Grafik zum Datenschutz im Gesundheitswesen und Schutz von Gesundheitsdaten

Datenschutz im Gesundheitswesen: Umgang mit Gesundheitsdaten

Im Gesundheitsbereich kommen viele private Informationen zusammen, die streng vertraulich behandelt werden müssen, was einige Herausforderungen mit sich bringt. Im Zuge der voranschreitenden Digitalisierung von Krankenhäusern, Arztpraxen, Pflege- und Altenheimen spielen Regelungen wie das IT-Sicherheitsgesetz, das E-Health-Gesetz sowie die EU-Datenschutz-Grundverordnung eine wichtige Rolle. Daher ist es hier besonders wichtig, dass der Datenschutz gewährleistet wird und kein unbefugter Dritter sich Zugang zu den personenbezogenen Gesundheitsdaten verschafft. Was man unter Gesundheitsdaten versteht, wann diese erhoben, verarbeitet und weitergegeben werden dürfen und wie Sie die Gesundheitsdaten fachgerecht schützen, verrate ich Ihnen im folgenden Beitrag.
Inhaltsverzeichnis

Warum ist Datenschutz im Gesundheitswesen besonders wichtig?

Datenschutz im Gesundheitswesen ist von entscheidender Bedeutung, da er das Fundament für das Vertrauen zwischen Patienten, medizinischem Personal und Gesundheitseinrichtungen bildet. Diese Vertrauensgrundlage ist essenziell, um eine effektive und qualitativ hochwertige Gesundheitsversorgung zu gewährleisten. Doch es gibt noch einige weitere Gründe, warum die Wahrung des Datenschutzes im Gesundheitswesen besonders wichtig ist:

  • Schutz der Privatsphäre: Gesundheitsdaten sind äußerst sensibel und persönlich. Der Schutz dieser Daten gewährleistet, dass die individuelle Privatsphäre gewahrt bleibt und keine unberechtigten Zugriffe darauf erfolgen.
  • Schutz vor Missbrauch: Medizinische Informationen können für verschiedene Formen des Missbrauchs anfällig sein, sei es Identitätsdiebstahl, Diskriminierung oder finanzielle Ausbeutung. Ein robuster Datenschützer schützt vor diesen Risiken.
  • Forschung und Entwicklung: Der Schutz von Gesundheitsdaten ermöglicht es, diese für medizinische Forschung und die Entwicklung neuer Behandlungen zu nutzen, ohne die Privatsphäre der Patienten zu gefährden.
  • Ethik und Moral: Der sorgfältige Umgang mit Gesundheitsdaten zeigt die ethische Verantwortung des Gesundheitssektors gegenüber den Patienten und der Gesellschaft im Allgemeinen.

Insgesamt ist Datenschutz im Gesundheitswesen von entscheidender Bedeutung, da er die Grundlage für ethische, effektive und vertrauensvolle medizinische Praktiken bildet und gleichzeitig die Privatsphäre und die Rechte der Patienten schützt.

Wird der Datenschutz im Gesundheitswesen nicht ordnungsgemäß eingehalten, müssen Unternehmen unter Umständen mit Klagen und damit verbundenen Geldkosten rechnen.

Was sind Gesundheitsdaten im Datenschutz-Kontext?

In der DSGVO (Art. 4 Nr. 15) findet man eine Definition zu Gesundheitsdaten:

Gesundheitsdaten sind demnach „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Alle erhobenen Informationen, die Auskunft über den Gesundheitszustand einer Person geben, werden also als Gesundheitsdaten bezeichnet und sind mit äußerster Sorgfalt zu behandeln. Dazu lassen sich neben medizinischen Daten auch ermittelte Daten durch Gesundheits-Apps (etwa Fitness-Tracker), Angaben über das Mitwirken in Selbsthilfegruppen oder Mitgliedschaften in Gesundheitsvereinigungen zuordnen.

Inwieweit dürfen Gesundheitsdaten erhoben und verarbeitet werden?

