EU-Datenschutz-Grundverordnung:Wie viel Bürokratie verträgt die Medizin?

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 und bringt eine grundlegende Reformierung der datenschutzrechtlichen Bestimmungen mit sich. Unternehmer, die mehr als 250 Mitarbeiter beschäftigen, haben ein „Inhouse“ Datenschutzregister zu führen, das unter anderem den Zweck, die Datenkategorien wie auch Beschreibung des technischen Datenschutzes umfassen muss. Es wäre nicht die EU, wenn es nicht eine Vielzahl an Ausnahmen gäbe, insbesondere wenn zum Beispiel sensible Daten verarbeitet werden, also über Gesundheit oder auch strafrechtlich relevante Daten. Dann müssen auch Unternehmen mit weniger als 250 Mitarbeitern ein Datennutzregister führen. Wenn die Kerntätigkeit eines Unternehmens die Verarbeitung zum Beispiel sensibler Daten umfasst, sind die Unternehmen auch verpflichtet, einen Datenschutzbeauftragten zu bestellen. Auf den Unternehmer kommt auch eine Datenschutz-Folge-Abschätzung zu, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung besteht.

Erhöhte Pflichten

Reglementiert wurde nun auch, wie eine „rechtskonforme“ Zustimmungserklärung auszuschauen hat, die nun fordert, dass etwa der Grund der Verarbeitung plus Gesetzesstelle angeführt wird. Darüber hinaus muss bei sensiblen Daten auch dargelegt werden, worin das überwiegende Interesse des Verarbeiters besteht. Nicht verwunderlich, die erhöhten Pflichten des Verarbeiters gehen einher mit der Ausweitung der Rechte für Personen, deren Daten verarbeitet werden. Neben dem Auskunftsrecht, das nun die Beweispflicht dem Verarbeiter überbindet, wenn er diese verweigert, bleibt weiterhin das Recht auf Berichtigung und auf Widerruf bestehen; hinzu kommt noch das Recht auf Vergessen und auf Datenübertragung.
Was früher die Standardanwendungen waren, sollen nun die „Codes of Conduct“ reglementieren. Diese sollen speziell den Bedürfnissen von KMUs gerecht werden, damit diese einen verbindlichen Leitfaden zur Einhaltung der datenschutzrechtlichen Bestimmungen haben. Nur diese „Codes of Conduct“ bedürfen der Genehmigung durch die Datenschutzbehörde und müssen erst einmal durch Interessengemeinschaften erarbeitet werden.

Hohe Strafen zu erwarten

Zumindest sollte man die neuen Verpflichtungen nicht auf die leichte Schulter nehmen, da die Strafen drakonisch sind. Wenn kein Datenschutzbeauftragter bestellt worden ist, Verzeichnisse zur Verarbeitung fehlen oder kein ausreichender technischer Datenschutz sichergestellt wird, kann die Strafe bis 2 % des weltweiten Jahresumsatzes betragen. Bei einer nicht rechtskonformen Übermittlung der Daten in das EU-Ausland kann die Strafe sogar bis 4 % des weltweiten Umsatzes hochschnellen.
Zusammenfassend kann festgehalten werden, dass das Wegfallen der Meldung teuer erkauft wurde, nämlich durch die Bestellung eines Datenschutzbeauftragten, Führung von Datenverzeichnissen, erweiterte Rechte der Betroffenen wie auch einer verpflichtenden Folgeabschätzung unter bestimmten Umständen und hohe Strafen. Unternehmen müssen daher bis zum 25.5.2018 sicherstellen, dass sie die neuen Bestimmungen der EU-Datenschutz-Grundverordnung erfüllen, um diesen Strafen zu entgehen, bzw. evaluieren und festhalten, wieso bestimmte Verpflichtungen nicht auf sie zutreffen.

AutorIn: DDr. Karina Hellbert

Fiebinger Polak Leon & Partner Rechtsanwälte GmbH


MP 05|2016

Herausgeber: AUSTROMED, Interessensvertretung der Medizinprodukte-Unternehmen
Publikationsdatum: 2016-11-08