Datenschutz im Krankenhaus: Sichere Gesundheitsdaten

Besonders im Gesundheitswesen ist der Schutz persönlicher Daten von PatientInnen essentiell. Sensible Gesundheitsdaten müssen sicher und vertrauensvoll gehandhabt werden, um das Vertrauen der PatientInnen in das Gesundheitssystem zu gewährleisten und ihre Privatsphäre zu schützen. PatientInnen müssen sich darauf verlassen können, dass alle Angaben zu ihrem Gesundheitszustand mit Sorgfalt und Diskretion behandelt werden. 
 In diesem Blogbeitrag erfahren Sie, welche Anforderungen die Datenschutz-Grundverordnung (DSGVO) an Krankenhäuser stellt, welche Maßnahmen umgesetzt werden sollten und welche Konsequenzen bei Verstößen drohen.

Warum ist Datenschutz im Krankenhaus besonders wichtig?

Der Datenschutz im Krankenhaus ist aus mehreren Gründen besonders entscheidend:

1. Umgang mit sensiblen Gesundheitsdaten: Krankenhäuser verarbeiten täglich eine Vielzahl hochsensibler Daten, die unter die besonderen Kategorien personenbezogener Daten fallen (Art. 9 DSGVO). Dazu zählen Informationen über Diagnosen, Behandlungspläne, Krankheitsverläufe und medizinische Testergebnisse. Diese Daten sind nicht nur persönlich, sondern auch äußerst vertraulich. Ihr Missbrauch oder Verlust könnte den betroffenen Personen erheblichen Schaden zufügen, sowohl psychisch als auch physisch. Beispielsweise könnten sensible Gesundheitsinformationen missbraucht werden, um die soziale oder berufliche Stellung einer Person zu schädigen.
2. Schutz der Privatsphäre: PatientInnen haben ein berechtigtes Interesse daran, dass ihre persönlichen und medizinischen Daten vertraulich behandelt werden. Der Schutz dieser Informationen ist nicht nur gesetzlich vorgeschrieben, sondern auch eine ethische Verpflichtung der medizinischen Einrichtungen. Der Datenschutz gewährleistet, dass sensible Daten nicht in falsche Hände geraten oder für unzulässige Zwecke verwendet werden.
3. Vertrauensverhältnis zwischen PatientIn und Krankenhaus: Das Vertrauen der PatientInnen in die Sicherheit ihrer Daten ist von zentraler Bedeutung für die Beziehung zwischen Patienten und medizinischen Einrichtungen. PatientInnen müssen sicher sein, dass ihre Daten sicher und ausschließlich für die medizinische Versorgung verwendet werden. Wenn Krankenhäuser Datenschutzverletzungen erleiden oder mit den Daten ihrer PatientInnen nachlässig umgehen, kann dies das Vertrauen massiv beeinträchtigen. Vertrauen ist jedoch unerlässlich, damit PatientInnen bereit sind, umfassende und genaue Angaben zu ihrer Gesundheit zu machen, die für eine korrekte Diagnose und Behandlung notwendig sind.
4. Verpflichtung zur Datensicherheit bei digitaler Transformation: Krankenhäuser stehen heute vor großen Herausforderungen im Zuge der digitalen Transformation. Elektronische Patientenakten, digitale Kommunikation und automatisierte Prozesse erleichtern den Arbeitsalltag und verbessern die medizinische Versorgung. Gleichzeitig wächst jedoch die Verantwortung, diese neuen Technologien sicher zu gestalten. Cyberangriffe und Datenlecks können im Gesundheitswesen besonders schwerwiegende Konsequenzen haben. Datenschutzmaßnahmen müssen daher auch in digitalen Infrastrukturen fest verankert sein, um die immer größer werdenden Datenmengen sicher zu verwalten.
5. Rechtliche und finanzielle Risiken: Neben den ethischen und praktischen Aspekten stellt auch die Einhaltung gesetzlicher Vorschriften einen wichtigen Grund für den Schutz von Patientendaten dar. Die DSGVO sieht strenge Sanktionen für Verstöße vor. Krankenhäuser, die gegen die Datenschutzbestimmungen verstoßen, riskieren hohe Bußgelder (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes). Solche Sanktionen können nicht nur finanziell belastend sein, sondern auch den Ruf der Einrichtung schädigen.

Rechtliche Grundlagen für den Datenschutz im Krankenhaus

Datenschutz-Grundverordnung (DSGVO)

Die DSGVO stellt sicher, dass Daten nur unter strengen Auflagen erhoben, gespeichert und verarbeitet werden dürfen. Besonders wichtig sind dabei die Prinzipien der Datenminimierung, Zweckbindung und Transparenz. Krankenhäuser müssen sicherstellen, dass die Daten nur für den vorgesehenen Zweck und nur so lange wie nötig gespeichert werden. Zudem müssen PatientInnen umfassend über die Verarbeitung ihrer Daten informiert werden.

Da Gesundheitsdaten besonders schützenswert sind, ist ihre Verarbeitung grundsätzlich verboten. Eine Verarbeitung ist nur erlaubt, wenn ein spezifischer Ausnahmetatbestand erfüllt ist und eine Rechtsgrundlage vorliegt. Ohne diese doppelte Rechtfertigung ist die Verarbeitung von Gesundheitsdaten rechtswidrig und kann zu Sanktionen führen. 

Ausnahmen des Verbotes

Zustimmung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO)

Die Verarbeitung von Gesundheitsdaten ist zulässig, wenn die betroffene Person ihre freiwillige, informierte und eindeutige Zustimmung gegeben hat. Diese Zustimmung muss klar und ausdrücklich erteilt werden. Es ist empfehlenswert, die Zustimmung schriftlich einzuholen, wobei die betroffene Person umfassend über den Zweck, die Verarbeitung und die Risiken informiert werden muss. Ein Hinweis auf das Recht, die Zustimmung jederzeit widerrufen zu können, sollte ebenfalls erteilt werden.

Verarbeitung zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c DSGVO)

Die Verarbeitung von Gesundheitsdaten ist erlaubt, wenn sie notwendig ist, um lebenswichtige Interessen einer Person zu schützen und diese nicht in der Lage ist, ihre Einwilligung zu geben, etwa bei Bewusstlosigkeit oder fehlender Geschäftsfähigkeit. Diese Regelung greift nur, wenn keine Einwilligung eingeholt werden kann und kein gesetzlicher Vertreter erreichbar ist.

Verarbeitung für Zwecke der Gesundheitsvorsorge und Behandlung (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO)

Die Verarbeitung von Gesundheitsdaten ist auch zulässig, wenn sie für die Gesundheitsvorsorge oder, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist. Diese Verarbeitung darf jedoch nur von Fachpersonal durchgeführt werden, das dem Berufsgeheimnis unterliegt, oder auf Grundlage eines Vertrags mit Angehörigen eines Gesundheitsberufs. Zu diesen Berufen zählen ÄrztInnen, PhysiotherapeutInnen, Krankenhaus- und Arztpraxispersonal, sowie Pflegekräfte.

Eine Verarbeitung durch Vereine und gemeinnützige Organisationen ist in der Regel nicht zulässig.

Bundesdatenschutzgesetz (BDSG)

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO in Deutschland und regelt den Datenschutz auf nationaler Ebene. Es enthält spezifische Bestimmungen für den Umgang mit Patientendaten im Gesundheitswesen. Das BDSG sieht ebenfalls vor, dass Gesundheitsdaten als besondere Kategorien personenbezogener Daten besonders geschützt werden. Krankenhäuser sind verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten.

Rolle des Datenschutzbeauftragten im Krankenhaus

Zudem müssen Krankenhäuser nach §4f BDSG einen Datenschutzbeauftragten benennen, der die Einhaltung der Datenschutzvorschriften überwacht und als AnsprechpartnerIn für PatientInnen und Mitarbeitende dient. Diese Rolle kann intern oder extern übernommen werden, solange die zuständige Person die Bestimmungen des Datenschutzes in Anbetracht des jeweiligen Datenumfangs der Klinik kennt und in jedem Fall zuverlässig arbeitet. Der Datenschutzbeauftragte ist dafür verantwortlich, Kliniken zur Einhaltung der DSGVO zu informieren, zu beraten und Datenschutzverstöße zu melden.

Auch Arztpraxen müssen gemäß Art. 37 DSGVO einen Datenschutzbeauftragten ernennen, wenn:

• Die Praxis Teil einer Behörde oder einer öffentlichen Einrichtung ist.
• Die Haupttätigkeit der Praxis die Verarbeitung von Daten umfasst.
• Die Praxis primär Gesundheitsdaten in großem Umfang verarbeitet (gilt für Praxen mit mehr als einem Arzt).
• Die Praxis mehr als 20 Beschäftigte hat

Weitere relevante Gesetze und Richtlinien für den Datenschutz im Krankenhaus

Das Sozialgesetzbuch (SGB) enthält zahlreiche Regelungen, die den Datenschutz im Gesundheitswesen betreffen. Besonders relevant sind hierbei das SGB V und das SGB X. Das SGB V regelt die gesetzliche Krankenversicherung und sieht vor, dass Krankenkassen und Leistungserbringer, wie Krankenhäuser, Daten nur im Rahmen der gesetzlichen Vorschriften erheben und verarbeiten dürfen. Das SGB X enthält allgemeine Vorschriften zum Schutz sozialer Daten und regelt unter anderem den Datenaustausch zwischen Sozialleistungsträgern.

Berufsrechtliche Regelungen, wie die Berufsordnungen der Ärztekammern, enthalten ebenfalls Datenschutzvorgaben, die von ÄrztInnen und medizinischem Personal eingehalten werden müssen.

Arten von Patiendaten und ihre Sensibilität

Krankenhäuser erfassen eine Vielzahl von personenbezogenen Daten, darunter Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse. Auch diese allgemeinen Daten fallen unter die DSGVO und müssen entsprechend geschützt werden.

Gesundheitsdaten sind jedoch eine besonders sensible Art von Daten. Laut Art. 9 der DSGVO gehören sie zu einer speziellen Kategorie personenbezogener Daten, da sie Informationen über die physische oder psychische Gesundheit einer Person enthalten. 

Diese sensiblen Daten können eine Vielzahl von Informationen umfassen, die im medizinischen Umfeld oder durch Gesundheitsüberwachung erhoben werden, wie zum Beispiel:

• Ergebnisse von medizinischen Untersuchungen,
• Genetische Daten,
• Informationen über Krankheiten und Behandlungen,
• Physiologischer oder biomedizinischer Zustand,
• Familiäre Vorbelastungen oder genetische Risiken,
• Besondere Merkmale auf Fotos, wie z. B. das Tragen einer Brille, die auf einen gesundheitlichen Zustand hinweisen.

Für Krankenhäuser bedeutet dies, dass alle Gesundheitsdaten ihrer Patientinnen und Patienten mit größter Sorgfalt und strengen Sicherheitsmaßnahmen geschützt werden müssen.

Patientenrechte und Transparenz beim Datenschutz im Krankenhaus

PatientInnen haben gegenüber Kliniken einige Ansprüche in Bezug auf ihre Daten:.

Auskunftsanspruch

PatientInnen haben das Recht, von Krankenhäusern und anderen Gesundheitseinrichtungen eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden. Dieses Recht beinhaltet auch:

• Eine Kopie der Daten: PatientInnen können eine Kopie ihrer verarbeiteten personenbezogenen Daten anfordern.
• Details zur Datenverarbeitung: Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten, die EmpfängerInnen, an die die Daten weitergegeben wurden, sowie die geplante Speicherdauer.

