Am 25. Mai 2018 ist die neue europäische Datenschutzgrundverordnung in Kraft getreten. Auch Einrichtungen aus dem Gesundheitswesen sind davon betroffen. Aus Respekt und Scheu vor einem unkalkulierbaren Aufwand, haben viele Betroffene die Umstellung und Anpassung – trotz drohender immensen Strafen von bis zu 20 Millionen Euro – hinausgezögert. Die Umsetzung der Vorgaben fand deshalb vielerorts erst zum oder nach dem Stichtag statt. Seit knapp drei Monaten ist die neue Reform nun wirksam – Zeit für eine erste Bestandsaufnahme.
Wie sieht die Umsetzung der neuen Verordnung in der Praxis aus?
Auch wenn wir uns in der Sportklinik Stuttgart über die letzten Jahre immer wieder mit dem Thema Datenschutz auseinandergesetzt haben – beispielsweise wurden Einwilligungserklärungen, Pflichtunterweisungen sowie Audits und regelmäßige Sensibilisierung von Mitarbeitern eingeführt und umgesetzt – kamen mit der DSGVO doch viele Neuerungen. Das bedeutet eine enorme Papierwirtschaft, die es zu bewältigen galt. Der Datenschutzbeauftragte musste alle vorhandenen Dokumente überprüfen. Zudem mussten die Datenschutzerklärungen für die Mitarbeiter sowie die Nutzungsvereinbarungen – unter anderem für mobile Endgeräte und dem WLAN-Zugang – von allen neu unterzeichnet werden. Darüber hinaus haben wir einige neue Dokumente in unser Dokumentenmanagementsystem mitaufgenommen, darunter die interne Meldung eines Datenschutzvorfalls. Je nach Einschätzung des Datenschutzbeauftragten müssen solche Fälle innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Zur Abarbeitung der vielen Vorgaben sind wir systematisch vorgegangen: Zunächst haben wir eine Maßnahmentabelle mit Zuständigkeiten, Zeiten und Priorisierung angelegt und diese Punkt für Punkt abgearbeitet. Vieles ist bereits geschafft. Einige der Punkte waren Kleinigkeiten, die wir schnell erledigen konnten, darunter Meldungen des Datenschutzbeauftragten, Aktualisierung des Impressums der Homepage. Andere Vorgaben stellten uns hingegen vor eine größere Herausforderung, beispielsweise Verarbeitungstätigkeiten oder das Verfahrensverzeichnis.
Im Rahmen der Umsetzung mussten auch altbewährte Instrumente weichen. So sind Sammelzugänge am PC auf der Station oder in der Ambulanz nicht mehr erlaubt. Jeder Mitarbeiter benötigt zur sicheren Dokumentation nun einen eigenen Zugang. Der bisher oft genutzte Verteiler zum Massenversand an alle Mitarbeiter soll ebenfalls nicht mehr eingesetzt werden. Informationen dürfen nur noch an denjenigen weitergegeben werden, der sie auch zwingend benötigt. Die Alarmpläne mit den zu kontaktierenden Personen hingen bisher an für alle zugänglichen Bereiche. Aufgrund der neuen Verordnung werden wir auch das ändern, um personenbezogene Daten zu schützen. Die wohl zeitintensivste Aufgabe bei der Umsetzung war für uns das Anlegen eines Verfahrensverzeichnisses mit allen Verarbeitungstätigkeiten.
Mit welchem Aufwand ist die Umsetzung der Anforderungen verbunden?
Unser bisheriger Aufwand betrug in etwa 20 Personentage und viele weitere Tage werden noch folgen. Am Anfang dachten wir, die zwingend erforderlichen Punkte niemals alle umsetzen zu können. Dank der Maßnahmentabelle behalten wir jedoch alles gut im Blick und letztlich sieht alles nur noch halb so wild aus. Zeitaufwendig ist es jedoch alle mal. Deshalb stellen sich uns auch immer wieder Fragen wie: Wozu brauchen wir diese Vorgabe denn genau? Nur damit es umgesetzt wird oder gibt es auch einen praktischen Nutzen?
Sämtliche Einwilligungen, Verträge, Datenschutzerklärungen zu aktualisieren ist die eine Sache, gegen die sicherlich letztendlich auch niemand etwas einzuwenden hat. Die Aktualisierung war schnell erledigt und nur mit einem einmaligen Aufwand verbunden. Ein Verfahrensverzeichnis mit allen Verarbeitungstätigkeiten anzulegen ist jedoch sehr zeit- und nervenaufreibend und am Ende ohne erkennbaren praktischen Nutzen.
Was hat die DSGVO bislang erreicht?
Die Klinikleitung und Mitarbeiter sind seit der neuen DSGVO stärker für das Thema Datenschutz sensibilisiert. Das kommt nicht zuletzt auch durch die immer widerkehrende Information, dass Verstöße mit hohen Geldstrafen geahndet werden. Doch auch bei unseren Patienten rückt das Thema immer weiter in den Fokus: Wo in den vergangenen Jahren kaum ein Patient seine Akte einsehen wollte, kommen seit dem 25. Mai immer mehr Patienten genau deshalb auf uns zu. Dank einer guten Vorbereitung ist der Prozess der Akteneinsicht geregelt und kann entsprechend bei Anfrage gestartet werden.
Eins ist sicher: Auch in den nächsten Monaten werden wir alle mit der Umsetzung der DSVGO noch stark beschäftigt sein. Es bleibt also weiterhin spannend im Bereich des Datenschutzes.
Bildnachweis:
iStock.com/#Urban-Photographer, Ridofranz