Montage: Forgó; iStock (stevanovicigor)

Betrieblicher Datenschutz vor dem Aus

Der Rechtswissenschaftler Nikolaus Forgó gilt als Datenschutzexperte für den Gesundheitssektor. Er lehrt an der Leibniz Universität Hannover und leitet dort das Institut für Rechtsinformatik. Ein Gespräch über die neue europäischen Datenschutz-Grundverordnung.

By
Uwe
Sievers

Interview mit Nikolaus Forgó

Was sind die wichtigsten Punkte der EU-DSGV für das deutsche Gesundheitssystem?
Es gibt nun mit dem Artikel 4, in Nummer 10,11 und 12, eine klare Definition von Gesundheitsdaten. Darüber hinaus sollte ursprünglich in einem eigenen Artikel die Verarbeitung von Daten für Gesundheitszwecke geregelt werden, doch der wurde gestrichen. Dadurch wird Artikel 83 zum Tragen kommen, der die Verarbeitung wissenschaftlicher Daten – allerdings primär für Forschungszwecke – regelt. Dieser Artikel war extrem umstritten. Man wird jedoch weiterhin eine Unterscheidung zwischen Forschungs- und Therapiedaten treffen müssen, denn das sind stark unterschiedliche Verwendungszwecke. Solange es keine besonderen Regeln für die Datenverarbeitung im Therapiebereich gibt, gelten die Regeln der allgemeinen Datenverarbeitung.

Was ändert sich dadurch beim Umgang mit Gesundheitsdaten?
Gegenüber den bisherigen Datenschutzregeln erleichtert die aktuelle Fassung die medizinische Forschung. Daraus werden bei Gesundheitsdaten geringere Anforderungen an den Datenschutz resultieren als bisher. Mitgliedsstaaten können aber an diesem Punkt, wie an vielen anderen Stellen auch, immer noch Sonderregeln entwickeln.

EU-weit gilt nun der Grundsatz der Datenminimierung: Die Weitergabe von Daten an Dritte wird eingeschränkt. Die Zweckbindung erlaubt deren Verwendung nur für den angegebenen Zweck. Ausnahmen gelten für öffentliche Archive, wissenschaftliche Forschung und amtliche Statistiken.

Welche Konsequenzen sind für das nationale Gesundheitswesen als Erstes zu erwarten?
In diesem Jahr ist voraussichtlich noch nicht mit spürbaren Auswirkungen zu rechnen. Mittelfristig erwarte ich nicht viele Abweichungen zu dem, was wir in Deutschland kennen. Man wird aber bald klären müssen, inwieweit man nationale Datenschutzvorschriften aufrechterhalten kann. So behandelt das Sozialgesetzbuch im fünften Buch die Rahmenbedingungen für die elektronische Gesundheitskarte; eine der Fragen dazu wird sein: Was passiert mit diesen speziellen Datenschutzregeln? Es darf zwar nationale Regeln geben, aber ob die in jedem einzelnen Punkt kompatibel sind, wäre zu prüfen. Allerdings besitzen auch andere Staaten derartige Insellösungen und haben damit ähnliche Probleme.

Sollten sich Krankenhäuser jetzt schon vorbereiten?
Insbesondere im Bereich Datensicherheit sollten sie sich vorbereiten. IT-Sicherheit ist eine große Herausforderung in Krankenhäusern. Die EU-DSGV fordert recht trocken, dass Datensicherheit – und damit IT-Sicherheit – State of the Art sein müsse. Sie enthält dazu aber auch allgemeine Empfehlungen. State of the Art erfordert unter anderem, Risiken mit Sicherheitsmaßnahmen in Beziehung zu setzen, dazu muss im Vorfeld eine Folgenabschätzung stattfinden. Daneben muss geregelt sein, wie bei Sicherheitsvorfällen mit Datenverlust Betroffene und Aufsichtsbehörden informiert werden.

Manche Kritiker der neuen Regelung fordern, dass es für kleine und mittlere Unternehmen Ausnahmeregeln geben müsste. Teilen Sie diese Kritik?
Das sehe ich nicht so. Es geht letztlich immer um eine Grundrechtsabwägung. Warum sollten bei einem Patienten, der in einem kleinen Krankenhaus behandelt wird, andere Grundrechte gelten, als bei dem, der in einem großen liegt? Ich halte die Regelung für richtig, so wie sie ist.

Auf EU-Ebene umstritten waren die betrieblichen Datenschutzbeauftragten. Wird es sie weiterhin geben?
Die gute Nachricht ist: Es gibt sie jetzt sogar EU-weit. Es ist ein sehr deutsches Modell, das jetzt gesetzlich verpflichtend in der ganzen EU gilt. Doch die schlechte Nachricht ist: Dieser Datenschutzbeauftragte muss nur noch von öffentlichen Stellen und Unternehmen bestimmter Branchen bestellt werden. Das betrifft etwa Firmen, die Datenverarbeitung in großem Stil betreiben, beispielsweise Scoring-Unternehmen. Oder solche, deren Haupttätigkeit auf der Verarbeitung großer Mengen sensibler Daten beruht, wie Versicherungen. Auch Krankenhäuser gehören wohl dazu. Die Mehrzahl der Datenschutzbeauftragten in Deutschland könnte also arbeitslos werden. Allerdings sieht auch der betreffende Artikel 35 die Möglichkeit vor, nationale Sonderregeln einzuführen.

Uwe Sievers

Daten schützen

Interview mit Johannes Caspar, Landesdatenschutzbeauftragter Hamburg

Europas neue Regeln für den Umgang mit Daten

Die neue europäische Datenschutz-Grundverordnung

Politik der kleinen Schritte

Mobile Visite am Unfallkrankenhaus Berlin (ukb)