Datenschutz – Deutsch, Deutsch – Datenschutz
Die neue Datenschutz-Grundverordnung kommt mit großen Schritten auf uns zu: Bis 25. Mai müssen sich Unternehmen in Europa auf die neuen Bedingungen zum Schutz ihrer Daten einstellen. Das heißt also mehr Verantwortung und eine sorgsame Annäherung an personenbezogene Daten. Aber hier fangen die Übersetzung-Schwierigkeiten schon an: Was genau sind eigentlich personenbezogene Daten? Was bedeutet die Datenschutz-Grundverordnung überhaupt? Und wie bin ich als Therapeutin oder Therapeut von den neuen Auflagen betroffen? Kurzum: Was muss ich wissen? Der Artikel erklärt alle wichtigen Begriffe, die zum Thema Datenschutz und Datenanwendungen im Gesundheitswesen relevant sind und bringt Licht in den verwirrenden Wörter-Dschungel. Datenminimierung? Pseudonymisierung? – Und jetzt noch einmal auf Deutsch, bitte! Hier folgt ein praktisches Wörterbuch zum Nachschlagen und Kennenlernen typischer Fachausdrücke, die für die neue Grundverordnung entscheidend sind.
Die Situation in Österreich
Die Datenschutz-Grundverordnung, kurz DSGVO, gilt für alle EU-Mitgliedsstaaten. Aber setzen sie auch alle Länder gleich um? Nein. Die neue Bestimmung beinhaltet zahlreiche Klauseln, die der nationalen Gesetzgebung viel Spielraum lassen. In Österreich wurde dazu am 29. Juni 2017 im Nationalrat das Datenschutz-Anpassungsgesetz 2018 beschlossen. Das Gesetz löst die bisherige Regelung, das Datenschutzgesetz 2000, ab. Da die DSGVO eine vereinheitlichte europäische Lösung in puncto Datenschutz darstellt, müssen österreichische Firmen, die mit persönlichen Daten arbeiten, nun keine Registrierung mehr im Datenverarbeitungs-Register (DVR) vornehmen. Stattdessen sollen Unternehmen selbst mehr Verantwortung zum Schutz ihrer Daten übernehmen. Dementsprechend löst der Begriff „Verantwortlicher“ die bisher verwendete Bezeichnung „Auftraggeber“ ab. Übrigens spielt dabei die Größe eines Unternehmens keine Rolle: Alle, angefangen beim Ein-Personen-Unternehmen bis hin zum Großbetrieb, sind von der neuen Grundverordnung betroffen.
Was sind personenbezogene Daten?
Bevor wir jetzt zur konkreten Arbeit der Unternehmen kommen, definieren wir erst einmal den Begriff „personenbezogene Daten“. Was ist das überhaupt? Dazu zählen alle Informationen über eine identifizierbare natürliche Person oder auch „betroffene Person“. Wann sind Personen identifizierbar? Wenn die Identität der Betroffenen durch Angaben wie Namen, Adresse, Telefonnummer, Geburtsdatum oder Familienstand bestimmt werden kann. Personenbezogene Daten sind also der Überbegriff, mit der eine Person eindeutig zugeordnet werden kann Im Speziellen gibt es noch die Kategorie der sensiblen Daten. Hier gehen Informationen wie ethnische Herkunft oder politische Meinungen hervor, aber auch genetische oder biometrische Daten sind damit gemeint. Sensible Daten sind beispielsweise Fingerabdrücke, Iris-Scan oder die Krankengeschichte. In Bezug auf das letzte Beispiel kann hier noch eine Unterteilung in personenbezogene Gesundheitsdaten vorgenommen werden Dazu zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den aktuellen oder vergangenen körperlichen oder geistigen Gesundheitszustand hervorgehen.
