DSGVO: Was ist das?
Kontext: Personenbezogene Daten, Datenverarbeitung
Bevor wir fortfahren, wollen wir die Datenschutz-Grundverordnung (DSGVO) in einen Kontext stellen. Die Begriffe personenbezogene Daten und Datenverarbeitung sind die beiden Grundpfeiler der Datenschutz-Grundverordnung. Doch was bedeuten sie in der Praxis?
Laut der französischen Datenschutzbehörde CNIL (Commission Nationale de l'Informatique et des Libertés) sind personenbezogene Daten alle anonymen Daten, die zur Identifizierung einer bestimmten Person verwendet werden können (z. B. Fingerabdrücke, DNA oder Informationen wie „der Sohn des Arztes, der in der Rue Belleville 11 in Montpellier wohnt, ist nicht gut in der Schule“).
Zum Beispiel: ein Name, ein Foto, ein Fingerabdruck, aber auch eine IP-Adresse, ein Computer-Login usw.
Verarbeitung personenbezogener Daten bedeutet „die Durchführung eines Vorgangs oder einer Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten, unabhängig vom verwendeten Verfahren (Erfassung, Speicherung, Änderung, Übertragung usw.)“.
Zum Beispiel: Führung eines Registers von Subunternehmern, Verwaltung von Gehaltsabrechnungen, Verwaltung von Informationen über potenzielle Marketingkunden usw.
Um es klar zu sagen: Die Datenschutz-Grundverordnung ist allemal nicht die Geburtsstunde einer Datenschutzverordnung.
In Frankreich wurde bereits in den 1970er Jahren mit dem Gesetz über Informationstechnologie und Freiheit vom 6. Januar 1978 ein rechtlicher Rahmen für die Datenverarbeitung geschaffen. So entstand die CNIL, eine unabhängige Verwaltungsbehörde, deren Hauptaufgabe darin besteht, den Schutz personenbezogener Daten zu gewährleisten. Die französischen Gesetzgeber haben bereits vor mehr als 40 Jahren über den Datenschutz nachgedacht.
Auch in Europa wurde das Thema mehrere Jahrzehnte lang diskutiert. Es war in den 1990er Jahren, als der Grundstein für den aktuellen Rechtsrahmen gelegt wurde. Angesichts der sich schnell ändernden Technologien und des Internets erkannte die EU die Notwendigkeit, Gesetze zu diesen neuen Themen zu erlassen. 1995 wurde die Europäische Datenschutzrichtlinie verabschiedet. In diesem Text wurden Mindeststandards in Bezug auf Vertraulichkeit und Datensicherheit festgelegt.
Die oben genannten Beispiele der nationalen Gesetzgebung und der europäischen Datenschutzrichtlinie dienten als Grundlage für die Entwicklung der DSGVO, die wir heute kennen.
Ausarbeitung, Umsetzung und Ziele der Datenschutz-Grundverordnung
Obwohl mehrere europäische Länder, wie Frankreich, Gesetze zum Schutz personenbezogener Daten erlassen haben, wurde das Thema lange nur auf nationaler Ebene behandelt. Es bestand kein Konsens über alle Aspekte des Schutzes personenbezogener Daten. Der Entstehungsprozess der Datenschutz-Grundverordnung begann, als die Europäische Kommission im Januar 2012 beschloss, sich dieses wichtigen Themas anzunehmen.
Nach mehreren Konsultationsrunden wurde der erste Entwurf der Verordnung im November 2013 veröffentlicht. Dann begann das gesetzgeberische Hin und Her. Der Text entstand in Verhandlungen zwischen Europäischer Kommission, Europäischem Parlament und Rat der Europäischen Union. Im April 2016, nur zwei Jahre nach Vorlage des ersten Entwurfs, wurde die endgültige Version des Textes, den wir heute kennen, angenommen. Dies liegt an der natürlichen Trägheit des schwerfälligen europäischen Gesetzgebungsprozesses, an der Bedeutung des verabschiedeten Textes und an der Tatsache, dass verschiedene Akteure beteiligt sind: Mitgliedsstaaten, Unternehmen und Bürger.
