Datenschutz

MedInform-Konferenz zum neuen Datenschutzrecht: "Vielzahl neuer Regelungen und Anforderungen für die MedTech-Unternehmen"

Der Countdown läuft: Am 25. Mai 2018 ersetzt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) das bislang geltende Bundesdatenschutzgesetz (BDSG) als unmittelbar geltendes Recht. Parallel dazu gilt ab dem 25. Mai 2018 eine neue Fassung des BDSG. Das neue Datenschutzrecht bringt für die Medizinprodukte-Unternehmen eine Vielzahl neuer Regelungen und Anforderungen mit sich. Dazu gehören geeignete technische und organisatorische Maßnahmen gegen Cyber-Angriffe, das Führen eines Verzeichnisses aller technischen und organisatorischen Daten-Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und dokumentierte Nachweise, wie die Datenschutzregelungen eingehalten werden sollen. Darauf machten die Experten der MedInform-Konferenz "Datenschutz im Gesundheitswesen" am 7. Februar 2018 in Köln aufmerksam. MedInform ist der Informations- und Seminarservice des BVMed.

Die gesetzlichen Vorgaben müssen dabei zeitnah umgesetzt werden, um drastisch erhöhte Bußgelder zu vermeiden. Denn bei Verstoß drohen dem Unternehmen Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro. "Die MedTech-Unternehmen brauchen eine gute Compliance im Datenschutzbereich! Der Datenschutzbeauftragte wird im Unternehmen an Bedeutung gewinnen", so Rechtsanwalt Dietmar Corts. Die Prinzipien der Datenverarbeitung wie Zweckbindung und Datensparsamkeit haben sich dabei gegenüber dem alten Recht nicht verändert, so Rechtsexpertin Maria Heil. Für die Verarbeitung von personenbezogenen Daten muss jedoch eine Einwilligung des Betroffenen vorliegen. Rechtsanwalt Dr. Gunnar Sachs empfahl den Unternehmen bei Medical Apps und eHealth-Lösungen in den Verträgen klar zu regeln, wem die Daten gehören und dass datenschutzrechtliche Regelungen eingehalten werden müssen.


Jan Müller-Lisse, Leiter der Rechtsabteilung beim Medizinprodukte-Hersteller Lohmann & Rauscher, führte in die neue EU-Datenschutz-Grundverordnung und deren Rechtsnatur ein. Die neue EU-Verordnung löst die bisherige EU-Datenschutz-Richtlinie ab und ist unmittelbar geltendes Recht. Die bestehenden nationalen Öffnungsklauseln hat die Bundesregierung in einem angepassten Bundesdatenschutzgesetz umgesetzt, das ebenfalls ab Ende Mai 2018 gilt. In seiner Struktur und den verwendeten Begriffen ähnelt die EU-Verordnung dem bisherigen deutschen Gesetz, da Deutschland einen großen Einfluss auf das neue europäische Regelwerk hatte, so Müller-Lisse. Der Rechtsexperte rät den Medizinprodukte-Unternehmen, zunächst ein Verfahrensverzeichnis zu erstellen, welche Daten im Unternehmen verwendet werden. Außerdem sollten die Unternehmen eine "Gap-Analyse" vornehmen: Was habe ich bislang getan? Was muss ich noch tun, um DSGVO-konform zu werden? Weitere Hinweise finden sich in dem neuen BVMed-Leitfaden "Datenschutz bei Medizinprodukten" (www.bvmed.de/publikationen).

Christopher Götz, Rechtsanwalt bei Simmons & Simmons in München, ging auf das rechtliche Umfeld beim Datentransfer in Cloud Computing-Lösungen ein. Das Thema ist sehr relevant, da Datenübermittlung in der digitalisierten und globalisierten Welt gerade im Gesundheitsbereich allgegenwärtig ist. Beim Cloud Computing verzichtet das Unternehmen auf den Aufbau einer eigenen IT-Infrastruktur und greift auf Systeme Dritter zurück. Hier genügt eine Anbindung ans Internet. Eine Wartung sowie Updates sind nicht erforderlich, sie werden automatisch im Hintergrund vollzogen. Dabei stellt sich die Frage: Gilt der datenschutzrechtliche Grundsatz "Verbot mit Erlaubnisvorbehalt" auch für eine solche Datenübermittlung und gelten Besonderheiten bei Patientendaten? Seine Antwort: Auch eine solche Datenübermittlung, beispielsweise beim Analysetool "Google Analytics", ist nur rechtmäßig, wenn eine Einwilligung oder ein Erlaubnistatbestand vorliegt. Denn auch IP-Adressen sind personenbezogene Daten, so Götz. Bei Verstoß drohen dem Unternehmen Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro. Bei der Auftragsdatenverarbeitung über Cloud-Lösungen wie Microsoft Office 365 oder SalesForce bedarf der Datentransfer weder eines Erlaubnistatbestands noch einer Einwilligung. Diese Priviligierung der Auftragsdatenverarbeitung ist nach geltender Rechtsmeinung auch unter dem neuen Recht gegeben. Voraussetzung ist, dass es sich um eine vollständig weisungsgebundene Datenverarbeitung handelt. Auch bei Patientendaten ist die Einschaltung von Auftragsdatenverarbeitern, also von IT-Dienstleistern, zulässig. Das gilt beispielsweise für die Wartung medizintechnischer Geräte oder den Einsatz von Cloud Computing-Lösungen. Der "Auftragsverarbeiter" ist dabei verpflichtet, "geeignete Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung zu ergreifen". Auftraggeber und Auftragsverarbeiter haften dafür "gesamtschuldnerisch".

Bei Datenübermittlung in Drittländer muss ein angemessenes Datenschutzniveau vorliegen. Adäquate Datenschutzniveaus sind beispielsweise festgestellt für Australien, Kanada oder die Schweiz. Für die USA muss eine Zertifizierung nach dem "Privacy Shield" vorliegen. Für Länder wie China, Indien, Brasilien, Japan und Russland müssen EU-Standardvertragsklauseln verwendet werden.

Maria Heil von NOVACOS Rechtsanwälte empfahl den Unternehmen, zunächst eine Bestandsaufnahme der vorhandenen Daten, insbesondere von personenbezogenen Daten vorzunehmen. Dazu gehören klinische Studiendaten, aber auch CRM-Systeme, die beispielsweise Kunden auf Ärzteseite erfassen. Ein Zugriff auf das CRM-System ist bereits eine "Datenverarbeitung". Die Prinzipien der Datenverarbeitung wie Zweckbindung, Datensparsamkeit oder Richtigkeit sind dabei gegenüber dem alten Recht unverändert geblieben. Es gilt dabei das Prinzip "Verbot mit Erlaubnisvorbehalt". Zu den Rechtfertigungsgründen gehören die Einwilligung, Daten zu einer Vertragserfüllung, rechtliche Verpflichtungen oder der Schutz lebenswichtiger Interessen. Die Einwilligungserklärung in die Verwendung von Daten muss bereits den Verwendungszweck erhalten. Über das notwendige Maß, um den Zweck zu erfüllen, darf dabei nicht herausgegangen werden. Die Datenerfassung muss also auf das "allernötigste" beschränkt werden. Eine Generaleinwilligung kann dabei nicht erfolgen. Die Einwilligung muss dokumentiert werden, um die Beweisbarkeit sicherzustellen. Die Rechte der Betroffenen sind durch die DSGVO gestärkt worden. Dazu gehören die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch.

Hartmut Scheidmann von Redeker Sellner Dahs Rechtsanwälte ging auf die besonderen Anforderungen an sensible personenbezogene Daten wie beispielsweise Daten zur Gesundheit ein. "Gesundheitsdaten" werden in der DSGVO definiert als personenbezogene Daten, "die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen". Damit sind auch alle Daten zur Erbringung von Gesundheitsdienstleistungen erfasst, aber immer mit Bezug zum Gesundheitszustand. Die Einwilligung muss sich speziell auf Gesundheitsdaten beziehen. In Bezug auf Herstellung, Inverkehrbringen und Überwachung von Medizinprodukten ist die Verarbeitung von Gesundheitsdaten zulässig, wenn sie für die Gewährleistung hoher Qualitäts- und Sicherheitsstandards erforderlich ist, Berufsgeheimnisse gewahrt werden sowie angemessene Maßnahmen des Datenschutzes eingehalten werden. Zudem können dem Medizinprodukte-Unternehmen individuelle Erlaubnisse zur Verarbeitung von Gesundheitsdaten gegeben werden.

