Britische Aufsichtsbehörde ICO warnt Gesundheitsdienstleister: Ihr müsst zu jedem Zeitpunkt die Patientendaten schützen!
Die britische Datenschutzbehörde (Informations Commissioner’s Office, kurz: ICO) hat einen – wenn auch weniger dramatischen – Datenschutzvorfall aus der Grafschaft Warwickshire zum Anlass genommen, einen dringenden Appell an alle Gesundheitsdienstleister zu richten. Solange ein Gesundheitsdienstleister die verantwortliche Stelle für Patientendaten ist – und dieser Begriff ist weit auszulegen – ist er für deren Schutz verantwortlich. Was wie eine Selbstverständlichkeit klingt, kann im Einzelfall – auch über Großbritannien hinaus – für die verantwortlichen Unternehmen nur schwer erkennbar sind. ilex berichtet über den Vorfall und zeigt anschließend die wichtigsten Pflichten von Gesundheitsdienstleistern auf.
Gliederung
1. Der Vorfall
Die Pharmacyrepublic Limited ist ein Gesundheitsdienstleister aus der Grafschaft Warwickshire. Dem Unternehmen wurden Patientendaten aus einer Apotheke entwendet. Ein unangenehmer Vorfall, auch wenn die Folgen – soweit bekannt – noch nicht wirklich gravierend sind. Deshalb hat die britische Aufsichtsbehörde auch keine Bescheide gegen das Unternehmen erlassen, zumal dieses – gegenüber dem ICO – auch bekräftigt hat, Maßnahmen zum Schutz der durch sie gehaltenden Daten zu ergreifen.
Der Vorfall selbst ist daher nicht wirklich berichtenswert. Entscheidend ist nun aber der Appell, den das ICO – aufgrund dieses Falles – an alle Gesundheitsdienstleister richtet:
This incident should act as a warning to all healthcare providers – your data protection obligations do not end while the personal information of your patients remains on site and in your control.
2. Kleiner Leitfaden für Gesundheitsdienstleister
Die Beachtung des Datenschutzrechts ist – allein schon aus Gründen der Verhältnismäßigkeit (vgl. § 9 Satz 2 BDSG: “Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.”) – stets eine Frage des Einzelfalls. Der nachfolgende Leitfaden kann daher eine Beratung in eben diesem Einzelfall nicht ersetzen, sondern nur einen ersten Anhaltspunkt für alle Gesundheitsdienstleister bieten:
1. Gesundheitsdaten sind besonders sensible Daten.
Daher müssen hier stets besondere technische und organisatorische Schutzmaßnahmen ergriffen werden.
Dies gilt in ganz Europa:
vgl. § 9 i.V.m. § 3 Absatz 9 BDSG – Deutschland –
vgl. etwa in England in Section 2 DPA 1998 i.V.m. Schedule 1, Part 1, Section 7 DPA 1998
vgl. etwa in Österreich § 4 Zf. 2 DSG 2000 i.V.m. § 11 DSG 2000
2. Die Verletzung dieser Pflicht kann, wenn sie vorsätzlich begangen wird, strafbar sein.
vgl. in Deutschland: § 203 StGB
vgl. in Österreich § 121 StGBÖ
3. Die Einwilligung in die Erhebung, Verarbeitung und/oder Nutzung von Gesundheitsdaten muss ausdrücklich erfolgen, schlüssiges Verhalten reicht nicht aus. Eine schriftliche Einwilligung ist stets zu empfehlen.
vgl. in Deutschland § 4a Absatz 3 BDSG,
vgl. etwa in England Schedule 3 Section 1 DPA 1998.
3. Fazit
Insgesamt zeigt sich, dass selbst das liberale ICO bei Gesundheitsdaten “keinen Spaß versteht”. Gesundheitsdienstleister müssen diese Warnung auch auf ihr jeweiliges Sitzland, etwa Deutschland, übertragen. Wer diese Daten hält, ist etwa u.U. auch unabhängig von der Größe seines Unternehmens verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. In gewissen Fällen kann selbst eine wirksame Auftragsdatenverarbeitung strafbar sein; etwa beim Outsourcing in der Arztpraxis. Die Themenliste ist insoweit sehr lang.