Die DSGVO trat 2016 in Kraft und gilt seit dem 25. Mai 2018. Das allgemeine Ziel der Verordnung ist die Schaffung eines Rechtsrahmens für den Schutz personenbezogener Daten. Dieser Rahmen wird erweitert und gilt gleichermaßen für alle EU-Mitgliedstaaten. Er erleichtert es allen EU-Bürgern, zu verstehen, wie ihre Daten verwendet werden. Sie können sich gegebenenfalls über die Verarbeitung ihrer Daten beschweren. Dieses Ziel wird von der CNIL in drei Kernpunkten zusammengefasst:
- Stärkung der Rechte von Einzelpersonen
- Stärkung der an der Datenverarbeitung beteiligten Akteure (Prozessoren);
- Die Glaubwürdigkeit der Regulierung durch eine verstärkte Zusammenarbeit zwischen den Datenschutzbehörden zu erhöhen
Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen
Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm
DSGVO: Wer ist betroffen?
Es gilt für fast jeden...
Wie oben erwähnt, zielt die DSGVO insbesondere darauf ab, die Akteure der Datenverarbeitung zur Verantwortung zu ziehen. Um dies zu erreichen, standardisiert sie die Verpflichtungen. Und deshalb gilt es de facto für alle.
Jede Organisation, unabhängig von ihrer Größe, ihrem Standort und ihrer Tätigkeit, kann betroffen sein. Wenn eine Organisation personenbezogene Daten in ihrem Namen verarbeitet, genügt es, dass eines der beiden folgenden Kriterien erfüllt ist, damit die Organisation der DSGVO unterliegt:
- Sie hat ihren Sitz im Gebiet der Europäischen Union, oder
- Ihre Aktivitäten richten sich direkt an in Europa ansässige Personen
Beispielsweise muss ein ausländisches Unternehmen mit einer E-Commerce-Website auf Französisch, das Produkte in Frankreich liefert, die DSGVO einhalten, da seine Tätigkeit unter die Kriterien fällt, um der DSGVO zu unterliegen.
Es gibt nur eine Ausnahme: Die Datenschutz-Grundverordnung gilt nur für juristische Personen und schließt „jede Verarbeitung, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird“ aus. Damit wird verhindert, dass die Verordnung für einen kleinen, persönlichen Website-Betreiber zum juristischen Hindernis wird.
... und hat den Vorteil, dass Fälle von Subunternehmern nicht ignoriert werden
Einer der Hauptfehler der Datenschutz-Grundverordnung hätte darin bestehen können, dass sie den Fall der Vergabe von Unteraufträgen nicht berücksichtigt hat. In der Tat verlassen sich viele Unternehmen und Organisationen aller Art auf Dritte, um Daten in ihrem Namen zu verarbeiten und zu sammeln. Und viele Unternehmen haben versucht, ihre Datenschutzverantwortung auf diese Subunternehmer abzuwälzen.
Dieser Zusammenhang wurde gut verstanden, und die DSGVO berücksichtigt Outsourcing: Sie betrifft und gilt auch für Subunternehmer. Die Verordnung definiert Datenverarbeiter als „jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen im Rahmen einer Dienstleistung oder Erbringung verarbeitet“.
Die CNIL stellt einen Leitfaden zur Unterstützung zur Verfügung (Quelle) und benennt konkrete Beispiele für Subunternehmer:
- Anbieter von IT-Dienstleistungen (Hosting, Wartung usw.),
- Softwareintegratoren,
- Unternehmen für Computersicherheit,
- Unternehmen für digitale Dienstleistungen oder früher Computer Services and Engineering Companies (ITSSs), die Zugriff auf die Daten haben,
- Marketing- oder Kommunikationsagenturen, die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten
Schließlich müssen alle Subunternehmer klare Verpflichtungen in Bezug auf Informationssicherheit, Vertraulichkeit und sogar Verantwortung einhalten.
Wenn Sie Subunternehmer sind, sollte das Thema Datenschutz „von Anfang an“, d. h. bereits bei der Konzeption der Dienstleistung oder des Produkts, berücksichtigt werden. Auf diese Weise können viele potenzielle Probleme in Zukunft vermieden werden. Es geht darum, Maßnahmen umzusetzen, die einen optimalen Datenschutz gewährleisten.
Wenn ein Unternehmen beispielsweise Daten verarbeitet, ist die Einrichtung eines ROPA (Record Of the Processing Activities) eine grundlegende Maßnahme, die für einen optimalen Datenschutz erforderlich ist. In bestimmten Fällen müssen Subunternehmer auch einen Datenschutzbeauftragten ernennen, eine Anforderung, die der ihrer Kunden ähnelt.
Zusammenfassend lässt sich sagen, dass Subunternehmer, die personenbezogene Daten im Auftrag anderer Unternehmen verarbeiten, verpflichtet sind, sie zu beraten und sie bei der Einhaltung der DSGVO zu unterstützen.
