Datenschutz, Informationssicherheit und Qualitätsmanagement
AZ Beratung

Datenschutz im Gesundheitswesen

In Kliniken, Rehabilitationseinrichtungen oder Vorsorgeeinrichtungen, also überall, wo Patienten versorgt werden, werden auch besonders sensible Daten gespeichert und verarbeitet. Gesundheitsdaten gehören laut Artikel 9 der DSGVO zu den „besonderen Kategorien personenbezogener Daten“, deren Verarbeitung grundsätzlich untersagt ist. Ausnahmen werden nur für bestimmte, festgelegte Zwecke genehmigt, beispielsweise für

  • die Gesundheitsvorsorge oder Arbeitsmedizin,
  • die Beurteilung der Arbeitsfähigkeit des Beschäftigten,
  • die medizinische Diagnostik,
  • die Versorgung oder Behandlung und
  • die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich.

Außerdem dürfen Gesundheitsdaten (oder Patientendaten) verarbeitet werden, wenn es zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

Patientendaten sind laut nordrhein-westfälischem Gesundheitsdatenschutzgesetz (GDSG NW) alle Daten von Menschen, die in einem Krankenhaus, einer Rehabilitations- oder Vorsorgeeinrichtung untersucht oder behandelt werden. Außerdem sind Menschen davon betroffen, deren Daten vom Gesundheitsamt oder aufgrund des Gesetzes über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten aufgenommen werden. Daten und Informationen wie Name und Versicherungsnummer, Röntgenaufnahmen oder Befunde sind für die Behandlung von Patienten für die Ärzte, Pfleger und Schwestern natürlich zwingend notwendig. Jedoch betreffen sie einen sehr sensiblen Teil der Persönlichkeit, und aus diesem Grund stellt die Datenschutz-Grundverordnung strenge Anforderungen an die Handhabung dieser Daten.

Daneben gelten je nach Sachlage die datenschutzrechtlichen Vorgaben der Sozialgesetzbücher V und X, der Röntgenverordnung, der Krebsregistergesetze und des Infektionsschutzgesetzes sowie die ärztliche Schweigepflicht natürlich weiterhin. Übermittelt werden dürfen die Daten im Einzelfall an

  • die Krankenkasse des Patienten
  • den Medizinischen Dienst der Krankenversicherung
  • den Sozialleistungsträger
  • die Berufsgenossenschaft (bei Berufskrankheiten)
  • die Datenschutzbehörde (immer)

Bei übertragbaren Krankheiten muss auch ohne Zustimmung gemäß Bundesinfektionsschutzgesetz ggf. anonymisiert oder pseudonymisiert eine Meldung an das Gesundheitsamt gemacht werden.

Umgang mit Patientendaten im Haus

Auch innerhalb des Krankenhauses oder der Einrichtung dürfen Patientendaten nicht zwischen verschiedenen Abteilungen weitergegeben werden. Aus datenschutzrechtlicher Sicht ist jeder Bereich getrennt zu betrachten, auch in Hinblick auf die Verarbeitung personenbezogener Daten. In den verschiedenen Abteilungen eines Krankenhauses dürfen dann die jeweiligen Mitarbeiter nur Zugriff auf die Daten haben, die sie für die Behandlung ihrer Patienten zwingend benötigen. Ein Konzernprivileg existiert im Datenschutzrecht dagegen nicht. Zugriffsrechte auf Vorrat zu speichern, ist deshalb datenschutzrechtlich nicht erlaubt. Ganz besonders gilt dies für einen Krankenhausverbund mit mehreren verschiedenen Kliniken und andere Einrichtungen (wie z. B. Medizinische Versorgungszentren, Rehabilitationseinrichtungen oder Service-Gesellschaften) unter einem gemeinsamen Träger.

Die internen Zugriffsrechte sollten in einer Rechtematrix festgehalten und im Krankenhausinforma-tionssystem (KIS) gespeichert werden. Zum Krankenhausinformationssystem gehört das Server- und PC-Netzwerk mit computerbasierten Spezialsystemen, z. B. die Informationssysteme aus Radiologie, Labor und Diagnostik sowie die mobilen Arbeitsplätze.

Datenweitergabe an Dritte

Werden Patientendaten an Hausärzte, nachbehandelnde Ärzte, Krankenversicherungen, Behörden oder den Medizinischen Dienst der Krankenkassen weitergegeben, dann müssen die Voraussetzungen dazu gründlich überprüft werden. Zunächst ist zu klären, ob die Weitergabe überhaupt erforderlich ist und – falls ja – ob die Offenlegung der Patientendaten dazu erforderlich ist, das heißt, ob die erforderlichen Daten etwa auch pseudonymisiert oder anonymisiert weitergegeben werden können. Des Weiteren muss geprüft werden, ob eine Einwilligung des Betroffenen notwendig ist, in welcher Form diese abgefragt werden muss oder ob sie eventuell bereits vorliegt.  

Auskünfte zum Gesundheitszustand an Angehörige oder Krankenhausbesucher zu geben ist grundsätzlich verboten. Ebenso wenig dürfen an dem Patienten nahestehende Personen Informationen über den Genesungsfortschritt oder die Gesundheit des Patienten gegeben werden. Im Einzelfall kann dies manchmal schwierig sein und ist daher mit Sensibilität zu behandeln. Eine Ausnahme ist möglich, wenn der Patient in die Weitergabe eingewilligt hat. Auch wenn er oder sie zu einer Einwilligung aus gesundheitlichen Gründen nicht in der Lage ist und gleichzeitig keine Anhaltspunkte für einen anderslautenden Willen des Patienten oder der Patientin vorliegen.

Auskunftsrechte von Patienten

Jeder Patient hat laut Artikel 15 der DSGVO das Recht, Auskunft über die von ihm gespeicherten Daten zu verlangen. Dazu gehören Informationen über

  • den Zweck der Verarbeitung
  • welche Empfänger diese Daten bereits erhalten haben oder erhalten werden
  • die geplante Speicherdauer 

Allerdings gibt es hier eine Besonderheit: zusätzlich ist das Recht auf Auskunft auch nach § 630g BGB als zivilrechtliches Recht aus dem zugrundeliegenden Behandlungsvertrag abzuleiten. Hier wird auch geregelt, dass eine Ausnahme für Fälle, in denen die Auskunft mit der Gefahr einer erheblichen Gesundheitsschädigung verbunden sein könnte besteht. Für diese Gefahr muss es jedoch, wie in § 630g BGB ausgeführt, konkrete Anhaltspunkte geben und erhebliche objektive therapeutische Gründe müssen gegen die Auskunft bestehen.

Maßnahmen zum Schutz von personenbezogenen Patientendaten

Die DSGVO schreibt vor, dass technische und organisatorische Maßnahmen getroffen werden müssen, um personenbezogene Daten bestmöglich zu schützen. Damit soll gewährleistet werden, dass die Patientendaten mit allen technischen Maßnahmen geschützt werden, die dem Stand der Technik entsprechen, sofern sie dem Risiko angemessen sind. Dies beinhaltet zum Beispiel einen Passwortschutz auf allen Rechnern, eine Verschlüsselung von Datenträgern in Laptops oder den Einsatz einer Hardware-Firewall und Virensoftware.  

Außerdem müssen auch organisatorische Maßnahmen getroffen werden, um sicherzustellen, dass die Daten an Unbefugte gelangen können oder durch Unachtsamkeit offengelegt werden. So können zum Beispiel Zutrittskontrollen, Schlüsselregelungen und Berechtigungskonzepte eingeführt werden, um zu verhindern, dass Unberechtigte einen Zugriff auf Gesundheitsdaten bekommen.

Die Maßnahmen beinhalten unter anderem:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • Sicherstellen von Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer,
  • die Verfügbarkeit der personenbezogenen Daten bei einem Zwischenfall rasch wiederherstellen zu können,
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Verarbeitungsverzeichnis

Laut Artikel 30 der DSGVO muss ein Verzeichnis aller Verarbeitungstätigkeiten im Betrieb erstellt werden. Die gibt der Aufsichtsbehörde die Möglichkeit an die Hand, die betreffenden Verarbeitungsvorgänge kontrollieren zu können. In diesem Verzeichnis werden folgende Angaben geführt:

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

  • Namen und Kontaktdaten des/der Verantwortlichen und seines Vertreters sowie des Datenschutzbeauftragten (falls benannt)
  • die Zwecke der jeweiligen Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, falls dies erfolgt ist
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

Im Gegensatz zum BDSG sieht die DSGVO laut Art. 83 Abs. 4 ein Bußgeld von bis zu 10 Mio. Euro bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) vor, wenn kein entsprechendes Verarbeitungsverzeichnis vorliegt. Es ist daher dringlichst anzuraten, ein solches Verzeichnis zu erstellen und vorzuhalten.

E-Mail
Infos