FDG Logo

Grundprinzipien Datenschutz

Verbot mit Erlaubnisvorbehalt

Den Datenschutzgesetzen auf Bundesebene, auf Landesebene und im kirchlichen Recht ist gemein, dass sie vom Prinzip des „Verbots mit Erlaubnisvorbehalt“ ausgehen. Demnach ist es z.B. grundsätzlich verboten, einer dritten Person Akteneinsicht und damit Zugang zu Gesundheitsdaten eines Betroffenen zu gewähren. Nur wenn eine gesetzlich geregelte Ausnahme besteht (es also eine Norm gibt) welche diese Übermittlung konkret erlaubt (beispielsweise Abrechnungsdaten an die gesetzliche Krankenkasse) ist die Übermittlung ohne Weiteres zulässig. Fehlt eine solche gesetzliche Grundlage besteht nur dann die Befugnis der Datenverarbeitung, wenn eine Einwilligung der betroffenen Person vorliegt. Wird beispielsweise eine externe Abrechnungsstelle zwischengeschaltet, so ist eine Einwilligung ebenso notwendig, wie wenn im Falle einer privaten Krankenversicherung direkt mit dem Versicherungsunternehmen und nicht über den Betroffenen abgerechnet wird.

Zweckbindung und Datenvermeidung

Die Datenflut soll gering gehalten werden. Ziel ist es, eine hohe Qualität des Datenpools zu erreichen, denn eine hohe Datenquantität ist weder wünschenswert noch hilfreich. Es dürfen deshalb nur tatsächlich benötigte Informationen erhoben und gespeichert werden. Aus diesen Grundprinzipien leitet sich nicht zuletzt die Forderung nach Anonymisierung und Pseudonymisierung ab. Werden beispielsweise Proben an ein externes Labor geschickt, so sind Angaben zur Person in keiner Weise erforderlich. Es genügt eine Auftragsnummer. In der Praxis entsteht durch den an sich überschaubaren Zusatzaufwand der Pseudonymisierung und Anonymisierung eine Erleichterung beim Umgang mit den Daten. So könnten die Befunde im obigen Beispiel, per unverschlüsselter E-Mail übersandt werden.

Technische und organisatorische Maßnahmen

Die Anlage zu § 9 Satz 1 Bundesdatenschutzgesetz (BDSG) besagt:

„Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Rollen im Datenschutz

Die Geschäftsleitung ist zunächst für die Wahrung des Datenschutzes verantwortlich. Sie hat sämtliche Maßnahmen zu ergreifen, die notwendig sind um eine datenschutzkonforme Organisationsstruktur zu gewährleisten. Von zentraler Bedeutung ist es, die im Gesetz vorgesehene Stabsstelle des Datenschutzbeauftragten zu besetzen. Diese ist direkt der Geschäftsführung untergeordnet und steht ihr beratend bei. Die Aufgabe des Datenschutzbeauftragten ist es, allen voran der Geschäftsführung sämtliche notwendigen Informationen zu liefern, die sie benötigt, um geeignete Anordnungen für die Einhaltung des Datenschutzes zu treffen und eine Kontrollfunktion wahrzunehmen.

Wer kann Datenschutzbeauftragter sein?

Als Datenschutzbeauftragter können interne Personen (Mitarbeiter), aber auch Externe bestellt werden. Leitungskräfte wie Geschäftsführer, EDV- oder IT-Leiter, Pflegedienstleitung oder Justiziare kommen aufgrund ihrer Position nicht in Betracht. Dies würde einen Zirkelschluss der Selbstkontrolle bedeuten – eine solche Besetzung ist daher unzulässig. Unabdingbar ist hingegen eine enge Zusammenarbeit zwischen Datenschutzbeauftragten und Geschäftsführung, verantwortlichen Personen für das Qualitätsmanagement, EDV-Leitung, Leitung der Personalabteilung und Pflegedienstleitung.

In einem funktionierenden Datenschutzmanagementsystem sind die Beschäftigten das wichtigste Element. Sie befinden sich an allen relevanten Schnittstellen. Dazu gehört der analoge und digitale berufliche Bereich, der private Bereich, die interne und externe Verarbeitung sowie das Führen des Datenpools eines jeden Betroffenen – vom aktiven Status über die Archivierung bis hin zur Löschung bzw. Vernichtung. Die Beschäftigten zu schulen und das notwendige Wissen, welches zur Umsetzung des Datenschutzes im Arbeitsalltag erforderlich ist, zugänglich zu machen ist deshalb eine essenzielle Verantwortlichkeit der Einrichtungsleitung im Gesundheits- und Sozialwesen.
Damit die Online-Schulungen auf unserer Website gut dargestellt und durchgeführt werden können, ist der Einsatz von Cookies erforderlich. Führen Sie diese Online-Schulungen bitte nur durch, wenn Sie mit der Verwendung von Cookies zu diesem Zweck einverstanden sind. Nähere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung