Die vor wenigen Wochen eingeführte EU-Datenschutz-Grundverordnung hat mitunter gravierende Auswirkungen auf die Arbeit von Medizinprodukteherstellern, Biotech-Firmen sowie Arztpraxen und Krankenhäusern. Der Umgang mit sensiblen Daten erfordert neue Anstrengungen und Ressourcen. Das sollte weder zu Problemen in der Versorgung, noch zu Lasten von Marktchancen gehen.
Verstöße gegen die neue EU-Datenschutz-Grundverordnung können teuer werden: Bis zu 20 Mio. EUR oder 4% des Gesamtkonzernjahresumsatzes des Vorjahres können fällig werden, wenn Unternehmen gegen die Vorgaben aus Brüssel verstoßen. Gerade für kleinere und mittlere Unternehmen könnte diese Regelung einem Todesstoß gleichkommen. Doch der Umgang mit sensiblen Daten ist für gerade für Medizinproduktehersteller, ebenso wie für Ärzte und Krankenhäuser zum alltäglichen Geschäft. Insbesondere die datenverarbeitenden Produkte und Technologien der Medizintechnik-Branche machen es für die Hersteller unumgänglich, sich eingehender mit der Thematik zu beschäftigen. Denn diese muss nicht zuletzt bei der Erforschung und Entwicklung neuer Produkte mehr denn je berücksichtigt werden. Dabei spielt es übrigens keine Rolle, ob die Daten elektronisch erhoben und gespeichert werden oder manuell.
Vielfältige Anforderungen
Die Anforderungen der neuen Verordnung sind vielfältig: Dazu gehören beispielsweise technische und organisatorische Maßnahmen gegen mögliche Cyber-Angriffe, ein Verzeichnis aller technischen und organisatorischen Daten-Verarbeitungstätigkeiten oder dokumentierte Nachweise, wie die Datenschutzregelungen eingehalten werden sollen. Nicht nur angesichts der erwähnten drohenden Bußgelder wird der Datenschutz-Beauftragte im Unternehmen künftig enorm an Bedeutung gewinnen, allein die praktische Umsetzung erfordert entsprechende personelle, organisatorische und in vielen Fällen auch finanzielle Ressourcen. Dies gilt insbesondere für Produkte und Technologien aus dem E-Health-Bereich. Dort, wo Nutzer und Patienten ihre persönlichen Daten freigeben, ob über die Fitness-App oder im Rahmen der Diabetes-Vorsorge, sollten Unternehmen in den nötigen Verträgen klare Regelungen darüber treffen, wem die Daten gehören und welche datenschutzrechtlichen Bedingungen unbedingt eingehalten werden müssen.
Ein Vorteil für heimische Hersteller mag sein, dass Deutschland bei der Erstellung der neuen EU-Verordnung einen großen Einfluss hatte. Die EU-Verordnung ähnelt zuweilen der bisherigen deutschen Gesetzgebung, so dass ein komplettes Neuland zumindest in großen Teilen vermieden werden kann. Trotzdem sind sich manche Hersteller nicht im Klaren darüber, welche Daten im Unternehmen überhaupt vorhanden und verwendet werden. Hier sollte schnell Klarheit geschaffen werden. Das betrifft schließlich auch die Speicherung von Daten in immer prominenter werdenden Cloud-Lösungen. Hier sind strikte Vereinbarungen zwischen Auftraggeber und Auftragnehmer zu regeln und zu beachten.
Theoretische Hilfe vs. praktische Umsetzung
Die Unternehmen sind verpflichtet, sich selbst über aktuelle technische Entwicklungen und den „Stand der Dinge“ zu informieren. Konkrete Hinweise gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI), etwa über einen Grundschutzkatalog oder technische Richtlinien, die regelmäßig aktualisiert werden. Darein enthalten sind auch Mindeststandards. Weitere Unterstützung gibt, neben einigen Fachverbänden, auch die Aufsichtsbehörde für Datenschutz. Ein Nachteil der neuen EU-Verordnung ist freilich, dass sie bislang über keinen zertifizierten Standard verfügt. Eine erste Orientierungshilfe bilden beispielsweise die Zertifikate zur Informationssicherheit nach ISO 27001. Alles in allem erhalten Hersteller damit eine gute Orientierung und Anleitung darüber, was im Rahmen der neuen Datenschutz-Grundverordnung zu beachten ist. Die praktische Umsetzung allerdings obliegt den Unternehmen selbst. Und dies beinhaltet mitunter auch die Suche nach einem passenden Dienstleister für die notwendigen IT-Systeme oder deren Umrüstung. Und nicht zuletzt sollte nicht vergessen werden, dass sich Software und IT mitunter rasend schnell weiterentwickeln. So kann der heute noch aktuelle Stand der Technik schon morgen hoffnungslos veraltet sein.
Fazit
Hersteller von Medizinprodukten arbeiten mit sensiblen Daten. Diese müssen nicht nur von Natur aus besonders geschützt werden, sondern seit knapp einem Monat auch auf Grundlage der neuen EU-Datenschutz-Grundverordnung. Verstöße gegen die Verordnung können teuer werden. Doch dazu muss es nicht kommen. Denn so vielfältig die Anforderungen an die Hersteller auch sind, es gibt Richtlinien und Hilfen, an denen sich die Unternehmen orientieren können. Die Bereitstellung notwendiger Ressourcen mag eine weitere Herausforderung sein, ebenso die Pflicht zur praktischen Umsetzung. Doch gibt es auch versierte Dienstleister, die in den meisten Fällen Abhilfe verschaffen können.