0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Britische Aufsichtsbehörde ICO warnt Gesundheitsdienstleister: Ihr müsst zu jedem Zeitpunkt die Patientendaten schützen!

Die britische Datenschutzbehörde (Informations Commissioner’s Office, kurz: ICO) hat einen – wenn auch weniger dramatischen – Datenschutzvorfall aus der Grafschaft Warwickshire zum Anlass genommen, einen dringenden Appell an alle Gesundheitsdienstleister zu richten. Solange ein Gesundheitsdienstleister die verantwortliche Stelle für Patientendaten ist – und dieser Begriff ist weit auszulegen – ist er für deren Schutz verantwortlich. Was wie eine Selbstverständlichkeit klingt, kann im Einzelfall – auch über Großbritannien hinaus – für die verantwortlichen Unternehmen nur schwer erkennbar sind. ilex berichtet über den Vorfall und zeigt anschließend die wichtigsten Pflichten von Gesundheitsdienstleistern auf.

Gliederung


1. Der Vorfall

Die Pharmacyrepublic Limited ist ein Gesundheitsdienstleister aus der Grafschaft Warwickshire. Dem Unternehmen wurden Patientendaten aus einer Apotheke entwendet. Ein unangenehmer Vorfall, auch wenn die Folgen – soweit bekannt – noch nicht wirklich gravierend sind. Deshalb hat die britische Aufsichtsbehörde auch keine Bescheide gegen das Unternehmen erlassen, zumal dieses – gegenüber dem ICO – auch bekräftigt hat, Maßnahmen zum Schutz der durch sie gehaltenden Daten zu ergreifen.

Der Vorfall selbst ist daher nicht wirklich berichtenswert. Entscheidend ist nun aber der Appell, den das ICO – aufgrund dieses Falles – an alle Gesundheitsdienstleister richtet:

This incident should act as a warning to all healthcare providers – your data protection obligations do not end while the personal information of your patients remains on site and in your control.

2. Kleiner Leitfaden für Gesundheitsdienstleister

Die Beachtung des Datenschutzrechts ist – allein schon aus Gründen der Verhältnismäßigkeit (vgl. § 9 Satz 2 BDSG: “Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”) – stets eine Frage des Einzelfalls. Der nachfolgende Leitfaden kann daher eine Beratung in eben diesem Einzelfall nicht ersetzen, sondern nur einen ersten Anhaltspunkt für alle Gesundheitsdienstleister bieten:

1. Gesundheitsdaten sind besonders sensible Daten.

Daher müssen hier stets besondere technische und organisatorische Schutzmaßnahmen ergriffen werden.

Dies gilt in ganz Europa:
vgl. § 9 i.V.m. § 3 Absatz 9 BDSG – Deutschland –
vgl. etwa in England in Section 2 DPA 1998 i.V.m. Schedule 1, Part 1, Section 7 DPA 1998
vgl. etwa in Österreich § 4 Zf. 2 DSG 2000 i.V.m. § 11 DSG 2000

2. Die Verletzung dieser Pflicht kann, wenn sie vorsätzlich begangen wird, strafbar sein.
vgl. in Deutschland: § 203 StGB
vgl. in Österreich § 121 StGBÖ

3. Die Einwilligung in die Erhebung, Verarbeitung und/oder Nutzung von Gesundheitsdaten muss ausdrücklich erfolgen, schlüssiges Verhalten reicht nicht aus. Eine schriftliche Einwilligung ist stets zu empfehlen.
vgl. in Deutschland § 4a Absatz 3 BDSG,
vgl. etwa in England Schedule 3 Section 1 DPA 1998.

3. Fazit

Insgesamt zeigt sich, dass selbst das liberale ICO bei Gesundheitsdaten “keinen Spaß versteht”. Gesundheitsdienstleister müssen diese Warnung auch auf ihr jeweiliges Sitzland, etwa Deutschland, übertragen. Wer diese Daten hält, ist etwa u.U. auch unabhängig von der Größe seines Unternehmens verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. In gewissen Fällen kann selbst eine wirksame Auftragsdatenverarbeitung strafbar sein; etwa beim Outsourcing in der Arztpraxis. Die Themenliste ist insoweit sehr lang.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com