Die Omnipräsenz von KI, Smart Homes, Apps und Co. macht unser Leben transparenter, steigert aber auch zunehmend das Bewusstsein für den Schutz unserer personenbezogenen Daten. Mangelhafter Datenschutz kann gravierende Folgen für die Betroffenen, aber insbesondere auch für die Unternehmen nach sich ziehen. Es drohen Haftungsrisiken und oftmals ein noch viel gravierenderer Imageschaden.
Wie stellt ein Unternehmen sicher, dass sich Beschäftigte „compliant“ verhalten?
Befragt man ein geläufiges „Sprachmodell“, wie ein Unternehmen sicherstellen kann, dass seine Beschäftigten die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen, werden verschiedene Maßnahmen zur Einhaltung der DSGVO aufgezählt.
Dazu gehören die Benennung eines Datenschutzbeauftragten, die Implementierung entsprechender Richtlinien und die Einrichtung von Auftragsverarbeitungsverträgen. Für die Beschäftigten seien zudem Schulungen und Sensibilisierungsmaßnahmen, ein sicherer Umgang mit Passwörtern sowie ein Bewusstsein für Phishing und Social Engineering von entscheidender Bedeutung.
Insbesondere die Schulungs- und Sensibilisierungsmaßnahmen gestalten sich jedoch in der Praxis aufwändiger, als es die Maßnahmenauflistung vermuten lässt. Theoretisch dürften die meisten Datenschutzverletzungen gar nicht erst entstehen. Die Sachverhalte sind regelhaft in Richtlinien beschrieben. Hier zeigt sich, dass eine reine Kenntnisnahme in der Regel nicht ausreicht. Zugegeben: Datenschutz wird häufig als Frustthema verstanden. Er verhindere Innovation und Technologie und die Datenschutzbeauftragten hielten ohnehin nur das „Stoppschild“ hoch. Privat genutzte Tools sind am Arbeitsplatz tabu und neue Anwendungen werden verboten, weil ihre Server möglicherweise in Ländern außerhalb der EU stehen. Dies führt nicht nur zu Unmut, sondern häufig auch zur Umgehung der Datenschutzvorschriften. Häufig wird nach dem Motto „Was nicht explizit verboten ist, kann verwendet werden“ gehandelt. Ein solches Verhalten sollte jedoch bereits als „noncompliant“ bewertet werden.
Die vollständige Ausführung aller technischen Möglichkeiten beinhaltet oftmals eine Schmälerung persönlicher Schutzinteressen. Fairerweise muss man sich dabei manchmal auch die Brille des anderen aufsetzen.
Datenschutz und Compliance haben ein gemeinsames Ziel
Die Gewährleistung des Schutzes von unternehmens- sowie personenbezogenen Daten steht im Fokus eines pragmatischen Datenschutzes. Dieser steigert zugleich auch das Vertrauen der Kunden und Kundinnen in die Wertigkeit eines Unternehmens.
Aber was nützen die ganzen Vorschriften, wenn sich niemand daran hält?
Datenschutz muss Bestandteil einer Compliance-Strategie sein. Und diese Strategie darf nicht nur eine artige Wiedergabe abstrakter Forderungen sein, sondern muss konkrete Prozesse bezeichnen. So muss zum Beispiel allen klar sein, warum „Neugierdezugriffe“ auf Patientendaten gesetzlich unzulässig sind und vom Unternehmen kontrolliert und geahndet werden. Verbote müssen verständlich erklärt und geschult werden. Die Erfahrung zeigt, dass ein geschulter und aufgeklärter Mensch in der Regel eher bereit ist, regelkonform zu handeln.
Darf ich denn nun die KI nutzen?
Zurück zur Befragung unseres „Sprachmodells“. Angesichts der Prämisse, dass entsprechende Richtlinien bestehen, mag es sicherlich „compliant“ sein, grundsätzlich Sprachmodelle zu befragen. Anders sähe es aus – und dann verhielten sich die Beschäftigten „noncompliant“ –, wenn Entlassbriefe, Protokolle zu Hilfeplangesprächen oder die übliche Patientendokumentation mittels KI durchgeführt oder auch nur unterstützt würden.* Zum einen neigt KI bisweilen zu Halluzinationen, zum anderen wäre es ein Verstoß gegen interne Richtlinien. Wenn diese Gefahren geschult wurden, verstehen alle aus eigenem Antrieb, was geht und was (noch) nicht, und zwar auch dann, wenn es keine der aktuell geltenden Richtlinien konkret beschreibt.
*Ausnahmen bilden durch das Unternehmen freigegebene unterstützende KI in entsprechenden Fachanwendungen.
FAZIT
Der Datenschutz sollte nicht als Blockade, sondern als Unterstützung der Betroffenen wahrgenommen werden. Dies erfordert einen Paradigmenwechsel: Datenschutz muss als Partner in der Zusammenarbeit betrachtet werden, um Ideen zu unterstützen und zu ermöglichen, statt nur abzublocken. Schließlich geht es nach wie vor darum, den Menschen informationelle Selbstbestimmung zu ermöglichen und ihre Privatsphäre zu schützen – und nicht darum, neue Arbeitsweisen zu verhindern. Datenschutz muss lebendig und nahbar auftreten – es lohnt sich!
DATENSCHUTZ IM GESUNDHEITSWESEN – JETZT ALS E-LEARNING
Zusammen mit der Plattform DATAKONTEXT hat Stefan Strüwe, Experte für Datenschutz bei Curacon, einen E-Learning-Kurs „Datenschutz im Gesundheitswesen“ erarbeitet. In 35 Minuten werden die gesetzlichen Grundlagen vorgestellt. Jetzt informieren!
Unsere Mandantenzeitschrift Curacontact bietet Ihnen quartalsweise Fachbeiträge zu spannenden und aktuellen Themen aus Ihrer Branche. Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Jetzt abonnieren!