Mit 25. Mai 2018 endet die Umsetzungsfrist für die neue Datenschutz-Grundverordnung (DSGVO) der EU, welche den Schutz natürliche Personen betreffende, personenbezogene Daten auf Grundrechtsebene verankert. In diesem Artikel wollen wir Ihnen einige der grundlegenden Inhalte der DSGVO sowie die Auswirkungen im Bereich der Medizintechnik bzw. -produkte näherbringen.

Die neue DSGVO deckt zahlreiche Themen im Bereich IT Security, Organisation und Recht ab, wobei alle Teile einen wesentlichen Aspekt eines nachhaltigen Datenschutz-Managementsystem darstellen. Die folgenden Schwerpunkte sollten im Zuge einer erfolgreichen Umsetzung beachtet werden:

In den folgenden Abschnitten werden zwei Abschnitte der Verordnung, die einen Einfluss auf das Gesundheitswesen ausüben, näher beleuchtet.

Die Verordnung definiert „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ (EU-DSGVO, Artikel 9 (1)) als „personenbezogene Daten besonderer Kategorie“. Die Verarbeitung solcher Daten ist grundsätzlich untersagt, außer eine der folgenden Ausnahmen ist anwendbar:

• ausdrückliche Einwilligung bzw. lebenswichtige Interessen ohne Einwilligung
• Erfordernisse aus dem Arbeitsrecht
• wenn die Daten der betroffenen Person selbst öffentlich gemacht wurden
• zur Geltendmachung von Rechtsansprüchen vor Gericht

Vor allem im Gesundheitsbereich ergeben sich dadurch zahlreiche Herausforderungen, die nur gelöst werden können, wenn alle in der Leistungserbringung beteiligte Personen und Systeme entsprechend der DSGVO operieren. Darüber hinaus ist bei der Verarbeitung von Gesundheitsdaten auf die Rechtsgrundlage dieser Verarbeitung und die Etablierung geeigneter Maßnahmen zum Schutz der Daten zu achten.

Privacy by Design bedeutet, dass Datenschutzvorschriften bereits bei der Entwicklung neuer Applikationen, Prozesse oder Technologien berücksichtigt werden.

• Datensparsamkeit: Ein wichtiger Aspekt der DSGVO ist die Zweckbindung der Datenerhebung, das heißt, dass nur die Daten erhoben werden dürfen, die zur Erfüllung des jeweiligen Zweckes unbedingt erforderlich sind. Um dies zu bewerkstelligen, muss die Datensparsamkeit bereits in der Applikation, Technologie sowie im entsprechenden Verarbeitungsprozess berücksichtigt werden.
• Löschfristen: Um Daten fristgerecht löschen zu können sollten die notwendigen Löschvorgänge zumindest semi- oder gänzlich automatisiert durchgeführt werden. Damit dies möglich ist, müssen gewissen Vorgänge oder Kennzeichnungen bereits beim Design des Medizinproduktes berücksichtigt werden.
• Ausübung der Betroffenenrechte: Die DSGVO verankert das Recht auf Auskunft, Richtigstellung, Widerruf, Einschränkung, Übertragbarkeit und Löschung für alle betroffenen Personen. Um diesen Rechten nachkommen zu können sollten schon in der Design-Phase des Produktes Funktionalitäten wie zum Beispiel eine Export- oder Löschfunktion berücksichtigt werden.

Unter Privacy by Default versteht man den umfassenden Schutz der Personendaten durch bereits getroffene Vor-Einstellungen. Das heißt, dass Standard-Einstellungen möglichst datenschutzfreundlich gewählt werden sollen. Ein Beispiel dazu ist das “Opt-In-Prinzip“ zur Datenerhebung. So sollte die Zustimmung zur Verarbeitung aktiv und „händisch“ durch den Betroffenen gesetzt werden und nicht vom System vorausgewählt sein. Beispiel dafür wäre das aktive Akzeptieren der Datenschutzbestimmungen bei der Absendung von Gesundheitsdaten. Zusammenfassend lässt sich sagen, dass die Verordnung einige Herausforderungen mit sich bringt, allerdings auch als Chance für einen geregelten und sicheren Datenaustausch innerhalb der EU zu sehen ist.

Gemeinsam mit unserem Kooperationspartner VACE ENGINEERING GMBH bieten wir ein mehrtägiges Praxisseminar zu diesem Thema an. Nähere Informationen zu den Inhalten und zur Anmeldung erhalten Sie unter diesem Link

Dieser Blog-Artikel wurde in Zusammenarbeit mit unserem Kooperationspartner VACE ENGINEERING GMBH verfasst. Kontaktieren Sie uns, falls sich zu diesem Thema weiterführende Fragen ergeben (office@rnb-consulting.at). Gerne unterstützen wir Sie bei der Umsetzung der EU-DSGVO im Kontext der Entwicklung von Medizinprodukten.