“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Wer als Patient:in ins Krankenhaus muss, wünscht sich in aller Regel, von Krankheit oder Verletzungen befreit zu werden – Schutz und Pflege der eigenen Gesundheit stehen im Vordergrund. Gleichzeitig ist etwas anderes in den letzten Jahren immer wichtiger geworden: Der Schutz der eigenen Gesundheitsdaten im Krankenhaus.
Datenschutzherausforderungen lauern an vielen Stellen, denn im Rahmen der Behandlung werden nicht nur viele, sondern auch besonders sensible Daten verarbeitet. Dabei gilt für Datenschutz-Verantwortliche im Krankenhaus eine bekanntes Devise: Vorsorge ist besser als Heilen.
Wie wir in unserem Praxis-Guide zum Datenschutz im Gesundheitswesen erläutern, ergeben sich bei der Verarbeitung von Gesundheitsdaten hohe rechtliche Anforderungen. So muss etwa ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten geführt und oftmals eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Wie überhaupt Gesundheitsdaten verarbeitet werden dürfen, wer Zugriff auf die Daten haben darf oder wie das Arztgeheimnis dahingehend zu berücksichtigen ist, ist nicht pauschal zu beantworten.
Klar ist, dass Datenschutz im Krankenhaus wichtig ist – für das Vertrauen der Patient:innen ebenso wie aufgrund der hohen Bußgelder, die durch DSGVO-Verstöße verhängt werden können. So musste der Betrieb der Düsseldorfer Uniklinik nach einem Hackerangriff zeitweilig ausgesetzt werden. Das besonders Tragische daran war der Tod einer Patientin, da diese an ein anderes Krankenhaus verwiesen werden musste und so die Behandlung erst mit einstündiger Verspätung stattfand. Sie starb kurze Zeit später, so der Justizminister in seinem Bericht. Gegen ein Amsterdamer Krankenhaus wurde im vergangenen Jahr eine Geldbuße in Höhe von 460.000 EUR verhängt, weil es keine ausreichenden technisch-organisatorischen Maßnahmen (TOM) zum Schutz der Patient:innendaten ergriffen hatte.
Die Auswirkungen sind demnach gravierend – wer allerdings die richtigen Maßnahmen ergreift und die rechtlichen Anforderungen gut kennt, kann auch im Krankenhaus für sicheren und DSGVO-konformen Datenschutz sorgen.
Krankenhäuser benötigen eine Vielzahl persönlicher und medizinischer Daten für die Diagnose von Krankheiten oder die Behandlung und Pflege ihrer Patient:innen. Neben den Kontaktdaten werden umfangreich Gesundheitsdaten erhoben – Informationen, die oftmals sehr persönlich und sensibel sind. Aus Sicht der DSGVO gehören sie zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Sie stehen unter einem erhöhten Schutz, indem ihre Verarbeitung grundsätzlich unzulässig und nur in Ausnahmefällen erlaubt ist.
Die für die Praxis relevanteste Ausnahme ist die Einwilligung der betroffenen Personen. Ist jemand damit einverstanden, können auch diese Gesundheitsdaten verarbeitet werden. Aber aufgepasst, eine Einwilligung ist kein generelles Allheilmittel. Erstens bedarf es oft einer individuellen Einwilligung, zweitens muss die Notwendigkeit einer Datenschutz-Folgenabschätzung ermittelt werden.
Eine weitere wichtige Ausnahme ist die Nutzung der Daten für Forschungszwecke. Hier ist es für die Praxis ganz entscheidend, in Sonderfällen immer spezialgesetzliche Regelungen zu beachten. Bei Gentests o. Ä. bestimmt beispielsweise das Gendiagnostikgesetz, dass Patient:innen nicht nur das Recht haben, ihre Einwilligung in eine genetische Analyse oder Untersuchung zu widerrufen, sondern auch, das Ergebnis nicht zu erfahren. Im Rahmen dieses sog. Rechts auf Nichtwissen darf das Ergebnis einer genetischen Untersuchung der/dem Patient:in nur durch die/den verantwortlichen Ärzt:in mitgeteilt werden. Selbst das mit der Analyse beauftragte (externe) Labor darf das Ergebnis nicht direkt Patient:innen mitteilen.
Wichtig ist, dass die erhobenen Daten und die Verarbeitungszwecke immer genau benannt und dokumentiert werden. Für weiterführende Informationen, in welchen Fällen und in welchem Umfang die Einwilligung im Gesundheitswesen eingesetzt werden kann, empfehlen wir den Beitrag über die Einwilligung in die Verarbeitung von Gesundheitsdaten von unserer Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte.
Die Patient:innendaten erhalten eine Vielzahl von Akteur:innen. Neben den behandelnden Ärzt:innen bekommen auch die Krankenhausverwaltung und gegebenenfalls Krankenkassen Einsicht in die sensiblen Daten. Verständlicherweise erwarten Patient:innen einen entsprechenden Schutz, wenn sie in diesem Umfang Gesundheitsdaten von sich preisgeben. Daher sind Krankenhäuser rechtlich dazu verpflichtet, diese Daten angemessen zu schützen.
Die gesetzlichen Anforderungen sind dabei sehr vielfältig. So müssen die Patient:innen über die Datenverarbeitung informiert werden (Art. 13 DSGVO), Krankenhäuser müssen ein umfangreiches VVT (Art. 30 DSGVO) erstellen und in vielen Fällen eine DSFA (Art. 35 DSGVO) durchführen.
Um allen Datenschutzanforderungen gerecht zu werden, sollten Zugriffsberechtigungen auf Daten im Krankenhausinformationssystem (KIS) über ein umfassendes Rollen- und Berechtigungskonzept gesteuert werden, um nur denjenigen Personen Zugriff auf Daten zu geben, die sie auch für ihre Arbeit benötigen. Nicht mehr aktuelle Berechtigungen werden damit automatisch gesperrt und im Zuge neuer Positionen zugeteilt. Das ist in der Praxis häufig eine große Herausforderung. Es empfiehlt sich, von Anfang an alle beteiligten Akteur:innen, Rollen und Zugriffsmöglichkeiten mitzubedenken.
Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, um unbefugte Zugriffe zu vermeiden, und regelmäßige Mitarbeiterschulungen sind ebenfalls notwendig. Zum 1. Januar 2021 sind über das Patientendaten-Schutzgesetzes (PDSG) weitere Anforderungen hinzugekommen:
§ 306 Abs. 3 SGB V unterstreicht nochmals den hohen Schutzbedarf von Gesundheitsdaten und verpflichtet Krankenhäuser und andere Akteur:innen, ausreichende technisch-organisatorische Schutzmaßnahmen (TOM, siehe auch Art. 32 DSGVO) umzusetzen, deren Umfang sich nach dem Risiko für die Gesundheitsdaten richten muss.
Mit § 307 SGB V kommt die datenschutzrechtliche Verantwortlichkeit in der Telematikinfrastruktur hinzu. Wer Mittel bereithält und nutzt, um innerhalb der Telematikinfrastruktur zu arbeiten, ist für den Schutz der Daten verantwortlich. Die Regelung trägt dem Umstand Rechnung, dass aufgrund des höheren Datenaustausches im Gesundheitswesen Daten entsprechend besser geschützt werden müssen. Hier müssen vor allem eine ausführliche Datenschutzerklärung und alle relevanten Informationen bereitgestellt werden.
Wer Dienste und Komponenten der Telematikinfrastruktur betreibt, muss zudem nach § 329 Abs. 2 SGB V Störungen und Sicherheitsmängel unverzüglich der gematik melden.
Krankenhäuser müssen also beachten, dass sie sensible Daten verarbeiten und dabei viele unterschiedliche Akteur:innen einbinden, sodass auch die Schutzmaßnahmen besonders umfangreich sein müssen. Der Einsatz von Datenschutzsoftware, die auf die Bedürfnisse von Krankenhäusern abzielt, kann für die Einhaltung von gesetzlichen Anforderungen hilfreich sein.
Den betroffenen Patient:innen stehen nach der DSGVO einige Rechte zu. Krankenhäuser müssen dem Rechnung tragen und gewährleisten, dass sie ihre Rechte DSGVO-konform wahrnehmen können. Für das Gesundheitswesen besonders relevant ist das Recht auf Auskunft nach Art. 15 DSGVO. Dieses Recht ist umfassend, sodass Patient:innen über alle Daten und die Umstände ihrer Verarbeitung Auskunft verlangen können, die über ihn oder sie vorliegen. Krankenhäuser müssen daher durch ein effektives Datenschutzmanagement sicherstellen, dass sie Anfragen vollständig und schnell beantworten können. Allerdings gibt es auch hier Ausnahmen. Wenn etwa therapeutische Gründe dafür sprechen, dass ein/e Patient:in durch die Kenntnisnahme Schaden nimmt, kann die Auskunft auch verweigert werden.
Weitere Betroffenenrechte, die gewahrt werden müssen, sind beispielsweise das Recht auf Berichtigung unrichtiger Daten oder das Recht auf Löschung. Sollte ein/e Patient:in Löschung verlangen, müssen zudem gesetzliche Aufbewahrungspflichten geprüft werden, die dem Löschungsrecht gegebenenfalls entgegenstehen. Die Aufbewahrungsfristen unterscheiden sich abhängig von der Art der Daten. Die meisten müssen zehn Jahre, Röntgenbilder aber beispielsweise sogar 30 Jahre aufbewahrt werden. Das dient vor allem der Beweissicherung, wenn sich Krankenhäuser Schadensersatzansprüchen von Patient:innen gegenübersehen.
Details zu den Betroffenenrechten im Gesundheitswesen hat unsere Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte in einem Beitrag zusammengefasst.
Eine weitere wichtige Anforderung ist das Arztgeheimnis. Hier drohen bei Verstößen nicht nur – wie im Datenschutzrecht nach der DSGVO – Bußgelder, sondern strafrechtliche Konsequenzen nach § 203 StGB. Hier ist vor allem wichtig, dass die Verschwiegenheitspflicht nicht nur gegenüber unbeteiligten Dritten, sondern auch gegenüber der Familie des/der Patient:in gilt – teils sogar bei Minderjährigen. Auch engste Familienangehörige dürfen nur informiert werden, wenn der/die Patient:in eine Zustimmung erteilt hat oder, wenn die Person nicht ansprechbar ist, von einer stillschweigenden Zustimmung ausgegangen werden kann. Am einfachsten lässt sich diese Problematik mit einer Patientenverfügung lösen.
Für das Gesundheitswesen im Besonderen und Krankenhäuser im Allgemeinen gelten über die genannten Gesetze hinaus eine Vielzahl weiterer Regelungen. So etwa beinhaltet die Einführung der elektronischen Patientenakte weitreichende Neuerungen, das Krankenhauszukunftsgesetz (KHZG) stellt Krankenhäuser finanzielle Unterstützung für die Digitalisierung in Aussicht. Zudem müssen immer die jeweiligen Landeskrankenhausgesetze berücksichtigt werden. Eine gute Übersicht über die Landesgesetze findet sich hier.
Die Digitalisierung des Gesundheitswesens bringt viele Vorteile für Patient:innen, birgt aber auch datenschutzrechtliche Risiken. Um diese gering zu halten, sind in den letzten Jahren die rechtlichen Anforderungen enorm erweitert worden. Datenschutz im Krankenhaus ist daher eine große Herausforderung – mit dem richtigen Know-how ist es allerdings sehr gut möglich, den vielfältigen rechtlichen und technischen Anforderungen gerecht zu werden. Entscheidend dafür ist ein effektives Datenschutzmanagement: Wer weiß, welche gesetzlichen Anforderungen beachtet werden müssen, wie sie umzusetzen sind und welche Risiken bestehen, kann auch im Krankenhaus DSGVO-konform arbeiten.
Entdecke weitere Beiträge zu diesem Thema:
en_US
