Ein Expertenbeitrag von Thomas Althammer
Auf den ersten Blick sorgen Bußgelder in Millionenhöhe für Verunsicherung: Die Datenschutz-Grundverordnung tritt am 25.05.2018 in Kraft und bringt deutliche Veränderungen in der Altenpflege mit sich. Doch in Sachen Digitalisierung gibt die neue Gesetzeslage der Branche wichtige Orientierung und neue Impulse. Deutschland steht vor der umfassendsten Reform der Datenschutzgesetze seit deren Einführung im Jahr 1977. Weltweit sorgt die europäische Verordnung für Aufsehen, müssen sich doch alle Unternehmen – vom Pflegedienst bis hin zu Internet-Riesen wie Google und Facebook – auf die anstehenden Änderungen vorbereiten. Ende Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) und ein geändertes Bundesdatenschutzgesetz (BDSG) in Kraft.
Die Verordnung gilt für privatwirtschaftliche Unternehmen und öffentliche Stellen unmittelbar, während sich kirchliche Träger weiter an eigenen Gesetzen orientieren. Vor kurzem wurden das neue Kirchliche Datenschutzgesetz (KDG – für kath. Kirche/Caritas) und das neugefasste Kirchengesetz über den Datenschutz (DSG-EKD – für ev. Kirche/Diakonie) ebenfalls verabschiedet.
Schaut man in die neuen Verordnungen, so fallen folgende Punkte auf, die spätestens ab Inkrafttreten der DSGVO für Senioreneinrichtungen und andere Unternehmen der Sozialwirtschaft zu beachten sind:
Deutliche Ausweitung der Betroffenenrechte
Die neue Verordnung stellt das Recht auf informationelle Selbstbestimmung in den Mittelpunkt:
Jeder soll selbst darüber entscheiden können, was mit den eigenen persönlichen Daten passiert.
Folglich hat die DSGVO einen Schwerpunkt im Bereich der Betroffenenrechte gesetzt. Unternehmen müssen offenlegen, in welchem Umfang personenbezogene Daten verarbeitet werden. Jedermann kann sich ohne Angabe von Gründen jederzeit melden und Auskunft verlangen.
Umfangreiche Dokumentation wird Pflicht
Für jede Art der Nutzung personenbezogener Angaben müssen Einrichtungen in Deutschland auch bisher schon ein Verzeichnis mit der Nennung von Rechtsgrundlagen und technischen Schutzmaßnahmen führen. Häufig existiert dies nicht, ist veraltet oder unvollständig. Ab dem 25.05.2018 gelten deutlich erweiterte Dokumentations- und Nachweispflichten.
Anzeigepflicht bei Datenpannen
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, die zuständige Aufsichtsbehörde über die Datenpanne informiert werden – es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen (Klienten und Personal) führt. Im Fall von Gesundheitsdaten, die in umfangreichen Maße in der Altenhilfe erhoben werden, dürfte häufig von einer deutlichen Beeinträchtigung der Persönlichkeitsrechte bei Datenpannen auszugehen sein.
Massive Bußgelder bei Datenschutzverstößen
Verstöße, die in der alten Fassung des BDSG mit Bußgeldern von bis zu 50.000 EUR bestraft werden konnten, werden in der DSGVO neu „bepreist“. Die EU sieht hier Strafen bis 20 Millionen EUR, bzw. bei besonders finanzkräftigen Unternehmen bis zu 4% des (Konzern-)Umsatzes des vorangegangenen Geschäftsjahres vor. Die Kirchengesetze haben die Bußgeldhöhe auf bis zu 500.000 EUR begrenzt. Eines wird hieraus deutlich: Der Versuch eine „verhältnismäßige und abschreckende“ Wirkung zu schaffen.
Datenschutz-Folgenabschätzung im Zuge des digitalen Wandels
Im Gesundheitswesen ist nach den neuen Gesetzen häufig die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) notwendig. Ziel der DSFA ist es, ähnlich der bisherigen Vorabkontrolle, frühzeitig das Risiko für die Rechte und Freiheiten betroffener Personen sowie die Folgen der Verarbeitungsvorgänge abzuschätzen. Oberstes Kredo ist hierbei der Schutz der personenbezogenen Daten.
Da im Bereich der Altenpflege zum Großteil besondere Kategorien personenbezogener Daten verarbeitet werden, ist das Dokumentieren aller Verarbeitungstätigkeiten und die Durchführung einer DSFA unerlässlich.
Der Datenschutzbeauftragte soll hierbei zu Rate gezogen werden. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Zweck der Verarbeitung sind mit ergänzenden Risikofaktoren festzuhalten.
Potential für die Altenpflege
Der technische Fortschritt ist sicherlich als einer der Gründe zu nennen, warum die EU die Einführung der DSGVO beschlossen hat. Der erhöhten Gefahr des Datenmissbrauchs, vor allem bei zunehmend automatisierter Datenverarbeitung, soll entgegengewirkt werden. Doch anstatt sich dem technischen Fortschritt mithilfe der oben genannten Einschränkungen und Maßnahmen zu verweigern, sollten Einrichtungen die Chancen nutzen, die sich aus der DSGVO und flankierenden Gesetzesanpassungen zur Bewältigung der Digitalisierung ergeben.
Für private Haushalte ist es längst zur Selbstverständlichkeit geworden, persönliche Daten wie Urlaubsfotos und Passwörter in der digitalen „Wolke“ (Cloud) eines Anbieters abzulegen. Sogenannte Cloud-Dienste lösen ab, was früher mühsam auf Datenträgern hin und her kopiert werden musste. Zweifel an den Absichten und dem Umgang mit persönlichen Daten durch den Cloud-Anbieter scheinen oftmals nicht zu existieren.
Modernisierung der Strukturen
Spezialisierte Cloud-Anbieter bieten Lösungen an, um verstaubte IT-Strukturen aufzubrechen und neu zu organisieren, z. B. durch Verlagerung eigener Server-Kapazitäten in Rechenzentren. Die DSGVO definiert hierfür präzisere Grundsätze, stellt jedoch gleichfalls hohe Ansprüche an den Verantwortlichen und den Auftragsverarbeiter. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist zulässig, sofern die Notwendigkeit vorliegt und die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
Aus Art. 4 Nr. 10 DSGVO ergibt sich zudem, dass ein Auftragsverarbeiter nicht als „Dritter“ im Sinne der Verordnung gilt und somit im Rahmen eines Vertrages die Daten im Auftrag verarbeiten darf.
Hierbei ist jedoch zu beachten, dass der Auftragsverarbeiter sowohl der Schweigepflicht unterliegt, welche sich aus § 203 StGB ergibt, als auch seinen Dienst lt. § 1 Abs. 6 BDSG innerhalb der EU bzw. des EWR anbieten muss. Cloud-Anbieter, die Ihre Dienste aus Drittländern mit keinem angemessenen Schutzniveau anbieten (z. B. aus den USA), sind in der Regel nicht zulässig.
Digitalisierung in sozialen Einrichtungen funktioniert – die Praxistauglichkeit sollte im Vorfeld jedoch genauestens analysiert und der Rat des Datenschutzbeauftragten eingeholt werden.
Die geänderten Gesetzesgrundlagen stellen dabei sowohl Chancen als auch Risiken dar. In jedem Fall entsteht Handlungsbedarf, die neuen Vorgaben angemessen und rechtzeitig umzusetzen.