Suchen Schließen Pfeil

Was ändert sich, was bleibt?

Sicherheit der Verarbeitung nach der EU-Datenschutz-Grundverordnung

Mit  der  EU Datenschutz-Grundverordnung  (DS-GVO)  ändern sich bestimmte Anforderungen an die Sicherheit der Verarbeitung  personenbezogener  Daten.  Dies  gilt  selbstverständlich auch  für  den  Bereich  der  niedergelassenen  Heilberufspraxen. Neben einer an gängigen Begriffen der IT-Sicherheit ausgerichteten  Terminologie  sind  künftig  verstärkt  ein  risikobasierter Ansatz, eine regelmäßige Evaluation der getroffenen Maßnahmen sowie der Nachweis einer angemessenen Sicherheit von Bedeutung. Verantwortlich hierfür ist der Praxisinhaber.

Sicherheit der Verarbeitung
Die  Regelungen  der  DS-GVO  zur  Sicherheit  der  Verarbeitung ersetzen  die  bisherigen  Kontrollen in  §  9  Bundesdatenschutzgesetz (BDSG) („10 Gebote“). Die wesentlichen Anforderungen finden  sich  in  den  Artikeln  5,  24,  25  und  32  DS-GVO.  Danach muss  durch  geeignete  technische  und organisatorische  Maßnahmen  eine  angemessene  Sicherheit  gewährleistet  werden.  
Anders  als  bislang  im  BDSG  wird  dabei  ausdrücklich  auf  den Stand  der  Technik  Bezug genommen.  Die  technischen  und organisatorischen Maßnahmen, die im Bereich der IT-Sicherheit zur Anwendung kommen müssen geeignet und wirksam sein.
Insbesondere bei der Verarbeitung von Gesundheitsdaten, die einem besonderen Schutzbedarf unterliegen, bestehen dabei erhöhte Anforderungen.
In  der  Praxis  bedeutet  dies,  dass  zunächst  auf  der  Grundlage des zuvor erstellten Verzeichnisses für Verarbeitungstätigkeiten abzuklären ist, ob die Datenverarbeitung den erhöhten datenschutzrechtlichen  Anforderungen  an  die  Sicherheit  genügt oder konkrete Sicherheitslücken bestehen. Gegebenenfalls müssen bei einem erkannten Handlungsbedarf umgehend die hierzu erforderlichen Maßnahmen ergriffen werden. Eine wertvolle Hilfestellung stellt dabei die seitens der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung im Juni 2018 veröffentlichte aktualisierte Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Praxis dar.

Begrifflichkeiten
Begriffe aus der IT-Sicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit  werden  auch  durch die  DS-GVO  in  den  Mittelpunkt gestellt. Damit ergibt sich hinsichtlich einer angemessenen Sicherheit der Verarbeitung  nach  Art.  32  DS-GVO  keine grundsätzlich neue Situation. Daneben verwendet die DS-GVO den Begriff der Belastbarkeit (englisch „resilience“). Auch wenn in  diesem  Zusammenhang  Aspekte der Widerstandsfähigkeit zum Beispiel gegenüber Angriffen oder der raschen Wiederherstellung nach Beeinträchtigungen des Betriebs eine Rolle spielen dürften, bleibt abzuwarten, ob und welche gegebenenfalls weitergehenden Gesichtspunkte für eine ausreichende Belastbarkeit im Sinne der Grundverordnung künftig zu berücksichtigen sein werden.

Risikoanalyse
Stärker  als  bisher  verfolgt  die  DS-GVO  jedoch  einen  risikobasierten  Ansatz,  das  heißt  die Ausrichtung  der  erforderlichen Maßnahmen  an  der  Eintrittswahrscheinlichkeit  und  Schwere der  mit  der  Verarbeitung verbundenen Risiken. Dabei sind in technisch-organisatorischer Hinsicht insbesondere folgende Risiken in den Blick zu nehmen (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 2 DS-GVO):

  • unbeabsichtigte/unrechtmäßige  Vernichtung  und  Veränderung
  • unbeabsichtigter/unrechtmäßiger Verlust
  • unbefugte Offenlegung
  • unbefugter Zugang zu personenbezogenen Daten
  • Wahrnehmung von Betroffenenrechten.

Vor dem Hintergrund der in Art. 5 Abs. 2 DS-GVO verankerten Rechenschaftspflicht der Verantwortlichen sollten deshalb die Praxisinhaber  bei  der  Klärung, ob bereits ein angemessenes Sicherheitsniveau in ihrer Praxis vorhanden ist oder eventuell noch ein ergänzender Handlungsbedarf besteht, zumindest diese Risiken für ihren Praxisbetrieb in einer nachvollziehbaren und dokumentierten Form bewerten.

Regelmäßige Überprüfung der getroffenen Sicherheitsmaßnahmen
Risiken  bei  der  Datenverarbeitung  können  sich  über  die  Zeit ändern. Art. 32 Abs. 1 Buchstabe d) DS-GVO schreibt daher ein Verfahren  zur  regelmäßigen  Überprüfung,  Bewertung  und Evaluierung  der  Wirksamkeit  der  technischen  und  organisatorischen  Maßnahmen  zur  Sicherheit  der Verarbeitung  vor.  Es muss daher in regelmäßigen Abständen überprüft werden, ob die Risikoentscheidungen und die daraus abgeleiteten Schutzmaßnahmen  noch  zutreffend  sind  oder  angepasst werden müssen. Auch  hier  sind  die  Praxisinhaber  verpflichtet,  selbst oder  mit  Hilfe  Dritter  einen  derartigen  Prozess  zur  regelmäßigen  Überprüfung  Ihrer  IT  Sicherheitsmaßnahmen  zu  installieren.

Autor:
Helmut Eiermann
stellvertretender Landesbeauftragter für den Datenschutz
und die Informationsfreiheit in Rheinland-Pfalz
und Leiter des dortigen Bereichs Technik

04.09.2018