Sicherheit der Verarbeitung nach der EU-Datenschutz-Grundverordnung
Mit der EU Datenschutz-Grundverordnung (DS-GVO) ändern sich bestimmte Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten. Dies gilt selbstverständlich auch für den Bereich der niedergelassenen Heilberufspraxen. Neben einer an gängigen Begriffen der IT-Sicherheit ausgerichteten Terminologie sind künftig verstärkt ein risikobasierter Ansatz, eine regelmäßige Evaluation der getroffenen Maßnahmen sowie der Nachweis einer angemessenen Sicherheit von Bedeutung. Verantwortlich hierfür ist der Praxisinhaber.
Sicherheit der Verarbeitung
Die Regelungen der DS-GVO zur Sicherheit der Verarbeitung ersetzen die bisherigen Kontrollen in § 9 Bundesdatenschutzgesetz (BDSG) („10 Gebote“). Die wesentlichen Anforderungen finden sich in den Artikeln 5, 24, 25 und 32 DS-GVO. Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden.
Anders als bislang im BDSG wird dabei ausdrücklich auf den Stand der Technik Bezug genommen. Die technischen und organisatorischen Maßnahmen, die im Bereich der IT-Sicherheit zur Anwendung kommen müssen geeignet und wirksam sein.
Insbesondere bei der Verarbeitung von Gesundheitsdaten, die einem besonderen Schutzbedarf unterliegen, bestehen dabei erhöhte Anforderungen.
In der Praxis bedeutet dies, dass zunächst auf der Grundlage des zuvor erstellten Verzeichnisses für Verarbeitungstätigkeiten abzuklären ist, ob die Datenverarbeitung den erhöhten datenschutzrechtlichen Anforderungen an die Sicherheit genügt oder konkrete Sicherheitslücken bestehen. Gegebenenfalls müssen bei einem erkannten Handlungsbedarf umgehend die hierzu erforderlichen Maßnahmen ergriffen werden. Eine wertvolle Hilfestellung stellt dabei die seitens der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung im Juni 2018 veröffentlichte aktualisierte Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Praxis dar. Begrifflichkeiten
Begriffe aus der IT-Sicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit werden auch durch die DS-GVO in den Mittelpunkt gestellt. Damit ergibt sich hinsichtlich einer angemessenen Sicherheit der Verarbeitung nach Art. 32 DS-GVO keine grundsätzlich neue Situation. Daneben verwendet die DS-GVO den Begriff der Belastbarkeit (englisch „resilience“). Auch wenn in diesem Zusammenhang Aspekte der Widerstandsfähigkeit zum Beispiel gegenüber Angriffen oder der raschen Wiederherstellung nach Beeinträchtigungen des Betriebs eine Rolle spielen dürften, bleibt abzuwarten, ob und welche gegebenenfalls weitergehenden Gesichtspunkte für eine ausreichende Belastbarkeit im Sinne der Grundverordnung künftig zu berücksichtigen sein werden. Risikoanalyse
Stärker als bisher verfolgt die DS-GVO jedoch einen risikobasierten Ansatz, das heißt die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind in technisch-organisatorischer Hinsicht insbesondere folgende Risiken in den Blick zu nehmen (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 2 DS-GVO):
Risiken bei der Datenverarbeitung können sich über die Zeit ändern. Art. 32 Abs. 1 Buchstabe d) DS-GVO schreibt daher ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung vor. Es muss daher in regelmäßigen Abständen überprüft werden, ob die Risikoentscheidungen und die daraus abgeleiteten Schutzmaßnahmen noch zutreffend sind oder angepasst werden müssen. Auch hier sind die Praxisinhaber verpflichtet, selbst oder mit Hilfe Dritter einen derartigen Prozess zur regelmäßigen Überprüfung Ihrer IT Sicherheitsmaßnahmen zu installieren. Autor:
Helmut Eiermann
stellvertretender Landesbeauftragter für den Datenschutz
und die Informationsfreiheit in Rheinland-Pfalz
und Leiter des dortigen Bereichs Technik
Die Regelungen der DS-GVO zur Sicherheit der Verarbeitung ersetzen die bisherigen Kontrollen in § 9 Bundesdatenschutzgesetz (BDSG) („10 Gebote“). Die wesentlichen Anforderungen finden sich in den Artikeln 5, 24, 25 und 32 DS-GVO. Danach muss durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit gewährleistet werden.
Anders als bislang im BDSG wird dabei ausdrücklich auf den Stand der Technik Bezug genommen. Die technischen und organisatorischen Maßnahmen, die im Bereich der IT-Sicherheit zur Anwendung kommen müssen geeignet und wirksam sein.
Insbesondere bei der Verarbeitung von Gesundheitsdaten, die einem besonderen Schutzbedarf unterliegen, bestehen dabei erhöhte Anforderungen.
In der Praxis bedeutet dies, dass zunächst auf der Grundlage des zuvor erstellten Verzeichnisses für Verarbeitungstätigkeiten abzuklären ist, ob die Datenverarbeitung den erhöhten datenschutzrechtlichen Anforderungen an die Sicherheit genügt oder konkrete Sicherheitslücken bestehen. Gegebenenfalls müssen bei einem erkannten Handlungsbedarf umgehend die hierzu erforderlichen Maßnahmen ergriffen werden. Eine wertvolle Hilfestellung stellt dabei die seitens der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung im Juni 2018 veröffentlichte aktualisierte Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Praxis dar. Begrifflichkeiten
Begriffe aus der IT-Sicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit werden auch durch die DS-GVO in den Mittelpunkt gestellt. Damit ergibt sich hinsichtlich einer angemessenen Sicherheit der Verarbeitung nach Art. 32 DS-GVO keine grundsätzlich neue Situation. Daneben verwendet die DS-GVO den Begriff der Belastbarkeit (englisch „resilience“). Auch wenn in diesem Zusammenhang Aspekte der Widerstandsfähigkeit zum Beispiel gegenüber Angriffen oder der raschen Wiederherstellung nach Beeinträchtigungen des Betriebs eine Rolle spielen dürften, bleibt abzuwarten, ob und welche gegebenenfalls weitergehenden Gesichtspunkte für eine ausreichende Belastbarkeit im Sinne der Grundverordnung künftig zu berücksichtigen sein werden. Risikoanalyse
Stärker als bisher verfolgt die DS-GVO jedoch einen risikobasierten Ansatz, das heißt die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. Dabei sind in technisch-organisatorischer Hinsicht insbesondere folgende Risiken in den Blick zu nehmen (Art. 5 Abs. 1 lit. f, Art. 32 Abs. 2 DS-GVO):
- unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung
- unbeabsichtigter/unrechtmäßiger Verlust
- unbefugte Offenlegung
- unbefugter Zugang zu personenbezogenen Daten
- Wahrnehmung von Betroffenenrechten.
Risiken bei der Datenverarbeitung können sich über die Zeit ändern. Art. 32 Abs. 1 Buchstabe d) DS-GVO schreibt daher ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung vor. Es muss daher in regelmäßigen Abständen überprüft werden, ob die Risikoentscheidungen und die daraus abgeleiteten Schutzmaßnahmen noch zutreffend sind oder angepasst werden müssen. Auch hier sind die Praxisinhaber verpflichtet, selbst oder mit Hilfe Dritter einen derartigen Prozess zur regelmäßigen Überprüfung Ihrer IT Sicherheitsmaßnahmen zu installieren. Autor:
Helmut Eiermann
stellvertretender Landesbeauftragter für den Datenschutz
und die Informationsfreiheit in Rheinland-Pfalz
und Leiter des dortigen Bereichs Technik
04.09.2018