Der Gesundheitssektor an vorderster Front
Mehr und mehr Gesundheitsdaten erregen Neid
Der gesamte Gesundheitssektor wird von Datenschutzbehörden wie der CNIL genau unter die Lupe genommen. Der Grund ist einfach: Die Branche ist der führende Hersteller und Nutzer besonders kritischer Gesundheitsdaten. Aber wie nennt man Gesundheitsdaten?
Laut CNIL handelt es sich bei Gesundheitsdaten um „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person in Vergangenheit, Gegenwart oder Zukunft beziehen (einschließlich der Erbringung von Gesundheitsdienstleistungen), die personenbezogene Informationen über den Gesundheitszustand dieser Person preisgeben.“ Daher sind auch einige Messdaten enthalten, anhand derer Informationen über den Gesundheitszustand einer Person abgezogen werden könnten.
Wir können dann 3 große Kategorien personenbezogener Gesundheitsdaten ziehen:
- “Natürliche“ Gesundheitsdaten: Krankengeschichte, Krankheiten, erbrachte Versorgung, Testergebnisse usw.
- Gesundheitsdaten“mit anderen Daten verknüpft“: Verknüpfung der Spannungs- mit Kraftmessung, Verknüpfung des Gewichts mit der Anzahl der Schritte usw.
- Gesundheitsdaten “nach Gebrauch“: Daten werden durch ihre medizinische Verwendung zu Gesundheitsdaten
Einen Termin auf einer Plattform wie Doctolib vereinbaren, einen Arzt aufsuchen, ein Rezept bekommen, in die Apotheke gehen usw. Jede dieser scheinbar harmlosen Gesten hinterlässt Spuren. Die Liste ist lang, wenn man alle Tätigkeiten aufzählen will, bei denen Gesundheitsdaten anfallen.
Gesundheitsdaten sind heute ein zentrales Thema. Laut dem Artikel Big Data dimensionieren, veröffentlicht in Nature Medicine im Januar 2020, hat sich das Gesamtvolumen seit 2013 verzehnfacht, und dieser Anstieg ist alles andere als trivial. Der gesamte Bereich der Gesundheitsüberwachung wächst rasant. Und es hängt im Wesentlichen von der Verfügbarkeit einer großen Anzahl von Gesundheitsdaten und deren Analyse durch künstliche Intelligenz ab.
Gesetzlich gewonnene Gesundheitsdaten sind sehr wertvoll. Und das gilt auch für Daten, die mit skrupellosen Methoden gewonnen wurden. Dies geht aus einem Bericht des amerikanischen Cybersicherheitsunternehmens VMware Carbon Black hervor, der am 5. Juni 2019 veröffentlicht wurde. Er zeigt auf, dass Gesundheitsdaten (Krankenakten, Rezepte usw.) im Durchschnitt dreimal so viel verkauft werden wie „klassische“ personenbezogene Daten (Name, Vorname, Telefonnummer usw.). Die Forscher der Website PrivacyAffairs (Quelle) haben herausgefunden, dass man im Dark Web Kreditkartennummern mit Inhaber-IDs für durchschnittlich 125 bis 200 EUR finden kann, je nachdem, wie viel Geld auf dem Konto vorhanden ist.
Die erste Erklärung für diesen Preisunterschied liegt in der Art der betreffenden Daten. Mit einer Kreditkarte ist es leicht, Einwände zu erheben, aber eine Krankenakte enthält Informationen, die nicht geändert werden können, wie z. B. die Krankengeschichte eines Patienten. Gesundheitsdaten sind auch ein beliebtes Angriffsziel für Betrug und anderen Identitätsdiebstahl, um falsche Rückerstattungen von Versicherungen zu erhalten. Diese Zahlen werden natürlich noch größer, wenn es um Forschungsdaten, geistiges Eigentum in Labors usw. geht, die durch ausgeklügelte Angriffe gestohlen werden.
Neid wird durch den Zusammenhang zwischen dem digitalen Wandel und der Gesundheitskrise noch verschärft
Der Wert der gestohlenen Daten allein rechtfertigt nicht die stetige Zunahme von Cyberangriffen auf Akteure des Gesundheitswesens. Das aktuelle Umfeld ist besonders günstig für Versuche, Daten zu stehlen und weiterzuverkaufen.
Die FAIR-Methode (Factor Analysis of Information Risk) weist zu Recht darauf hin, dass die Wahrscheinlichkeit, dass ein potenzieller Angreifer aktiv wird, nicht nur vom Wert des Zielobjekts (in diesem Fall der Gesundheitsdaten) abhängt, sondern auch vom Aufwand, den der Angreifer betreiben muss, um sein Ziel zu erreichen.
Der digitale Wandel ist in vollem Gange und der gesamte Gesundheitssektor steht aufgrund der Covid-19-Krise an vorderster Front. In einem solchen Kontext befinden sich die Akteure des Gesundheitssektors paradoxerweise in einem sehr fragilen Gesundheitszustand. Ein kurzer Überblick bestätigt, was wir festgestellt haben:
- Krankenhäuser haben den Status von Gesundheitszentren überschritten. Sie werden wie Unternehmen geführt, und es ist zunehmend die Rede davon, Krankenhäuser zu Krankenhauszentren zusammenzufassen. Lokale Krankenhäuser, die durch ein individuelles Prisma betrachtet werden, werden immer seltener. Und wie Unternehmen sind sowohl Gesundheitszentren als auch Krankenhäuser für bestimmte Aufgaben in hohem Maße auf Subunternehmen angewiesen. Außerdem erfordert die erfolgreiche Integration all dieser Organisationen den Einsatz digitaler Technologien: Elektronische Gesundheitsakten (EHR), in der Cloud gespeicherte Informationen und mit einem Netzwerk verbundene Maschinen werden für die meisten Dienste verwendet.
- Auch Ärzte nutzen Datenbanken, die selten gut geschützt sind, da sie sich der Risiken von Datenschutzverletzungen weder besonders bewusst sind noch entsprechend geschult sind.
- Medizinische Forschungslabore sind immer noch die Hauptziele für IP-Diebstahl. Die Angriffe auf Labore wie AstraZeneca oder Moderna sind ein Beweis dafür.
Unter dem Strich zeichnet sich kein Unternehmen und keine Organisation im Gesundheitswesen durch den Schutz der Gesundheitsdaten aus, die es erstellt, verwendet und verwaltet. Auch die durch die Pandemie ausgelöste massive Verbreitung der Telearbeit wird das Gegenteil nicht beweisen. Sie vergrößert nur die Angriffsfläche der Unternehmen und Organisationen.
Wie lassen sich Gesundheit, DSGVO-Compliance und Innovation kombinieren?
Einen Paradigmenwechsel vollziehen: vom „Gewicht“ zum „Hebel“
Innovation ist für den Gesundheitssektor von entscheidender Bedeutung. Und durch die Covid-19-Krise wird uns deutlich vor Augen geführt, wie wichtig es für die Länder ist, über eine starke medizinische Industrie und widerstandsfähige Gesundheitsstrukturen zu verfügen. Diese beiden Elemente erfordern zwangsläufig eine eingehende Untersuchung des Datenschutzes, der, wie wir gesehen haben, das Kerngeschäft des Gesundheitssektors darstellt. Was ist also die Rolle der DSGVO in dieser Reflexion?
Frau Dixon, Präsidentin der irischen Datenschutzbehörde, räumt in einem Artikel der New York Times ein: „Die DSGVO hat die Art und Weise, wie Daten von großen Unternehmen gesammelt und verwendet werden, nicht grundlegend geändert.“
Die Einhaltung der DSGVO wird von den Unternehmen in den meisten Fällen als wichtige Maßnahme angesehen. Und es herrscht nach wie vor die Vorstellung, dass Unternehmen das Notwendige tun, um Strafen zu vermeiden. Angesichts dieser Ausgangslage sind wir jedoch so weit wie nie zuvor von den tiefgreifenden Überlegungen entfernt, die angestellt werden müssen. Das ganze Paradigma, die DSGVO als Hindernis zu sehen, muss weiterentwickelt werden.
Eine Möglichkeit, über diese Idee des „DSGVO-Würgegriffs“ hinauszugehen, besteht vielleicht darin, Letzteres als Hebel zu betrachten. Warum nicht beispielsweise versuchen, die DSGVO als Hebel für Innovationen zu sehen? Compliance ist kein Selbstzweck und einige haben das bereits verstanden. Unternehmen, die die Daten ihrer Kunden weiterhin teilen oder verwenden möchten, versuchen nun, diese anonym zu halten. Zwar besteht heute kein Konsens darüber, wie dieses Ziel erreicht werden kann, doch in allen Sektoren entstehen Innovationen. Insbesondere der Bereich, der uns interessiert: der Gesundheitssektor. Das Wall Street Journal berichtete im Februar 2019, dass der Gesundheitssektor im Mittelpunkt der diesbezüglichen Innovationen steht. Beispielsweise anonymisieren Gesundheits- und Pharmaunternehmen bereits die Daten, die sie aus klinischen Studien sammeln, bevor sie sie an Forscher und andere Unternehmen weitergeben. Große amerikanische Krankenhausgruppen haben beispielsweise beschlossen, ihre eigenen Spezialunternehmen zu gründen. Ziel ist es, ihre anonymisierten Daten für Forschungs- und Arzneimittelentwicklungszwecke zu sammeln und zu verkaufen.
Die Einhaltung der DSGVO muss von den Behörden und einer Cybersicherheitsstrategie unterstützt werden
Der Privatsektor wird niemals allein für den Paradigmenwechsel in Bezug auf DSGVO und Innovation verantwortlich sein. Diese Denkweise wird immer noch weitgehend unterschätzt. Daher ist auch eine echte Sensibilisierung und Unterstützung durch die Behörden in Bezug auf diese Themen erforderlich. Die DSGVO muss der Ausgangspunkt sein, nicht die Ziellinie.
In Frankreich wird das Problem von den zuständigen Behörden bereits ernst genommen. Insbesondere die CNIL hat beschlossen, die Sicherheit von Gesundheitsdaten zusammen mit der Cybersicherheit zu einem ihrer Schwerpunktthemen im Jahr 2021 zu machen. In der Praxis bedeutet dies, dass sie im Zusammenhang mit diesem Thema ein Minimum an formellen Kontrollverfahren durchführen wird. In der Tat ist dies eine Fortsetzung ihrer Strategie für 2020. Aber wie wir bereits sagten, reichen Kontrollen und Sanktionen allein nicht aus. Wir müssen auch in der Lage sein, Überlegungen und Innovationen zu diesen Themen zu unterstützen. Auch hier beabsichtigt die CNIL, eine Rolle zu spielen. Die Kommission möchte den Akteuren im Bereich der elektronischen Gesundheitsdienste dabei helfen, Innovation und Einhaltung der DSGVO miteinander zu verbinden. All dies durch privilegierte Kontakte zu ihren Rechts- und Technikteams. Nur die drei Gewinner einer Aufforderung zur Einreichung von Projekten können davon profitieren, aber das Ziel ist klar: „Privacy by Design“ einzuführen, d. h. den Schutz von Gesundheitsdaten bereits in der Entwicklungsphase eines Produkts oder einer Dienstleistung zu berücksichtigen.
Es muss jedoch auch betont werden, dass die Einhaltung der DSGVO ohne eine starke Cybersicherheitsstrategie nicht in Betracht gezogen werden kann. Die beiden sind eng miteinander verknüpft.
Die ANSSI (Agence Nationale pour la Sécurité des Systèmes d'Information) definiert Cybersicherheit als "den angestrebten Zustand eines Informationssystems, der es ihm ermöglicht, Cyber-Angriffen zu widerstehen, die die Verfügbarkeit, Integrität oder Vertraulichkeit der gespeicherten, verarbeiteten oder übertragenen Daten und der damit verbundenen Dienste, die von diesen Systemen angeboten oder zur Verfügung gestellt werden, gefährden können“.
Einerseits haben wir die DSGVO, die den Schutz personenbezogener Daten regelt. Und auf der anderen Seite Cybersicherheit, das naturgemäß darauf abzielt, ein Datensicherheitsziel zu erreichen. Datensicherheit ist daher eine der Säulen des Schutzes personenbezogener Daten.
Cybersicherheit und DSGVO sind eng miteinander verknüpft. Doch wie spiegelt sich dieser Zusammenhang im Gesetz wider? Die Verordnung verlangt „die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem digitalen Risiko angemessenes Schutzniveau zu gewährleisten“. Konkret kann es sich dabei um die Verschlüsselung von Daten oder allgemein um Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten handeln.
Erinnern wir uns noch einmal daran, dass all dies von den Behörden unterstützt werden muss. In Frankreich stellt ANSSI jedem ein „Datensicherheitspaket“ zur Verfügung (Quelle). Es vereint bewährte Verfahren, Lösungen und andere empfohlene Tools zur Verbesserung der Sicherheit personenbezogener Daten.
Die Einhaltung der DSGVO durch einen risikobasierten Ansatz bedeutet, Sanktionen durch quantifizierte Maßnahmen zu vermeiden.
