Besonders im Gesundheitswesen ist der Schutz persönlicher Daten von PatientInnen essentiell. Sensible Gesundheitsdaten müssen sicher und vertrauensvoll gehandhabt werden, um das Vertrauen der PatientInnen in das Gesundheitssystem zu gewährleisten und ihre Privatsphäre zu schützen. PatientInnen müssen sich darauf verlassen können, dass alle Angaben zu ihrem Gesundheitszustand mit Sorgfalt und Diskretion behandelt werden.
In diesem Blogbeitrag erfahren Sie, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO) an Krankenhäuser stellt, welche Maßnahmen umgesetzt werden sollten und welche Konsequenzen bei Verstößen drohen.
Der Datenschutz im Krankenhaus ist aus mehreren Gründen besonders entscheidend:
Die DSGVO stellt sicher, dass Daten nur unter strengen Auflagen erhoben, gespeichert und verarbeitet werden dürfen. Besonders wichtig sind dabei die Prinzipien der Datenminimierung, Zweckbindung und Transparenz. Krankenhäuser müssen sicherstellen, dass die Daten nur für den vorgesehenen Zweck und nur so lange wie nötig gespeichert werden. Zudem müssen PatientInnen umfassend über die Verarbeitung ihrer Daten informiert werden.
Da Gesundheitsdaten besonders schützenswert sind, ist ihre Verarbeitung grundsätzlich verboten. Eine Verarbeitung ist nur erlaubt, wenn ein spezifischer Ausnahmetatbestand erfüllt ist und eine Rechtsgrundlage vorliegt. Ohne diese doppelte Rechtfertigung ist die Verarbeitung von Gesundheitsdaten rechtswidrig und kann zu Sanktionen führen.
Zustimmung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO)
Die Verarbeitung von Gesundheitsdaten ist zulässig, wenn die betroffene Person ihre freiwillige, informierte und eindeutige Zustimmung gegeben hat. Diese Zustimmung muss klar und ausdrücklich erteilt werden. Es ist empfehlenswert, die Zustimmung schriftlich einzuholen, wobei die betroffene Person umfassend über den Zweck, die Verarbeitung und die Risiken informiert werden muss. Ein Hinweis auf das Recht, die Zustimmung jederzeit widerrufen zu können, sollte ebenfalls erteilt werden.
Verarbeitung zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO)
Die Verarbeitung von Gesundheitsdaten ist erlaubt, wenn sie notwendig ist, um lebenswichtige Interessen einer Person zu schützen und diese nicht in der Lage ist, ihre Einwilligung zu geben, etwa bei Bewusstlosigkeit oder fehlender Geschäftsfähigkeit. Diese Regelung greift nur, wenn keine Einwilligung eingeholt werden kann und kein gesetzlicher Vertreter erreichbar ist.
Verarbeitung für Zwecke der Gesundheitsvorsorge und Behandlung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO)
Die Verarbeitung von Gesundheitsdaten ist auch zulässig, wenn sie für die Gesundheitsvorsorge oder, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist. Diese Verarbeitung darf jedoch nur von Fachpersonal durchgeführt werden, das dem Berufsgeheimnis unterliegt, oder auf Grundlage eines Vertrags mit Angehörigen eines Gesundheitsberufs. Zu diesen Berufen zählen ÄrztInnen, PhysiotherapeutInnen, Krankenhaus- und Arztpraxispersonal, sowie Pflegekräfte.
Eine Verarbeitung durch Vereine und gemeinnützige Organisationen ist in der Regel nicht zulässig.
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO in Deutschland und regelt den Datenschutz auf nationaler Ebene. Es enthält spezifische Bestimmungen für den Umgang mit Patientendaten im Gesundheitswesen. Das BDSG sieht ebenfalls vor, dass Gesundheitsdaten als besondere Kategorien personenbezogener Daten besonders geschützt werden. Krankenhäuser sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten.
Zudem müssen Krankenhäuser nach §4f BDSG einen Datenschutzbeauftragten benennen, der die Einhaltung der Datenschutzvorschriften überwacht und als AnsprechpartnerIn für PatientInnen und Mitarbeitende dient. Diese Rolle kann intern oder extern übernommen werden, solange die zuständige Person die Bestimmungen des Datenschutzes in Anbetracht des jeweiligen Datenumfangs der Klinik kennt und in jedem Fall zuverlässig arbeitet. Der Datenschutzbeauftragte ist dafür verantwortlich, Kliniken zur Einhaltung der DSGVO zu informieren, zu beraten und Datenschutzverstöße zu melden.
