Datenschutz im Gesundheitswesen
8. April 2022

5 wichtige To-dos für Datenschutzverantwortliche im Gesundheitswesen

Datenschutz ist insbesondere im Gesundheitsbereich ein sensibles Thema. Denn nach der Datenschutz-Grundverordnung (DSGVO) zählen Gesundheitsdaten zu den besonders schutzbedürftigen Informationen. Entsprechend anspruchsvoll ist der Job für Datenschutzbeauftragte im Gesundheitswesen. Doch worauf achten Datenschutzbehörden bei einer Prüfung erfahrungsgemäß besonders? In diesem Gastbeitrag setze ich 5 wichtige To-dos auf deine Agenda – für ein effizientes und rechtskonformes Datenschutzmanagement.

Im Überblick: 5 wichtige Aufgaben für Datenschutzbeauftragte im Gesundheitswesen

  1. Achte auf die richtige Rechtsgrundlage zur Datenverarbeitung.
  2. Führe eine Datenschutz-Folgenabschätzung durch.
  3. Stelle die Anonymisierung und Pseudonymisierung von Daten technisch sicher.
  4. Implementiere TOMs, die dem Schutzbedarf der Gesundheitsdaten entsprechen.
  5. Sorge für eine rechtskonforme Verarbeitung von Daten durch Dritte.

1. Achte auf die richtige Rechtsgrundlage zur Datenverarbeitung.

Datenverarbeitung, was beinhaltet das eigentlich? Datenverarbeitung umfasst die digitale und analoge Datensammlung und Datenverarbeitung.

Was beinhaltet Datenverarbeitung laut DSGVO?

Dazu gehört zum Beispiel die Erhebung und Speicherung von Gesundheitsdaten beim Erstbesuch einer Praxis oder auch die Übermittlung von Laborergebnissen durch Fachärzt:innen an die/den behandelnden Hausärzt:in. Bei Gesundheitsdaten handelt es sich laut Artikel 4 der DSGVO im Speziellen um „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.  Mehr zum Thema findest du hier: Datenschutzmanagement im Gesundheitswesen.

Die Verarbeitung personenbezogener Daten basiert auf verschiedenen Grundsätzen, die in Artikel 5 geregelt sind. Dazu gehören:

Grundsätze zur Verarbeitung personenbezogener Daten

Die Verarbeitung von personenbezogenen Gesundheitsdaten sowie weiterer Kategorien (z. B. genetische Daten, religiöse Überzeugung) ist laut Artikel 9 der DSGVO nur auf Basis der in Absatz 2 aufgeführten Ausnahmefälle erlaubt.

Eine Erlaubnis für die Verarbeitung von Gesundheitsdaten kann vorliegen, wenn die Verarbeitung der individuellen Gesundheitsversorgung dient. Das gilt aber nur dann, wenn ein Spezialgesetz die Datenverarbeitung legitimiert oder ein Vertrag mit einem Angehörigen des Gesundheitsberufs (z. B. Ärzt:innen) zugrunde liegt. Im Vordergrund dieser Ausnahme steht das individuelle Interesse an der gesundheitlichen Versorgung und der damit verbundenen Abwicklung. So sollen z. B. bei routinemäßigen Krankheitsfällen Gesundheitsdaten im Interesse des Betroffenen schnell bearbeitet werden können.

Beispiele:

  • Behandlungsvertrag zwischen Ärzt:innen und Patient:innen
  • Verarbeitung der Daten mit der Krankenkasse oder Kassenärztlichen Vereinigung auf Grundlage von §§ 294 ff. SGB V

Demnach ist die Verarbeitung personenbezogener Daten zum Beispiel unter folgenden Umständen möglich:

  • bei sämtlichen Formen medizinischer Versorgung präventiver, diagnostischer, kurativer und nachsorgender Artikel
  • Bei erforderlicher Verwaltungstätigkeit und Arbeit im Zusammenhang mit gesundheitsbezogenen Handlungen

Das sicherste Vorgehen beim Verarbeiten von Daten im Gesundheitswesen ist jedoch das Einholen der Einwilligung der betroffenen Person. Dabei sollte beachtet werden, dass Patient:innen über den Umfang und Zweck der Datenverarbeitung aufgeklärt werden sollten. Laut Artikel 7 sollte die Zustimmung freiwillig erfolgen und darf jederzeit widerrufen werden. 

Im Zweifelsfall musst du jede einzelne Zustimmung gegenüber den Behörden nachweisen können. Daher ist es entscheidend, Informationen und Einwilligungserklärungen der Patient:innen sauber zu formulieren und lückenlos zu dokumentieren. Ich empfehle dir deshalb, auf eine professionelle Datenschutz-Software umzusatteln. Mit einem entsprechenden Tool kannst du Verarbeitungstätigkeiten komfortabel und zentral abbilden, anstatt dich mit Excel-Listen oder anderen behelfsmäßigen Tools rumzuärgern.
Das Bundesministerium für Wirtschaft und Energie hat hierzu auch eine Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht.

2. Führe eine Datenschutz-Folgenabschätzung durch.

Als Datenschutzbeauftragte:r im Gesundheitswesen solltest du für jedes Verfahren oder jede Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchführen. Warum? Weil du nur mittels DSFA Datenschutzrisiken systematisch identifizieren und bewerten kannst. Dies ist ein rechtlicher Erfolgsfaktor insbesondere in Krankenhäusern, ärztlichen Versorgungszentren und anderen größeren Einrichtungen des Gesundheitswesens, in denen täglich Tausende von sensiblen Daten erhoben, gespeichert und genutzt werden.
Dabei ist es wichtig, dass man einen ordentlichen Wiedervorlage-Prozess hat. So stellt man sicher, dass Änderungen an Verarbeitungstätigkeiten zeitnah registriert und evaluiert werden. Diesbezüglich empfehle ich dir ebenfalls einen PDCA-Zyklus einzuführen, falls du das noch nicht getan hast. Mit diesem agilen Modell hältst du dein DSMS langfristig up to date.

PDCA-Zyklus

3. Stelle die Anonymisierung und Pseudonymisierung von Daten technisch sicher.

Die Anonymisierung und Pseudonymisierung von Daten sind wichtige Instrumente im Umgang mit Gesundheitsdaten. Sie helfen dir dabei, das Datenschutzniveau wesentlich zu erhöhen. Eine Anonymisierung ist ein guter Weg, da die DSGVO bei Daten nicht greift, die sich nicht mehr auf Personen zurückführen lassen. Die Methode kommt bei klinischen Studien zum Einsatz.

Wesentlich relevanter ist es, die Daten der Patient:innen zu pseudonymisieren (siehe dazu Artikel 4, Absatz 5 DSGVO). Dabei werden Identitäts- und Gesundheitsdaten getrennt verarbeitet. Statt Klarnamen werden digitale IDs als Pseudonyme genutzt. Allerdings hat diese Methode ebenso wie die Anonymisierung speziell im Gesundheitsumfeld einen Nachteil: Je nach erhobenen Gesundheitsdaten lassen sich Betroffene beispielsweise bereits anhand einer Altersangabe oder des konkreten Krankheitsbildes eindeutig identifizieren.
Um tatsächlich auf Nummer sicher zu gehen, kannst du mit Datenschutz-Tools wie caralegal gemeinsam mit Kolleg:innen aus dem IT-Security Bereich zusammenarbeiten. Hierzu sollten IT bzw. Engineering Teams vor der Umsetzung geschult und sensibilisiert werden.

