.g. Rollen:
a) Personen
Die „betroffenen Personen“ haben folgende Rechte:
- Sie dürfen Kopien ihrer Daten in einem maschinenlesbaren und weiter verarbeitbarem Format anfordern
- Die Personen haben das Recht, diese Daten einem anderen Verantwortlichen weiterzuleiten
- Weiter steht ihnen zu, die Löschung ihrer Daten zu verlangen, wenn keine rechtlichen Gründe dagegensprechen
- Auch können die Personen die Berichtigung der Daten einfordern
Diese Rechte beziehen sich aber nur auf die von der Person bereitgestellten Daten, nicht auf Daten, die aus diesen Daten abgeleitet wurden. Beispielsweise dürfte ein Bürger bei der Schufa die Daten zu seinem Einkommen, Namen oder Wohnort einfordern, nicht aber den daraus berechneten Schufa-Score. Allerdings muss der Verarbeiter darlegen, dass diese Berechnung durchgeführt wird und über die „involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ informieren.
Den betroffenen Personen steht eine zeitnahe Reaktion zu, typischerweise 30 Tage. Es gibt allerdings Ausnahmen, beispielsweise wenn die Firma sehr viele oder sehr komplexe Anfragen erhält.
b) Firmen, die für Datenverarbeitung verantwortlich sind
Die folgende Liste stellt nur einen Ausschnitt der Anforderungen an die „Verantwortlichen“ dar:
- Personen die o.g. Rechte gewähren
Die Verantwortlichen müssen den betroffenen Personen die oben erwähnten Rechte einräumen und z.B. informieren, welche Daten zu welchem Zweck wie lange gespeichert werden. - Organisatorische und technische Maßnahmen
Sie müssen angemessenen Schutz der Daten (nach Stand der Technik) gewährleisten. Pseudonymisierung kann ein Ansatz sein. - Information bei Zwischenfällen
Bei einem Zwischenfall sind die Betroffenen (ohne ungerechtfertigte Verzögerung) und Behörden (innerhalb 72 Stunden) zu informieren. - Vertrag mit Auftragsverarbeitern
Falls sie Daten im Auftrag bei einer weiteren natürlichen oder juristischen Person verarbeiten lassen, müssen sie mit diesen einen Vertrag abschließen. - Datenschutzbeauftragter
Bei Firmen ab 10 Mitarbeitern ist ein Datenschutzbeauftragter verpflichtend. Das legt allerdings nicht die Datenschutzgrundverordnung, sondern das neue BDSG fest.
c) Firmen, die Daten im Auftrag verarbeiten
Die Auftragsverarbeiter müssen genau wie die Verantwortlichen alle notwendigen technischen und organisatorischen Maßnahmen ergreifen, um den Datenschutz zu gewährleisten. Das gleich gilt für den Datenschutzbeauftragten.
Eine Unterauftragsvergabe ist nur mit Zustimmung des Verantwortlichen erlaubt.
Sie müssen den Weisungen der Verantwortlichen folgen.
Lesen Sie hier den Originaltext der DSGVO auf den Seiten der EU.
5. Konsequenzen
a) Konsequenzen für Betreiber
Die Betreiber wie die Krankenhäuser finden sich in der Rolle der „Verantwortlichen“ wieder und müssen die entsprechenden gesetzlichen Anforderungen erfüllen. Um diese zu erfüllen, dürfen u.a. die folgenden Aufgaben anstehen:
- Gespeicherte Daten identifizieren, Zweckbestimmungen klären
- Prozesse und Systeme für die Datenverarbeitung identifizieren
- Sicherheit der Informationstechnik prüfen und herstellen
- Konformität der Datenverarbeitung überprüfen und herstellen (das betrifft auch Webseiten)
- Verträge mit Auftragsverarbeitern überprüfen bzw. erstellen
- Datenschutzerklärungen verbessern bzw. erstellen
- Datenschutzbeauftragten benennen
- Verfahrensanweisungen überarbeiten oder erstellen (z.B. Umgang mit Notfällen)
- Beschwerdemanagement einrichten (Webseite, Personen, Prozesse, Systeme)
- Mitarbeiter schulen
b) Konsequenzen für Hersteller
Für die Hersteller ergeben sich zudem Konsequenzen bei der Gestaltung der Produkte und Prozesse. Diese müssen u.a. folgende Systemanforderungen erfüllen
- Gezieltes Löschen der Datensätze einzelner Patienten / Personen
- Export von Datensätzen in verarbeitbarem Format z.B. XML ggf. mit Erläuterungen
- IT-Sicherheit der Produkte gewährleisten. Das schließt die Fähigkeit ein, kurzfristig Patches und Updates einzuspielen bzw. zu entfernen
- Mitarbeiter (z.B. Entwickler) schulen
- Verfahrensanweisung ergänzen, die den Datenschutz und die IT-Sicherheit betreffen z.B. die Verfahrensanweisungen für Entwicklung, Support, Außerbetriebnahme, Post-Market Surveillance, Risikomanagement
Die Anforderungen „Privacy by Design“ und „Privacy by Default“ betreffen explizit auch die Hersteller.
Weiter sollten die Hersteller die Anforderungen an die IT-Sicherheit betrachten, die eine Voraussetzung für den Datenschutz darstellt. Aus den verschiedenen Normen wie der Normenfamilie UL 2900 und den FDA Cybersecurity Guidances ergeben sich umfangreiche Anforderungen an die (IT-Sicherheit der) Produkte. Im Auditgarant haben wir eine Übersicht dieser Anforderungen zusammengetragen.
Überlassen Sie die Sicherheit Ihrer Patienten nicht dem Zufall
Gehen Sie mit einem Pentest des Johner Instituts auf Nummer sicher!
Fazit
Einerseits hat die EU-DSGVO die Hürden deutlich nach oben geschraubt. Jeder, der personenbezogene Daten verarbeitet, darf das nur noch, wenn die betroffenen Personen damit einverstanden sind (oder andere Regelungen das gestatten).
Andererseits haben die Verantwortlichen die Möglichkeit, z.B. durch Pseudonymisierung und Schaffung von Transparenz Rechtskonformität zu erreichen.
Dennoch: Die Anforderungen an die Technologie, die Aufklärung, die Dokumentation und Nachweise sind gewaltig.
Besonders zu befürchten ist, dass eine neue Abmahnwelle über die Firmen hereinbrechen wird. Angesichts dessen und angesichts der horrenden Bußgelder sollten Hersteller und Betreiber die Umsetzung der EU Datenschutzgrundverordnung mit sehr hoher Priorität angehen.
Ob es der Datenschutzgrundverordnung gelungen ist, die Interessen der Firmen und Personen zu balancieren und ein bürokratisches Monster zu vermeiden, wird die Zukunft zeigen.
Lesen Sie hier den Artikel zu den regulatorischen Anforderungen an den Datenschutz im Gesundheitswesen.
Die Vorgaben nach zweckgebundener Speicherung und zeitlich nur so lange wie unbedingt erforderlich, heißen doch im Umkehrschluss, dass Befunde, Formulare und Abrechnungsdaten u.ä. in einem PVS/KIS auch nur so lange gespeichert werden dürfen, wie die Aufbewahrungsfristen dies vorsehen.
Müssen diese Daten nach Ablauf dieser Fristen „automatisch“ gelöscht werden?
Müssen die Datensätze von verstorbenen Patienten nach einer Frist ebenfalls gelöscht werden?
Einen Hinweis auf diese Problematik finde ich in der obigen Aufzählung der Konsequenzen für den Hersteller nicht…
In der Tat müssen Daten, für die es keine rechtliche Grundlage mehr gibt, gelöscht werden. Dass das automatisiert erfolgt, verlangt die DSGVO nicht.
Die DSGVO fühlt sich nicht(!) für die Daten Verstorbener zuständig.
Software-Hersteller haben einen wesentlichen Einfluss auf den Umgang mit personenbezogenen Daten. Sie stellen die notwendigen Funktionen zur Datenverarbeitung zur Verfügung.
Trotzdem wird in der DSGVO lediglich beschrieben (Paragraph 78), dass die Hersteller ermutigt werden sollten, das Recht auf Datenschutz zu berücksichtigen und unter Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und Verarbeiter in der Lage sind, den Datenschutzpflichten nachkommen zu können.
Abschnitt 5b) zeigt aber erhebliche Konsequenzen für Hersteller auf. Wie ist das zu verstehen?
Wenn die Punkte in 5b nicht umgesetzt sind, können die Kunden(!) der Hersteller die Anforderungen nicht erfüllen. Die Anforderungen betreffen nicht (direkt) die Hersteller selbst. Um die Kunden zu gewinnen/behalten, sollten sie die Produkte entsprechend entwickeln. Zudem sind die Anforderungen der MDR zu beachten.
Genügt eine Anonymisierung/Deidentifizierung der Daten, um der Anforderung für gezieltes Löschen der Datensätze einzelner Patienten / Personen zu entsprechen? Also, würde es ausreichen bestimmte Felder, wie z.B. Name, Geburtsdatum, Adressen, Versichungsnummer, zu löschen, statt des gesamten Records?
Die DSGVO verlangt ein Löschen der Daten. Wenn Sie allerdings alle Merkmale löschen, die zum Identifizieren notwendig sind, hätte niemand mehr eine Chance, Ihnen das Gegenteil zu beweisen. Wie schwierig es ist, Daten wirklich zu anonymisieren, musste eine US-Behörde erfahren. Mit Hilfe sozialer Medien gelang es, angeblich anonymisierte Daten Personen zuzuordnen.
Guten Tag,
seht guter Beitrag für uns als Datenschutzbeauftragte im Gesundsheitswesen.
Vielen Dank
Herzlichen Dank!
Hallo,
ich habe eine Frage zum „räumlichen Anwendungsbereich“. Wie verhält es sich, wenn ich als in der EU-ansässige Firma Daten von von nicht in der EU-befindlichen Personen in der EU verarbeiten möchte?
Beispiel: Wie muss ich mit Personendaten zu den Seren von chinesischen Bürgern umgehen, die ich im Rahmen meiner Forschung & Entwicklung von meinem chinesischen Vertragspartner bekommen habe und jetzt in der EU verarbeite? Soweit ich die Verordnung verstehe, findet sie hier keine Anwendung, da es keine in der EU befindlichen Personen betrifft und es ja um den Schutz der Personen gehen sollte…
Vielen Dank und viele Grüße
Hallo Herr Dr. Johner,
Datenschutz ist nicht wie Umweltschutz – geschützt werden nicht die Daten (wie die Umwelt) sondern die Personen (die Grundrechte der Personen, die hinter den Daten stehen). Somit würde die Verordnung auch Personen schützen, die sich nie in der EU aufhielten? Zusammenfassend kann man also sagen?:
– Die Verordnung schützt Personen, die sich in der EU befinden, egal wo deren Daten verarbeitet werden (betrifft somit auch nicht in der EU ansässige Firmen)
– Die Verordnung schützt Personen weltweit, deren Daten von in der EU ansässigen Firmen verarbeitet werden
– Nicht geschützt durch die Verordnung sind Personen die sich nicht in der EU befinden und deren Daten durch Firmen verarbeitet werden, die keine Niederlassung in der EU haben
Viele Grüße