01. Oktober 2019

UpdateUpdate: Datenschutz im Krankenhaus: Ein Überblick

Update 20.09.2021

Krankenhäuser diagnostizieren Krankheiten, sie heilen und pflegen ihre Patienten. Diese wichtige Tätigkeit geschieht jedoch nicht im luftleeren Raum, sie ist gesetzlich reguliert. Viele Daten zu erheben, ist dabei für die Ärzte, Schwestern und Pfleger zwingend notwendig. Gesundheitsdaten betreffen einen sehr sensiblen Teil der Persönlichkeit. Es ist daher nur folgerichtig, dass die Datenschutz-Grundverordnung (DSGVO) in ihrem Artikel 9, die Landeskrankenhaus- und andere Spezialgesetze und das durch § 203 StGB sanktionierte ärztliche Berufsgeheimnis strenge Anforderungen an die Handhabung dieser Daten stellen.

Gerade in den letzten Jahren gab es seitens des Gesetzgebers viele Neuerungen und Initiativen, die mehr Daten- und Patientensouveränität, aber auch vereinfachte und transparente Behandlungs- und Abrechnungsabläufe versprechen. Exemplarisch zu nennen sind hier die elektronische Patientenakte (ePA) und das Patientendatenschutzgesetz (PDSG). Das Krankenhauszukunftsgesetz (KHZG) stellt dabei finanzielle Unterstützung zur Verfügung, die die Länder bis zum 31. Dezember 2021 beantragen können, damit Krankenhäuser in die Digitalisierung und ihre IT-Sicherheit und in moderne Notfallkapazitäten investieren können.

Im Lichte der neuen gesetzlichen Vorgaben und den daraus resultierenden Entwicklungen in Bezug auf den Schutz von Patientendaten und zur Anbindung an die Telematik-Infrastruktur von Krankenhäusern, gibt dieser Beitrag deshalb einen Einblick in die relevantesten Anforderungen. Viele in diesem Beitrag angesprochenen Fragen verdienen natürlich eine vertiefte Erläuterung. Hilfreiche weiterführende Artikel zu diesen Themen haben wir in den jeweiligen Passagen verlinkt.

Einführung

Gesundheitsdaten sind solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Nach Artikel 9 Abs. 1 der DSGVO ist die Verarbeitung von Gesundheitsdaten grundsätzlich untersagt. Davon kann nur abgewichen werden, wenn eine der gesetzlichen Ausnahmen vorliegt (sog. „Generelles Verbot mit Erlaubnisvorbehalt“). Eine solche Ausnahme ist im Bundesdatenschutzgesetz (dort § 22 Abs. (1) BDSG) sowie in den länderspezifischen Landeskrankenhausgesetzen (für Berlin zum Beispiel: §24 Abs. 2 bis 7 oder §25 LKG Bln ) normiert. Diese Gesetze erlauben die Verarbeitung von Patientendaten, insbesondere im Rahmen von Behandlungsverträgen.

Weiterhin sind alle Daten, die im Zusammenhang mit dem Behandlungsverhältnis erhoben wurden (einschließlich der Tatsache, dass diese stattfand) vom ärztlichen Berufsgeheimnis nach § 203 StGB geschützt. Werden diese ohne gesetzliche Erlaubnis an Dritte weitergegeben, drohen Haftstrafen von bis zu drei Jahren. Des Weiteren anwendbar und zu beachten sind die datenschutzrechtlichen Vorgaben weiterer bereichsspezifischer Spezialgesetze wie zum Beispiel der Sozialgesetzbücher V und X, des Infektionsschutzgesetz, der Röntgenverordnung oder der Krebsregistergesetze (einschließlich gegebenenfalls bestehender diesbezüglicher landesspezifischer Staatsverträge).

Pflichten zum Schutz von Patientendaten

Der Schutz von Patientendaten wird durch zahlreiche Pflichten konkretisiert. Die Wichtigsten sind:

  • Ein Verzeichnis der Verarbeitungstätigkeiten ist nach Artikel 30 DSGVO zu erstellen.
  • Die Patienten sind nach Artikel 13 DSGVO über bestimmte Umstände der Datenverarbeitung zu informieren.
  • Meldepflichten bei Datenschutzvorfällen nach den Artikeln 33 und 34 der DSGVO werden aufgrund der hohen Sensibilität von Patientendaten regelmäßig zu beachten sein.
  • Aus demselben Grund wird bei der Einführung neuer Systeme bzw. Verarbeitungstätigkeiten regelmäßig eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO notwendig sein, wenn in diesem Rahmen Patientendaten verarbeitet werden sollen.

Mit der Wirksamkeit des Patientendaten-Schutz-Gesetzes (PDSG) zum 1. Januar 2021 sind auch neue Regelungen des Datenschutzes und der Datensicherheit hinzugekommen:

  • § 306 Abs. 3 SGB V n.F. betont nochmals den besonderen Schutzbedarf der zu den besonderen Kategorien im Sinne von Artikel 9 DSGVO gehörenden Daten und ordnet ein entsprechend hohes Schutzniveau an. Diesem ist durch Artikel 32 DSGVO Rechnung zu tragen. Artikel 32 DSGVO schreibt vor, dass personenbezogene Daten durch, dem Risiko angemessene, technisch-organisatorische Maßnahmen geschützt werden.
  • §307 SGB V n.F. regelt die datenschutzrechtliche Verantwortlichkeit der Telematikinfrastruktur. Nach dieser Norm müssen Daten, aufgrund des höheren Datenaustauschs im Gesundheitswesen, nun noch umfangreicher geschützt werden. Die Person, die die Mittel bereithält und nutzt, um mit der Telematikinfrastruktur zu arbeiten, ist auch für den Schutz der Daten verantwortlich. Genauer muss sie die zugehörige Datenschutzerklärung bereitstellen, der Informationspflicht nachkommen und andere Aufgabe im Datenschutz erfüllen.
  • Betreiber von Diensten und Komponenten innerhalb der Telematikinfrastruktur sind nun verpflichtet, Störungen und Sicherheitsmängel unverzüglich der gematik zu melden, § 329 Abs. 2 SGB V. Bei Verstoß droht ein Bußgeld von bis zu 300.000 Euro, § 395 Abs. 3 SGB V.

Betroffenenrechte im Gesundheitswesen

Den Betroffenen von Datenverarbeitungen — hier also den Patienten— stehen nach dem dritten Kapitel der DSGVO bestimmte Betroffenenrechte zu. Wichtig ist, diese zunächst zu erkennen und dann rasch und vollständig zu beantworten. Das bekannteste, aber bei weitem nicht das einzige, ist das Recht auf Auskunft über die verarbeiten Daten (Auskunftsrecht). Grundsätzlich kann der Patient nach Artikel 15 DSGVO Auskunft über die zu ihm gespeicherten Daten vom Krankenhaus verlangen. Dieses Recht kann jedoch aufgrund von Art. 9 Abs. 4 DSGVO in Verbindung mit § 630g BGB beschränkt werden, wenn der Patient Einsicht in seine Patientenakte verlangt. In § 630g BGB ist ein gleichgerichtetes zivilrechtliches Recht aus dem zugrundeliegenden Behandlungsvertrag geregelt. Danach kann die Einsichtnahme in seltenen Fällen unter anderem dann verwehrt werden, wenn therapeutische Gründe dagegensprechen. Dies kann zum Beispiel der Fall sein, wenn die Patientenakte psychiatrische und psychotherapeutische Behandlungen enthält und der Patient durch Kenntnis Schaden erleiden könnte. Welche Auswirkungen diese Sonderregel hat und wie ein sinnvoller Umgang mit Betroffenenanfragen aussehen kann, können sie hier nachlesen.

HL 1611 ePa Datenschutz

Interner Zugriff auf Patientendaten

Auch wenn ein Krankenhaus von den dort tätigen Mitarbeitern in der Regel als organisatorische Einheit angesehen wird, bedeutet dies nicht, dass personenbezogene Daten (und insbesondere Patientendaten) innerhalb eines Krankenhauses frei ausgetauscht werden dürfen. Ein Krankenhaus, aber auch andere Einrichtungen im Gesundheitsbereich, sind in datenschutzrechtlicher Hinsicht keine homogenen Einheiten. Es ist vielmehr grundsätzlich streng darauf zu achten, dass jeder Mitarbeiter nur Zugriff auf solche Daten hat, die er bzw. sie für die Ausführung ihrer jeweiligen Aufgaben zwingend benötigen. Die Einrichtung von Zugriffsrechten auf Vorrat ist datenschutzrechtlich nicht zulässig. Das gilt erst recht im Fall eines Krankenhausverbundes, in dem mehrere verschiedene Krankenhäuser und andere Einrichtungen (wie z.B. Rehabilitationseinrichtungen, Medizinische Versorgungszentren oder Service Gesellschaften) unter einem gemeinsamen Träger zusammengefasst sind. Weiter verkompliziert wird die Lage, wenn diese Einrichtungen noch von unterschiedlichen Trägern gehalten werden, auch wenn diese Träger zum selben Unternehmenskonzern gehören. Ein Konzernprivileg kennt das Datenschutzrecht grundsätzlich nicht – das gilt auch im Gesundheitsbereich. Dementsprechend große Sorgfalt sollte in die Ausgestaltung des internen Zugriffsrechte- und Rollenkonzepts gelegt werden, insbesondere was das Krankenhausinformationssystem („KIS“) und damit ggf. verbundene Sub-Systeme angeht.

Weitergabe von Patientendaten an Dritte

Im Krankenhausbetrieb müssen in vielfältigen Konstellationen Patientendaten an externe Stellen wie zum Beispiel Hausärzte, sonstige nachbehandelnde oder einweisende Ärzte, Konsiliarärzte, Krankenversicherungen, Behörden, den Medizinischen Dienst der Krankenkassen, Dienstleister, Angehörige und Besucher weitergegeben werden. In jedem dieser Fälle muss geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe bzw. Offenlegung von Patientendaten zulässig ist. Insbesondere ist zu prüfen, ob für die jeweilige Weitergabe eine Einwilligung des betroffenen Patienten erforderlich ist, welcher Form diese bedarf und ob eine solche informierte Einwilligung im konkreten Fall vorliegt und nicht widerrufen wurde.
In der Praxis manchmal schwierig und sensibel kann insbesondere die Weitergabe von Patientendaten an Angehörige oder Besucher sein. Die Weitergabe von Informationen zum Gesundheitszustand oder Genesungsfortschritt an Angehörige oder andere dem Patienten nahestehende Personen ist grundsätzlich nicht erlaubt. Ausnahmen bestehen, wenn der Patient in die Weitergabe eingewilligt hat oder zu einer Einwilligung aus gesundheitlichen Gründen nicht in der Lage ist und keine Anhaltspunkte für einen entgegenstehenden Willen des Patienten bestehen.


Mehr Informationen zum Thema:


Digitalisierung im Gesundheitswesen

Die Digitalisierung hat die Arbeit mit Gesundheitsdaten bereits weitreichend verändert. Papiergebundene Patientenakten sind zum Beispiel nicht mehr der Regelfall, sondern die Ausnahme geworden. Wearables, KI zur verbesserten Diagnose und Krankenhausorganisation werden bereits vielfach erprobt oder im Regelbetrieb eingesetzt. Ein Ende oder die Verlangsamung der Digitalisierung des Gesundheitswesens ist nicht absehbar, im Gegenteil: Durch das E-Health-Gesetz wurde die Anbindung aller maßgeblichen Beteiligten im Gesundheitswesen an die Telematik-Infrastruktur und somit die Schaffung technischer Voraussetzungen für einen breiteren und sicheren Datenaustausch im Gesundheitswesen vorangetrieben. Seit Anfang dieses Jahres (2021) sind die Krankenkassen nun gesetzlich verpflichtet, ihren Versicherten eine elektronische Patientenakte (ePA) als App oder Anwendung der elektronischen Gesundheitskarte zur freiwilligen Nutzung zur Verfügung zu stellen. Für Ärzte besteht seit dem 1.7.2021 die Pflicht, sich an die ePA anzuschließen, während Krankenhäuser sich gem. § 341 Abs. 7 SBG V bis zum 1.1.2021 mit den für den Zugriff auf die ePA erforderlichen Komponenten und Diensten auszustatten hatten und an die Telematikinfrastruktur nach § 306 anzuschließen. Die elektronische Patientenakte bündelt digital die Informationen aus Patientenakten wie unter anderem Diagnosen, Therapiemaßnahmen, Medikationspläne oder Behandlungsverläufe (vgl. § 341 II SGB V) und erlaubt Nutzer:innen diese Daten zentral zu speichern und gegenüber Ärzten:innen, Apotheken und anderen Leistungserbringern vorzuzeigen. Ziel ist die einfachere, präzisere und transparentere Kommunikation zwischen Akteuren im Gesundheitswesen.

