Pressemitteilung, 30.05.2012 - 19:45 Uhr
Perspektive Mittelstand
Britische Aufsichtsbehörde ICO warnt Gesundheitsdienstleister: Patientendaten sind zu jedem Zeitpunkt zu schützen!
(PM) Potsdam, 30.05.2012 - Die britische Datenschutzbehörde (Informations Commissioner’s Office, kurz: ICO) hat einen – wenn auch weniger dramatischen - Datenschutzvorfall aus der Grafschaft Warwickshire zum Anlass genommen, einen dringenden Appell an alle Gesundheitsdienstleister zu richten. Solange ein Gesundheitsdienstleister die verantwortliche Stelle für Patientendaten ist – und dieser Begriff ist weit auszulegen – ist er für deren Schutz verantwortlich. Was wie eine Selbstverständlichkeit klingt, kann im Einzelfall – auch über Großbritannien hinaus – für die verantwortlichen Unternehmen nur schwer erkennbar sind. ilex berichtet über den Vorfall und zeigt anschließend die wichtigsten Pflichten von Gesundheitsdienstleistern auf.Der VorfallDie Pharmacyrepublic Limited ist ein Gesundheitsdienstleister aus der Grafschaft Warwickshire. Dem Unternehmen wurden Patientendaten aus einer Apotheken entwendet. Ein unangenehmer Vorfall, auch wenn die Folgen – soweit bekannt – noch nicht wirklich gravierend sind. Deshalb hat die britische Aufsichtsbehörde auch keine Bescheide gegen das Unternehmen erlassen, zumal dieses - gegenüber dem ICO - auch bekräftigt hat, Maßnahmen zum Schutz der durch sie gehaltenden Daten zu ergreifen.Der Vorfall selbst ist daher nicht wirklich berichtenswert. Entscheidend ist nun aber der Appell, den das ICO – aufgrund dieses Falles - an alle Gesundheitsdienstleister richtet: "This incident should act as a warning to all healthcare providers – your data protection obligations do not end while the personal information of your patients remains on site and in your control."Kleiner Leitfaden für GesundheitsdienstleisterDie Beachtung des Datenschutzrechts ist – allein schon aus Gründen der Verhältnismäßigkeit (vgl. § 9 Satz 2 BDSG: “Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”) – stets eine Frage des Einzelfalls. Der nachfolgende Leitfaden kann daher eine Beratung in eben diesem Einzelfall nicht ersetzen, sondern nur einen ersten Anhaltspunkt für alle Gesundheitsdienstleister bieten:a) Gesundheitsdaten sind besonders sensible Daten. Daher müssen hier stets besondere technische und organisatorische Schutzmaßnahmen ergriffen werden. Dies gilt in ganz Europa: vgl. § 9 i.V.m. § 3 Absatz 9 BDSG – Deutschland - vgl. etwa in England in Section 2 DPA 1998 i.V.m. Schedule 1, Part 1, Section 7 DPA 1998; vgl. etwa in Österreich § 4 Zf. 2 DSG 2000 i.V.m. § 11 DSG 2000b) Die Verletzung dieser Pflicht kann, wenn sie vorsätzlich begangen wird, strafbar sein. Vgl. in Deutschland: § 203 StGB; Vgl. in Österreich § 121 StGBÖc) Die Einwilligung in die Erhebung, Verarbeitung und/oder Nutzung von Gesundheitsdaten muss ausdrücklich erfolgen,schlüssiges Verhalten reicht nicht aus. Eine schriftliche Einwilligung ist stets zu empfehlen. vgl. in Deutschland § 4a Absatz 3 BDSG, vgl. etwa in England Schedule 3 Section 1 DPA 1998.FazitInsgesamt zeigt sich, dass selbst das liberale ICO bei Gesundheitsdaten “keinen Spaß versteht”. Gesundheitsdienstleister müssen diese Warnung auch auf ihr jeweiliges Sitzland, etwa Deutschland, übertragen. Wer diese Daten hält, ist etwa u.U. auch unabhängig von der Größe seines Unternehmens verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. In gewissen Fällen kann selbst eine wirksame Auftragsdatenverarbeitung strafbar sein; etwa beim Outsourcing in der Arztpraxis. Die Themenliste ist insoweit sehr lang.


ANSPRECHPARTNER/KONTAKT

ilex Datenschutz GbR
Herr Dr. iur. Stephan Gärtner
Alleestraße 13
14469 Potsdam
+331-97 93 75 0
info@ilex-datenschutz.de
www.ilex-datenschutz.de


ÜBER ILEX DATENSCHUTZ GBR

Die ilex Datenschutz GbR ist ein hochspezialisiertes Beratungshaus mit Büros in Potsdam und berät in- und ausländische, mittelständische Unternehmen der privaten und öffentlichen Hand, kommunale Gebietskörperschaften und Behörden auf den Gebieten des Datenschutzes und des Datenschutzrechts!


ÜBER DR. IUR. STEPHAN GÄRTNER

Dr. iur. Stephan Gärtner ist als Compliance-Manager bei der ilex Datenschutz GbR tätig. In dieser Funktion berät er mittelständische private und kommunale Unternehmen, kommunale Gebietskörperschaften und Behörden in Datenschutzfragen. Sein Tätigkeitsfeld umfasst in concreto die Durchführung von Audits (Datenschutz-CheckUp), das Verfassen von Rechtsgutachten und das Schulen von Mitarbeitern, sowohl in den Grundlagen des Datenschutzrechts als auch zum betrieblichen Datenschutzbeauftragten. Dr. iur. Stephan Gärtner steht auch als externer betrieblicher Datenschutzbeauftragter zur Verfügung.