Seit dem 26. März 2024 gilt das neue Gesundheitsdatennutzungsgesetz. Es soll den Umgang mit Gesundheitsdaten zu Forschungszwecken vereinfachen und das Gesundheitswesen als Ganzes weiterentwickeln. Hierfür enthält das Gesetz verschiedene Regelungen für Forschende und Gesundheitseinrichtungen. Was sich durch das Gesundheitsdatennutzungsgesetz ändert.

Krankenhausträger und Pflegeeinrichtung sind verpflichtet, die Pflegeleistung so exakt wie möglich zu dokumentieren. In der sog. Pflegedokumentation wird das Pflegeziel festgelegt, die Pflegeplanung ausgestellt und die Verläufe der Pflege dargestellt. Weil sie sensible Daten über die Pflegeperson enthält, müssen Pflegende auch die Anforderungen an den Datenschutz beachten.

Das Standard-Datenschutzmodell (SDM) unterstützt Datenschutzverantwortliche dabei, die Anforderungen der DSGVO –insbesondere die technischen und organisatorischen Maßnahmen (TOM) – rechtlich sicher umzusetzen. Im November 2019 hat die DSK das SDM grundlegend überarbeitet und in der Version 2.0 veröffentlicht. Neben einer neuen Gliederung wurde u. a. der Maßnahmenkatalog erweitert. Im April 2020 wurden nochmals redaktionelle (keine inhaltlichen) Anpassungen vorgenommen, sodass das SDM aktuell in der Version 2.0b vorliegt.

Unternehmen müssen seit Juli 2020 besondere Vorsicht bei der Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA, walten lassen. Denn der Europäische Gerichtshof (EuGH) hat im sog. Schrems II-Urteil das Privacy Shield für unwirksam erklärt und neue Anforderungen an den Datentransfer definiert. Damit gewinnen Standardvertragsklauseln sowie vertragliche Vereinbarungen zwischen Datenexporteuren und Datenimporteuren deutlich an Bedeutung. Ein Kraftakt für Unternehmen, aber auch für die Aufsichtsbehörden.

Jedes Unternehmen hat sensible Daten, die der Arbeitgeber vor Datenmissbrauch und anderen Angriffen schützen muss. Mitarbeiter können ein Sicherheitsrisiko für den Schutz dieser Daten sein, wenn sie nicht ausreichend über Datenschutz und Informationssicherheit aufgeklärt sind. Die „Security Awareness“ eines Unternehmens zeigt, wie weit die Beschäftigten in diesen Bereichen sensibilisiert sind. Hierauf müssen Arbeitgeber bei Security Awareness achten.

Jeder Geschäftsführer hat im Rahmen seiner Sorgfaltspflicht für die IT-Sicherheit des Unternehmens zu sorgen. Gleichzeitig steigt die Anzahl jährlich gemeldeter Fälle von Cyberkriminalität. Homeoffice und der digitale Wandel erhöhen solche Risiken noch weiter. Um sich gegen finanzielle und andere Schäden abzusichern, können Betriebe auf eine Cyberversicherung zurückgreifen. Doch welcher Schadensfall ist damit versichert und lohnt sich die zusätzliche Investition?

Die ärztliche Schweigepflicht gehört zur Kernpflicht der ärztlichen Tätigkeit und unterliegt einigen gesetzlichen Regelungen. Neben der Verpflichtung zur Verschwiegenheit definieren die Regelwerke auch, wann der Arzt dennoch Auskunft über die gesundheitliche Situation eines Patienten erteilen darf.

Die EU-Datenschutzverordnung (DSGVO) enthält keine eigenständigen Regelungen zum Beschäftigtendatenschutz. Vielmehr ist es durch die Öffnungsklausel jedem Mitgliedstaat überlassen, auf nationaler Ebene gesetzliche Regelungen einzuführen. Das hat Deutschland getan und entsprechende Vorschriften in das neugefasste Bundesdatenschutzgesetz (BDSG) aufgenommen. Dennoch ist die Umsetzung in der Praxis oft mit zusätzlichen Hürden verbunden. Vor allem im Einzelfall bleiben oft nur frühere Erfahrungswerte. Welche Schutzziele und Sicherheitsschwachstellen sind vor allem beim Beschäftigtendatenschutz wichtig?

Die Umsetzung des neuen Datenschutzrechts wird in den meisten Firmen nahezu alle Unternehmensbereiche treffen. Einen zentralen Punkt wird die Verarbeitung von personenbezogenen Daten darstellen. Dabei müssen u. a. Grundsätze der Datenverarbeitung eingehalten und sog. Schutzstufen berücksichtigt werden.

Der Datenschutz wird dieses Jahr alle Unternehmen und öffentlichen Verwaltungen beschäftigen. Denn die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) bringen ab Mai 2018 neue Pflichten mit sich. Auch für die Organisation und Durchführung von Veranstaltungen müssen gezielte datenschutzrechtliche Vorkehrungen getroffen werden.