EU-Datenschutzgrundverordnung – Herausforderung für Lifesciences-Branche

4.8 von 5 Sterne, 6 Bewertungen

Checkliste: Daran müssen Sie in Sachen DSGVO noch denken

Erstens: Kaum eine Branche arbeitet mit so sensiblen Daten wie die Lifesciences-Industrie. Zweitens: Gerade Patientendaten und deren Schutz stehen immer wieder im Fokus der Öffentlichkeit und der Aufsichtsbehörden. Und drittens: Im Falle eines Datenschutzverstoßes hat die Branche hohe Bußgelder zu befürchten. Diese Punkte machen die Umsetzung der EU-Datenschutzgrundverordnung so essenziell wichtig für die Lifesciences-Industrie. Die Zeit, bis die DSGVO (engl. GDPR) am 25. Mai 2018 umgesetzt sein muss, ist knapp. Deshalb sollten sich Pharma- und Medizintechnikunternehmen jetzt dringend folgende Fragen stellen:

-    Habe ich alle Vorkehrungen für die Umsetzung der Verordnung getroffen?
-    Wo sind noch Lücken?
-    Welche Baustellen muss ich noch angehen, um einen Verstoß gegen die DSGVO zu vermeiden?

GAP- und Risikoanalysen, eine koordinierte Vorgehensweise und eine gute Zusammenarbeit zwischen Geschäftsführung, Datenschutzbeauftragten und Fachabteilungen sind hier notwendig. Wenn Sie gerade mitten im DSGVO-Projekt sind, hilft Ihnen die angefügte Checkliste zum Download dabei, nichts Wesentliches zu vergessen.

Die wichtigsten Informationen zur EU-Datenschutzgrundverordnung

Ab dem 25. Mai 2018 regelt die DSGVO die Verarbeitung personenbezogener Daten und harmonisiert damit EU-weit die derzeitigen nationalen Gesetzgebungen. Betroffen sind alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Bei Nichteinhaltung der EU-Verordnung droht ein Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr und maximal 20 Millionen Euro. Damit sind die Sanktionen wesentlich schärfer gegenüber dem alten Bundesdatenschutzgesetz.

Neue Anforderungen der EU-Datenschutzgrundverordnung

  • Eine der wichtigsten Neuerungen ist die Auskunftspflicht. Unternehmen müssen künftig auf Anfrage Betroffenen darlegen können, welche Daten woher, zu welchem Zweck erhoben und verarbeitet werden, ob und wenn ja an wen sie weitergegeben und wann sie wieder gelöscht werden.
  • Das Recht auf vergessen wird gestärkt.
  • Will ein Nutzer nicht, dass seine Daten weiterverarbeitet werden, müssen sie gelöscht werden.
  • Betroffene müssen künftig aktiv einer Verarbeitung ihrer persönlichen Daten zustimmen, statt ihr aktiv zu widersprechen.
  • Bei Datenverlust, beispielsweise durch eine Cyberattacke, müssen Unternehmen den Vorfall der Aufsichtsbehörde so schnell wie möglich melden. Sie haben dafür maximal 72 Stunden Zeit (Meldepflicht).


Unternehmen aus der Lifesciences-Industrie stehen hinsichtlich der DSGVO vor einer besonderen Herausforderung. Denn gemäß Art. 9 Abs. 1 der DSGVO ist die Verarbeitung von sensiblen personenbezogener Daten grundsätzlich untersagt. Zu diesen sensiblen Daten gehören neben den Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, auch genetische-, biometrische- sowie Gesundheitsdaten. Unternehmen die z.B. individualisierte, mRNA-basierte  Immuntherapien gegen Krebs und andere Krankheiten entwickeln oder personalisierte Gelenkprothesen fertigen, sind jedoch auf diese Daten angewiesen, um den Patienten helfen zu können. In Abs. 2 wird das Verbot der Verarbeitung von sensiblen Daten zwar aufgehoben – aber nur wenn gewisse Bedingungen erfüllt sind. Dazu gehören das Einverständnis der betroffenen Person und die Erforderlichkeit der Datenverarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik. Das bedeutet, dass es eine der wichtigsten Vorkehrungen für betreffende Unternehmen sein muss, das Einverständnis der Personen in einer juristisch einwandfreien Form vorliegen zu haben. Zudem muss für alle Daten nachgewiesen werden können, dass sie der Gesundheitsvorsorge oder der Diagnostik dienen. Sollten hier noch Lücken bestehen, ist es ratsam, deren Schließung die höchste Priorität einzuräumen.

Kennen Sie das Risiko

Die DSGVO setzt voraus, dass die Unternehmen durch geeignete technische und organisatorische Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten. Je höher die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten einer Person sind, desto höher muss das Sicherheitsniveau sein. Dabei gilt es, den Stand der Technik und die Implementierungskosten zu berücksichtigen. Um die Auswirkungen von Datenschutzverstößen zu analysieren ist daher gemäß Art. 35 Abs. 1 DSGVO die Durchführung von Datenschutz-Folgeabschätzungen gefordert (bisher bekannt als Vorabkontrolle § 4d Abs. 5 BDSG). Diese sollten Lifesciences-Unternehmen für die unterschiedlichen zu verarbeitenden Daten erstellen und entsprechende Maßnahmen umsetzen.

Wenn Sie gerade mitten im DSGVO-Projekt sind, hilft Ihnen diese Checkliste dabei, nichts Wesentliches zu vergessen.

Pflichtfelder sind mit einem Stern (*) markiert.

Anrede

Benutzeranmeldung

Geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein, um sich anzumelden. Pflichtfelder sind mit einem Stern (*) markiert.

 

Bildquelle: © santiago silver, Fotolia  


Sie möchten mit dem Autor Kontakt aufnehmen?
Schreiben Sie an d.zurzevic@how2lifescience.com

Kommentare

4.8 von 5 Sterne, 6 Bewertungen

Es gibt noch keine Kommentare

Kommentar hinterlassen

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

Einverstanden