Berichtigungsanspruch

Das Recht auf Berichtigung ermöglicht es PatientInnen, die Korrektur ihrer personenbezogenen Daten zu verlangen, wenn diese unrichtig oder unvollständig sind. Die Berichtigung muss unverzüglich erfolgen, um sicherzustellen, dass alle medizinischen Entscheidungen auf korrekten und aktuellen Daten basieren.

Löschungsanspruch

PatientInnen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind:

• Daten sind nicht mehr notwendig
• Widerruf der Einwilligung
• Unrechtmäßige Verarbeitung

Informationspflichten des Krankenhauses

Krankenhäuser und andere medizinische Einrichtungen haben umfangreiche Informationspflichten gegenüber PatientInnen und ihren Angehörigen.

Nachberichtspflicht

Wenn personenbezogene Daten aufgrund eines Berichtigungs- oder Löschungsantrags geändert oder gelöscht werden, sind die Gesundheitseinrichtungen verpflichtet, alle EmpfängerInnen dieser Daten über die Änderungen zu informieren. Diese Nachberichtspflicht stellt sicher, dass alle Stellen, die Zugang zu den Daten hatten, über die Korrekturen informiert sind und nur die aktualisierten Daten nutzen.

Aufklärung über Datenerhebung und -verwendung

Krankenhäuser müssen PatientInnen umfassend darüber informieren, welche personenbezogenen Daten erhoben werden. Dies umfasst medizinische Daten wie Diagnosen, Behandlungen, Krankengeschichte, aber auch administrative Daten wie Kontaktdaten und Versicherungsinformationen.

PatientInnen müssen auch darüber aufgeklärt werden, zu welchen Zwecken ihre Daten verwendet werden. Dies schließt die Behandlung und Versorgung, Abrechnungsprozesse, Qualitätssicherung und Forschung ein. Die Information sollte klar und verständlich sein, um sicherzustellen, dass PatientInnen die Verwendung ihrer Daten nachvollziehen können.

Dauer der Datenspeicherung

Es ist wichtig, dass PatientInnen darüber informiert werden, wie lange ihre Daten gespeichert werden. Die Speicherdauer hängt von gesetzlichen Vorgaben und den spezifischen Zwecken der Datenverarbeitung ab.

Einwilligungserklärung und Widerrufsrecht

Krankenhäuser müssen sicherstellen, dass die Einwilligung der PatientInnen zur Verarbeitung ihrer Daten freiwillig, informiert und eindeutig ist. Die Einwilligung sollte schriftlich erfolgen, um einen klaren Nachweis zu haben. Die PatientInnen müssen dabei umfassend über den Zweck und Umfang der Datenverarbeitung informiert werden.

PatientInnen haben das Recht, ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Krankenhäuser müssen die PatientInnen über dieses Recht informieren und sicherstellen, dass der Widerruf genauso einfach erfolgen kann wie die Einwilligung. Ein Widerruf wirkt sich auf zukünftige Verarbeitungen aus und beeinträchtigt nicht die Rechtmäßigkeit der vorherigen Verarbeitung.

Recht der Angehörigen auf Auskunft

Die ärztliche Schweigepflicht verhindert die Weitergabe der Gesundheitsdaten ohne Einwilligung der betreffenden Person oder Anonymisierung der Daten.

In bestimmten Situationen haben Angehörige jedoch ebenfalls ein Recht auf Auskunft über die Gesundheitsdaten von PatientInnen. Dies ist jedoch nur unter strengen Bedingungen möglich. Beispielsweise können Angehörige Auskunft erhalten, wenn PatientInnen ausdrücklich zugestimmt haben oder nicht in der Lage sind eine Einwilligung zu geben, etwa bei Bewusstlosigkeit.

Krankenhäuser müssen sicherstellen, dass die Auskunftserteilung an Angehörige im Einklang mit den Datenschutzvorschriften steht und die Rechte und Interessen der PatientInnen gewahrt bleiben.

Maßnahmen für Datenschutz im Krankenhaus

Der Schutz von Patientendaten ist essentziell, um die Privatsphäre und das Vertrauen der PatientInnen zu sichern. Krankenhäuser und Gesundheitseinrichtungen müssen zahlreiche Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit dieser sensiblen Daten zu gewährleisten. Hier sind die wichtigsten Maßnahmen zusammengefasst:

Technische Maßnahmen

• Datenverschlüsselung: Schützt Patientendaten vor unbefugtem Zugriff durch Verschlüsselung, sowohl bei Speicherung als auch bei Übertragung.
• Zugriffskontrollen: Beschränken den Zugang zu Patientendaten auf autorisierte Personen mittels Benutzeridentifikationen, Passwörtern und biometrischen Verfahren.

Erfahren Sie, wie Sie sichere Passwörter erstellen und verwalten. 

• Firewalls und Antivirensoftware: Schützen Netzwerke und Systeme vor Malware und Viren, regelmäßige Updates sind erforderlich.
• Sicherheitsupdates und Patches: Regelmäßige Aktualisierungen von Betriebssystemen und Software, um Sicherheitslücken zu schließen.

Organisatorische Maßnahmen

• Datenschutzrichtlinien und -verfahren: Entwicklung und Implementierung klarer Richtlinien zum Umgang mit Patientendaten, regelmäßige Überprüfung und Anpassung an gesetzliche Anforderungen.
• Schulung und Sensibilisierung: Regelmäßige Schulungen für Mitarbeitende zu Datenschutzthemen, wie sicherer Umgang mit Patientendaten und Erkennung von Phishing.
• Vertragsmanagement mit Drittanbietern: Sicherstellung, dass Drittanbieter strenge Datenschutzstandards einhalten, durch Datenschutzvereinbarungen und regelmäßige Audits.

Physische Sicherheitsmaßnahmen

• Zugangsbeschränkungen: Verhindern unbefugten Zutritt zu Bereichen, in denen Patientendaten gespeichert oder verarbeitet werden, durch Sicherheitsschlösser, Zugangskarten und Überwachungskameras.
• Sicherer Umgang mit Papierakten: Papierakten müssen sicher aufbewahrt und bei Nichtgebrauch sicher vernichtet werden, beispielsweise durch Schreddern.

Erfahren Sie, wie Sie physische Sicherheitsmaßnahmen umsetzen können, um sich vor Bedrohungen zu schützen und sensible Daten zu sichern.

Notfallmanagement und Wiederherstellung

• Datensicherungen: Regelmäßige Backups sind notwendig, um Patientendaten bei Datenverlust oder Cyberangriffen wiederherstellen zu können, diese sollten sicher und regelmäßig getestet werden.
• Notfallpläne: Entwicklung von Plänen zur Handhabung von Datenschutzverletzungen und sicherheitsrelevanten Vorfällen, einschließlich Maßnahmen zur schnellen Reaktion und Wiederherstellung des Betriebs.

Digitalisierung und elektronische Patientenakten

Die elektronische Patientenakte (ePA) soll alle Gesundheitsdaten einer Person zentral sammeln und zugänglich machen, um Mehrfachuntersuchungen und falsche Medikation aufgrund fehlender Informationen zu vermeiden, was zu Kosteneinsparungen und einer verbesserten Versorgungsqualität führt. Datenschutz ist dabei von höchster Bedeutung: Nur die betroffene Person selbst entscheidet, wer Zugriff auf die ePA erhält, und kann jederzeit ihre Daten einsehen, hinzufügen oder entfernen.

Die Einwilligung zur Nutzung der ePA muss freiwillig, informiert und eindeutig sein, und die Patienten müssen umfassend über den Zweck der Datenverarbeitung und ihre Rechte aufgeklärt werden. Technische Maßnahmen wie Datenverschlüsselung, strenge Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen schützen die Daten. Nach der Erteilung einer Zugriffsberechtigung für medizinisches Fachpersonal ist zudem eine zusätzliche Authentifizierung erforderlich.