Die Arbeit mit personenbezogenen Daten
Die Datenschutz-Grundverordnung legt besonderen Wert darauf, personenbezogene Daten besser zu schützen. Warum? Weil der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist. Jeder Mensch hat ein Recht auf den Schutz der ihn betreffenden Daten. Personen sollen so die Kontrolle über ihre eigenen Daten besitzen. Die Verordnung gilt jedoch nur für berufliche Tätigkeiten und nicht für persönliche oder familiäre Aktivitäten. Unternehmen, die erkennen, dass sie durch entsprechende Maßnahmen aktiv an der Umsetzung von Grundrechten beteiligt sind, haben gleich mehrere Vorteile. Durch die gewonnene Verantwortung erhält der Betrieb mehr Klarheit über die eigenen Datensätze. Es kommt zu mehr Übersicht und Kontrolle. Es ist also eine Chance, den Datenbestand aufzuräumen und neu zu strukturieren. Des Weiteren verschaffen sich Unternehmen einen großen Wettbewerbsvorteil. Ein transparentes und gewissenhaftes Arbeiten mit Daten schafft Vertrauen. Wer dann noch auf Nachfrage eine rechtskonforme Auskunft geben kann, fördert den Kundenkontakt und sorgt für ein positives Image.
Wie passiert die Verarbeitung von Daten?
Unter dem Begriff Verarbeitung versteht die Datenschutz-Grundverordnung eine Reihe von Tätigkeiten, die im Zusammenhang mit personenbezogenen Daten stehen. Die folgenden Aufgaben sind Beispiele, was mit Datenverarbeitung gemeint ist:
- Erheben und Erfassen
- Organisieren: Ordnen, Speichern, Anpassen oder Verändern
- Auslesen, Abfragen und Verwenden
- Offenlegen durch Übermittlung oder Verbreitung
- Bereitstellen, Abgleichen oder Verknüpfen
- Löschen oder Vernichten
Diese Tätigkeiten geschehen zum Beispiel beim Erstellen einer Kundendatei, bei der Aufnahme von Daten zur Erstellung einer Rechnung oder auch beim Versenden eines Newsletters. Dabei spielt es übrigens keine Rolle, ob mit EDV, nur mit Papier oder einem Mix gearbeitet wird Die DSGVO betrifft die völlig automatisierte, teilweise automatisierte oder nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind. Demnach haben auch PhysiotherapeutInnen und Physiotherapeuten ein Verzeichnis, in dem Gesundheitsdaten elektronisch oder auf Papier abgespeichert sind. Es gilt jetzt, diese sensiblen Daten entsprechend den Grundsätzen der Datenschutz-Grundverordnung zu behandeln. Aber wer kümmert sich darum?
Datenschutz-Beauftragter und Co.
In großen Firmen wird ein sogenannter Datenschutz-Beauftragter ernannt, der für die Umsetzung der EU-Verordnung zuständig ist. Das kann entweder eine firmeninterne Person sein oder es wird ein externer Verantwortlicher hinzugezogen. Dann wird darauf geachtet, bestimmte Grundsätze zu verfolgen. Zum Beispiel geht es dabei um Datenminimierung Das heißt, dass Daten nur so lange wie nötig aufbewahrt werden sollen. Des Weiteren kann beim Schützen der Daten auch eine Pseudonymisierung zum Einsatz kommen. Hier wird eine zusätzliche Verschlüsselung von personenbezogenen Daten vorgenommen, um die Identität noch besser abzusichern.
Wie läuft es im Kleinstbetrieb?
Im Ein-Personen-Betrieb läuft das alles ein wenig anders. Schon allein aus Kostengründen muss nicht extra ein externer Datenschutz-Beauftragter engagiert werden. Aber es zahlt sich aus, sich selbst in die Verantwortung zu ziehen um seine Daten zu schützen. Dabei kann man beispielsweise eine kleine Checkliste erstellen, die einen schnellen Überblick der eigenen Daten gibt. Wo und wie werden Daten gespeichert? Wissen meine KlientInnen über meine Verarbeitung Bescheid? Welche Risiken gibt es? Wie diese Checkliste genau aussieht und was du für deine Praxis zum Thema Datenschutz leisten kannst, erfährst du in diesem Blogartikel.