01. Oktober 2019

Datenschutz im Krankenhaus: Ein Überblick

Krankenhäuser diagnostizieren Krankheiten, sie heilen und pflegen ihre Patienten. Diese wichtige Tätigkeit geschieht jedoch nicht im luftleeren Raum, sie ist gesetzlich reguliert. Viele Daten zu erheben, ist dabei für die Ärzte, Schwestern und Pfleger zwingend notwendig. Gesundheitsdaten betreffen einen sehr sensiblen Teil der Persönlichkeit. Es ist daher nur folgerichtig, dass die Datenschutz-Grundverordnung (DSGVO) in ihrem Artikel 9, die Landeskrankenhaus- und andere Spezialgesetze und das durch § 203 StGB sanktionierte ärztliche Berufsgeheimnis strenge Anforderungen an die Handhabung dieser Daten stellen. Dieser Beitrag gibt einen Einblick in die Anforderungen an einen guten und sinnvollen Datenschutz im Krankenhaus. Viele in diesem Beitrag angesprochenen Fragen verdienen natürlich eine vertiefte Erläuterung. Hilfreiche weiterführende Artikel zu diesen Themen haben wir in den jeweiligen Passagen verlinkt.

Nach Artikel 9 der DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt. Davon kann nur abgewichen werden, wenn eine der gesetzlichen Ausnahmen vorliegt (sog. „Generelles Verbot mit Erlaubnisvorbehalt“). Eine solche Ausnahme ist im Bundesdatenschutzgesetz (dort § 22 Abs. (1) BDSG) sowie in den länderspezifischen Landeskrankenhausgesetzen (für Berlin zum Beispiel: §24 Abs. (3) bis (5) LKG Bln). Diese Gesetze erlauben die Verarbeitung von Patientendaten, insbesondere im Rahmen von Behandlungsverträgen. Patientendaten sind gemäß § 24 Abs. (2) LKG Bln „alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patientinnen und Patienten und deren Angehörigen“. Hierunter fallen natürlich vor allem alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen oder aus ihnen Informationen über deren Gesundheitszustand hervorgehen.

Weiterhin sind alle Daten, die im Zusammenhang mit dem Behandlungsverhältnis erhoben wurden (Einschließlich der Tatsache, dass diese stattfand) vom ärztlichen Berufsgeheimnis nach § 203 StGB geschützt. Werden diese ohne gesetzliche Erlaubnis an Dritte weitergegeben, drohen Haftstrafen von bis zu drei Jahren. Des Weiteren anwendbar und zu beachten sind die datenschutzrechtlichen Vorgaben weiterer bereichsspezifischer Spezialgesetze wie zum Beispiel der Sozialgesetzbücher V und X, des Infektionsschutzgesetz, der Röntgenverordnung oder der Krebsregistergesetze (einschließlich gegebenenfalls bestehender diesbezüglicher landesspezifischer Staatsverträge).

Der Schutz von Patientendaten wird durch zahlreiche Pflichten konkretisiert. Die Wichtigsten sind:

  • Artikel 32 DSGVO schreibt vor, dass personenbezogene Daten durch dem Risiko angemessene technisch-organisatorische Maßnahmen geschützt werden.
  • Ein Verzeichnis der Verarbeitungstätigkeiten ist nach Artikel 30 DSGVO zu erstellen.
  • Die Patienten sind nach Artikel 13 DSGVO über bestimmte Umstände der Datenverarbeitung zu informieren.
  • Meldepflichten bei Datenschutzvorfällen nach den Artikeln 33 und 34 der DSGVO werden aufgrund der hohen Sensibilität von Patientendaten regelmäßig zu beachten sein.
  • Aus demselben Grund wird bei der Einführung neuer Systeme bzw. Verarbeitungstätigkeiten regelmäßig eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO notwendig sein, wenn in diesem Rahmen Patientendaten verarbeitet werden sollen.

