In Kliniken, Rehabilitationseinrichtungen oder Vorsorgeeinrichtungen, also überall, wo Patienten versorgt werden, werden auch besonders sensible Daten gespeichert und verarbeitet. Gesundheitsdaten gehören laut Artikel 9 der DSGVO zu den „besonderen Kategorien personenbezogener Daten“, deren Verarbeitung grundsätzlich untersagt ist. Ausnahmen werden nur für bestimmte, festgelegte Zwecke genehmigt, beispielsweise für
Außerdem dürfen Gesundheitsdaten (oder Patientendaten) verarbeitet werden, wenn es zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
Patientendaten sind laut nordrhein-westfälischem Gesundheitsdatenschutzgesetz (GDSG NW) alle Daten von Menschen, die in einem Krankenhaus, einer Rehabilitations- oder Vorsorgeeinrichtung untersucht oder behandelt werden. Außerdem sind Menschen davon betroffen, deren Daten vom Gesundheitsamt oder aufgrund des Gesetzes über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten aufgenommen werden. Daten und Informationen wie Name und Versicherungsnummer, Röntgenaufnahmen oder Befunde sind für die Behandlung von Patienten für die Ärzte, Pfleger und Schwestern natürlich zwingend notwendig. Jedoch betreffen sie einen sehr sensiblen Teil der Persönlichkeit, und aus diesem Grund stellt die Datenschutz-Grundverordnung strenge Anforderungen an die Handhabung dieser Daten.
Daneben gelten je nach Sachlage die datenschutzrechtlichen Vorgaben der Sozialgesetzbücher V und X, der Röntgenverordnung, der Krebsregistergesetze und des Infektionsschutzgesetzes sowie die ärztliche Schweigepflicht natürlich weiterhin. Übermittelt werden dürfen die Daten im Einzelfall an
Bei übertragbaren Krankheiten muss auch ohne Zustimmung gemäß Bundesinfektionsschutzgesetz ggf. anonymisiert oder pseudonymisiert eine Meldung an das Gesundheitsamt gemacht werden.
Auch innerhalb des Krankenhauses oder der Einrichtung dürfen Patientendaten nicht zwischen verschiedenen Abteilungen weitergegeben werden. Aus datenschutzrechtlicher Sicht ist jeder Bereich getrennt zu betrachten, auch in Hinblick auf die Verarbeitung personenbezogener Daten. In den verschiedenen Abteilungen eines Krankenhauses dürfen dann die jeweiligen Mitarbeiter nur Zugriff auf die Daten haben, die sie für die Behandlung ihrer Patienten zwingend benötigen. Ein Konzernprivileg existiert im Datenschutzrecht dagegen nicht. Zugriffsrechte auf Vorrat zu speichern, ist deshalb datenschutzrechtlich nicht erlaubt. Ganz besonders gilt dies für einen Krankenhausverbund mit mehreren verschiedenen Kliniken und andere Einrichtungen (wie z. B. Medizinische Versorgungszentren, Rehabilitationseinrichtungen oder Service-Gesellschaften) unter einem gemeinsamen Träger.
Die internen Zugriffsrechte sollten in einer Rechtematrix festgehalten und im Krankenhausinforma-tionssystem (KIS) gespeichert werden. Zum Krankenhausinformationssystem gehört das Server- und PC-Netzwerk mit computerbasierten Spezialsystemen, z. B. die Informationssysteme aus Radiologie, Labor und Diagnostik sowie die mobilen Arbeitsplätze.
Werden Patientendaten an Hausärzte, nachbehandelnde Ärzte, Krankenversicherungen, Behörden oder den Medizinischen Dienst der Krankenkassen weitergegeben, dann müssen die Voraussetzungen dazu gründlich überprüft werden. Zunächst ist zu klären, ob die Weitergabe überhaupt erforderlich ist und – falls ja – ob die Offenlegung der Patientendaten dazu erforderlich ist, das heißt, ob die erforderlichen Daten etwa auch pseudonymisiert oder anonymisiert weitergegeben werden können. Des Weiteren muss geprüft werden, ob eine Einwilligung des Betroffenen notwendig ist, in welcher Form diese abgefragt werden muss oder ob sie eventuell bereits vorliegt.
Auskünfte zum Gesundheitszustand an Angehörige oder Krankenhausbesucher zu geben ist grundsätzlich verboten. Ebenso wenig dürfen an dem Patienten nahestehende Personen Informationen über den Genesungsfortschritt oder die Gesundheit des Patienten gegeben werden. Im Einzelfall kann dies manchmal schwierig sein und ist daher mit Sensibilität zu behandeln. Eine Ausnahme ist möglich, wenn der Patient in die Weitergabe eingewilligt hat. Auch wenn er oder sie zu einer Einwilligung aus gesundheitlichen Gründen nicht in der Lage ist und gleichzeitig keine Anhaltspunkte für einen anderslautenden Willen des Patienten oder der Patientin vorliegen.
Jeder Patient hat laut Artikel 15 der DSGVO das Recht, Auskunft über die von ihm gespeicherten Daten zu verlangen. Dazu gehören Informationen über
Allerdings gibt es hier eine Besonderheit: zusätzlich ist das Recht auf Auskunft auch nach § 630g BGB als zivilrechtliches Recht aus dem zugrundeliegenden Behandlungsvertrag abzuleiten. Hier wird auch geregelt, dass eine Ausnahme für Fälle, in denen die Auskunft mit der Gefahr einer erheblichen Gesundheitsschädigung verbunden sein könnte besteht. Für diese Gefahr muss es jedoch, wie in § 630g BGB ausgeführt, konkrete Anhaltspunkte geben und erhebliche objektive therapeutische Gründe müssen gegen die Auskunft bestehen.
Die DSGVO schreibt vor, dass technische und organisatorische Maßnahmen getroffen werden müssen, um personenbezogene Daten bestmöglich zu schützen. Damit soll gewährleistet werden, dass die Patientendaten mit allen technischen Maßnahmen geschützt werden, die dem Stand der Technik entsprechen, sofern sie dem Risiko angemessen sind. Dies beinhaltet zum Beispiel einen Passwortschutz auf allen Rechnern, eine Verschlüsselung von Datenträgern in Laptops oder den Einsatz einer Hardware-Firewall und Virensoftware.
Außerdem müssen auch organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass die Daten an Unbefugte gelangen können oder durch Unachtsamkeit offengelegt werden. So können zum Beispiel Zutrittskontrollen, Schlüsselregelungen und Berechtigungskonzepte eingeführt werden, um zu verhindern, dass Unberechtigte einen Zugriff auf Gesundheitsdaten bekommen.
Die Maßnahmen beinhalten unter anderem:
Laut Artikel 30 der DSGVO muss ein Verzeichnis aller Verarbeitungstätigkeiten im Betrieb erstellt werden. Die gibt der Aufsichtsbehörde die Möglichkeit an die Hand, die betreffenden Verarbeitungsvorgänge kontrollieren zu können. In diesem Verzeichnis werden folgende Angaben geführt:
eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Im Gegensatz zum BDSG sieht die DSGVO laut Art. 83 Abs. 4 ein Bußgeld von bis zu 10 Mio. Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) vor, wenn kein entsprechendes Verarbeitungsverzeichnis vorliegt. Es ist daher dringlichst anzuraten, ein solches Verzeichnis zu erstellen und vorzuhalten.