DSGVO: Krankenhäuser im Spannungsfeld Datenschutz

Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Die Regeln zur Verarbeitung personenbezogener Daten nehmen auch den Datenschutz im Krankenhaus ins Visier. Jede Einrichtung muss deshalb entsprechende Vorkehrungen treffen. Aktuell variiert die Ausgestaltung der technischen und organisatorischen Maßnahmen zum Datenschutz zwischen den Kliniken in Deutschland stark. Zudem sind für die Umsetzung zu großen Teilen noch keine ausreichenden Vorbereitungen initiiert worden. Zu diesem Ergebnis kommt die Curacon-Datenschutzstudie 2018, für die die Wirtschaftsprüfungsgesellschaft Curacon 105 Krankenhäuser in Deutschland befragt hat.

Einzelne Häuser immer noch ohne Datenschutzbeauftragten

Rund 95 Prozent der befragten Einrichtungen kommen der bereits existierenden formalen Pflicht zur Bestellung eines Datenschutzbeauftragten nach. 73 Prozent besetzten diese Stelle intern. Nur 22 Prozent gaben an, den Posten an externe Fachkräfte vergeben zu haben. Es zeigt sich, dass große Einrichtungen im Vergleich zu kleinen Häusern nicht nur häufiger dieser Pflicht nachkommen, sondern auch seltener auf Externe zurückgreifen (18 Prozent gegenüber 27 Prozent). Besonders kritisch zu bewerten ist die Tatsache, dass fünf Prozent der Einrichtungen – fast ausschließlich kleine Häuser – bislang noch gar keinen Datenschutzbeauftragten haben.

Datenschutzmanagement: Wer setzt was um?

Begehungen zur Analyse von Datenschutz-Risiken werden von einem Drittel der befragten Kliniken regelmäßig und von weiteren 44 Prozent unregelmäßig durchgeführt. In einem Viertel der Einrichtungen haben Kontrollen unter Berücksichtigung der Datenschutzaspekte bisher nie stattgefunden.

Maßnahmen zur Zutrittskontrolle sind nur bei rund drei Viertel der Einrichtungen systematisch erfasst und werden häufig durch traditionelle Maßnahmen wie verschlossene Dienstzimmer und den Einsatz von Sicherheitsschlössern umgesetzt.

Eine schriftliche Verpflichtung der Mitarbeiter in Bezug auf das Datengeheimnis setzen 90 Prozent der Einrichtungen um. Darüber hinaus schließen 75 Prozent Vereinbarungen zur Auftragsdatenverarbeitung, bei 71 Prozent liegt ein schriftliches Datenschutzkonzept vor, 59 Prozent verfügen über ein Verfahrensverzeichnis. Darin werden die laufenden Verarbeitungsprozesse personenbezogener Daten festgehalten. 43 Prozent führen Vorabkontrollen durch, das heißt, sie prüfen die für ihre Einrichtung gesetzlichen Vorschriften wie die landes- und krankenhausspezifischen Gesetze. Es fällt auf, dass mit zunehmendem organisatorischem Aufwand die Umsetzung der gesetzlichen Vorgaben abnimmt.

Auswirkungen der DSGVO werden teilweise unterschätzt

Zum Zeitpunkt der Befragung, im Spätsommer 2017, haben rund 75 Prozent der Teilnehmer angegeben, sich mit den möglichen Auswirkungen der DSGVO zu beschäftigen, wovon aber nur ein Drittel bereits konkrete Maßnahmen umsetzt. Am häufigsten wurde die Anpassung der Vereinbarungen zur Auftragsdatenverarbeitung sowie das Verfahrensverzeichnis und die neue Datenschutzfolgenabschätzung genannt.

Verbesserungspotenziale sollten zeitnah gehoben werden

Die DSGVO verschärft die rechtlichen Anforderungen und geht mit einem deutlich höheren Bußgeldrahmen einher. Vor diesem Hintergrund ist die Tatsache, dass erst wenige Einrichtungen konkrete Maßnahmen umsetzen, als sehr kritisch zu bewerten. Erste Initiativen der zuständigen Aufsichtsbehörde lassen eine strengere Prüfungspraxis sowie die Verwirklichung von Sanktionen erwarten. Kliniken tun deshalb gut daran, die entsprechenden Vorgaben ernst zu nehmen und zeitnah umzusetzen.

Studie & Ansprechpartner

Für die Curacon-Datenschutzstudie 2018 verantwortlich sind Dr. Uwe Günther, Leiter Geschäftsfeld Datenschutz (uwe.guenther@curacon.de) und Stefan Strüwe, Prokurist, Seniormanager Geschäftsfeld Datenschutz (Stefan.Struewe@curacon.de). Interessierte können die Studie hier anfordern.

cp/KWM

Hinterlassen Sie einen Kommentar