Die Erhebung und Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO generell verboten. Schließlich gelten Gesundheitsdaten als besondere Kategorie personenbezogener Daten, wodurch Gesundheitsdaten als besonders schutzwürdig betrachtet werden. Eine Erhebung und Verarbeitung von Gesundheitsdaten ist demnach nur unter speziellen Voraussetzungen zulässig – insbesondere, wenn die Ausnahmen aus Art. 9 Abs. 2 DSGVO greifen. Hier gilt also ein Verbot mit Erlaubnisvorbehalt.

Eine Verarbeitung von Gesundheitsdaten ist folglich vor allem nur dann zulässig, wenn die Einwilligung der betroffenen Person vorliegt (Art. 9 Abs. 2 Buchst. a DSGVO). Alternativ kann der Schutz eines lebenswichtigen Interesses oder Schutz vor schweren grenzüberschreitenden Gesundheitsrisiken unter anderem als Begründung herangezogen werden.

6 Grundsätze der Datenverarbeitung im Gesundheitswesen

Der Schutz personenbezogener Daten ist besonders in sensiblen Bereichen wie Arztpraxen und Pflegeeinrichtungen von großer Bedeutung. Angesichts zunehmender Verletzungen des Datenschutzes und anderweitiger Skandale ist es entscheidend, dass medizinische Einrichtungen die sechs Grundsätze für die Verarbeitung personenbezogener Daten, die die DSGVO in Artikel 5 definiert, verinnerlichen:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Jede Verarbeitung personenbezogener Daten muss rechtmäßig, fair und transparent sein. Ihre Organisation darf personenbezogene Daten nur unter bestimmten Voraussetzungen verarbeiten – wie: Einwilligung der betroffenen Person (Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Die betroffenen Personen müssen wissen, wofür sie zustimmen und können die Einwilligung jederzeit zurückziehen.), Vertragserfüllung, gesetzliche Pflichterfüllung, Schutz lebenswichtiger Interessen.
  2. Zweckbindung: Daten dürfen nur für festgelegte Zwecke genutzt werden, ohne Ausnahme. Ein Beispiel: Die Telefonnummer von Patienten darf nur für medizinische Informationen genutzt werden, nicht für Werbung, es sei denn, es liegt eine separate Einwilligung vor.
  3. Datenminimierung: Nur notwendige und angemessene personenbezogene Daten sollten erfasst werden. Zum Beispiel sollte das Geburtsdatum nicht ohne klaren Zweck, warum es benötigt wird, erfasst werden.
  4. Richtigkeit: Personenbezogene Daten müssen stets korrekt und aktuell gehalten werden. Falsche Daten müssen umgehend korrigiert oder gelöscht werden.
  5. Begrenzung der Speicherung: Daten sollten nur so lange aufbewahrt werden, wie sie für ihren ursprünglichen Zweck benötigt werden. Nach Ablauf der Aufbewahrungsfrist müssen sie gelöscht oder anonymisiert werden. Dies muss vor der Datenverarbeitung dokumentiert und in der Software berücksichtigt werden.
  6. Sicherheit: Datenverarbeitung muss sicher erfolgen. Technische und organisatorische Maßnahmen sind erforderlich, um Daten vor ungewolltem Zugriff, Verlust oder Schäden zu schützen.

Dürfen Gesundheitsdaten weitergegeben werden an Dritte?

Für Unternehmen wie Krankenhäuser, Arztpraxen und weitere Betriebe, die Gesundheitsdaten erheben, gelten bei der DSGVO spezielle Auflagen: So unterliegen Gesundheitsinformationen dem Arztgeheimnis und dürfen aufgrund der damit einhergehenden Verschwiegenheitspflicht nicht weitergegeben werden. Sollte ein Arzt gegen die Verschwiegenheitspflicht verstoßen, drohen nicht nur finanzielle Strafen, sondern tatsächlich Freiheitsstrafen.

