Wie können der Pharmazie- und Medizinproduktesektor sowie das Gesundheitswesen solche Daten gesetzeskonform erfassen?
Der Pharmazie- und Medizinproduktesektor sowie das Gesundheitswesen verwerten eine Breite an sensiblen persönlichen Daten. Sie müssen sich daher an die speziellen Vorgaben für die Verarbeitung von gesundheitsbezogenen Daten nach der Datenschutz-Grundverordnung (DSGVO) halten, welche ab 25. Mai 2018 Anwendung findet. Die DSGVO gilt dann an Stelle der sich aktuell in Kraft befindlichen Regelungen als einzelnes gesamteuropäisches Recht für Datenschutz.
Ab Mai 2018 werden Unternehmen, die gesundheitsbezogenen Daten sammeln und nutzen, auf eine rechtmäßige Umsetzung des Erfassens von persönlichen und sensiblen Daten angewiesen sein.
Persönliche gesundheitsbezogene Daten werden weiterhin als sensible persönliche Daten behandelt und setzen die explizite Zustimmung der betreffenden Person voraus. Dabei wurde der Datenbegriff erweitert und umfasst nun auch biometrische und genetische Daten. Die DSGVO verdeutlicht, dass die Verarbeitung von sensiblen Daten ohne explizite Zustimmungserklärung verboten ist. Sonderfälle bilden Mitgliedsstaaten die eine Verarbeitung von Daten auf der Grundlage von Zustimmungen verboten haben. Ansonsten gibt es nur sehr beschränkte Ausnahmen.
Die Datenschutz-Grundverordnung verlangt zur wirksamen Zustimmung: eine frei-gewährte, konkrete, nach vorheriger Informierung gegebene und unmissverständliche Angabe des Willens der jeweiligen Person (zum Beispiel „active opt-in“ – Zustimmung). Es ist Aufgabe der Unternehmen, darzustellen, dass die Zustimmung ordentlich erteil wurde. Unternehmen müssen Nachweise erbringen, dass sie die entsprechende Zustimmung der jeweiligen Person erhalten haben. Die Zustimmung muss einfach zugänglich sein (nicht versteckt) und eine einfache Sprache gebrauchen, die für die betroffene Person leicht verständlich ist. Betroffenen Personen muss es möglich sein, die Zustimmung in der gleichen (oder einer vergleichbaren) Weise zu widerrufen, in der sie erfolgte. Die Unternehmen müssen dabei besonders auf die Wortwahl der Zustimmung achten und was mit ihr in Wirklichkeit gemeint ist.
Neben der Zustimmung als rechtlichen Grund ist das Erfassen und die Verarbeitung / Verwendung gesundheitsbezogener Daten ferner aufgrund eines Vertrages mit Gesundheitsexperten (Personen die nach dem Gesetz der Verschwiegenheitspflicht unterfallen) zulässig, wenn die Verarbeitung notwendiges Ziel ist für die präventive Medizin oder Berufsmedizin, medizinische Diagnosestellung, Gesundheitsversorgung sowie Sozialbetreuung oder – behandlung, Management von Gesundheits – oder Sozialeinrichtungen (das Gesundheitswesen).
Die DSGVO stellt klar, dass es unrealistisch ist, von Wissenschaftlern zu fordern, in einer Zustimmungsvorlage zum Zeitpunkt der Datenerhebung alle Zielrichtungen der Erfassung und Verarbreitung aufzulisten. Daher sollte es den Datenschutzsubjekten erlaubt sein, ihre Zustimmung zu spezifischen wissenschaftlichen Forschungen zu geben, wenn dies der ethischen Grundlagen der Forschung entspricht. Somit können Unternehmen als Rechtsgrund auch wissenschaftliche Forschung angeben, wenn die Datenverarbeitung gesetzeskonform erfolgt.
Allerdings können sich Unterschiede daraus ergeben, dass Mitgliedsstaaten eine bestimmte Freiheit besitzen, eigene Vorschriften zu erlassen – inklusive der Bestimmungen zur Verarbeitung persönlicher Daten zum Zweck der Forschung. Den Mitgliedsstaaten ist es ebenfalls erlaubt, weitere Bestimmungen bezüglich der Verarbeitung von sensiblen persönlichen Daten, insbesondere bezüglich Gesundheitsdaten, einzuführen.
Fazit:
Zahlreiche Neuerungen gehen Hand in Hand mit erhöhten Anforderungen, erhöhten Bußgeldern und Haftungsrisiken. Daher sind Pharmazie- und Medizinprodukteunternehmen sowie das Gesundheitswesen gut beraten, die Neuregelungen hinsichtlich der Verarbeitung personenbezogener Daten in der Praxis umzusetzen. Diese neue Gesetzgebung zwingt Unternehmen tatsächlich und standardisiert Datenschutz in v verschiedenen Prozessen im Unternehmen einzubauen, im Falle von riskanten und groß angelegten Projekten eine Bewertung hinsichtlich verwendeter Daten vorzunehmen und die Implementierung datenschutzfreundlicher Arbeitsweisen, wie Pseudonymisierung, Datenminimierung und Verschlüsselung umzusetzen.
Auch die nationale Rechtsentwicklung darf hierbei nicht außer Acht gelassen werden, weil Mitgliedsstaaten weitergehende Bestimmungen erlassen könnten, die Anwendung auf gesundheitsbezogene Datenverarbeitung finden.
Achtung: Würden Sie diese Fragen gern breiter diskutieren? Dann laden wir Sie gern zu unserem Geschäftsfrühstück „Datenschutz-Grundverordnung: Wie sollten der Pharmaziesektor und das Gesundheitswesen persönliche Daten richtig erfassen“ am 14. Dezember 2017 ins Büro von bnt attorneys in CEE Vilnius ein. Weitere Informationen in Kürze auf www.bnt.eu.