Datenschutz im Gesundheitswesen: Das Wichtigste im Überblick
DSGVO

Datenschutz im Gesundheitswesen: Das Wichtigste im Überblick

erstellt am 30.08.19 ·Foto photowahn // Adobe Stock - 5 Min. Lesezeit

Im Gesundheitsbereich kommen viele private Informationen zusammen, die streng vertraulich behandelt werden müssen. Im Zuge der voranschreitenden Digitalisierung von Krankenhäusern, Arztpraxen, Pflege- und Altenheimen spielen Regelungen wie das IT-Sicherheitsgesetz, das E-Health-Gesetz sowie die EU-Datenschutz-Grundverordnung eine wichtige Rolle.

Daher ist es hier besonders wichtig, dass der Datenschutz gewährleistet wird und kein unbefugter Dritter sich Zugang zu den personenbezogenen Daten verschafft. Welche Daten generell erhoben werden dürfen und wie die Anforderungen an einen Datenschutzbeauftragtem im Gesundheitsbereich aussehen, erfahren Sie hier.

DSGVO – Wie funktioniert der Datenschutz allgemein?

Der Datenschutz hat als Ziel, die Privatsphäre der Menschen zu schützen. Seit Mai 2018 gilt die neue Europäische Datenschutz-Grundverordnung (DSGVO). Sie sieht eine einheitliche Regelung vor, wie die Verarbeitung und die elektronische Speicherung von personenbezogenen Daten gehandelt werden soll. Von der Regelung sind alle Unternehmen betroffen, die in ihrer Arbeit personenbezogene Daten erheben und diese speichern.

Dazu gehören neben Informationen zu den eigenen Arbeitnehmern auch Daten von Kunden, Vertragspartnern, etc. Die Datenschutz-Grundverordnung gilt gleichermaßen für alle Unternehmen und sieht dazu auch eine Dokumentationspflicht vor, damit die Datenverarbeitungsaktivitäten jederzeit Aufschluss über die gesammelten Informationen liefern können.

Was sind sensible Daten im Gesundheitsbereich?

Behandlungen, Vorerkrankungen, Diagnostik – das alles zählt im medizinischen Bereich zu den sensiblen Daten. Für Unternehmen wie Krankenhäuser, Arztpraxen und weitere Betriebe, die Gesundheitsdaten erheben, gelten bei der DSGVO noch weitere Auflagen: So unterliegen Gesundheitsinformationen dem Arztgeheimnis und dürfen erst unter bestimmten Voraussetzungen erhoben werden. Dazu ist die regelmäßige Einwilligung und Zustimmung des Patienten (oder eines gesetzlichen Vertreters) nötig. In seltenen Ausnahmenfällen dürfen Patientendaten an Dritte übermittelt werden, sofern eine explizierte Einwilligung des Patienten oder eine gesetzlich bestimmte Erlaubnis vorliegt.

In der DSGVO (Art. 4 Nr. 15) sind zur Erhebung und Speicherung von sensiblen Daten folgende Angaben zu finden:

„Gesundheitsdaten“ sind demnach personenbezogene Daten,

„die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Alle erhobenen Informationen, die Auskunft über den Gesundheitszustand einer Person geben, werden als Gesundheitsdaten bezeichnet und sind mit äußerster Sorgfalt zu behandeln. Dabei ist es egal, ob die Daten auf Papier oder elektronisch abgelegt werden, alle diese Daten stehen unter einem besonders hohen Schutz und müssen vor unbefugten Dritten geschützt werden. Geraten die Daten in die falschen Hände, kann das für die Betroffenen ernsthafte Auswirkungen haben und rechtliche Konsequenzen in Form von Geldbußen oder Strafanzeigen nach sich ziehen. Da Angaben zu der eigenen Gesundheit unter einem besonders hohen Schutz stehen, sollte die Umsetzung der DSVGO sehr ernst genommen werden.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten

Damit der Datenschutz eingehalten wird, gibt es Datenschutzbeauftragte. Sie sind sowohl in allen öffentlichen Stellen wie Behörden zu finden, als auch in nicht-öffentlichen Stellen wie Unternehmen und Vereine, sofern hier mehr als zehn Personen ständig mit der Verarbeitung der Daten befasst sind (§ 4f Abs. 1 Satz 1 und 4 BDSG). Verläuft die Datenverarbeitung nicht automatisch, gilt die Regelung erst ab einer Personenzahl von 20. Automatisiert bedeutet in diesem Fall, dass Datenverarbeitungsgeräte wie Computer bei der Verarbeitung benutzt werden. § 4 Abs. 1 Satz 2 der BDSG sieht vor, dass ein Betrieb spätestens einen Monat nach Aufnahme der Tätigkeit einen Datenschutzbeauftragen bestellen muss.