In seltenen Ausnahmefällen können Patientendaten an Dritte, wie z. B. Angehörige, übermittelt werden, wenn der Patient ausdrücklich zustimmt oder eine gesetzliche Erlaubnis vorliegt. So können zum Beispiel Rechtsanwälte, Krankenkassen oder auch Standesämter Patientendaten einfordern, wenn ein berechtigtes Interesse besteht.

Geraten Gesundheitsdaten in die falschen Hände, kann das für die Betroffenen ernsthafte Auswirkungen haben und rechtliche Konsequenzen in Form von Geldbußen oder Strafanzeigen nach sich ziehen.

Bedeutung des Datenschutzbeauftragten im Gesundheitswesen

Damit in einem Unternehmen, das mit sensiblen Daten aus dem Gesundheitsbereich zu tun hat, der Datenschutz eingehalten wird, ist ein richtiger und ordentlicher Umgang mit den geltenden Standards und Regelungen für eine optimale Umsetzung erforderlich. Ein Datenschutzbeauftragter unterstützt Sie und Ihr Unternehmen dabei, schult Ihre Mitarbeiter und sorgt dafür, dass bei der analogen und elektronische Datenverarbeitung alles richtig läuft und die sensiblen Daten ausschließlich in die richtigen Hände gelangen.

Als Datenschutzbeauftragter können interne Mitarbeiter agieren oder externe Fachkräfte eingesetzt werden. Datenschutzbeauftragte sind dabei in der Regel der der Geschäftsleitung unterstellt und kontrollieren die Arbeitsabläufe hinsichtlich ihrer datenschutzrechtlichen Bestimmungen. Außerdem passen Datenschutzbeauftragte laufende Abläufe an die DSGVO an.

Wichtig: Organisationen müssen Datenschutzbeauftragte bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten.

Welche Anforderungen muss ein Datenschutzbeauftragter im Gesundheitswesen erfüllen?

Die Anforderungen an einen Datenschutzbeauftragten im Gesundheitswesen unterscheiden sich nur wenig von denen eines normalen Datenschutzbeauftragten. Da die Patientendaten der Geheimhaltung unterliegen, müssen die mit der Aufgabe betrauten Personen die spezifischen regulatorischen Anforderungen im Gesundheitsbereich kennen, und sich dazu mit dem Krankenhausgesetzen sowie dem Infektionsschutzgesetz vertraut machen.

Darüber hinaus müssen sie sich ebenfalls mit den Datenverkehr in und aus dem Betrieb heraus auseinandersetzen und die Kommunikations- und Übertragungswege kennen (vom Labor ins Krankenhaus, vom Krankenhaus zum niedergelassenen Hausarzt, etc.)

Tipp zur Weiterbildung: In speziellen Seminaren für Datenschutzbeauftragte im Gesundheitswesen können unter anderem folgende Punkte erläutert werden.

  • Datenschutzgrundverordnung mit Zusatz Gesundheitswesen
  • Krankenhausgesetze
  • Patientenrechte
  • Aktuelle Rechtslage
  • Organisation in Krankenhäuser, Arztpraxen, Pflege- und Altenheimen
  • Aufgaben und Pflichten eines Datenschutzbeauftragten im Umgang mit Patientendaten
  • Infrastruktur
  • Übermittlung von sensiblen Daten wie Patientenakten
  • Schweigepflicht und Entbindung der Schweigepflicht

Wie schützen Sie Patientenakten datenschutzrechtlich?

Die Verwaltung von Patientenakten ist ein Schlüsselelement im Datenschutz Ihrer Einrichtung. Diese Akten enthalten äußerst sensible Informationen wie medizinische Vorgeschichten, Diagnosen, Behandlungspläne und andere persönliche Daten Ihrer Patienten und Bewohner. Folgende Schutzmaßnahmen sind daher unerlässlich:

  • Zugriff beschränken: Erlauben Sie den Zugriff nur autorisiertem medizinischem Personal und schaffen Sie klare Zugriffsstufen.
  • Zugriffe protokollieren: Erfassen Sie alle Zugriffe, um Datenschutzverletzungen frühzeitig erkennen zu können.
  • Verschlüsselung nutzen: Elektronische Patientenakten sollten verschlüsselt werden, um unbefugten Zugriff zu verhindern.
  • Physische Sicherheit gewährleisten: Sichere Aufbewahrung von papierbasierten Akten in abschließbaren Schränken und Vorsicht im Umgang mit offenen Patientenakten in Behandlungszimmern.
  • Datenvernichtung: Gewährleisten Sie die sichere Vernichtung von Akten, wenn sie nicht mehr benötigt werden, entweder durch Schreddern oder digitale Löschung, um die Privatsphäre der Patienten zu schützen.

Checkliste für umfassenden Datenschutz im Gesundheitswesen

Die nachfolgende Checkliste für den richtigen Umgang mit Gesundheitsdaten dient als Leitfaden für den Datenschutz im Gesundheitswesen – muss jedoch an die spezifischen Anforderungen Ihrer Organisation angepasst werden.

CheckpunkteTo do’s
RechtsgrundlagePrüfung, ob geeignete Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten vorliegt.
EinwilligungEinwilligung bei der Verarbeitung personenbezogener Daten sicherstellen: freiwillig, informiert, spezifisch und unmissverständlich.

Möglichkeit zur jederzeitigen Rücknahme der Einwilligung gewährleisten.
VerfügbarkeitStändiger Datenzugriff durch Sicherungskopien und sichere Lagerung an verschiedenen Orten.

Aufteilung und separate Sicherung von Datenbereichen.
DatenminimierungSammeln nur notwendiger Daten (Zweckbindung).

Sichere und fachgerechte Datenlöschung.
DatensicherheitVersendung verschlüsselter sensibler Daten.

Aktivierung der automatischen Zugriffssperre.

Überprüfung der Zugriffskontrolle.
Software- und Hardware-SicherheitVerwendung zertifizierter Software und regelmäßige Aktualisierung.

Regelmäßige Systemtests und Notstromversorgung.
BerechtigungenKlare Zuweisung von Zugriffsrechten und Vertretungsregelungen.

Sicherer Zugriff durch Autorisierung und Authentifizierung.
Prinzip der VertraulichkeitBeschränkter Zugriff nur für autorisierte Personen.

Sicherung sensibler Bereiche durch das „4-Augen-Prinzip“.
Integrität von DatenSchutz vor unbemerkten Datenänderungen.

Nachvollziehbare Eingabekontrolle.
AuthentizitätSicherstellung der Echtheit und Vertrauenswürdigkeit von Daten.

Identitätskontrolle und Quelleneinschätzung vor Datenverarbeitung.
DatenvernichtungFachgerechte Vernichtung der Daten.

Frühzeitige Vernichtung personenbezogener Daten, sobald diese nicht mehr erforderlich sind.
Umgang der Mitarbeiter mit Daten und InformationenSensibilisierung und Schulung von Mitarbeitern in Bezug auf Datensicherheit und Cyberkriminalität.

Festlegung verbindlicher Regeln zum Daten- und Informationsmanagement.
PraxisfahrzeugePrüfung auf bestehende Softwareanbindungen an Systeme beim Kauf und Verkauf.

Löschung von Fahrzeugdatenspeichern.
HandysRegelmäßige Löschung „Alter Ziele“ in Google Maps.

Sichere Aufbewahrung von Kontakten und pseudonymisierten Adressbüchern.
Meldung von DatenschutzverletzungenEinrichtung eines klaren Verfahrens zur Meldung und Bearbeitung von Datenschutzverletzungen.

Rechtzeitige Meldung an die zuständige Datenschutzbehörde und betroffene Personen.
Checkliste für den richtigen Umgang mit Gesundheitsdaten im Gesundheitswesen