4. Implementiere TOMs, die dem Schutzbedarf der Gesundheitsdaten entsprechen.

Technische und organisatorische Maßnahmen, kurz TOMs, sind Brot und Butter des Datenschutzes. Es gibt kein Patentrezept, welche konkreten TOMs Datenschutzbeauftrage im Gesundheitswesen wann wie genau einsetzen sollten. Das hängt grundsätzlich von den Anforderungen und Gegebenheiten in der jeweiligen Gesundheitseinrichtung ab. Datenschutz ist eben immer eine individuelle Angelegenheit.

In jedem Fall musst du den Schutzbedarf der in deinem Betrieb erhobenen Gesundheitsdaten kennen. Und da es sich bei Gesundheitsdaten wie Krankheitsbildern um sehr persönliche, sensible Informationen handelt, ist Fingerspitzengefühl gefragt. Und auch hier gilt wieder: Ohne einen umfassenden Überblick läuft nichts.

Kläre beispielsweise folgende Fragen:

  • Wie werden (digitale) Patient:innenakten und -daten verwahrt?
  • Welche IT-Geräte kommen im Betrieb bei der Datensicherung zum Einsatz?
  • Wie werden Computer in dem Gesundheitsbetrieb vor dem Zugriff fremder Personen geschützt?
  • Wie lässt sich sicherstellen, dass keine Dritten Gespräche mit den Patient:innen mithören können?
  • Wie werden nicht mehr benötigte Unterlagen entsorgt?

Es gilt, abteilungsübergreifend zu denken. In einem Krankenhaus beispielsweise wandern personenbezogene Gesundheitsdaten durch viele Stationen. Im besten Fall stellst du deshalb ein umfassendes Datenschutzmanagementsystem zusammen, dass die individuelle Struktur und alle wichtigen Prozesse im Unternehmen datenschutzrechtlich definiert und lückenlos abdeckt.

5. Sorge für eine rechtskonforme Verarbeitung von Daten durch Dritte.

Denk stets daran: Beim Thema Datenschutz sitzen in der Regel immer Dritte mit im Boot, die du nicht vergessen darfst. Hierzu können andere Gesundheitsbetriebe, überweisende Ärzt:innen, Pharmazie- oder Zulieferunternehmen zählen. Selbst die Wartung von technischen Anlagen durch den IT-Dienstleister muss datenschutzrechtlich geregelt sein. Auf alle Fälle ist es essenziell, bei der Verarbeitung von Daten durch Dritte für Rechtssicherheit zu sorgen.

Du solltest wissen, wer wann und warum Zugriff auf Gesundheitsdaten erhält. Du musst die Betroffenen darüber vorab informieren und du brauchst deren Einwilligung. Weiterhin ist die Datenweitergabe an Dritte ordentlich zu dokumentieren und du musst sie jederzeit gegenüber den zuständigen Behörden nachweisen können. Nicht zuletzt musst du sicherstellen können, dass deine Partner:innen ebenfalls datenschutzkonform mit den Informationen umgehen.

Datenschutzbeauftragte:r im Gesundheitswesen – ein spannendes Tätigkeitsfeld

Wenn du die aufgezeigten 5 To-dos für den Datenschutz beherzigst und souverän umsetzt, bist du bei einer behördlichen Prüfung bestens aufgestellt. Weitere Infos zum Thema findest du im Beitrag „Datenschutzmanagement im Gesundheitswesen“ bei caralegal. Der Artikel enthält auch eine übersichtliche Checkliste, die du dir am besten ausgedruckt ins Büro hängst und Tag für Tag ins Gedächtnis rufst. Viel Spaß beim Lesen und viel Erfolg bei deinem spannenden Job als Datenschutzverantwortliche:r im Gesundheitswesen!

Der Autor

Björn Möller, Co-Founder & Chief Executive Officer (CEO) von caralegal

15. April 2022
Social Media Hacking: So nutzen Cyberkriminelle die sozialen Medien!
06. April 2022
lawpilots gewinnt eLearning Award 2022
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,65 von 5 Sternen 1856 Bewertungen auf ProvenExpert.com