Wird kein Beauftragter bestellt oder wird dieser zu spät bestellt, kann dies mit einem Bußgeld in Höhe von bis zu 50.000 € geahndet werden (§ 43 Abs. 3 BDSG).

Datenschutzbeauftragter im Gesundheitswesen – Anforderungen und Pflichten

Die Anforderungen an einen Datenschutzbeauftragten im Gesundheitswesen unterscheiden sich nur wenig von denen eines normalen Datenschutzbeauftragten. Da die Patientendaten der Geheimhaltung unterliegen, müssen die mit der Aufgabe betrauten Personen die spezifischen regulatorischen Anforderungen im Gesundheitsbereich kennen, und sich dazu mit dem Krankenhausgesetzen sowie dem Infektionsschutzgesetz vertraut machen.

Darüber hinaus müssen sie sich ebenfalls mit den Datenverkehr in und aus dem Betrieb heraus auseinandersetzen und die Kommunikations- und Übertragungswege kennen (vom Labor ins Krankenhaus, vom Krankenhaus zum niedergelassenen Hausarzt, etc.)

In speziellen Seminaren für Datenschutzbeauftragte im Gesundheitswesen können unter anderem folgende Punkte erläutert werden:

  • Datenschutzgrundverordnung mit Zusatz Gesundheitswesen
  • Krankenhausgesetze
  • Patientenrechte
  • Aktuelle Rechtslage
  • Organisation in Krankenhäuser, Arztpraxen, Pflege- und Altenheimen
  • Aufgaben und Pflichten eines Datenschutzbeauftragten im Umgang mit Patientendaten
  • Infrastruktur
  • Übermittlung von sensiblen Daten wie Patientenakten
  • Schweigepflicht und Entbindung der Schweigepflicht

Wie kann die EU-DSGVO im Gesundheitswesen umgesetzt werden?

Damit der richtige Umgang mit sensiblen Daten im Gesundheitsbereich gewährleistet ist, gibt es verschiedene Wege.

  • Als Datenschutzbeauftragter können interne Mitarbeiter agieren oder externe Fachkräfte eingesetzt werden. Datenschutzbeauftragte müssen bestellt werden, wenn personenbezogene Daten automatisiert verarbeitet werden.
  • Datenschutzbeauftragte sind der Geschäftsleitung unterstellt und kontrollieren die Arbeitsabläufe hinsichtlich ihrer datenschutzrechtlichen Bestimmungen, außerdem passen sie laufende Abläufe an die DSGVO an.
  • Für den Datenschutz im Gesundheitswesen werden spezielle Seminare angeboten, die den Umgang mit sensiblen Patienteninformationen schulen.
  • Führen Sie im Unternehmen eine Datenschutz-Folgeschätzung durch. Laut DSGVO Art. 35 Ab. 3 b ist dies bei der Verarbeitung besonderer Kategorien erforderlich.
  • Datenpannen müssen innerhalb von 72 Stunden selbst zur Anzeige gebracht werden. Nach DSGVO Art. Nr. 12 liegt eine Verletzung personenbezogener Daten vor, wenn diese Daten verlorengegangen sind oder vernichtet, verändert oder ohne Befugnis offengelegt wurden.
  • Schulen Sie als Datenschutzbeauftragter die Mitarbeiter im Unternehmen, die mit der Datenerhebung und Verarbeitung in Berührung kommen, entsprechend. Das können Seminare, Workshops oder ähnliches sein. Jeder Mitarbeiter sollte für den Umgang mit Patientendaten sensibilisiert werden.

Datenschutz im Gesundheitswesen: Wichtiger denn je

Damit in einem Unternehmen, das mit sensiblen Daten aus dem Gesundheitsbereich zu tun hat, der Datenschutz eingehalten wird, ist ein richtiger und ordentlicher Umgang mit den geltenden Standards und Regelungen erforderlich. Ein Datenschutzbeauftragter unterstützt Sie und Ihr Unternehmen dabei, schult Ihre Mitarbeiter und sorgt dafür, dass bei der analogen und elektronische Datenverarbeitung alles richtig läuft und die sensiblen Daten ausschließlich in die richtigen Hände gelangen. Wird der Datenschutz im Gesundheitswesen nicht ordnungsgemäß eingehalten, müssen Unternehmen unter Umständen mit Klagen und damit verbundenen Geldkosten rechnen.