Neben der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz gelten für Einrichtungen im Gesundheitswesen, insbesondere Kliniken, spezielle landesgesetzliche Regelungen. Für Baden-Württemberg zum Beispiels das LKHG.
Datenschutzfolgeabschätzung nach Art. 35 DSGVO
Gesundheitsdaten zählen gem. Art. 9 DSGVO zu den besonders schützenswerten Daten, entsprechend sind die Anforderungen an technische und organisatorische Maßnahmen des Datenschutzes zu werten. Die Verarbeitung von Gesundheitsdaten in größeren Einrichtungen erfordert zwingend eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO. Die Aufsichtsbehörden gehen davon aus, dass die Verarbeitung von Gesundheitsdaten in Einrichtungen mit mehr als 10 Beschäftigten in der Regel als umfangreich zu werten ist.
BSI-Gesetz und NIS2-Richtlinie
Zudem fallen Kliniken ab 50 Mitarbeitenden unter die Regelungen des BSIG zur Umsetzung der NIS2-Richtlinie. Als wichtige Einrichtungen im Sinne des BSIG zählen Kliniken ab 50 Mitarbeitenden, ab 250 Mitarbeitenden als besonders wichtige Einrichtungen.
Die Pflichtdokumentation nach DSGVO
beinhaltet
- ein vollständiges und aktuelles Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
- eine oder mehrere dokumentierte Datenschutzfolgeabschätzungen (DSFA) nach Art. 35 DSGVO, mindestens jedoch eine DSFA für den Kernprozess der therapeutischen Behandlung und Dokumentation
- die Dokumentation der technisch-organisatorischen Maßnahmen des Datenschutzes (TOM)
- schriftliche Verträge mit sämtlichen Auftragsverarbeitern nach Art. 28 DSGVO
- ggf. Verträge zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO
Eine saubere Pflichtdokumentation hilft dem Verantwortlichen, eventuell bestehende Lücken und Risiken zu erkennen und präventive bzw. risikomindernde Prozesse zu implementieren. Einrichtungen, die unter die Regelungen des BSIG fallen, empfehlen wir die Prozesse, Anwendungen, IT-Systeme und Räumlichkeiten nach BSI IT-Grundschutz zu erfassen und die Risikobewertung nach IT-Grundschutz in die Dokumentation nach DSGVO einfließen zu lassen.
Datenschutzbeauftragte (DSB)
berichten direkt an die Geschäftsleitungen als Verantwortliche nach DSGVO. Sofern ein Informationssicherheitsbeauftragter (ISB) benannt ist, arbeiten Datenschutzbeauftragte mit diesem zusammen. Die Kernaufgaben nach Art. 39 DSGVO erfordern entsprechende Fachkenntnisse und eine regelmäßige Fortbildung der DSBs. In größeren Einrichtungen empfiehlt sich zudem die Implementierung von Datenschutzkoordinatoren, die mit dem bestellten DSB zusammenarbeiten.
Die Risikoanalyse
im Datenschutz unterscheidet sich von der Risikoanalyse in der Datensicherheit vor allem in der Perspektive. Datenschutz bezieht sich auf personenbezogene Daten, während die Risikoanalyse nach IT-Grundschutz die Sicherheit der Datenverarbeitung in der Organisation im Fokus hat. Maßnahmen zur Risikovermeidung und Schadensminderung sind elementar für die Resilienz einer Organisation.