Wer als Patient:in ins Krankenhaus muss, wünscht sich in aller Regel, von Krankheit oder Verletzungen befreit zu werden – Schutz und Pflege der eigenen Gesundheit stehen im Vordergrund. Gleichzeitig ist etwas anderes in den letzten Jahren immer wichtiger geworden: Der Schutz der eigenen Gesundheitsdaten im Krankenhaus.
Datenschutzherausforderungen lauern an vielen Stellen, denn im Rahmen der Behandlung werden nicht nur viele, sondern auch besonders sensible Daten verarbeitet. Dabei gilt für Datenschutz-Verantwortliche im Krankenhaus eine bekanntes Devise:
Vorsorge ist besser als Heilen.
Wie wir in unserem
Praxis-Guide zum Datenschutz im Gesundheitswesen erläutern, ergeben sich bei der Verarbeitung von Gesundheitsdaten hohe rechtliche Anforderungen. So muss etwa ein umfangreiches Verzeichnis von Verarbeitungstätigkeiten geführt und oftmals eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Wie überhaupt Gesundheitsdaten verarbeitet werden dürfen, wer Zugriff auf die Daten haben darf oder wie das Arztgeheimnis dahingehend zu berücksichtigen ist, ist nicht pauschal zu beantworten.
Klar ist, dass Datenschutz im Krankenhaus wichtig ist – für das Vertrauen der Patient:innen ebenso wie aufgrund der hohen Bußgelder, die durch DSGVO-Verstöße verhängt werden können. So musste der
Betrieb der Düsseldorfer Uniklinik nach einem Hackerangriff zeitweilig ausgesetzt werden. Das besonders Tragische daran war der Tod einer Patientin, da diese an ein anderes Krankenhaus verwiesen werden musste und so die Behandlung erst mit einstündiger Verspätung stattfand. Sie starb kurze Zeit später, so der Justizminister in seinem Bericht. Gegen ein
Amsterdamer Krankenhaus wurde im vergangenen Jahr eine Geldbuße in Höhe von 460.000 EUR verhängt, weil es keine ausreichenden technisch-organisatorischen Maßnahmen (TOM) zum Schutz der Patient:innendaten ergriffen hatte.
Die Auswirkungen sind demnach gravierend – wer allerdings die richtigen Maßnahmen ergreift und die rechtlichen Anforderungen gut kennt, kann auch im Krankenhaus für sicheren und DSGVO-konformen Datenschutz sorgen.
Welche Daten werden zu welchen Zwecken im Krankenhaus erhoben?
Krankenhäuser benötigen eine Vielzahl persönlicher und medizinischer Daten für die Diagnose von Krankheiten oder die Behandlung und Pflege ihrer Patient:innen. Neben den Kontaktdaten werden umfangreich Gesundheitsdaten erhoben – Informationen, die oftmals sehr persönlich und sensibel sind. Aus Sicht der DSGVO gehören sie zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Sie stehen unter einem erhöhten Schutz, indem ihre Verarbeitung grundsätzlich unzulässig und nur in Ausnahmefällen erlaubt ist.
Die für die Praxis relevanteste Ausnahme ist die Einwilligung der betroffenen Personen. Ist jemand damit einverstanden, können auch diese Gesundheitsdaten verarbeitet werden. Aber aufgepasst, eine Einwilligung ist kein generelles Allheilmittel. Erstens bedarf es oft einer individuellen Einwilligung, zweitens muss die Notwendigkeit einer Datenschutz-Folgenabschätzung ermittelt werden.
Eine weitere wichtige Ausnahme ist die Nutzung der Daten für Forschungszwecke. Hier ist es für die Praxis ganz entscheidend, in Sonderfällen immer spezialgesetzliche Regelungen zu beachten. Bei Gentests o. Ä. bestimmt beispielsweise das Gendiagnostikgesetz, dass Patient:innen nicht nur das Recht haben, ihre Einwilligung in eine genetische Analyse oder Untersuchung zu widerrufen, sondern auch, das Ergebnis nicht zu erfahren. Im Rahmen dieses sog. Rechts auf Nichtwissen darf das Ergebnis einer genetischen Untersuchung der/dem Patient:in nur durch die/den verantwortlichen Ärzt:in mitgeteilt werden. Selbst das mit der Analyse beauftragte (externe) Labor darf das Ergebnis nicht direkt Patient:innen mitteilen.
Wichtig ist, dass die erhobenen Daten und die Verarbeitungszwecke immer genau benannt und dokumentiert werden. Für weiterführende Informationen, in welchen Fällen und in welchem Umfang die Einwilligung im Gesundheitswesen eingesetzt werden kann, empfehlen wir den
Beitrag über die Einwilligung in die Verarbeitung von Gesundheitsdaten von unserer Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte.
Welche Schutzmaßnahmen sind für Gesundheitsdaten erforderlich?
Die Patient:innendaten erhalten eine Vielzahl von Akteur:innen. Neben den behandelnden Ärzt:innen bekommen auch die Krankenhausverwaltung und gegebenenfalls Krankenkassen Einsicht in die sensiblen Daten. Verständlicherweise erwarten Patient:innen einen entsprechenden Schutz, wenn sie in diesem Umfang Gesundheitsdaten von sich preisgeben. Daher sind Krankenhäuser rechtlich dazu verpflichtet, diese Daten angemessen zu schützen.
Die gesetzlichen Anforderungen sind dabei sehr vielfältig. So müssen die Patient:innen über die Datenverarbeitung informiert werden (Art. 13 DSGVO), Krankenhäuser müssen ein umfangreiches VVT (Art. 30 DSGVO) erstellen und in vielen Fällen eine DSFA (Art. 35 DSGVO) durchführen.
Um allen Datenschutzanforderungen gerecht zu werden, sollten Zugriffsberechtigungen auf Daten im Krankenhausinformationssystem (KIS) über ein umfassendes Rollen- und Berechtigungskonzept gesteuert werden, um nur denjenigen Personen Zugriff auf Daten zu geben, die sie auch für ihre Arbeit benötigen. Nicht mehr aktuelle Berechtigungen werden damit automatisch gesperrt und im Zuge neuer Positionen zugeteilt. Das ist in der Praxis häufig eine große Herausforderung. Es empfiehlt sich, von Anfang an alle beteiligten Akteur:innen, Rollen und Zugriffsmöglichkeiten mitzubedenken.
Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, um unbefugte Zugriffe zu vermeiden, und regelmäßige Mitarbeiterschulungen sind ebenfalls notwendig. Zum 1. Januar 2021 sind über das Patientendaten-Schutzgesetzes (PDSG) weitere Anforderungen hinzugekommen:
§ 306 Abs. 3 SGB V unterstreicht nochmals den hohen Schutzbedarf von Gesundheitsdaten und verpflichtet Krankenhäuser und andere Akteur:innen, ausreichende technisch-organisatorische Schutzmaßnahmen (TOM, siehe auch Art. 32 DSGVO) umzusetzen, deren Umfang sich nach dem Risiko für die Gesundheitsdaten richten muss.
Mit § 307 SGB V kommt die datenschutzrechtliche Verantwortlichkeit in der Telematikinfrastruktur hinzu. Wer Mittel bereithält und nutzt, um innerhalb der Telematikinfrastruktur zu arbeiten, ist für den Schutz der Daten verantwortlich. Die Regelung trägt dem Umstand Rechnung, dass aufgrund des höheren Datenaustausches im Gesundheitswesen Daten entsprechend besser geschützt werden müssen. Hier müssen vor allem eine ausführliche Datenschutzerklärung und alle relevanten Informationen bereitgestellt werden.
Wer Dienste und Komponenten der Telematikinfrastruktur betreibt, muss zudem nach § 329 Abs. 2 SGB V Störungen und Sicherheitsmängel unverzüglich der gematik melden.
Krankenhäuser müssen also beachten, dass sie sensible Daten verarbeiten und dabei viele unterschiedliche Akteur:innen einbinden, sodass auch die Schutzmaßnahmen besonders umfangreich sein müssen. Der Einsatz von
Datenschutzsoftware, die auf die Bedürfnisse von Krankenhäusern abzielt, kann für die Einhaltung von gesetzlichen Anforderungen hilfreich sein.