Die DSGVO und ihre Sanktionen gelten für alle Sektoren, einschließlich des Gesundheitssektors
Nicht DSGVO-konform zu sein, bedeutet, dass der betroffene Datenverantwortliche im Falle eines Datendiebstahls, einer Untersuchung durch eine Datenschutzbehörde oder einer formellen Beschwerde mit Sanktionen rechnen muss. Sie können nichtfinanzieller Art sein: Aufforderung zur Verfügung, Einschränkung der Datenverarbeitung, Aussetzung des Datenflusses usw. Diese Sanktionen können sich aber auch auf bis zu 20 Millionen Euro oder, im Fall eines Unternehmens, auf bis zu 4% des weltweiten Jahresumsatzes belaufen. Wie ist der aktuelle Stand bei der Anwendung dieser Sanktionen seit Einführung der DSGVO?
Auch wenn einige noch Zweifel haben: Die Strafverfolgung hat für die DPA Priorität. Dies wird durch den Gesamtbetrag der Bußgelder belegt, der sich nach Angaben von Enforcement.com innerhalb eines Jahres mehr als verdoppelt hat. Tatsächlich belief sich der Gesamtbetrag der Sanktionen für Verstöße gegen die DSGVO im Jahr 2020 auf 171 Millionen Euro. Im Jahr 2019 waren es 72 Millionen Euro. Diese Zahlen sollten jedoch ins rechte Licht gerückt werden: Von den mehr als 280 000 Beschwerden wurden 613 Bußgelder verhängt, von denen 8 über 10 Millionen Euro lagen. Frankreich, das früher die höchsten Bußgelder verhängte (ein Rekordwert von 50 Millionen Euro, die 2019 gegen Google verhängt wurden), liegt 2020 mit verhängten Bußgeldern in Höhe von rund 3 Millionen Euro nun nur noch an sechster Stelle. Italien liegt mit Sanktionen in Höhe von 58,16 Millionen Euro an der Spitze. Diese rückläufigen Zahlen in Frankreich sind jedoch kein Synonym für einen Rückgang der Wachsamkeit. Die Rekordbußen gegen Amazon (35 Millionen Euro) und Google (60 Millionen Euro) bezogen sich auf den Datenschutz (die Cookie-Richtlinien in diesen Fällen), wurden jedoch nach dem französischen Datenschutzgesetz (Gesetz über Informationstechnologie und Freiheit) und nicht unter der DSGVO verhängt.
Schließlich haben wir bereits dargelegt, dass dem Schutz von Gesundheitsdaten Aufmerksamkeit geschenkt wird. Es ist daher sehr logisch, dass die DSGVO und ihre Sanktionen gleichermaßen für Gesundheitsakteure gelten. Die von C-Risk zusammengestellten Zahlen bestätigen dies. Seit der Einführung der DSGVO wurden 52 Bußgelder gegen Akteure der Branche verhängt. Genug, um zu den Top 5 der am meisten sanktionierten Sektoren zu gehören, aber immer noch weit von der Spitze entfernt: der Medien- und Telekommunikationssektor mit 123 Bußgeldern. Darüber hinaus lag der Mindestbetrag einer Sanktion für einen Gesundheitsakteur zwischen 2018 und 2020 bei 510 EUR, während die Höchststrafe bei 1,24 Millionen EUR lag. Die Krankenhäuser sind die am meisten sanktionierten Gesundheitsakteure.
Wie können diese Sanktionen vermieden werden?
Der von C-Risk bevorzugte Ansatz besteht darin, die DSGVO aus der Perspektive der Risikoszenarien (Betriebs- und Cybersicherheit) zu betrachten:
- Verstehen Sie die Risiken, denen der für die Datenverarbeitung Verantwortliche (Unternehmen, öffentliche Stelle usw.) ausgesetzt ist, und die finanziellen Auswirkungen dieser Risiken
- In der Lage sein, fundierte Entscheidungen mit einer echten Kapitalrendite zu treffen, um quantifizierten Risiken zu begegnen und Sanktionen und andere potenzielle finanzielle Verluste zu vermeiden
Die FAIR-Methode dient der Quantifizierung der Risiken, denen ein Unternehmen oder eine Organisation ausgesetzt ist, die die Einhaltung der Datenschutz-Grundverordnung anstrebt. Dies geschieht in mehreren Schritten:
- Das erste, was zu tun ist, besteht darin, das Risiko des „DSGVO-Risikos“ abzubilden und dabei zwei Gesichtspunkte zu berücksichtigen. Zuerst der Standpunkt der betroffenen Person. Dies lässt sich anhand des Risikos von Datenschutzverletzungen wie PII (Personally Identifiable Information) veranschaulichen. Dann die ergänzende Sichtweise des Datenverarbeitungsunternehmens. Hier kann das Risiko in Form von Bußgeldern, Strafen oder Reputationsverlust bestehen. Gleichzeitig muss eine Abbildung der wichtigsten PII-Datenbanken durchgeführt werden.
- Zweitens muss sichergestellt werden, dass die vorhandenen Prozesse den DSGVO-Anforderungen entsprechen. Zum Beispiel eine klare Richtlinie für den Fall von Datenschutzverletzungen. Tritt ein Vorfall ein, hat der für die Verarbeitung Verantwortliche 72 Stunden Zeit, um den Verstoß der Aufsichtsbehörde zu melden. Transparenz gegenüber den Aufsichtsbehörden und schnelle Reaktionen sind von entscheidender Bedeutung. Werden diese beiden Kästchen nicht angekreuzt, werden häufig höhere Strafen verhängt. Es ist auch notwendig, die zur Verbesserung der Datensicherheit verfügbaren Kontrollen und Mittel zu ermitteln und/oder einzurichten. Dies können technische Lösungen (Datenverschlüsselung usw.) oder vertragliche Lösungen (Identifizierung der für die Verarbeitung verantwortlichen Dritten, Überprüfung der vertraglichen Kontrollen usw.) sein.
- Die nächsten Schritte werden darin bestehen, weitere Informationen zu sammeln und mit der Erstellung von Risikoszenarien zu beginnen, um die potenziellen finanziellen Verluste mit der FAIR-Methode zu quantifizieren.
Gesundheitsdatenverarbeitung versus DSGVO: eine Debatte, die gerade erst begonnen hat
Verarbeitung von Gesundheitsdaten: Der digitale Wandel
Wir haben einige Ideen zur Verknüpfung zwischen der Datenschutz-Grundverordnung und der Verarbeitung von Gesundheitsdaten sowie mögliche Lösungen für die Einhaltung der Anforderungen der Verordnung untersucht. Schließlich sollte uns die DSGVO dazu veranlassen, nicht nur die Sanktionen oder ihre Einhaltung in Frage zu stellen, sondern auch unsere Vorstellung von einer „guten“ Verarbeitung von Gesundheitsdaten zu überdenken.
Heute ist es schwer zu leugnen, dass Gesundheitsdaten gesammelt und verarbeitet werden müssen. Die Übertragung von physischen Patientenakten in elektronische Patientenakten ist wahrscheinlich das konkreteste Beispiel. Dies bedeutet unter anderem eine bessere Koordination der Versorgung zwischen den verschiedenen medizinischen Fachkräften, eine größere Flexibilität und einen leichteren Zugang zu diesen Informationen für die Patienten selbst. Die Verarbeitung von Gesundheitsdaten erfüllt spezifische Anforderungen an Transparenz, Information sowie Effizienz und Gesundheitssicherheit.
In ähnlicher Weise ist Covid-19 ein klarer Beweis für die Bedeutung von Daten aus dem Gesundheitswesen für die Forschung. Impfstoffe wurden in Rekordzeit entwickelt (10 Monate statt 10 Jahre). Dafür gibt es mehrere Gründe: Das Virus ist nicht völlig unbekannt, enorme Investitionen, neue Impfstofftechnologien usw. Aber all das erforderte, dass Forscher Zugriff auf die alten SARS-CoV-1-Daten hatten. Dies erfordert, die Daten der Freiwilligen zu sammeln, die Ergebnisse schnell an die Aufsichtsbehörden weiterzuleiten usw.. Zusammenfassend lässt sich sagen: Dies erfordert eine effiziente Verarbeitung von Gesundheitsdaten.
Öffnen wir die Büchse der Pandora?
Der Gesundheitssektor, der durch Krisen wie die Covid-19 Pandemie im Umbruch und unter Druck ist, hat zweifellos einen konkreten Bedarf an effizienter Datenverarbeitung in großem Maßstab. Und um diesen Bedürfnissen gerecht zu werden, sind die digitalen Giganten bestrebt, ihre Lösungen anzubieten.
Google hat seine Google Health Studies App im Dezember 2020 gestartet. Das Ziel? Unterstützung von Forschern bei der Erfassung einer großen und repräsentativen Sammlung von Gesundheitsdaten. Jeder Besitzer eines Android-Smartphones kann sich jetzt registrieren und die von Forschern angeforderten Daten bereitstellen. In Frankreich wurde der Health Data Hub am 30. November 2019 mit dem gleichen Ziel gegründet: den Austausch von Gesundheitsdaten zur Förderung der Forschung zu erleichtern. Die Cloud, in der die Daten gehostet werden: Microsoft.
