FAQ: Datenschutz-Grundverordnung (DSGVO)
Security Updates für das Gesundheitswesen
Fortsetzung des Artikels von Teil 1
Kerninhalte der DSGVO für die Medizin
Wie wird die DSGVO in Deutschland umgesetzt?
Deutschland hat sich entschlossen, das bisherige Bundesdatenschutzgesetz durch eine Neufassung zu ersetzen, die bereits fertiggestellt ist und die mit Ablauf der Übergangsfrist in Kraft tritt. Im Rahmen dieses Gesetzes werden bereits einige Präzisierungen an Stellen vorgenommen, an denen die DSGVO Spielräume lässt, etwa bei der Größe der Einrichtungen, die einen Datenschutzbeauftragten benennen müssen.
Welche Bedeutung hat die Verordnung außerhalb der EU?
Unternehmen außerhalb der EU unterliegen der Verordnung, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten (Marktortprinzip).
Welche Neuerungen bringt die DSGVO für die Medizin?
Vordergründig ändert sich erst einmal nicht viel. Das Verbot auf der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt und die Gebote der Datenvermeidung und der Datensparsamkeit gelten weiterhin. Die Neuerungen beziehen sich unter anderem auf Einwilligungen, Informationspflichten, Betroffenenrechte, Auftragsverarbeitung sowie auf die Anforderungen an Compliance und Rechenschaftspflicht, die Meldepflicht und die technische bzw. organisatorische Umsetzung.
Was ändert sich für die Patienten?
Patienten müssen, wie bisher, über die Erhebung personenbezogener Daten informiert werden. Diese Informationspflicht erstreckt sich künftig aber auch auf die voraussichtliche Dauer der Speicherung und auf das Recht auf Auskunft. Letzteres wird in der DSGVO detaillierter beschrieben als das im bisherigen Bundesdatenschutzgesetz. Unter anderem haben Patienten künftig das explizite Recht, Kopien ihrer Daten in einem geeigneten elektronischen Format zu erhalten.
Was ändert sich für medizinische Einrichtungen?
Während die Veränderungen der Auftragsverarbeitung sowohl IT-Hersteller als auch medizinische Einrichtungen betreffen, sind bei den Compliance-und Rechenschaftspflichten vor allem die Krankenhäuser und Arztpraxen gefragt. Ein schriftliches Verzeichnis der Verarbeitungstätigkeiten ist beim Umgang mit Gesundheitsdaten zwingend. Neu ist eine Datenschutz-Folgeabschätzung, die immer dann erforderlich wird, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Bei der Datenschutz-Folgeabschätzung muss sich das Krankenhaus den Rat des jeweiligen Datenschutzbeauftragten einholen.
Gibt es Ausnahmen?
Eine Ausnahme gibt es für Kleinunternehmen, etwa Arztpraxen mit nur einem Arzt, die gemäß Neufassung des Bundesdatenschutzgesetzes erst ab zehn Mitarbeitern einen Datenschutzbeauftragten benötigen.
- Security Updates für das Gesundheitswesen
- Kerninhalte der DSGVO für die Medizin
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Datenschutz-Grundverordnung
Kaum Fortschritt bei der Umsetzung
Statische Codeanalyse
DSGVO-Konformität für Software
Datenschutzgrundverordnung
Umgang mit Patientendaten wird komplexer
Datenschutz-Grundverordnung
bvitg regt neuen Diskurs an