Auch Arztpraxen müssen gemäß Art. 37 DSGVO einen Datenschutzbeauftragten ernennen, wenn:
Das Sozialgesetzbuch (SGB) enthält zahlreiche Regelungen, die den Datenschutz im Gesundheitswesen betreffen. Besonders relevant sind hierbei das SGB V und das SGB X. Das SGB V regelt die gesetzliche Krankenversicherung und sieht vor, dass Krankenkassen und Leistungserbringer, wie Krankenhäuser, Daten nur im Rahmen der gesetzlichen Vorschriften erheben und verarbeiten dürfen. Das SGB X enthält allgemeine Vorschriften zum Schutz sozialer Daten und regelt unter anderem den Datenaustausch zwischen Sozialleistungsträgern.
Berufsrechtliche Regelungen, wie die Berufsordnungen der Ärztekammern, enthalten ebenfalls Datenschutzvorgaben, die von ÄrztInnen und medizinischem Personal eingehalten werden müssen.
Krankenhäuser erfassen eine Vielzahl von personenbezogenen Daten, darunter Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse. Auch diese allgemeinen Daten fallen unter die DSGVO und müssen entsprechend geschützt werden.
Gesundheitsdaten sind jedoch eine besonders sensible Art von Daten. Laut Art. 9 der DSGVO gehören sie zu einer speziellen Kategorie personenbezogener Daten, da sie Informationen über die physische oder psychische Gesundheit einer Person enthalten.
Diese sensiblen Daten können eine Vielzahl von Informationen umfassen, die im medizinischen Umfeld oder durch Gesundheitsüberwachung erhoben werden, wie zum Beispiel:
Für Krankenhäuser bedeutet dies, dass alle Gesundheitsdaten ihrer Patientinnen und Patienten mit größter Sorgfalt und strengen Sicherheitsmaßnahmen geschützt werden müssen.
PatientInnen haben gegenüber Kliniken einige Ansprüche in Bezug auf ihre Daten:.
Auskunftsanspruch
PatientInnen haben das Recht, von Krankenhäusern und anderen Gesundheitseinrichtungen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Dieses Recht beinhaltet auch:
Berichtigungsanspruch
Das Recht auf Berichtigung ermöglicht es PatientInnen, die Korrektur ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Die Berichtigung muss unverzüglich erfolgen, um sicherzustellen, dass alle medizinischen Entscheidungen auf korrekten und aktuellen Daten basieren.
Löschungsanspruch
PatientInnen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind:
Krankenhäuser und andere medizinische Einrichtungen haben umfangreiche Informationspflichten gegenüber PatientInnen und ihren Angehörigen.
Nachberichtspflicht
Wenn personenbezogene Daten aufgrund eines Berichtigungs- oder Löschungsantrags geändert oder gelöscht werden, sind die Gesundheitseinrichtungen verpflichtet, alle EmpfängerInnen dieser Daten über die Änderungen zu informieren. Diese Nachberichtspflicht stellt sicher, dass alle Stellen, die Zugang zu den Daten hatten, über die Korrekturen informiert sind und nur die aktualisierten Daten nutzen.
Aufklärung über Datenerhebung und -verwendung
Krankenhäuser müssen PatientInnen umfassend darüber informieren, welche personenbezogenen Daten erhoben werden. Dies umfasst medizinische Daten wie Diagnosen, Behandlungen, Krankengeschichte, aber auch administrative Daten wie Kontaktdaten und Versicherungsinformationen.
PatientInnen müssen auch darüber aufgeklärt werden, zu welchen Zwecken ihre Daten verwendet werden. Dies schließt die Behandlung und Versorgung, Abrechnungsprozesse, Qualitätssicherung und Forschung ein. Die Information sollte klar und verständlich sein, um sicherzustellen, dass PatientInnen die Verwendung ihrer Daten nachvollziehen können.
Dauer der Datenspeicherung
Es ist wichtig, dass PatientInnen darüber informiert werden, wie lange ihre Daten gespeichert werden. Die Speicherdauer hängt von gesetzlichen Vorgaben und den spezifischen Zwecken der Datenverarbeitung ab.
Einwilligungserklärung und Widerrufsrecht
Krankenhäuser müssen sicherstellen, dass die Einwilligung der PatientInnen zur Verarbeitung ihrer Daten freiwillig, informiert und eindeutig ist. Die Einwilligung sollte schriftlich erfolgen, um einen klaren Nachweis zu haben. Die PatientInnen müssen dabei umfassend über den Zweck und Umfang der Datenverarbeitung informiert werden.
PatientInnen haben das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Krankenhäuser müssen die PatientInnen über dieses Recht informieren und sicherstellen, dass der Widerruf genauso einfach erfolgen kann wie die Einwilligung. Ein Widerruf wirkt sich auf zukünftige Verarbeitungen aus und beeinträchtigt nicht die Rechtmäßigkeit der vorherigen Verarbeitung.
Die ärztliche Schweigepflicht verhindert die Weitergabe der Gesundheitsdaten ohne Einwilligung der betreffenden Person oder Anonymisierung der Daten.
In bestimmten Situationen haben Angehörige jedoch ebenfalls ein Recht auf Auskunft über die Gesundheitsdaten von PatientInnen. Dies ist jedoch nur unter strengen Bedingungen möglich. Beispielsweise können Angehörige Auskunft erhalten, wenn PatientInnen ausdrücklich zugestimmt haben oder nicht in der Lage sind eine Einwilligung zu geben, etwa bei Bewusstlosigkeit.
Krankenhäuser müssen sicherstellen, dass die Auskunftserteilung an Angehörige im Einklang mit den Datenschutzvorschriften steht und die Rechte und Interessen der PatientInnen gewahrt bleiben.
Der Schutz von Patientendaten ist essentziell, um die Privatsphäre und das Vertrauen der PatientInnen zu sichern. Krankenhäuser und Gesundheitseinrichtungen müssen zahlreiche Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit dieser sensiblen Daten zu gewährleisten. Hier sind die wichtigsten Maßnahmen zusammengefasst:
Erfahren Sie, wie Sie sichere Passwörter erstellen und verwalten.
Erfahren Sie, wie Sie physische Sicherheitsmaßnahmen umsetzen können, um sich vor Bedrohungen zu schützen und sensible Daten zu sichern.
Die elektronische Patientenakte (ePA) soll alle Gesundheitsdaten einer Person zentral sammeln und zugänglich machen, um Mehrfachuntersuchungen und falsche Medikation aufgrund fehlender Informationen zu vermeiden, was zu Kosteneinsparungen und einer verbesserten Versorgungsqualität führt. Datenschutz ist dabei von höchster Bedeutung: Nur die betroffene Person selbst entscheidet, wer Zugriff auf die ePA erhält, und kann jederzeit ihre Daten einsehen, hinzufügen oder entfernen.
Die Einwilligung zur Nutzung der ePA muss freiwillig, informiert und eindeutig sein, und die Patienten müssen umfassend über den Zweck der Datenverarbeitung und ihre Rechte aufgeklärt werden. Technische Maßnahmen wie Datenverschlüsselung, strenge Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen schützen die Daten. Nach der Erteilung einer Zugriffsberechtigung für medizinisches Fachpersonal ist zudem eine zusätzliche Authentifizierung erforderlich.
Durch die konsequente Umsetzung dieser Best Practices können Krankenhäuser sicherstellen, dass Patientendaten sicher und vertrauensvoll behandelt werden und gleichzeitig den gesetzlichen Anforderungen genügen.
Der Schutz von Patientendaten ist im Gesundheitswesen von zentraler Bedeutung, um die Privatsphäre der PatientInnen zu wahren und ihr Vertrauen in das Gesundheitssystem zu sichern. Es ist sicherzustellen, dass alle datenschutzrechtlichen Anforderungen gemäß DSGVO und BDSG eingehalten werden. Dies umfasst eine freiwillige, informierte und eindeutige Einwilligung der PatientInnen, umfassende technische und organisatorische Maßnahmen zum Schutz der Daten sowie klare Richtlinien und Schulungen für das Personal. Nur durch konsequente Umsetzung dieser Maßnahmen können Krankenhäuser den sicheren und vertraulichen Umgang mit sensiblen Gesundheitsdaten gewährleisten.
Quellen:
Inhaltsangabe