Die Umsetzung der Datenschutz-Grundverordnung im Gesundheitswesen anhand eines Fallbeispiels

Bachelor-Studiengang IT Security

Dominik Ivic, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und kommt ab dem 25. Mai 2018 nach 2-jähriger Übergangsfrist zur Anwendung. Verordnungen der EU gelten unmittelbar und direkt. Im Gegensatz dazu musste das rechtliche Vorgängerregime die Richtlinie 95/46/EG von den EU Mitgliedsstaaten erst in nationales Recht umgesetzt werden, in Österreich durch das DSG 2000. Somit ersetzt die Datenschutz-Grundverordnung die Datenschutzrichtlinie 95/46/EG und das DSG 2000. Diese EU Verordnung gilt in allen Mitgliedsstaaten und des EWR. 

Die Zielsetzung der neuen EU-Datenschutz Grundverordnung ist vorrangig, den bestehenden Datenschutz weiterzuentwickeln und das Datenschutzrecht im privaten wie im öffentlichen Bereich europaweit zu harmonisieren und zu stärken. Um die geregelten Inhalte in den 99 Artikeln der Datenschutz-Grundverordnung besser zu verstehen, wird die Verordnung durch Erwägungsgründe ergänzt. Im Erwägungsgrund 13 der Datenschutz-Grundverordnung wird unter anderem konkretisiert, dass für ein gleichmäßiges Datenschutzniveau für natürliche Personen eine Verordnung erforderlich ist, welche alle WirtschaftsteilnehmerInnen miteinschließt, alle Mitgliedsstaaten mit denselben Rechten und Pflichten ausstattet und alle Mitgliedsstaaten gleich sanktioniert.

Ziel

Diese Arbeit beschäftigt sich mit einem Fallbeispiel aus dem Gesundheitswesen. Die Zielsetzung dieser Arbeit ist es, aufzuzeigen, wie ein ganzheitliches Datenschutz-Management-System im Krankenhaus etabliert wird, sprich, wie der Datenschutz im Haus organisiert, dokumentiert und gelebt wird, um die Nachweis- und Rechenschaftspflicht zu erfüllen. Zudem analysiert die Arbeit, wie bei Anfragen von Betroffenen vorgegangen wird und welche Maßnahmen bei einem Data Breach getroffen werden müssen, um der Meldefrist von 72 Stunden nachzukommen.

Ergebnis

Diese Arbeit verdeutlicht, wie ein Datenschutz-Management-System aufgebaut wurde und welche technischen und organisatorischen Maßnahmen zur Umsetzung der Datenschutz-Grundverordnung getroffen wurden um konform zu sein. Zusätzlich zeigt die Arbeit auf, wie ein Verzeichnis von Verarbeitungstätigkeiten aussehen kann und welche Inhalte seitens der Datenschutz-Grundverordnung erforderlich sind. Anhand der Durchführung einer Ist-Erhebung und einer Gap-Analyse wurden in weiterer Folge Maßnahmen abgeleitet um der Datenschutz-Grundverordnung zu entsprechen, umso drakonischen Strafen und drohenden Reputationsschäden entgegenzuwirken.