Menü
In Kliniken, Rehabilitationseinrichtungen oder Vorsorgeeinrichtungen, also überall, wo Patienten versorgt werden, werden auch besonders sensible Daten gespeichert und verarbeitet. Gesundheitsdaten gehören laut Artikel 9 der DSGVO zu den „besonderen Kategorien personenbezogener Daten“, deren Verarbeitung grundsätzlich untersagt ist. Ausnahmen werden nur für bestimmte, festgelegte Zwecke genehmigt, beispielsweise für
Außerdem dürfen Gesundheitsdaten (oder Patientendaten) verarbeitet werden, wenn es zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
Patientendaten sind laut nordrhein-westfälischem Gesundheitsdatenschutzgesetz (GDSG NW) alle Daten von Menschen, die in einem Krankenhaus, einer Rehabilitations- oder Vorsorgeeinrichtung untersucht oder behandelt werden. Außerdem sind Menschen davon betroffen, deren Daten vom Gesundheitsamt oder aufgrund des Gesetzes über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten aufgenommen werden. Daten und Informationen wie Name und Versicherungsnummer, Röntgenaufnahmen oder Befunde sind für die Behandlung von Patienten für die Ärzte, Pfleger und Schwestern natürlich zwingend notwendig. Jedoch betreffen sie einen sehr sensiblen Teil der Persönlichkeit, und aus diesem Grund stellt die Datenschutz-Grundverordnung strenge Anforderungen an die Handhabung dieser Daten.
Daneben gelten je nach Sachlage die datenschutzrechtlichen Vorgaben der Sozialgesetzbücher V und X, der Röntgenverordnung, der Krebsregistergesetze und des Infektionsschutzgesetzes sowie die ärztliche Schweigepflicht natürlich weiterhin. Übermittelt werden dürfen die Daten im Einzelfall an
– die Krankenkasse des Patienten
– den Medizinischen Dienst der Krankenversicherung
– den Sozialleistungsträger
– die Berufsgenossenschaft (bei Berufskrankheiten)
– die Datenschutzbehörde (immer)
Bei übertragbaren Krankheiten muss auch ohne Zustimmung gemäß Bundesinfektionsschutzgesetz ggf. anonymisiert oder pseudonymisiert eine Meldung an das Gesundheitsamt gemacht werden.
Laut Artikel 30 der DSGVO muss ein Verzeichnis aller Verarbeitungstätigkeiten im Betrieb erstellt werden. Die gibt der Aufsichtsbehörde die Möglichkeit an die Hand, die betreffenden Verarbeitungsvorgänge kontrollieren zu können. In diesem Verzeichnis werden folgende Angaben geführt:
– eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
– die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
– Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, falls dies erfolgt ist
– wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien