• Vlbg. Krankenhaus-Betriebsgesellschaft: Vorreiter bei EU-Datenschutz-Grundverordnung
• Umgang mit sensiblen Daten sicherstellen

Ab 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Betroffen sind - alle Unternehmen, die im EU-Raum Daten verarbeiten. Dieser und viele weitere Aspekte, die die neue Verordnung gerade im Umgang mit sensiblen Daten betreffen, waren Thema einer Informationsveranstaltung am LKH Feldkirch. Die Vlbg. Krankenhaus-Betriebsges.m.b.H. lud gemeinsam mit der IT-Ziviltechnikergesellschaft ZTP (unabhängige IT-Prüf- und Überwachungsstelle) Führungskräfte aus den Krankenhäusern und  Wirtschaftstreibende ein. Referenten waren Fachexperten aus dem Bereich Datenschutz, IT-Infrastruktur und Recht.

 Wer ist von der neuen DSGVO betroffen? „Jedes Unternehmen, das die folgenden Fragen mit ja beantwortet: Biete ich Dienstleistungen oder Waren in Österreich an? Biete ich Dienstleistungen oder Waren in der EU an? Habe ich Mitarbeiter in meinem Unternehmen?“, informierten DI Reinhard Natter und DI Matthias Luger, dyna bcs Dornbirn, sehr plakativ bei der Informationsveranstaltung zum Thema DSGVO neu. Beleuchtet wurde die DSGVO aus den verschiedensten Perspektiven - etwa hinsichtlich der IT-Infrastruktur oder auch aus rechtlicher Sicht. Die Vorschreibung eines betrieblichen Datenschutzbeauftragten sowie dessen Ausbildung und Aufgaben waren ebenso Thema wie schlussendlich die Inspektion und Zertifizierung zur DSGVO, die nach Inkrafttreten im Mai eingefordert werden kann. „Gerade im Bereich Krankenhaus spielen Datenschutz und Informationssicherheit eine wesentliche Rolle - hinsichtlich der sensiblen Daten, die unsere Patienten anbelangen, aber auch hinsichtlich unserer 4.000 Mitarbeiter, mit deren Daten wir als Arbeitgeber ebenfalls höchst verantwortungsvoll umgehen müssen. Und sowohl Datenschutz wie auch Informationssicherheit müssen gelebte Werte in unserer Unternehmenskultur sein und sind nicht auf IT-Vorrichtungen zu reduzieren“, eröffnete Dir. Dr. Fleisch, Geschäftsführung Vlbg. Krankenhaus-Betriebsgesellschaft den spannenden Informationsabend. Mitveranstalter ZT Dr. Wolfgang Prentner, Geschäftsführer IT-Ziviltechnikergesellschaft von ZTP, erläuterte die Verpflichtungen durch die DSGVO: „Der Wert von Daten ist in einem Zeitalter des möglichen Cybercrime unbestritten - Adressen, Gesundheitsdaten, Kreditkarten-Daten, alles ist bares Geld wert. Ein Unternehmen muss dafür technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisen, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten.“

Personenbezogene Daten
Der Anwendungsbereich liegt überwiegend im Schutz ausschließlich personenbezogener Daten natürlicher Personen. Diese Daten betreffen „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (‚betroffene Person‘) beziehen“, erklärte RA Dr. Johannes Juranek von der Kanzlei CMS Wien. „Sensible Daten“ sind dabei personenbezogene Daten, über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit, das Sexualleben oder die sexuelle Orientierung, sowie genetische oder biometrische Daten.“  

Datenschutz und Informationssicherheit: seit jeher hohe Priorität bei Landeskrankenhäusern 
„Gerade im Krankenhausbereich arbeiten wir täglich mit sensiblen Daten - jede Dokumentation zu einem Patienten - und natürlich auch die Daten unsere Mitarbeiter betreffend - fällt unter die neue DSGVO. Wir betreten hier kein Neuland, Datenschutz und Informationssicherheit ist und war immer ein zentrales Thema für die Landeskrankenhäuser, etwa, was die Verarbeitung von sensiblen Daten anbelangt oder das Datenschutzgesetz 2000, Gesundheitstelematikgesetz GTelG, Krankenanstalten- und Kuranstaltengesetz KAKuG, Vbg. Spitalgesetz - SpG, usw. Neben laufenden Investitionen in (technische) Maßnahmen zur Steigerung der Informationssicherheit arbeiten wir auch mit externen Firmen zum Thema Datenschutz/Informationssicherheit zusammen. Im Jahr 2016 etwa führte die Datenschutzbehörde auf Basis des aktuell gültigen Datenschutzgesetzes eine Routineüberprüfung der Landeskrankenhäuser durch - erfolgreich, weil mit Beanstandungen im geringstem Maße. Auch sind unsere eingesetzten Programme beim Datenschutzregister gemeldet“, beschreibt Mag. (FH) Harald Keckeis, LLM, Vlbg. Krankenhaus-Betriebsgesellschaft den gut vorbereiteten Status quo der Landeskrankenhäuser zum Thema. „Mit der bisherigen und laufenden Umsetzung dieser Maßnahmen haben die Vorarlberger Landeskrankenhäuser eine gute Ausgangsbasis und bereits viele Vorkehrungen für die neue DSGVO getroffen.“

DSGVO: Umsetzung in den Vorarlberger Landeskrankenhäusern
Zusätzlich zu den bereits laufenden und notwendigen Maßnahmen zum Datenschutz und zur Informationssicherheit der sensiblen Daten gibt es auch für die Landeskrankenhäuser noch einiges zu tun: Neben erhöhter Dokumentationspflicht bei der Datenverarbeitungstätigkeit sind etwa auch Privacy Impact Analysen (Datenschutzfolgeabschätzung) notwendig, die Risikobewertung einzelner Maßnahmen wird erweitert, die Datenschutzvereinbarungen mit externen Dienstleistern überarbeitet, Vertragsanpassungen durchgeführt, das Thema „Einwilligungserklärung“ neu bewertet, Verarbeitungslösungen wie etwa das Löschrecht, die Protokollierung usw. angepasst oder Mitarbeiter nach der neuen DSGVO geschult. Und selbstverständlich ist seit Jänner auch eine Datenschutzbeauftragte im Einsatz. „Die Umsetzung ist eine Summe vieler verschiedener Maßnahmen bei uns. Datenschutz und Informationssicherheit ist weit mehr als eine IT-Frage, sondern betrifft unser gesamtes Unternehmen. Jeder Mitarbeiter, jede Mitarbeiterin im LKH hat mit dem Thema zu tun. Grundsätzlich steigert die Befassung mit der neuen DSGVO das Bewusstsein für Datenschutz. Was uns hilft, ist sicherlich die jahrelange Erfahrung zum Thema Datenschutz - und auch die externe Begleitung von Experten bei der Umsetzung“, erklärt DI Peter Sagmeister, Leiter der Landeskrankenhaus-IT.

Bei Nichteinhaltung: empfindliche Strafen
Die neue DSGVO ist in allen EU-Mitgliedstaaten direkt anwendbar und ersetzt die Datenschutzrichtlinien und nationalen Durchführungsvorschriften. Neuerungen sind z.B. die Vorschreibung eines Datenschutzbeauftragen, umfangreichere Informationspflichten und Rechte der Betroffenen, Datenschutz-Folgenabschätzung und vor allem die empfindlich höheren Geldstrafen bei Nicht-Einhaltung der neuen Verordnung - bis zu 20 Mio. Euro oder bei Unternehmen bis zu 4% des gesamten weltweiten Umsatzes.