Umsetzung der DSGVO im Krankenhaus

Lesezeit: ca. 4 Minuten

Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) war und ist für viele Unternehmen eine nicht leicht zu erledigende Aufgabe, doch besonders in Krankenhäusern stellt sie eine Herausforderung dar.

Verarbeitung von Gesundheitsdaten

Das Erfassen und Verarbeiten von Gesundheitsdaten ist ein großer Bestandteil im Arbeitsalltag von Krankenhäusern. Aus Datenschutzperspektive werden diese gemäß Artikel 9 DSGVO als besondere Kategorien personenbezogener Daten eingestuft, die so besonders geschützt werden müssen.

Die Verarbeitung solch sensibler Daten unterliegt in der Regel strengen Voraussetzungen und darf meist nur mit Einwilligung des Betroffenen stattfinden. Grund für diese Einstufung ist die existenzielle Relevanz der Gesundheitsdaten für die Patienten.

Verschwiegenheitspflicht

Abgesehen vom Datenschutz ist für Krankenhäuser auch die Verschwiegenheitspflicht zu beachten. Diese meint die Verpflichtung bestimmter Berufe und Berufsgruppen, ihnen anvertraute geheime Daten nicht unzulässig an Dritte weiterzugeben. Nach § 203 StGB kann ein Verstoß gegen die Verschwiegenheitspflicht eine Freiheits- oder Geldstrafe nach sich ziehen, so dass es sich auch aus diesem Blickwinkel lohnt, besondere Vorsicht beim Umgang mit Gesundheitsdaten walten zu lassen.

Konkrete Auswirkungen für Krankenhäuser

Generell gelten in Krankenhäusern die gleichen datenschutzrechtlichen Regelungen, wie in anderen Arbeitsbereichen auch. Die Anforderungen sind jedoch höher.

Artikel 32 DSGVO setzt voraus, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu erreichen. Genaueres lässt die DSGVO jedoch offen und nennt ausschließlich einige Kriterien, die bei der Wahl der zu treffenden Maßnahmen zu beachten sind. Dazu gehören der Stand der Technik, Implementierungskosten, die Art und der Umfang der Daten, sowie die Umstände und Zwecke der Verarbeitung und außerdem die Schwere der Risiken für Betroffene und deren Eintrittswahrscheinlichkeit.

Anhand dieser Kriterien wird schnell deutlich, dass für Krankenhäuser stets verstärkte Maßnahmen für die Gewährleistung der Datensicherheit getroffen werden sollten. Es wird im Normalfall ein großer Umfang besonders schutzwürdiger Daten verarbeitet, deren Verletzung mit einem hohen Risiko für Betroffene verbunden ist.

Datenschutz-Folgenabschätzung

Artikel 35 DSGVO führt aus, dass u.a. bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten eine Datenschutz-Folgenabschätzung notwendig ist.

Für Krankenhäuser bedeutet dies konkret, dass bei der Einführung neuer Prozesse und Systeme in regelmäßigen Abständen die Erfordernis einer Datenschutz-Folgenabschätzung zu erwarten ist.

Auftragsverarbeitung

Berufsgeheimnisträgers haben dank des „Gesetz(es) zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ die Erlaubnis externe Dienstleister bzw. Auftragsverarbeiter einzusetzen. Dennoch sollte bei der Prüfung der Eignung von Dienstleistern darauf geachtet werden, ob ihre technischen und organisatorischen Maßnahmen dem hohen Schutzniveau von Gesundheitsdaten entsprechen. Außerdem sind die Regelungen in Artikel 28 DSGVO zum Thema Auftragsverarbeitung zu berücksichtigen.

Auskünfte

Die Verschwiegenheitspflicht gilt auch bei Anfragen enger Angehöriger bezüglich der Gesundheitsdaten Betroffener. Dies deckt sich mit Artikel 15 DSGVO, der ebenfalls besagt, dass eine Auskunft ausschließlich gegenüber dem Betroffenen zu erteilen ist. Eine Entbindung von der ärztlichen Schweigepflicht kann so nur mit Zustimmung des Betroffenen geltend gemacht werden.

Meldepflichten

Nach Artikel 33, 34 DSGVO hat jeder Verantwortliche im Fall einer Datenschutzverletzung eine Meldepflicht. In Krankenhäusern dürfte dies auch für kleine Vorfälle, die in anderen Bereichen nicht meldepflichtig sind, gelten.

Selbst bei normalerweise geringen Risikos und Eintrittswahrscheinlichkeiten, wie etwa beim kurzfristigen Aussetzen der Verfügbarkeit von Daten, kann dies im Krankenhaus ein hohes Risiko für Rechte und Freiheiten von betroffenen Personen bedeuten. So ist in Krankenhäusern verschärft zu prüfen, welche Datenschutzpannen der Meldepflicht unterliegen.

Fazit

Unter den betrachteten Gesichtspunkten empfiehlt es sich bei der Umsetzung der DSGVO in Krankenhäusern ein umfassendes Datenschutzmanagement zu etablieren und ein Bewusstsein für die Relevanz des Themas, gerade in diesem Arbeitsfeld, zu schaffen.

Update 28.02.2019: Einwilligungen

Das Thema Einwilligung spielt in Krankenhäusern und im Umgang mit sensiblen personenbezogenen Daten an vielen Stellen eine wichtige Rolle.

Doch besondere Relevanz hat es bei der Schweigepflichtentbindung. Neben einigen gesonderten Gesetzen und Regelungen, die von der Schweigepflicht entbinden können, ist es vor allem die Einwilligung, die zumindest in Teilen befreiende Wirkung von der Schweigepflicht hat.

Dennoch sind einige wichtige Richtlinien zu beachten. Nicht nur in Krankenhäusern muss eine Einwilligung stets freiwillig und informiert sein, aber besonders im Umgang mit Patienten ist Vorsicht geboten.  Außerdem ist zu beachten, dass eine Einwilligung nie pauschal für jede mögliche Datenweitergabe eingeholt werden darf, sondern immer ausreichend konkret sein muss.

Generell gelten auch beim Thema Einwilligung in Krankenhäusern die gleichen datenschutzrechtlichen Grundsätze wie in anderen Unternehmen und Behörden. Jedoch ist durch die besondere Sensibilität der Daten auch eine besondere Vorsicht angebracht.

Für umfassende Information zu datenschutzrechtlichen Fragestellungen im medizinischen Kontext, sowie der Schweigepflicht empfiehlt Mission Datenschutz die offizielle Webseite der Bundesärztekammer:

https://www.bundesaerztekammer.de/richtlinien/thematische-uebersicht/schweigepflichtdatenschutz/

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen