Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte

Krankenhäuser müssen laut DSGVO bereits vor der eigentlichen Erhebung personenbezogener (also auch patientenbezogener) Daten umfassend über die geplante Speicherung und Verarbeitung informieren. Dabei muss die Information präzise, transparent, in verständlicher und leicht zugänglicher Form und in klarer, einfacher Sprache erfolgen (Art. 12 DSGVO).

Bei der eigentlichen Verarbeitung der Daten muss das Unternehmen sich an die in Art. 5 DSGVO beschriebenen Grundsätze halten:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
• Rechenschaftspflicht

Die Rechenschaftspflicht verlangt dabei die transparente Dokumentation über die Einhaltung der Grundsätze im Umgang mit persönlichen Daten. Das Krankenhaus muss außerdem entsprechend Art. 13ff DSGVO auf Anfrage - spätestens innerhalb eines Monats - Auskunft über die gespeicherten Daten des Betroffenen geben und diese ggf. berichtigen, löschen, übertragen sowie deren Verarbeitung einschränken können. Auch der Widerruf einer Einwilligung muss jederzeit möglich sein.

Fazit: Die Anforderungen an die Erhebung, Verarbeitung, Speicherung und Weitergabe personenbezogener Daten sowie die damit zusammenhängenden Dokumentationspflichten steigen mit der DSGVO deutlich an.

ECM-System vereinfacht die DSGVO-Compliance

Einhaltung der Datenschutzgrundsätze

Wer bereits ein System für das Enterprise Content Management hat, ist der Einhaltung der strengen Vorgaben bereits ein gutes Stück näher. Denn ein ganzheitliches ECM-System beinhaltet ein revisionssicheres Archiv, in dem personenbezogene Daten und Dokumente sicher gespeichert werden können. Der Zugriff kann über ein detailliertes Berechtigungssystem entsprechend der Datenschutzgrundsätze (z.B. Zweckbindung, Datenminimierung, Integrität) fein gesteuert werden. Zusätzlich werden sämtliche Zugriffe, Einsichtnahmen und Veränderungen lückenlos protokolliert wodurch die Verarbeitungsprozesse detailliert nachgewiesen werden können.

Sicherstellung der Betroffenenrechte

Damit ein Unternehmen im Fall der Fälle auskunftsfähig ist, sollten die Daten nicht in unterschiedlichen Archivsilos liegen, sondern in einem zentralen Informationssystem zusammengeführt werden. So sind sie auf Anfrage schnell auffindbar und können den Betroffenen zur Verfügung gestellt sowie auf Wunsch berichtigt oder gelöscht werden. Wichtig ist hier, dass die Daten wirklich physikalisch gelöscht werden und nicht nur als gelöscht markiert aus der Anzeige genommen werden. In Kombination mit hinterlegten Aufbewahrungs- und Löschfristen können ganzheitliche Löschkonzepte komfortabel (auch automatisiert) umgesetzt werden.

Definition von Verfahrensweisen und Zuständigkeiten

Ein weiterer Vorteil eines ECM-Systems ist, dass mittels Dokumentenmanagement- und Workflowfunktionalitäten Verfahrensabläufe einfach standardisiert und feste Verantwortlichkeiten vergeben werden können. Hilfreich ist das beispielsweise für die verpflichtende Meldung von Datenschutzverstößen bei der Aufsichtsbehörde binnen 72 Stunden. Die Prozesse sind klar definiert und die Abarbeitung wird ganz automatisch im Hintergrund dokumentiert. Auch bei der übrigen Dokumentation, die im Rahmen der DSGVO gefordert wird (Datenschutzmanagementsystem, Verzeichnis der Verarbeitungstätigkeiten, Kategorisierung von technisch-organisatorischen Maßnahmen durch Risikoanalyse), bietet ein ECM-System Unterstützung, denn in digitalen Akten stehen alle Informationen strukturiert und nachvollziehbar mit allen Bearbeitungsständen zur Verfügung.

Zielgerichteter Einsatz von ECM-System notwendig

Ein ECM-System ist ein sehr gutes Werkzeug, um die grundlegenden Anforderungen der DSGVO bei der Dokumentenhaltung umzusetzen. Allerdings ist zusätzlich eine Analyse der Daten und Prozesse nötig, um das Werkzeug auch zielgerichtet einsetzen zu können. Sie müssen zunächst wissen, welche Daten überhaupt vorliegen und in welchen Szenarien sie verwendet werden. Erst dann können Sie eine Risikobewertung vornehmen und überlegen, welche Daten wie geschützt werden müssen und wie das ECM-System dabei unterstützen kann. Mit einer gründlichen Vorarbeit kann ein ECM-System dann die Einhaltung der DSGVO-Vorgaben für die Mitarbeiter enorm erleichtern und die Compliance sicherstellen.

---

Ergänzung: Der Bitkom hat einen Leitfaden zu dem Thema erstellt, der nochmal einen schönen Überblick über die Vorteile eines ECM-Systems im Hinblick auf die DSGVO-Compliance vermittelt. Sie können den Leitfaden hier herunterladen: "Wie Sie die DSGVO mit ECM-Lösungen praxisgerecht einhalten"

(aktualisiert am 04.07.2018)