Andererseits kann ein Missbrauch die betriebliche Funktion, die Geschäftsbeziehungen oder das Ansehen des Unternehmens erheblich beeinträchti-gen und dadurch großen Schaden verursa-chen. Ein Verlust oder ein Missbrauch von Mitarbeiter- oder Kundendaten, insbesondere im medizinischen Kontext kann das An-sehen des Unternehmens und das Vertrauen schwer beschädigen und die Existenz gefähr-den. Betriebsärzte sind darauf angewiesen, ihr besonders geschütztes Arzt-Patienten, bzw. Arzt-Probanden-Vertrauensverhältnis durch geeignete Datenschutzmaßnahmen zu unterlegen und nachhaltig zu sichern.
Der allgemeine Rahmen des Datenschut-zes ist durch das Bundesdatenschutzgesetz (BDSG) bestimmt. Nach § 9 (Anlage) BDSG sind technisch-organisatorische-Maßnah-men zu definieren die unter anderem einen zufälligen Verlust oder eine zufällige Zerstörung von Informationen verhindern.
Besondere Straftatrelevanz im Gesundheitswesen durch § 203 Strafgesetzbuch (StGB)
Neben bußgeldbewährten allgemeinen Vorschriften des Datenschutzes gibt die rechtliche Verankerung durch § 203 StGB Ärzten und bestimmte Berufsträgern aufgrund Ihrer Stellung eine besondere Bedeutung eine erhöhte Verantwortung. Nicht zuletzt kommt es darauf an, dass alle Beschäftigten im betriebsärztlichen Umfeld die mit der Datenverarbeitung und der Benutzung der technischen Systeme und Kommunikationstechnologien verbundenen Risiken bewusst sind und mit Daten und Systemen mit der erforderlichen Vorsicht und Sorgfalt umgegangen wird.
Alltäglich, aber alles andere als banal
Es sind nicht nur die Spezialfragen im ärzt-lichen Berufsleben, die unter Betriebsärzten zu hitzigsten Diskussionen führen. Immer wieder werden in betriebsärztlichen Praxen, werksärztlichen Einheiten und bei arbeitsmedizinischen Dienstleistern schon vergleichsweise simple Regeln nicht mit der gebotenen Sorgfalt behandelt. Auch vermeintlich banale Maßnahmen haben hohe Datenschutzrelevanz und können im Falle des Missachtens zu erheblichen Problemen führen.
Folgende Prozesse sollten im täglichen betriebsärztlichen Arbeitsalltag definiert und umgesetzt werden:
- Clean-Desk-Prinzip
- „Reinen Tisch machen“: Aufräumen – Wegschließen – Abschließen
- Passwortsicherheit
- Passwörter regelmäßig wechseln
- Passwörter nicht aufschreiben
- Unterschiedliche Passwörter für verschiedene Systeme
- Passwörter nicht weitergeben
- Das Unternehmen vor Viren schützen
- Dateien, Dokumente, Präsentationen, E-Mail-Anhänge aus unzuverlässigen Quellen nicht öffnen
- Computer bei Abwesenheit sperren
- Vorteil: Unbefugten ist es nicht mög-lich, unter Ihrer Identität am Computer zu arbeiten und ggf. Schaden anzurichten oder Daten zu entwenden bzw. zu zerstören.
- Fremde in den Flurbereichen
- Dritte, Besucher und Gäste sollten nicht allein im betriebsärztlichen Bereich umherlaufen, sondern begleitet werden.
- Unterlagen und Papierdokumente mit personenbezogenen oder vertraulichen Informationen sicher entsorgen
- Aktenvernichter/Schredder
- Datenträger (USB-Sticks, CDs/DVDs, Festplatten) vor Entsorgung datenschutzkonform löschen
- Vorsicht vor Fallen im Internet
- Im Internet hat niemand etwas zu verschenken.
- Auch personenbezogene Daten haben einen Marktwert.
- Laden Sie keine Software herunter, die ein Datenschutz-/Sicherheitsrisiko darstellen könnte.
- Umgang mit interner und externer Post
- Kennzeichnung mit Vermerk „Persön-lich/Vertraulich“ oder dem Namen des Adressaten vor der Firmenadresse bedeuten, dass der Umschlag nur vom Adressaten geöffnet werden darf.
- Weitergabe von Daten
- Insbesondere in den Fällen, in denen personenbezogene Daten von Ihnen angefordert werden, sollten Sie sich absichern. Dazu wird im nächsten Beitrag dieser Reihe näher ausgeführt.
Datenschutz ist keine deutsche Besonderheit: Ausblick zur europäischen Entwicklung
Die Datenschutz-Grundverordnung ist eine von der Europäischen Union geplante Verordnung, mit der die Regeln für die Verarbei-tung von personenbezogenen Daten durch private Unternehmen EU-weit vereinheitlicht werden sollen. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmark-tes gewährleistet werden. Die Datenschutz-Grundverordnung ist Teil der beabsichtigten EU-Datenschutzreform.
Die Datenschutz-Grundverordnung soll die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie) ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten gelten. Vieles ist dem deutschen Datenschutzrecht entlehnt, eine 1:1-Übernahme findet aber nicht statt. Auch für datenschutzrechtlich bereits gut aufgestellte nationale wie internationale Unter-nehmen ergibt sich ein Anpassungsbedarf, der angesichts der bisher mit 2 Jahren sehr knapp bemessenen Übergangszeit frühzeitig bestimmt werden sollte. Dies gilt auch für Betriebsärzte.
Datenschutz-Check bringt Aufklärung und Sicherheit
Ein Datenschutz-Check ist eine bewährte Vorgehensweise, die es betriebsärztlichen Praxen, Unternehmen mit eigenen werksärztlichen Einrichtungen und arbeitsmedizinischen Dienstleistern eine zuverlässige und umfassende Einschätzung erlaubt, ob der Schutz von medizinischen Daten, aber auch Kunden-, Mitarbeiter- und Lieferanten-daten den gesetzlichen Vorgaben entspricht und wo gegebenenfalls Handlungsbedarf besteht. Dabei werden üblicherweise alle manuellen und digitalen Prozesse im ausgewählten Bereich analysiert, das Ergebnis sind ein Ist-Soll-Vergleich und eine Prioritätenliste, die den Verbesserungsbedarf konkret aufzeigt und Empfehlungen für die Minimierung der aufgezeigten Risiken gibt. Auf dieser Basis können Maßnahmen gezielt geplant und eine kontinuierliche Verbesse-rung des Datenschutzes erreicht werden. Auf diesem Wege wird die Rechtssicherheit erhöht, die verantwortlichen Betriebsärzte können allen datenschutzrechtlichen Fragen mit Gelassenheit begegnen – auch in den besonders sensiblen und kritischen Bereichen des medizinischen Datenschutzes. Mit diesem Check, der etwa 1–2 Tage dauert, sollten nur erfahrene Experten beauftragt werden.
Info
§ 203 Verletzung von Privat-geheimnissen (Auszug)
(1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offen-bart, das ihm als Arzt […] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Weitere Infos
Bundesdatenschutzgesetz
Autor
Harald Riebold
IT-Business Manager, Datenschutzbeauftragter
AMD TÜV Arbeitsmedizinische Dienste GmbH
TÜV Rheinland Group