Datenschutzrechtliche Herausforderungen bei der Entwicklung und Markteinführung digitaler Therapiemodelle beleuchtete Rechtsanwalt Dr. Gunnar Sachs, Partner bei Clifford Chance in Düsseldorf. Bei der Entwicklung von eHealth-Lösungen und Medical Apps spielen personenbezogene Datenströme zwischen Medizinprodukte-Unternehmen, Software-Unternehmen und Ärzten bzw. Krankenhäusern auf allen Ebenen eine große Rolle. Bereits bei der Beauftragung und der Entwicklung der Software müssen die datenschutzrechtlichen Anforderungen berücksichtigt werden. Wichtig ist auch, in den Verträgen zu regeln, wem die Rechte an den Daten gehören. Klare vertragliche Regelungen sind umso bedeutender, da die Sektoren und Rechtsbereiche immer mehr verschwimmen und sich neue rechtliche Kategorien mit Blick auf "Intellectual Property" und Datenschutz entwickeln.

Rechtsanwalt Dietmar Corts ging auf die Rechtsfolgen und Sanktionen bei Verstößen gegen datenschutzrechtliche Regelungen ein. Geldbußen von bis zu 4 Prozent des Gesamtumsatzes eines Unternehmens sind zulässig. Im datenschutzrechtlichen Bereich wird damit bereits über Milliardenbußgelder gesprochen. Von Verbraucherschützern wurde schon früher gefordert, Kartellrecht und Datenschutzrecht miteinander zu verbinden. Datenschutzverstöße sollten auch als Marktmissbrauch behandelt werden. Datenschutzverletzungen bei personenbezogenen Daten müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Der Strafrahmen bei schwerwiegenden vorsätzlichen Verstößen kann bei bis zu drei Jahren Freiheitsstrafe liegen. Hinzu kommen Schadensersatzleistungen bei Datenschutzverstößen. Corts: "Wegen dem außergewöhnlich hohen Bußgeldrahmen und wegen der Vielzahl der zu erfüllenden Pflichten muss die weitere Behandlung der Datenverarbeitung im Unternehmen eingehend mit dem jeweiligen Datenschutzbeauftragten abgestimmt werden. Die Unternehmen müssen sicherstellen, dass sie ihre datenschutzrechtlichen Pflichten in vollem Umfang erfüllen."

Unternehmensberater Jürgen Labusch wies darauf hin, dass die Unternehmen nach der DSGVO verpflichtet sind, ein Verzeichnis aller technischen und organisatorischen Verarbeitungstätigkeiten zu führen. Das Verzeichnis der Verarbeitungstätigkeiten löst das öffentliche Verfahrensverzeichnis und die interne Verfahrensübersicht ab. Neu ist, dass das Verzeichnis auch von Dienstleistern (Auftragsverarbeitern) geführt werden muss. Da MedTech-Unternehmen mit Gesundheitsdaten umgehen, gelten die Bestimmungen auch für kleinere Unternehmen mit weniger als 250 Mitarbeitern, für die es ansonsten Ausnahmen gibt. Das Verzeichnis muss Aufsichtsbehörden auf Verlangen zur Verfügung gestellt werden. Die Aufzeichnungen sind schriftlich zu führen, ein elektronisches Format genügt den Anforderungen. Zum Verfahrensverzeichnis gehören neben den Kontaktdaten des Datenschutzbeauftragten auch der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten oder eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Ein weiteres wichtiges Thema für die Unternehmen ist die Datenschutz-Folgeabschätzung (DSFA). Sie muss durchgeführt werden, wenn "voraussichtlich ein hohes Risiko zu erwarten ist", insbesondere bei der Verarbeitung von Gesundheitsdaten. Eine DSFA ist auf jeden Fall erforderlich, wenn biometrische Daten oder die Daten von Kindern verarbeitet werden. Zur Analyse gehören die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen sowie geplante Abhilfemaßnahmen. Die Ergebnisse der Datenschutz-Folgenabschätzung beeinflussen wiederum die Auswahl geeigneter technischer und organisatorischer Maßnahmen.