Health & Law Netzwerktreff

Auskunftsrecht des Patienten

Auch für das Auskunftsrecht von Patienten sind verschiedene gesetzliche Regelungen zu beachten. Grundsätzlich kann der Patient nach Artikel 15 DSGVO Auskunft über die zu ihm gespeicherten Daten vom Krankenhaus verlangen. Dieses Recht kann jedoch aufgrund von Art 9 Abs. (4) DSGVO in Verbindung mit § 630g BGB beschränkt werden, wenn der Patient Einsicht in seine Patientenakte verlangt. Das ist insbesondere dann der Fall, wenn erhebliche objektive therapeutische Gründe gegen die Auskunft sprechen. Diese Regelung ist jedoch eine sehr seltene Ausnahme für Fälle, in denen konkrete Anhaltspunkte dafür bestehen, dass die Auskunft mit der Gefahr einer erheblichen Gesundheitsschädigung verbunden sein kann.

Interner Zugriff auf Patientendaten

Auch wenn ein Krankenhaus von den dort tätigen Mitarbeitern in der Regel als organisatorische Einheit angesehen wird, bedeutet dies nicht, dass personenbezogene Daten (und insbesondere Patientendaten) innerhalb eines Krankenhauses frei ausgetauscht werden dürfen. Ein Krankenhaus, aber auch andere Einrichtungen im Gesundheitsbereich, sind in datenschutzrechtlicher Hinsicht keine homogenen Einheiten. Es ist vielmehr grundsätzlich streng darauf zu achten, dass jeder Mitarbeiter nur Zugriff auf solche Daten hat, die er bzw. sie für die Ausführung ihrer jeweiligen Aufgaben zwingend benötigen. Die Einrichtung von Zugriffsrechten auf Vorrat ist datenschutzrechtlich nicht zulässig. Das gilt erst Recht im Fall eines Krankenhausverbundes, in dem mehrere verschiedene Krankenhäuser und andere Einrichtungen (wie z.B. Rehabilitationseinrichtungen, Medizinische Versorgungszentren oder Service Gesellschaften) unter einem gemeinsamen Träger zusammengefasst sind. Weiter verkompliziert wird die Lage, wenn diese Einrichtungen noch von unterschiedlichen Trägern gehalten werden, auch wenn diese Träger zum selben Unternehmenskonzern gehören. Ein Konzernprivileg kennt das Datenschutzrecht grundsätzlich nicht – das gilt auch im Gesundheitsbereich. Dementsprechend große Sorgfalt sollte in die Ausgestaltung des internen Zugriffsrechte- und Rollenkonzepts gelegt werden, insbesondere was das Krankenhausinformationssystem („KIS“) und damit ggf. verbundene Sub-Systeme angeht.

Weitergabe von Patientendaten an Dritte

Im Krankenhausbetrieb müssen in vielfältigen Konstellationen Patientendaten an externe Stellen wie zum Beispiel Hausärzte, sonstige nachbehandelnde oder einweisende Ärzte, Konsiliarärzte, Krankenversicherungen, Behörden, den Medizinischen Dienst der Krankenkassen, Dienstleister, Angehörige und Besucher weitergegeben werden. In jedem dieser Fälle muss geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe bzw. Offenlegung von Patientendaten zulässig ist. Insbesondere ist zu prüfen, ob für die jeweilige Weitergabe eine Einwilligung des betroffenen Patienten erforderlich ist, welcher Form diese bedarf und ob eine solche informierte Einwilligung im konkreten Fall vorliegt und nicht widerrufen wurde.
In der Praxis manchmal schwierig und sensibel kann insbesondere die Weitergabe von Patientendaten an Angehörige oder Besucher sein. Die Weitergabe von Informationen zum Gesundheitszustand oder Genesungsfortschritt an Angehörige oder andere dem Patienten nahestehende Personen ist grundsätzlich nicht erlaubt. Ausnahmen bestehen, wenn der Patient in die Weitergabe eingewilligt hat oder zu einer Einwilligung aus gesundheitlichen Gründen nicht in der Lage ist und keine Anhaltspunkte für einen entgegenstehenden Willen des Patienten bestehen.

