Anforderungen des Datenschutzes an die Dokumentation von Medizinprodukten

Im Rahmen des Lebenszyklus eines Medizinproduktes von der ersten Produktidee und Konzeptionierung über die Entwicklung und Erprobung bis hin zum Betrieb und zur Wartung sind durch die Europäische Datenschutz-Grundverordnung (EU-DSGVO) und die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) umfangreiche Dokumentationsanforderungen aufgestellt. Vor dem Hintergrund der mittlerweile empfindlichen Bußgelder und Sanktionen hat sich bei vielen Unternehmen eine Vorgehensweise etabliert, bei der nach dem „Better- safe-than-sorry“-Prinzip im Zweifel lieber mehr dokumentiert wird, als dies rechtlich tatsächlich notwendig wäre. Dabei sind es gerade die widersprüchlichen und unpassenden Dokumente und Vorlagen, die die Aufmerksamkeit der Betroffenen und folglich auch der Aufsichtsbehörden auf sich lenken. Zu viel Dokumentation und falsch platzierte Schutzmaßnahmen hemmen zudem die Umsetzung der Geschäftsprozesse, arbeiten gegen den Absatz des Medizinproduktes und verschlechtern somit die unternehmerischen Erfolgsaussichten.

Es ist besonders wichtig, einen Überblick darüber zu behalten, welche Dokumentation in welcher Detailtiefe an welcher Stelle und zu welchem Zweck gefordert ist. Dabei sollte sich die Geschäftsführung des Unternehmens möglichst auf die Effizienz der Umsetzung von Geschäftsprozessen konzentrieren. Bei einer adäquaten Berücksichtigung der datenschutzrechtlichen Anforderungen kann ein praxiserfahrener Berater, der sowohl mit der prozessualen als auch mit der juristischen Ebene des Datenschutzes vertraut ist, am effektivsten unterstützen.

Betrachtet man die Entstehungs- und Betriebsphasen eines Produktes, kann man diese in Form eines VO-Modells darstellen. Im initialen V-Teil (links in der Abbildung) erfolgt dabei die Produktentwicklung und der nachgelagerte O-Teil (rechts in der Abbildung) stellt die zyklisch angeordneten, wiederkehrenden Betriebsprozesse dar. Nun kann man die Fülle der datenschutzrechtlichen Dokumentation wie folgt über die Phasen legen:

• Während der Initialphase „Produkt-Design“ muss der zuständige Beauftragte für den Datenschutz (DSB) des Unternehmens eingebunden werden, um über das Entstehen eines neuen Produktes, welches besondere Kategorien von pbD verarbeiten soll, informiert zu werden. Eventuell kann der DSB dann bereits eine erste Einschätzung über die Rechtmäßigkeit und die Zulässigkeit der Verarbeitung geben, so dass Design-Ideen frühzeitig den Compliance-Anforderungen angepasst werden können.
• Während der Entstehungsphase wird das Produkt maßgeblich entwickelt. Hierbei sollten die dem Produkt zugrunde gelegten Prozesse und Verfahren bezüglich der verarbeiteten pbD auf die Einhaltung der Grundsätze des Datenschutzes überprüft werden. Der DS-Experte würde dabei zu jedem der sechs Grundprinzipien jeweils eine kurze Stellungnahme abgeben, wie durch das Produkt diese Prinzipien gewahrt werden. Die Grundprinzipien sind in der EU-DSGVO wie folgt definiert:

• Während der technischen Implementierung des Produkts kann der DS-Experte den Eintrag in das Verfahrensverzeichnis und die Verfahrensbeschreibung erstellen. Hierzu muss er die Vorgaben im Artikel 30 EU-DSGVO beachten. An dieser Stelle kann auch der Datenschutzhinweis für die zukünftigen betroffenen Nutzer des Produkts entwickelt werden, da erst jetzt klar wird, was mit dem Produkt in welcher Art und Weise erzielt werden soll, wohin die Daten wie übertragen werden und an wen diese ggf. zur Unterverarbeitung weitergegeben werden.
• Während der Testphase des Produktes kann sich der DS-Experte, ggf. auch zusammen mit dem DSB, auf Basis der zuvor erstellten Verfahrensbeschreibung eine Prüfung der Notwendigkeit zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA) anstellen. Dem Ergebnis dieser Prüfung folgend wird eine solche Abschätzung der Risiken für die Rechte und Freiheiten der Betroffenen, deren pbD zukünftig durch das Produkt verarbeitet werden sollen, erstellt. Gerade dieser Vorgang ist aufwandsmäßig nicht zu unterschätzen. Durch das Einbeziehen und Wiederverwenden der in vorhergehenden Phasen ordentlich erstellten und abgelegten Dokumentation kann man den Aufwand für diesen Schritt signifikant begrenzen.
• Kurz vor dem Go-live gibt es in der Regel noch einen Abnahmetest. Während das Produkt also in seiner finalen Fassung vorhanden ist und hoffentlich seinen vorgesehenen Zweck erfüllt, kann die DSFA um eine Risikoanalyse ergänzt werden. Anders als bei einer gewöhnlichen Risikoanalyse für IT-Systeme oder Geschäftsvorhaben liegt hier der Fokus nicht auf den vermeintlichen Verlusten der IT-Systeme, der Geschäfts- und Betriebsfähigkeit oder von finanziellen oder personellen Mitteln, sondern auf den Risiken für die Rechte und Freiheiten der betroffenen Personen aufgrund eines unzureichenden Schutzes von personenbezogenen Daten im Rahmen der Datenverarbeitung durch das Produkt.
• Die EU-DSGVO sieht für unwahrscheinliche Fälle einer Verarbeitung von pbD, bei denen die Restrisiken immer noch nicht ausreichend mitigiert werden können und daher als untragbar für die Betroffenen und den Betreiber evaluiert werden, die Notwendigkeit, sich an die zuständige Datenschutz- Aufsicht zu wenden und Ratschläge für den Marktgang des Verarbeitungsverfahrens einzuholen.
• Während der Planungsphase im Betrieb des Produkts werden insbesondere Regeln und Vorgaben definiert, deren Einhaltung einen sicheren und gesetzeskonformen Umgang mit den im Produkt verarbeiteten pbD der Betroffenen sicherstellen soll. Es werden aber auch technische und organisatorische Maßnahmen (toM) festgelegt, welche die im Rahmen der Risikoanalyse identifizierten Risiken mitigieren.
• Die zuvor dokumentierten geplanten Vorhaben – Regeln und toM – müssen sich bei der eigentlichen Verwendung des Produktes wiederfinden. Die folgenden Kontrollsysteme sind beim Betrieb des Produktes mindestens zu berücksichtigen.

• Die Einhaltung von gesetzlich vorgegebenen Regelungen und die Wirksamkeit der definierten toM müssen in regelmäßigen Abständen kontrolliert und überprüft werden. Insbesondere die zur Datenverarbeitung eingesetzten Unterauftragnehmer, die sog. Auftragsverarbeiter, müssen nach einer initialen, sorgfältigen Auswahl auch regelmäßig auf die Einhaltung der vereinbarten toM kontrolliert werden. Diese Aufgabe lässt sich am besten auf einen externen in der Datenschutz-Auditierung fachkundigen Prüfer auslagern. Die Kosten solcher Prüfungen können im zuvor abgeschlossenen Auftragsverarbeitungsvertrag (AVV) dem Auftragsverarbeiter auferlegt werden.
• Sollten sich bei internen Prüfungen oder aus den durch unabhängige Dritte durchgeführten Audits der Auftragsverarbeiter oder der IT-Systeme des Produkts vermeintliche Unstimmigkeiten oder gar Compliance-Lücken ergeben, müssen zu deren Schließung Maßnahmen abgeleitet werden, welche mit einem Fälligkeitsdatum und einer eindeutigen verantwortlichen Person versehen sind. Sie sind dann zeitnah umzusetzen und sowohl die Effektivität als auch die Nachhaltigkeit der Umsetzung nachweislich zu dokumentieren.

Schlussendlich hilft die international anerkannte Norm ISO 27701 „Datenschutz-Informationsmanagementsystem (Privacy Information Management-System, PIMS)“ dem Unternehmen dabei, die Gesamtheit der datenschutzrechtlichen Dokumentation vollständig und revisionssicher vorzuhalten und bei Bedarf vorweisen zu können.

Mazars unterstützt Sie dabei, die Anforderungen des Datenschutzes bei der Entwicklung und beim Betrieb Ihrer Produkte zu erfüllen

Mazars verfügt sowohl im technisch-prozessualen als auch im juristischen Bereich über das Knowhow, Sie bei der Planung, der Definition, der Umsetzung und der Einführung eines Datenschutz-Informationsmanagementsystems (DSMS) nach den Vorgaben und Anforderungen der entsprechenden internationalen Norm DIN EN ISO/IEC 27701 zu unterstützen. Unsere auf diesem Fachgebiet praxiserfahrenen Berater und Prüfer helfen Ihnen gern dabei, den Datenschutz in Ihrem Hause regelkonform, praxistauglich und zeitgemäß auszugestalten. Unsere auf dem Gebiet des Medizinrechts erfahrenen Juristen arbeiten bereits heute bei mehreren Mandanten daran, die Compliance der Medizinprodukte und der Verarbeitungen mit dem geltenden Datenschutzrecht zu bewerten und sicherzustellen.

Wir freuen uns, Ihnen für Ihre Fragen zur Verfügung zu stehen.

Sprechen Sie uns an

Dies ist ein Beitrag aus unserem Health-Care-Newsletter 2-2021. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.