Die Nachweispflichten und den Umgang mit Datenpannen aus der Sicht eines Unternehmens thematisierte Peter Berg, Datenschutzleiter Deutschland bei B. Braun. Bei jedem Prozess, in dem personenbezogene Daten verarbeitet werden, müssen die Unternehmen dafür sorgen, dass die Datenschutzgrundsätze eingehalten werden. Die Einhaltung muss nachgewiesen werden. "Selbst wenn die Verarbeitung richtig läuft, ist ein fehlender Nachweis bußgeldbewährt", so Berg. Die MedTech-Unternehmen haben damit eine Rechenschaftspflicht: "Die Nachweispflicht liegt beim Unternehmen!". Die offene Frage ist, wie weit dieser Nachweis gehen muss. Für den Umgang mit Datenpannen muss es im Unternehmen klare Handlungsanweisungen geben. Dazu gehören ein Meldebogen, eine Analyse der Datenpannen in einem Krisenteam sowie klare Meldungswege und eine Reflektion des Vorgangs sowie eine daraus folgende Weiterentwicklung der Handlungsanweisungen.

Hinweis an die Medien: Druckfähige Bilder zur Konferenz können unter www.bvmed.de/bildergalerien heruntergeladen werden.
  • Weitere Artikel zum Thema
  • MdB Mieves beim BVMed: „Mit dem Registergesetz einen neuen Datenschatz heben“

    Mit den Digitalgesetzen sind viele wesentliche Themen auf den Weg gebracht worden. „Jetzt geht es darum, Daten besser zu nutzen und zu verknüpfen sowie mit dem anstehenden Registergesetz neue Datenschätze zu heben“. Das sagte der SPD-Digitalpolitiker Matthias Mieves auf dem Gesprächskreis Gesundheit des BVMed. Mieves ist Mitglied im Gesundheits- und im Digitalausschuss des Bundestages. Großes Potenzial für die Gesundheitsversorgung sieht er bei KI-Anwendungen, „dafür müssen wir in Deutschland aber eine bessere Datenbasis schaffen“. Mehr

  • Digitalgesetze 2024: Die Regelungen im Einzelnen

    Nach dem Bundestag am 14. Dezember 2023 hat nun auch der Bundesrat am 2. Februar 2024 die beiden Digitalgesetze beschlossen. Als Kernelement des Digital-Gesetzes (DigiG) wird die elektronische Patientenakte (ePA) ab 2025 für alle gesetzlich Versicherten bereitgestellt. Sie soll den Austausch und die Nutzung von Gesundheitsdaten vorantreiben und die Versorgung gezielt unterstützen. Mit dem Gesundheitsdaten-Nutzungsgesetz (GDNG) können künftig Gesundheitsdaten für Forschung und Entwicklung von Innovationen besser erschlossen werden und damit zu einer besseren Versorgung beitragen. Kern des Gesetzes ist die erleichterte Nutzbarkeit von Gesundheitsdaten für gemeinwohlorientierte Zwecke. Dazu wird eine Gesundheitsdateninfrastruktur mit dezentraler Datenhaltung und einer zentralen Datenzugangs- und Koordinierungsstelle für die Nutzung von Gesundheitsdaten aufgebaut. Mehr

  • BVMed begrüßt Verabschiedung der Digitalgesetze / Hilfsmittel-Leistungserbringer nicht weiter ausbremsen

    Der BVMed begrüßt die Verabschiedung des Digital-Gesetzes (DigiG) und Gesundheitsdaten-Nutzungsgesetzes (GDNG) am 2. Februar 2024 im Bundesrat. „Damit haben wir eine klare gesetzliche Verankerung zahlreicher in der Digitalisierungsstrategie definierter und sinnvoller Maßnahmen“, so BVMed-Geschäftsführer und Vorstandsmitglied Dr. Marc-Pierre Möll. Mehr


©1999 - 2024 BVMed e.V., Berlin – Portal für Medizintechnik