Datenschutz im Krankenhaus

Fachbeitrag

Durch das Inkrafttreten der DSGVO sind auch Krankenhäuser zunehmend gefordert, Maßnahmen zum Datenschutz umzusetzen. Denn ein Schwerpunkt der Datenverarbeitung in Krankenhäusern betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO – insbesondere Gesundheitsdaten. Nachfolgend finden Sie einen Überblick von Themen, die Krankenhäuser im Zuge der DSGVO zu beachten haben.

Gesundheitsdaten als besondere Kategorien personenbezogener Daten

Die Verarbeitung von Gesundheitsdaten gehört im Krankenhaus zum Alltag. Datenschutzrechtlich handelt es sich hierbei um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, welche besonders schutzbedürftig sind.

Besondere Kategorien personenbezogener Daten dürfen nur unter strengen Voraussetzungen und in der Regel nur mit der Einwilligung des Betroffenen verarbeitet werden. Der Grund für die Sonderbehandlung von Gesundheitsdaten liegt in deren existenziellen Bedeutung für die Betroffenen.

Verschwiegenheitspflicht und Datenschutz

Neben den datenschutzrechtlichen Regelungen spielt für Krankenhäuser auch die Verschwiegenheitspflicht eine Rolle. Darunter ist die rechtliche Verpflichtung bestimmter Berufsgruppen zu verstehen, ihnen anvertraute Geheimnisse nicht unbefugt an Dritte weiterzugeben. Ein Verstoß gegen diese Verschwiegenheitspflicht kann sogar strafrechtliche Konsequenzen begründen und nach § 203 StGB mit Freiheitsstrafe oder Geldstrafe geahndet werden. Auch aus diesem Grunde empfiehlt es sich, in diesem Bereich erhöhte Vorsicht walten zu lassen und entsprechende Vorkehrungen zu treffen.

Auswirkungen auf datenschutzrelevante Bereiche

Auch wenn in Krankenhäusern datenschutzrechtlich prinzipiell die gleichen Grundsätze gelten wie im Datenschutzrecht allgemein, sind die Anforderungen in diesem Bereich höher.

Technische und organisatorische Maßnahmen

Nach Art. 32 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Aus der DSGVO lassen sich keine abschließend erforderlichen Maßnahmen, sondern vielmehr zu berücksichtigende Kriterien ableiten. Hierzu gehören

  • der Stand der Technik,
  • Implementierungskosten,
  • Art,
  • Umfang,
  • Umstände und Zwecke der Datenverarbeitung,
  • Eintrittswahrscheinlichkeit und
  • die Schwere des Risikos für die betroffenen Personen.

Da es sich bei Gesundheitsdaten um besonders schutzbedürftige Daten handelt, deren Verletzung in der Regel ein hohes Risiko impliziert, ist für den Datenschutz und die Datensicherheit im Krankenhaus stets ein strenger Maßstab anzulegen.

Datenschutz-Folgenabschätzung

Nach Art. 35 Abs. 3 lit. b DSGVO ist eine Datenschutz-Folgenabschätzung u.a. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten erforderlich. Dies deckt sich mit Ziff. 3 des von der DSK erlassenen Kurzpapiers: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist.

Da dies in Krankenhäusern häufig der Fall sein wird, wird bei der Einführung neuer Systeme und Prozesse von dem Erfordernis einer Datenschutz-Folgenabschätzung regelmäßig auszugehen sein.

Auftragsverarbeitung

Auch wenn Berufsgeheimnisträger mit dem „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ und der Novellierung des § 203 StGB nunmehr unter bestimmten eng umschriebenen Voraussetzungen externe Dienstleister einsetzen dürfen, wird bei der Datenverarbeitung im Krankenhaus ein erhöhtes Augenmerk auf die Geeignetheit des Dienstleisters zu legen sein. Neben Regelungen gemäß den strengen Vorgaben aus Art. 28 DSGVO wird hier insbesondere darauf zu achten sein, dass die technischen und organisatorischen Maßnahmen des Dienstleisters auf den hohen Schutzbedarf von Gesundheitsdaten abgestimmt sind.

Meldepflichten

Der Begriff der Datenschutzverletzung im Rahmen der Meldepflichten aus Art. 33, 34 DSGVO wird im Bereich des medizinischen Datenschutzes eng auszulegen sein. Vorfälle, die in anderen Bereichen aufgrund des geringen Risikos und der geringen Eintrittswahrscheinlichkeit keiner Meldepflicht unterliegen, dürften daher in Krankenhäusern regelmäßig zu einer Meldepflicht führen. Als Beispiel nennt die Artikel-29-Datenschutzgruppe in WP 250 Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 hier den Fall, dass personenbezogene Daten kurzfristig nicht verfügbar sind. Selbst in diesem Fall kann ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegen, wenn es sich dabei beispielsweise um kritische medizinische Daten handelt, die für eine Operation benötigt werden.

Auskunft

Die oben aufgeführte Verschwiegenheitspflicht ist auch dann zu beachten, wenn es um Anfragen enger Angehöriger bezüglich des Gesundheitszustands des Betroffenen geht.

Ebenso wie die Auskunft nach Art. 15 DSGVO in der Regel lediglich gegenüber dem Betroffenen zu erteilen ist, setzen Informationen zum Gesundheitszustand eine Entbindung von der ärztlichen Schweigepflicht voraus und sind demnach grundsätzlich nur mit Zustimmung des Betroffenen zulässig.

Anforderungen an die Datenschutzorganisation im Krankenhaus

Wie die oben angesprochenen Aspekte zeigen, sind auch im Krankenhaus die allgemeinen datenschutzrechtlichen Grundsätze zu beachten. Aufgrund der Risiken, die eine Verletzung von Gesundheitsdaten mit sich führen kann, sind jedoch höhere Maßstäbe an die diese Daten betreffenden Verarbeitungsprozesse anzulegen. In diesem Sinne empfiehlt es sich, ein umfassendes Datenschutzmanagement einzuführen. Mehr dazu erfahren Sie in unserem Beitrag Datenschutzmanagement nach DSGVO: Leitfaden für Krankenhäuser.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz im Gesundheitswesen

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.