DSGVO: Mehr Datenschutz auch für Menschen mit HIV
Ob ein farbiger Aufkleber auf einer Patientenakte, der für „HIV-positiv“ steht, oder Versicherungsunternehmen, die ohne Not den HIV-Status erfassen – auch wenn dies sicher Einzelfälle sind, machen Menschen mit HIV solche Erfahrungen immer noch.
Sich dagegen zu wehren, ist nun aber einfacher: Die EU-Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in der gesamten EU in Kraft trat, hat ein ganzes Paket an Verbesserungen mit sich gebracht.
Verbraucher_innen und Patient_innen können sich leichter wehren
Auch wenn der Datenschutz in Deutschland vorher schon hoch war, mit der DSGVO rückt das Thema bei Unternehmen und Einrichtungen mehr als zuvor ins Bewusstsein. Das liegt zum einen daran, dass die Verordnung für alle Unternehmen gilt, die in der EU tätig sind. Darunter fallen also auch Firmen, die ihren Sitz außerhalb der EU haben, aber in Deutschland ihre Produkte und Dienstleistungen anbieten.
DSGVO: Massive Sanktionen bei Datenschutzverletzungen
Hinzu kommen die massiv verstärkten Sanktionen bei Datenschutzverletzungen.
Im Rahmen des Bundesdatenschutzgesetzes lagen die Bußgelder bei bis zu 300.000 Euro pro Einzelfall.
Nach der DSGVO können bis zu 20 Millionen Euro oder bis 4 Prozent des weltweit erzielten Jahresumsatzes fällig werden. Ganz zu schweigen von den möglichen strafrechtlichen Konsequenzen von bis zu drei Jahren Freiheitsstrafe.
Und nicht zuletzt wurden die Rechte der Verbraucher_innen gegenüber Unternehmen deutlich erweitert.
Besserer Schutz für Patient_innen
Auch für Menschen mit HIV heißt das: Datenschutzverletzungen welcher Art auch immer müssen und sollen auch künftig nicht hingenommen werden.
Wichtige Anlaufstelle bei Verstößen gegen die DSGVO sind die Landesdatenschutzbeauftragten und -behörden. Sie haben die Pflicht, Beschwerden nachzugehen, Datenschutzmängel zu beanstanden und gegebenenfalls Bußgelder zu verhängen.
Eine Liste der zuständigen Beauftragten findet sich hier.
Was genau die DSGVO Menschen mit HIV bringt, haben wir Jasper Prigge gefragt, Rechtsanwalt für Medien-, IT- und Verwaltungsrecht:
Wie werden die Rechte der Bürger_innen gestärkt?
Das Datenschutzbewusstsein insgesamt wächst. Wie sich manche Regelungen der Verordnung auswirken werden, ist noch unklar, zum Beispiel in Sachen Schadenersatz. Hier wird die gerichtliche Spruchpraxis entscheidend sein.
Gut ist auf jeden Fall, dass die Auskunfts- und Löschungsrechte für Verbraucher_innen in der Praxis strenger gehandhabt werden. Das ist ein großer Schritt nach vorn.
Was bedeutet das in Bezug auf den Patient_innenschutz?
Dass Ärzt_innen und Klinikpersonal verpflichtet sind, gesundheitsbezogene Daten geheim zu halten, ist nicht neu. Aber das Thema hat mehr Gewicht bekommen. Dazu trägt vor allem die Stärkung der Landesdatenschutzbehörden bei, die härter sanktionieren und hohe Bußgelder verhängen können.
Das ist gut für Betroffene, die einen Verstoß vermuten. Denn sie können die Aufsichtsbehörde einschalten, und dann müssen die Praxen oder Kliniken nachweisen, dass sie alle Datenschutzvorschriften umgesetzt haben.
Was können Menschen mit HIV bei Datenschutzverletzungen tun?
Das hängt von der Art der Verletzung ab. Die Offenbarung eines Geheimnisses gegenüber Dritten, also zum Beispiel des positiven HIV-Status, ist ein sehr schwer wiegender Verstoß. Hier empfehle ich, sich von professionellen Stellen wie den Aidshilfen oder Fachanwälten beraten zu lassen.
Bei einer Datenschutzverletzung im Krankenhaus kann man auch die bzw. den Datenschutzbeauftragte_n der Klinik einschalten. Diese Position wurde mit der DSGVO aufgewertet, sie arbeitet mit den Aufsichtsbehörden zusammen.
Ansonsten kann man sich immer auch an die Antidiskriminierungsstelle des Bundes oder die Ermittlungsbehörden wenden.
Wichtig ist: Datenschutzverletzungen sind keine Lappalie. Man kann und sollte dagegen vorgehen – und zwar frühzeitig!
Und was müssen Arztpraxen und Kliniken bei Datenschutzverletzungen tun?
Sobald sie eine Datenpanne feststellen, müssen sie diese innerhalb von 72 Stunden an die Datenschutzbehörde melden. Dabei geht es nicht nur nach der Größe des Datenlecks, sondern auch, wie sensibel die Daten sind. Und das ist bei Gesundheitsdaten natürlich der Fall.
Außerdem müssen die betroffenen Personen unverzüglich informiert werden, wenn ein hohes persönliches Risiko für sie besteht, also zum Beispiel ein verloren gegangener Datenträger nicht ausreichend verschlüsselt war.
Folgende Grundprinzipien garantiert der EU-Datenschutz
Diesen Beitrag teilen