Digitalisierung im Gesundheitswesen

Die Digitalisierung hat die Arbeit mit Gesundheitsdaten bereits weitreichend verändert. Papiergebundene Patientenakten sind zum Beispiel nicht mehr der Regelfall, sondern die Ausnahme geworden. Wearables, KI zur verbesserten Diagnose und Krankenhausorganisation werden bereits vielfach erprobt oder im Regelbetrieb eingesetzt. Ein Ende oder die Verlangsamung der Digitalisierung des Gesundheitswesens ist nicht absehbar, im Gegenteil: Durch das E-Health-Gesetz wird die Anbindung aller maßgeblichen Beteiligten im Gesundheitswesen an die Telematik-Infrastruktur und somit die Schaffung technischer Voraussetzungen für einen breiteren und sicheren Datenaustausch im Gesundheitswesen vorangetrieben. Die zwingende Einführung der elektronischen Patientenakte („ePA“) ist für 2021 vorgesehen. Auf den ersten Blick könnte der Datenschutz als Hemmschuh dieser Entwicklung erscheinen. Das ist jedoch ein Trugschluss, bisher ließ sich jede Innovation datenschutzkonform ausgestalten. Die Wahrscheinlichkeit, dass das in Zukunft auch so bleibt, ist recht groß. Die Rahmenbedingungen für neue digitale Anwendungen beleuchtet dieser Artikel.
Auch die strafrechtlich sanktionierte ärztliche Schweigepflicht (§ 203 StGB) ist seit 2018 kein Hindernis mehr für die Integration von IT Dienstleistern. Die Weitergabe an externe Dienstleister ist durch die Reform des dritten Absatzes der Regelung nicht mehr vollständig ausgeschlossen. Dazu muss die Offenbarung gegenüber dem Dienstleister für die Mitwirkung und Unterstützung bei der Arbeit des Krankenhauses erforderlich sein. Weiterhin sollte das Krankenhaus sicherstellen, dass dem Dritten nur solche Daten offenbart werden, die für seine Tätigkeit notwendig sind. Dabei stellt das Gesetz die externen Dienstleister nicht auf dieselbe Stufe wie die Berufshelfer. Eine Offenbarung von Daten an Dritte, die unter den Schutz des § 203 StGB fallen, darf also erst erfolgen, wenn sichergestellt wurde, dass die oben genannten Voraussetzungen eingehalten werden.

Betroffenenrechte im Gesundheitswesen

Den Betroffenen von Datenverarbeitungen — hier also den Patienten— stehen nach dem dritten Kapitel der DSGVO bestimmte Betroffenenrechte zu. Wichtig ist, diese zunächst zu erkennen und dann rasch und vollständig zu beantworten. Das bekannteste aber bei weitem nicht einzige ist das Recht auf Auskunft über die verarbeiten Daten. Bei Patientendaten besteht hinsichtlich dieses Rechtes eine Besonderheit: In § 630g BGB ist zusätzlich ein gleichgerichtetes zivilrechtliches Recht aus dem zugrundeliegenden Behandlungsvertrag geregelt. Welche Auswirkungen diese Sonderregel hat und wie ein sinnvoller Umgang mit Betroffenenanfragen aussehen kann, können sie hier nachlesen.

Datenschutzvorfälle im Gesundheitswesen

Nicht ausreichende technisch-organisatorische Maßnahmen zum Schutz der Patientendaten sind ein prominentes Beispiel für Datenschutzvorfälle im Gesundheitswesen. Aus diesem Grund wurden bereits mehrere Bußgelder verhängt. Datenschutzvorfälle im Gesundheitswesen lassen sich mit angemessenen technisch-organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes weitgehend vermeiden. Falls es ausnahmsweise trotzdem zum Datenschutzvorfall kommt, gilt es nicht nur Meldepflichten gegenüber den Aufsichtsbehörden und den Betroffenen zu beachten. Mehr Informationen dazu finden sie hier.

Health-Apps und die Übermittlung von Gesundheitsdaten

Der Vorstoß von Gesundheitsminister Spahn, Gesundheits-Apps auf Rezept zu ermöglichen, ist bezeichnend: Die Digitalisierung verändert das Gesundheitswesen! Was bei der Übermittlung von Gesundheitsdaten aus Health-Apps wie z.B. Fitnesstrackern zu beachten ist, haben wir hier für sie zusammengefasst.

Fazit

Das Arzt-Patienten Vertrauensverhältnis ist eine wichtige Grundlage für die erfolgreiche Genesung des Patienten. Guter Datenschutz ist hierbei kein Hindernis, sondern eine Hilfe.

 

Lesen Sie auch folgende Beiträge:

Anonymisierung von Gesundheitsdaten – Theorie und Praxis

Datenschutzkonformes Outsourcing im Gesundheitswesen

Datenverarbeitung bei klinischen Studien: Anforderungen im Datenschutz

KI im Gesundheitswesen: mit Datenschutz zum Ziel?

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!