Die DSGVO kommt
Am 25. Mai tritt die neue Datenschutzgrundverordnung – kurz DSGVO – in Kraft. Es ist der erste Anlauf, europaweit ein einheitliches Gesetz zum Umgang mit personenbezogenen Daten zu schaffen. Auch für die Pharmabranche ergeben sich einige Änderungen, die jetzt umgesetzt werden müssen.
Ich habe mit Prof. Dr. Christoph Bauer, Datenschutz-Experte und Inhaber der ePrivacy GmbH, gesprochen und ihn gefragt, was sich genau ändert und worauf Pharmaunternehmen jetzt achten müssen:
DSGVO – was ist neu, was ist anders?
Am 25. Mai tritt das neue Datenschutzgesetz (DSGVO) in Kraft – was verändert sich konkret?
Die DSGVO regelt den Umgang mit personenbezogenen Daten. Die größte Änderung dabei ist die Definition, welche Daten als personenbezogen zu betrachten sind. Durch die neue Definition sind alle Daten, mit denen eine natürliche Person identifiziert werden kann, personenbezogen und fallen damit unter die DSGVO. Das können nicht nur IP-Adressen, sondern auch anonyme Datenpunkte sein, die erst im Zusammenhang einen Rückschluss auf eine natürliche Person zulassen.
Darüber hinaus sind die Maßnahmen, die ein Unternehmen zum Schutz der Daten treffen muss, präzisiert worden. Unternehmen müssen insgesamt mehr Sicherheitsmaßnahmen umsetzen und zum Beispiel Daten stärker verschlüsseln.
Das Gesetz, welches der DSGVO vorausging, war inhaltlich nicht grundlegend anders. Die Höchststrafen im neuen Gesetz bewegen sich jedoch in völlig anderen Dimensionen. Die Strafhöhe lag in der Vergangenheit bei maximal 300.000 €. Mit dem neuen Gesetz können die Strafen bis zu 4 % des weltweiten Umsatzes der Gruppe entsprechen oder bis zu 20 Mio. € betragen. Das erklärt auch die Aufregung um das neue Gesetz und weshalb wir eine wesentlich höhere Adaption des neuen Gesetzes erwarten dürfen, als es bei seinem Vorgänger der Fall war.
Was sind die wesentlichen Bestandteile der DSGVO?
Das Gesetz verbietet es im Grundsatz, personenbezogene Daten zu verarbeiten, außer, Sie haben eine Erlaubnis. Diese Erlaubnis kann ein Vertrag mit der Person sein oder deren ausdrückliche Einwilligung. Außerdem definiert das Gesetz sechs Prinzipien, die Unternehmen bei der Verwendung von Daten anwenden sollen:
- Transparenz: Für natürliche Personen muss einfach erfassbar sein, dass und in welchem Umfang personenbezogene Daten verwendet, eingesehen oder anderweitig verarbeitet werden.
- Zweckgebunden: Daten dürfen nur zu dem angegebenen Zweck verwendet und nicht später zu einem anderen Zweck, als dem von der Person erlaubten, weiterverwendet werden.
- Datenminimierung: Es dürfen nur noch die Daten abgefragt werden, die auch wirklich benötigt werden: Ein Beispiel ist die Angabe des Namens neben der E-Mail Adresse bei einem Newsletter. Diese darf nicht verpflichtend sein, da diese Daten nicht zwangsläufig gebraucht werden, um den Newsletter Versand zu ermöglichen.
- Richtigkeit: Das Unternehmen muss sicherstellen, dass die gesammelten Daten richtig sind und fehlerhafte Daten unverzüglich löschen.
- Speicherbegrenzung: Personenbezogene Daten dürfen nicht länger gespeichert werden, als unbedingt nötig.
- Schutz der Daten: Entsprechende Maßnahmen organisatorischer und technischer Natur müssen unternommen werden, sodass die Daten gesichert und jederzeit verfügbar sind.
Was bedeutet die Einführung der DSGVO für die Pharmabranche?
Gelten besondere Richtlinien für Daten aus der Gesundheitsbranche?
Daten aus der Gesundheitsbranche gehören zu den sogenannten sensitiven Daten und erhalten besonderen Schutz, zusammen mit Daten, wie z.B. von Jugendlichen und Daten zur Identität einer Person und zu religiösen und politischen Interessen.
Hier muss abgewogen werden, welches Risiko bei Datenverlust besteht und die Daten müssen durch bessere Verschlüsselungsmöglichkeiten in Rechenzentren stärker gesichert werden. Ganz konkret wird sich dadurch auch einiges für die Konsumenten ändern, gerade im e-Health Bereich: Wenn es wirklich um medizinische Daten geht, dann müssen Sie in Zukunft für viele Anwendungen eine 2-Faktor-Identifizierung durchführen, z. B. zwei Passwörter, eins um das Smartphone zu starten und eins um die App zu starten.
Welche Änderungen ergeben sich für das E-Mail-Marketing?
Die gesetzlichen Anforderungen haben sich im Wesentlichen nicht geändert: Es braucht bei Werbung weiterhin die Einwilligung der Person, zum Beispiel in Form eines Double Opt-ins. Der wesentliche Unterschied ist: mehr Parteien werfen einen viel genaueren Blick auf die Einhaltung des Gesetzes als bisher. Das können Verbraucherschutzvereine, Behörden oder auch Anwälte von Mitbewerbern sein. Es ist deswegen für Unternehmen umso wichtiger, das neue Gesetz ernst zu nehmen und die Einhaltung über alle Kanäle sicherzustellen.
Was verändert sich für die Organisation von Veranstaltungen?
Für die Organisation von Events brauchen Sie eine Vielzahl an verschiedenen Daten. Das können allgemeine Daten wie Adresse, Namen oder E-Mail sein oder auch sensible Daten, wie mögliche Allergien, wenn sie beispielsweise ein Essen organisieren. Für die Organisation des Events werden Daten unter Umständen auch an Dritte weitergegeben. Entwerfen Sie eine Anmeldung, sollte rechtlich genau geprüft werden, was die Einwilligung zur Anmeldung beinhalten muss. Diese muss für den Konsumenten leicht zu verstehen sein und die Daten sollten technisch gut verschlüsselt sein. Das durch die DSGVO garantierte Recht auf Vergessen erlaubt es dem Teilnehmer außerdem, zu jeder Zeit die Freigabe für bereits erteilte Daten zu widerrufen – der Veranstalter ist dann verpflichtet, die Daten nicht nur bei sich zu löschen, sondern auch sicherzustellen, dass etwaige Dienstleister diese Daten löschen.
Gibt es etwas, was Pharmaunternehmen beim Thema Multichannel beachten müssen?
Ja, gerade auch bei Multichannel ergeben sich Änderungen. In der Vergangenheit durften Sie pseudonyme Nutzerprofile über Cookies, bei denen ein Dritter nicht erkennen konnte, welche Person dahintersteht, einfach verwenden, mit der Möglichkeit für ein Opt-out. Diese Daten werden auch als personenbezogen angesehen und einige argumentieren, dass jetzt schon ein Opt-in dafür benötigt wird. Für weitere Multichannel-Aktivitäten müssen Sie genau überlegen, über welche Kanäle sie Konsumenten erreichen wollen und ob sie dann auch rechtlich die Konsumenten über alle diese Kanäle direkt erreichen dürfen oder nicht erst deren Einwilligung benötigen. Dann müssen Sie genau überlegen, aus welchen rechtlichen Gründen darf ich diese Daten weiterverarbeiten? Hier ist auch die Auslegung der DSGVO noch nicht eindeutig: Manche sagen, ich brauche eine Einwilligung, andere sagen, es reicht berechtigtes Interesse. Das könnte zum Beispiel Werbung sein – das ist so in der DSGVO festgehalten, dann bräuchten Sie keine gesonderte Einwilligung. Allerdings muss bei berechtigtem Interesse das eigene Interesse gegen das Interesse der Person abgewogen werden, der kein Nachteil entstehen darf.
Wie sieht es mit der Dokumentation aus, wird diese wichtiger?
Ja, auf jeden Fall. Grundsätzlich müssen Unternehmen unter dem neuen Gesetz sehr viel mehr dokumentieren als davor. Ich gehe davon aus, dass die Behörden in vielen Fällen erst einmal sagen werden „schickt uns eure Dokumentation“. Und wenn ein Unternehmen diese nicht liefern kann, wird tiefer nachgehakt und dann auch schnell mal mit Strafzahlungen gedroht.
Gerade im Gesundheitsbereich müssen Unternehmen dokumentieren: Wo haben Sie personenbezogene oder sensible Daten, wie dürfen diese Daten verarbeitet werden, wie sind die Daten technisch und organisatorisch geschützt? Wer darf zugreifen? Dafür gibt es Standard-Vorlagen und Prozesse. Verliert ein Unternehmen personenbezogene Daten, müssen Behörden informiert werden – und das wird gegebenenfalls öffentlich. Ein Imageschaden wäre damit vorprogrammiert.
Was ist jetzt zu tun?
Was sind die nächsten konkreten Schritte, die Unternehmen gehen müssen?
Die gute Nachricht ist: eigentlich alle Unternehmen haben Datenschutzprojekte angefangen und werden diese bis Ende Mai umsetzen.
Wir werden aber definitiv auch sehen, dass es noch eine Weile braucht, bis Unternehmen alle Änderungen und Anpassungen umgesetzt haben. Als ePrivacy GmbH bieten wir hier verschiedene Hilfestellungen an. So veranstalten wir beispielsweise Workshops, wo wir mit wenigen Teilnehmern tief in die verschiedenen Anwendungsgebiete der DSGVO eintauchen und Lösungen für die einzelnen Bereiche beleuchten.
Zwar müssen Datenschutzbestimmungen eingehalten werden, dennoch bietet die digitale Kommunikation viele Möglichkeiten. Auf dem coliquio Summit diskutieren wir, wie Pharmaunternehmen sie erfolgreich nutzen können.
- Berufung statt Beruf: Es erfüllt mich, einen Beitrag zu leisten
3 Fragen an Christian Scholze, Medical Advisor