Best Practices für Datenschutz im Krankenhaus

1. Einwilligungsmanagement
   • Stellen Sie sicher, dass die Einwilligung der Patientnnen zur Verarbeitung ihrer Daten freiwillig, informiert und eindeutig erfolgt. Nutzen Sie schriftliche Einwilligungserklärungen und informieren Sie die PatientInnen umfassend über den Zweck der Datenverarbeitung und ihre Rechte, einschließlich des Widerrufsrechts.
2. Umfassende Sicherheitsmaßnahmen
   • Implementieren Sie robuste technische Sicherheitsvorkehrungen wie Datenverschlüsselung, strenge Zugriffskontrollen und regelmäßige Sicherheitsupdates. Nutzen Sie Firewalls und Antivirensoftware, um Netzwerke und Systeme vor Cyberangriffen zu schützen. 
3. Regelmäßige Schulungen und Sensibilisierung
   • Schulen Sie Ihr Personal regelmäßig zu Datenschutzthemen und sensibilisieren Sie sie für den sicheren Umgang mit Patientendaten. Themen sollten unter anderem die Erkennung von Phishing-Versuchen und der Schutz vor Social Engineering umfassen.
4. Transparente Datenschutzrichtlinien
   • Entwickeln und implementieren Sie klare Datenschutzrichtlinien und -verfahren, die regelmäßig überprüft und an neue gesetzliche Anforderungen und technologische Entwicklungen angepasst werden. Sorgen Sie dafür, dass diese Richtlinien allen Mitarbeitenden bekannt sind und konsequent eingehalten werden.

Durch die konsequente Umsetzung dieser Best Practices können Krankenhäuser sicherstellen, dass Patientendaten sicher und vertrauensvoll behandelt werden und gleichzeitig den gesetzlichen Anforderungen genügen.

Fazit

Der Schutz von Patientendaten ist im Gesundheitswesen von zentraler Bedeutung, um die Privatsphäre der PatientInnen zu wahren und ihr Vertrauen in das Gesundheitssystem zu sichern. Es ist sicherzustellen, dass alle datenschutzrechtlichen Anforderungen gemäß DSGVO und BDSG eingehalten werden. Dies umfasst eine freiwillige, informierte und eindeutige Einwilligung der PatientInnen, umfassende technische und organisatorische Maßnahmen zum Schutz der Daten sowie klare Richtlinien und Schulungen für das Personal. Nur durch konsequente Umsetzung dieser Maßnahmen können Krankenhäuser den sicheren und vertraulichen Umgang mit sensiblen Gesundheitsdaten gewährleisten.

---

Quellen:

• Bundesministerium der Justiz. Sozialgesetzbuch. Fünftes Buch.  
• Bundesministerium der Justiz. Sozialgesetzbuch. Zehntes Buch. 
• Bundesministerium für Gesundheit. “Die elektronische Patientenakte”. 
• Bundesministerium für Wirtschaft und Energie. “Orientierungshilfe zum Gesundheitsdatenschutz”. 
• Datenschutz-Grundverordnung (DSGVO). (2018). 
• Datenschutzstiftung. “Gesundheitsdaten. Praxisratgeber”.

Inhaltsangabe

• Warum ist Datenschutz im Krankenhaus besonders wichtig?
• Rechtliche Grundlagen für den Datenschutz im Krankenhaus
• Arten von Patiendaten und ihre Sensibilität
• Patientenrechte und Transparenz beim Datenschutz im Krankenhaus
• Informationspflichten des Krankenhauses
• Recht der Angehörigen auf Auskunft
• Maßnahmen für Datenschutz im Krankenhaus
• Digitalisierung und elektronische Patientenakten
• Best Practices für Datenschutz im Krankenhaus
• Fazit

Der lawpilots Newsletter

Erhalten Sie Produktupdates, exklusive Rabatte, kostenlose Whitepapers, spannende Blogartikel und Event-Infos zuerst!

Jetzt abonnieren