Datenschutzrecht

Vielzahl neuer Regelungen und Anforderungen für die MedTech-Unternehmen

 

BVMED-PRESSEMELDUNG 08/18

 

Donnerstag, 08.02.2018

 

 

 

 

MedInform-Konferenz zum neuen Datenschutzrecht: "Vielzahl neuer Regelungen und Anforderungen für die MedTech-Unternehmen"

 

Berlin / Köln | Der Countdown läuft: Am 25. Mai 2018 ersetzt die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) das bislang geltende Bundesdatenschutzgesetz (BDSG) als unmittelbar geltendes Recht. Parallel dazu gilt ab dem 25. Mai 2018 eine neue Fassung des BDSG. Das neue Datenschutzrecht bringt für die Medizinprodukte-Unternehmen eine Vielzahl neuer Regelungen und Anforderungen mit sich. Dazu gehören geeignete technische und organisatorische Maßnahmen gegen Cyber-Angriffe, das Führen eines Verzeichnisses aller technischen und organisatorischen Daten-Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und dokumentierte Nachweise, wie die Datenschutzregelungen eingehalten werden sollen. Darauf machten die Experten der MedInform-Konferenz "Datenschutz im Gesundheitswesen" am 7. Februar 2018 in Köln aufmerksam. MedInform ist der Informations- und Seminarservice des BVMed.

Die gesetzlichen Vorgaben müssen dabei zeitnah umgesetzt werden, um drastisch erhöhte Bußgelder zu vermeiden. Denn bei Verstoß drohen dem Unternehmen Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro. "Die MedTech-Unternehmen brauchen eine gute Compliance im Datenschutzbereich! Der Datenschutzbeauftragte wird im Unternehmen an Bedeutung gewinnen", so Rechtsanwalt Dietmar Corts. Die Prinzipien der Datenverarbeitung wie Zweckbindung und Datensparsamkeit haben sich dabei gegenüber dem alten Recht nicht verändert, so Rechtsexpertin Maria Heil. Für die Verarbeitung von personenbezogenen Daten muss jedoch eine Einwilligung des Betroffenen vorliegen. Rechtsanwalt Dr. Gunnar Sachs empfahl den Unternehmen bei Medical Apps und eHealth-Lösungen in den Verträgen klar zu regeln, wem die Daten gehören und dass datenschutzrechtliche Regelungen eingehalten werden müssen.


Jan Müller-Lisse, Leiter der Rechtsabteilung beim Medizinprodukte-Hersteller Lohmann & Rauscher, führte in die neue EU-Datenschutz-Grundverordnung und deren Rechtsnatur ein. Die neue EU-Verordnung löst die bisherige EU-Datenschutz-Richtlinie ab und ist unmittelbar geltendes Recht. Die bestehenden nationalen Öffnungsklauseln hat die Bundesregierung in einem angepassten Bundesdatenschutzgesetz umgesetzt, das ebenfalls ab Ende Mai 2018 gilt. In seiner Struktur und den verwendeten Begriffen ähnelt die EU-Verordnung dem bisherigen deutschen Gesetz, da Deutschland einen großen Einfluss auf das neue europäische Regelwerk hatte, so Müller-Lisse. Der Rechtsexperte rät den Medizinprodukte-Unternehmen, zunächst ein Verfahrensverzeichnis zu erstellen, welche Daten im Unternehmen verwendet werden. Außerdem sollten die Unternehmen eine "Gap-Analyse" vornehmen: Was habe ich bislang getan? Was muss ich noch tun, um DSGVO-konform zu werden?