In jüngerer Zeit war es die Partnerschaft zwischen der Doctolib-Plattform und der französischen Regierung, die für Schlagzeilen sorgte. Doctolib wird zu einer offiziellen Plattform für die Terminvereinbarung für die Covid-19-Impfung. Arzt- und Patientenverbände waren der Ansicht, dass der Cloud-Anbieter von Doctolib, Amazon Web Services, Zugriff auf unzureichend geschützte Gesundheitsdaten hatte.
Aus all diesen Beispielen ist daher leicht ersichtlich, dass die Verarbeitung und Speicherung von Gesundheitsdaten weit über den Geltungsbereich der DSGVO hinausgeht. Es nährt die Debatte über die Prinzipien des Datenschutzes und betont wichtige geopolitische Fragen. In erster Linie: nationale Souveränität. Sind wir dazu verdammt, GAFAMs zu verwenden, um die wertvollen Gesundheitsdaten unserer Mitbürger zu sammeln und zu speichern? Ist die DSGVO eine wirksame Abschreckung gegen schlechte Unternehmenspraktiken? Vor allem, wenn einige Unternehmen extraterritorialen Gesetzen unterliegen, die grundsätzlich gegen die DSGVO verstoßen (insbesondere der US Cloud Act)?
Wir haben noch keine klaren Antworten auf diese Fragen, aber diese Debatte ist noch lange nicht vorbei. Eines ist sicher: Europa ist mit einer Verordnung, die andere inspiriert, eine Vorreiterrolle (vgl. California Consumer Privacy Act). Die DSGVO wird genau unter die Lupe genommen, da das Thema Datenschutz überall ein wachsendes Thema ist.
DSGVO-Compliance aus Risikosicht in 3 Fragen zusammengefasst
Betreffen DSGVO-Compliance und Cybersicherheit mein Unternehmen?
Die DSGVO ist in erster Linie eine Anforderung an die Datenverarbeiter, den Datenschutz aller europäischen Bürgerinnen und Bürger sicherzustellen. Diese Anforderungen gelten sowohl für Unternehmen als auch für deren Subunternehmer, die für die Datenverarbeitung verantwortlich sind. Cybersicherheit ist dagegen zweifellos ein großes Problem und ein großes Risiko für Unternehmen und Einzelpersonen. Die Folgen einer Cybersicherheitsverletzung sind vielfältig, vom „einfachen“ finanziellen Verlust bis hin zu Reputationsverlusten usw. Die Einhaltung der DSGVO und Cybersicherheit sind Themen, die uns alle betreffen, insbesondere wenn Sie oder Ihr Unternehmen sensible personenbezogene Daten verarbeiten, die für Ihr Unternehmen von entscheidender Bedeutung sind.
Warum sind DSGVO-Compliance und Cybersicherheit eng miteinander verknüpft?
Die DSGVO konzentriert sich, wie der Name schon sagt, auf den Datenschutz. Ihr vorrangiges Ziel ist es, ihre Verwendung zu regulieren. Cybersicherheit ist das gesamte Mittel, mit dem der Datenschutz gewährleistet werden kann. Aus diesem Grund sind die beiden Themen eng miteinander verknüpft. Wir können sogar einen positiven Kreislauf beobachten: Die Verbesserung eines dieser Probleme hat oft positive Auswirkungen auf das andere. Aus diesem Grund verlangt die DSGVO „die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem digitalen Risiko angemessenes Sicherheitsniveau zu gewährleisten“.
Wie hilft mir CRQ mit der DSGVO?
Es gibt eine Reihe von Möglichkeiten, den Datenschutz und die Einhaltung der DSGVO zu verbessern. Aber das gleiche Problem taucht immer wieder auf: Wie kann die Implementierung eines bestimmten Tools, Projekts usw. effizient gegenüber jemandem gerechtfertigt werden, der sich mit diesen technischen Themen nicht gut auskennt? FAIR zu nutzen bedeutet einfach, die Risiken, denen wir ausgesetzt sind, in finanzieller Hinsicht zu quantifizieren. Insbesondere die Risiken, die mit der Nichteinhaltung der DSGVO oder mangelndem Datenschutz verbunden sind. Nach einer Risikobewertung und einer Quantifizierung sind die getroffenen Lösungen und ihre Investitionsrendite nun in einer Sprache, die von allen Beteiligten verstanden wird, gerechtfertigt.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.