Christopher Götz
, Rechtsanwalt bei Simmons & Simmons in München, ging auf das rechtliche Umfeld beim Datentransfer in Cloud Computing-Lösungen ein. Das Thema ist sehr relevant, da Datenübermittlung in der digitalisierten und globalisierten Welt gerade im Gesundheitsbereich allgegenwärtig ist. Beim Cloud Computing verzichtet das Unternehmen auf den Aufbau einer eigenen IT-Infrastruktur und greift auf Systeme Dritter zurück. Hier genügt eine Anbindung ans Internet. Eine Wartung sowie Updates sind nicht erforderlich, sie werden automatisch im Hintergrund vollzogen. Dabei stellt sich die Frage: Gilt der datenschutzrechtliche Grundsatz "Verbot mit Erlaubnisvorbehalt" auch für eine solche Datenübermittlung und gelten Besonderheiten bei Patientendaten? Seine Antwort: Auch eine solche Datenübermittlung, beispielsweise beim Analysetool "Google Analytics", ist nur rechtmäßig, wenn eine Einwilligung oder ein Erlaubnistatbestand vorliegt. Denn auch IP-Adressen sind personenbezogene Daten, so Götz. Bei Verstoß drohen dem Unternehmen Sanktionen von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro. Bei der Auftragsdatenverarbeitung über Cloud-Lösungen wie Microsoft Office 365 oder SalesForce bedarf der Datentransfer weder eines Erlaubnistatbestands noch einer Einwilligung. Diese Priviligierung der Auftragsdatenverarbeitung ist nach geltender Rechtsmeinung auch unter dem neuen Recht gegeben. Voraussetzung ist, dass es sich um eine vollständig weisungsgebundene Datenverarbeitung handelt. Auch bei Patientendaten ist die Einschaltung von Auftragsdatenverarbeitern, also von IT-Dienstleistern, zulässig. Das gilt beispielsweise für die Wartung medizintechnischer Geräte oder den Einsatz von Cloud Computing-Lösungen. Der "Auftragsverarbeiter" ist dabei verpflichtet, "geeignete Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung zu ergreifen". Auftraggeber und Auftragsverarbeiter haften dafür "gesamtschuldnerisch".

Bei Datenübermittlung in Drittländer muss ein angemessenes Datenschutzniveau vorliegen. Adäquate Datenschutzniveaus sind beispielsweise festgestellt für Australien, Kanada oder die Schweiz. Für die USA muss eine Zertifizierung nach dem "Privacy Shield" vorliegen. Für Länder wie China, Indien, Brasilien, Japan und Russland müssen EU-Standardvertragsklauseln verwendet werden.

Maria Heil von NOVACOS Rechtsanwälte empfahl den Unternehmen, zunächst eine Bestandsaufnahme der vorhandenen Daten, insbesondere von personenbezogenen Daten vorzunehmen. Dazu gehören klinische Studiendaten, aber auch CRM-Systeme, die beispielsweise Kunden auf Ärzteseite erfassen. Ein Zugriff auf das CRM-System ist bereits eine "Datenverarbeitung". Die Prinzipien der Datenverarbeitung wie Zweckbindung, Datensparsamkeit oder Richtigkeit sind dabei gegenüber dem alten Recht unverändert geblieben. Es gilt dabei das Prinzip "Verbot mit Erlaubnisvorbehalt". Zu den Rechtfertigungsgründen gehören die Einwilligung, Daten zu einer Vertragserfüllung, rechtliche Verpflichtungen oder der Schutz lebenswichtiger Interessen. Die Einwilligungserklärung in die Verwendung von Daten muss bereits den Verwendungszweck erhalten. Über das notwendige Maß, um den Zweck zu erfüllen, darf dabei nicht herausgegangen werden. Die Datenerfassung muss also auf das "allernötigste" beschränkt werden. Eine Generaleinwilligung kann dabei nicht erfolgen. Die Einwilligung muss dokumentiert werden, um die Beweisbarkeit sicherzustellen. Die Rechte der Betroffenen sind durch die DSGVO gestärkt worden. Dazu gehören die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch.

Hartmut Scheidmann von Redeker Sellner Dahs Rechtsanwälte ging auf die besonderen Anforderungen an sensible personenbezogene Daten wie beispielsweise Daten zur Gesundheit ein. "Gesundheitsdaten" werden in der DSGVO definiert als personenbezogene Daten, "die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen". Damit sind auch alle Daten zur Erbringung von Gesundheitsdienstleistungen erfasst, aber immer mit Bezug zum Gesundheitszustand. Die Einwilligung muss sich speziell auf Gesundheitsdaten beziehen. In Bezug auf Herstellung, Inverkehrbringen und Überwachung von Medizinprodukten ist die Verarbeitung von Gesundheitsdaten zulässig, wenn sie für die Gewährleistung hoher Qualitäts- und Sicherheitsstandards erforderlich ist, Berufsgeheimnisse gewahrt werden sowie angemessene Maßnahmen des Datenschutzes eingehalten werden. Zudem können dem Medizinprodukte-Unternehmen individuelle Erlaubnisse zur Verarbeitung von Gesundheitsdaten gegeben werden.

Datenschutzrechtliche Herausforderungen bei der Entwicklung und Markteinführung digitaler Therapiemodelle beleuchtete Rechtsanwalt Dr. Gunnar Sachs, Partner bei Clifford Chance in Düsseldorf. Bei der Entwicklung von eHealth-Lösungen und Medical Apps spielen personenbezogene Datenströme zwischen Medizinprodukte-Unternehmen, Software-Unternehmen und Ärzten bzw. Krankenhäusern auf allen Ebenen eine große Rolle. Bereits bei der Beauftragung und der Entwicklung der Software müssen die datenschutzrechtlichen Anforderungen berücksichtigt werden. Wichtig ist auch, in den Verträgen zu regeln, wem die Rechte an den Daten gehören. Klare vertragliche Regelungen sind umso bedeutender, da die Sektoren und Rechtsbereiche immer mehr verschwimmen und sich neue rechtliche Kategorien mit Blick auf "Intellectual Property" und Datenschutz entwickeln.

Rechtsanwalt Dietmar Corts ging auf die Rechtsfolgen und Sanktionen bei Verstößen gegen datenschutzrechtliche Regelungen ein. Geldbußen von bis zu 4 Prozent des Gesamtumsatzes eines Unternehmens sind zulässig. Im datenschutzrechtlichen Bereich wird damit bereits über Milliardenbußgelder gesprochen. Von Verbraucherschützern wurde schon früher gefordert, Kartellrecht und Datenschutzrecht miteinander zu verbinden. Datenschutzverstöße sollten auch als Marktmissbrauch behandelt werden. Datenschutzverletzungen bei personenbezogenen Daten müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Der Strafrahmen bei schwerwiegenden vorsätzlichen Verstößen kann bei bis zu drei Jahren Freiheitsstrafe liegen. Hinzu kommen Schadensersatzleistungen bei Datenschutzverstößen. Corts: "Wegen dem außergewöhnlich hohen Bußgeldrahmen und wegen der Vielzahl der zu erfüllenden Pflichten muss die weitere Behandlung der Datenverarbeitung im Unternehmen eingehend mit dem jeweiligen Datenschutzbeauftragten abgestimmt werden. Die Unternehmen müssen sicherstellen, dass sie ihre datenschutzrechtlichen Pflichten in vollem Umfang erfüllen."

Unternehmensberater Jürgen Labusch wies darauf hin, dass die Unternehmen nach der DSGVO verpflichtet sind, ein Verzeichnis aller technischen und organisatorischen Verarbeitungstätigkeiten zu führen. Das Verzeichnis der Verarbeitungstätigkeiten löst das öffentliche Verfahrensverzeichnis und die interne Verfahrensübersicht ab. Neu ist, dass das Verzeichnis auch von Dienstleistern (Auftragsverarbeitern) geführt werden muss. Da MedTech-Unternehmen mit Gesundheitsdaten umgehen, gelten die Bestimmungen auch für kleinere Unternehmen mit weniger als 250 Mitarbeitern, für die es ansonsten Ausnahmen gibt. Das Verzeichnis muss Aufsichtsbehörden auf Verlangen zur Verfügung gestellt werden. Die Aufzeichnungen sind schriftlich zu führen, ein elektronisches Format genügt den Anforderungen. Zum Verfahrensverzeichnis gehören neben den Kontaktdaten des Datenschutzbeauftragten auch der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten oder eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Ein weiteres wichtiges Thema für die Unternehmen ist die Datenschutz-Folgeabschätzung (DSFA). Sie muss durchgeführt werden, wenn "voraussichtlich ein hohes Risiko zu erwarten ist", insbesondere bei der Verarbeitung von Gesundheitsdaten. Eine DSFA ist auf jeden Fall erforderlich, wenn biometrische Daten oder die Daten von Kindern verarbeitet werden. Zur Analyse gehören die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen sowie geplante Abhilfemaßnahmen. Die Ergebnisse der Datenschutz-Folgenabschätzung beeinflussen wiederum die Auswahl geeigneter technischer und organisatorischer Maßnahmen.

Die Nachweispflichten und den Umgang mit Datenpannen aus der Sicht eines Unternehmens thematisierte Peter Berg, Datenschutzleiter Deutschland bei B. Braun. Bei jedem Prozess, in dem personenbezogene Daten verarbeitet werden, müssen die Unternehmen dafür sorgen, dass die Datenschutzgrundsätze eingehalten werden. Die Einhaltung muss nachgewiesen werden. "Selbst wenn die Verarbeitung richtig läuft, ist ein fehlender Nachweis bußgeldbewährt", so Berg. Die MedTech-Unternehmen haben damit eine Rechenschaftspflicht: "Die Nachweispflicht liegt beim Unternehmen!". Die offene Frage ist, wie weit dieser Nachweis gehen muss. Für den Umgang mit Datenpannen muss es im Unternehmen klare Handlungsanweisungen geben. Dazu gehören ein Meldebogen, eine Analyse der Datenpannen in einem Krisenteam sowie klare Meldungswege und eine Reflektion des Vorgangs sowie eine daraus folgende Weiterentwicklung der Handlungsanweisungen.

Hinweis an die Medien: Druckfähige Bilder zur Konferenz können unter www.bvmed.de/bildergalerien heruntergeladen werden.

 

Quelle: https://www.bvmed.de/de/bvmed/presse/pressemeldungen/medinform-konferenz-zum-neuen-datenschutzrecht-vielzahl-neuer-regelungen-und-anforderungen-fuer-die-medtech-unternehmen 

 

 

Dr. Hekmat CONSULTING

Consulting   & Interim Management

Quality Management & Regulatory Affairs  Medical Devices & Combination products

 

Since 1994, effective Strategic & Operative experience in Quality Management & Regulatory Affairs for Medical Devices industry, within the fields of Ophthalmology, Neuro-stimulation, Vascular Intervention, Cardiology, Heart Surgery, Orthopedics, Dental Care, Modern Wound Care, Regional Anesthesia, Minimal Invasive Surgery, Navigated Robotic Surgery, CT & NMR digital Imaging (3D), and in vitro Diagnostics.

Technical Documentation (DHF, DMR, DHR) including Analysis & Evaluation of Product Function & Safety, Biocompatibility, Packaging, Labeling (UDI), Sterilization, Laboratory results, Software & Hardware.

Compliance to applicable Standards (ISO, IEC, EN, MIL).

Manufacturing Process Verification, Validation (IQ, OQ, PQ).

Product & Production-process Risk Management (Risk Analysis & Risk Control), including Additive Manufacturing. 

Clinical Evaluation, Organization of global multicenter Clinical Studies.

Audits of Production Processes & Suppliers.

Medical Device Reporting to Competent Authorities (e.g. BfArM, FDA).

Corrective And Preventive Action (CAPA) / Non-Conformity (NC) / corrective Project.

On site Support in Notified Body audits, and FDA inspections.

Effective management leading to a multitude of marketing approvals in the EU, Americas (FDA), & Asia, including Reimbursement schemes.

 

 

Dr. Hekmat CONSULTING

www.hekmat-consulting.de

 

USt-ID Nr.: DE295239280

 

Im Brühl 10/1, 72144 Dusslingen, Germany  (Stuttgart area)

Email:

anusch.hekmat@gmail.com

hekmat@hekmat-consulting.de 

secure email: A.Hekmat@protonmail.ch

Mobile: +49 170 8530715 

Phone:  +49 7072 800 5600 

Skype: anuschirawan.hekmat

https://www.linkedin.com/in/anusch-hekmat-phd-648a9423/

qr code

Empfehlen Sie diese Seite auf:

www.linkedin.com www.xing.com
Druckversion Druckversion | Sitemap
© Anuschirawan Hekmat