Auf den ersten Blick könnte der Datenschutz als Hemmschuh dieser Entwicklung erscheinen: wie überall können digitale Innovationen nicht nur Probleme lösen, sondern auch neue Herausforderungen schaffen. Doch das ist ein Trugschluss – bisher ließ sich jede Innovation datenschutzkonform ausgestalten. Der Gesetzgeber muss dafür auf der einen Seite Rahmenbedingungen bereitstellen, mit denen sich die digitalen Lösungen wie gewünscht entfalten können, auf der anderen Seite aber auch auf entstandene Probleme reagieren. Dem ist der deutsche Gesetzgeber zuletzt mit Nachdruck nachgekommen. Zuletzt mit dem PDSG, durch welche Neuerungen im SGB V zu Regelungen des Datenschutzes und der Datensicherheit hinzugekommen sind (siehe dazu bereits oben) – Details zum PDSG finden sie hier.

Nach diesem Gesetz müssen Krankenhäuser ab dem 1. Januar 2022 gewisse Maßnahmen zur IT-Sicherheit verpflichtend umsetzen, vgl. §75c SGB V. Dabei geht es nach Absatz 1 um angemessene technisch-organisatorische Maßnahmen nach dem aktuellen Stand der Technik. Dies gilt für an die Telematik angeschlossene IT-Systeme und allgemein im Rahmen der Verarbeitung von Patientendaten. Unter „angemessenen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit“ wird ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) verstanden. Diese Verpflichtung gilt nach Absatz 3 für alle Krankenhäuser unabhängig von ihrer Größe – ausgenommen sind Krankenhäuser mit kritischer Infrastruktur (KRITIS), die diese Vorgaben bereits jetzt erfüllen müssen. § 75c Abs. 2 SGB V empfiehlt, zur Erfüllung der Verpflichtungen nach Absatz 1, die Anwendung des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach § 8a Abs. 2 BSI-Gesetz bestätigten branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser. Auch wenn es sich dabei um keine zwingende Verpflichtung handelt, ist dieser Standard zur Umsetzung der Vorgaben des § 75c SGB V künftig zu empfehlen – eigene Sicherheitsstandards zu entwickeln und umzusetzen dürfte einen größeren Aufwand bedeuten.

Auch die strafrechtlich sanktionierte ärztliche Schweigepflicht (§ 203 StGB) ist seit 2018 kein Hindernis mehr für die Integration von IT-Dienstleistern. Die Weitergabe an externe Dienstleister ist durch die Reform des dritten Absatzes der Regelung nicht mehr vollständig ausgeschlossen. Dazu muss die Offenbarung gegenüber dem Dienstleister für die Mitwirkung und Unterstützung bei der Arbeit des Krankenhauses erforderlich sein. Weiterhin sollte das Krankenhaus sicherstellen, dass dem Dritten nur solche Daten offenbart werden, die für seine Tätigkeit notwendig sind. Dabei stellt das Gesetz die externen Dienstleister nicht auf dieselbe Stufe wie die Berufshelfer. Eine Offenbarung von Daten an Dritte, die unter den Schutz des § 203 StGB fallen, darf also erst erfolgen, wenn sichergestellt wurde, dass die oben genannten Voraussetzungen eingehalten werden.

Datenschutzvorfälle im Gesundheitswesen

Nicht ausreichende technisch-organisatorische Maßnahmen zum Schutz der Patientendaten sind ein prominentes Beispiel für Datenschutzvorfälle im Gesundheitswesen. Aus diesem Grund wurden bereits mehrere Bußgelder verhängt. Datenschutzvorfälle im Gesundheitswesen lassen sich mit angemessenen technisch-organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes weitgehend vermeiden. Falls es ausnahmsweise trotzdem zum Datenschutzvorfall kommt, gilt es nicht nur, Meldepflichten gegenüber den Aufsichtsbehörden und den Betroffenen zu beachten. Mehr Informationen dazu finden sie hier.

Health-Apps und die Übermittlung von Gesundheitsdaten

Der Vorstoß von Gesundheitsminister Spahn, Gesundheits-Apps auf Rezept zu ermöglichen, ist bezeichnend: Die Digitalisierung verändert das Gesundheitswesen! Ärzt:innen dürfen gem. § 33a SGB V Gesundheits-Apps verschreiben und nach § 291g SGB V auch digitale (Video-)Sprechstunden anbieten. Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) hat bereits letztes Jahr die ersten „Apps auf Rezept“ in das Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen. Was bei der Übermittlung von Gesundheitsdaten aus Health-Apps wie z.B. Fitnesstrackern zu beachten ist, haben wir hier für sie zusammengefasst.

Fazit

Die Digitalisierung hat das Gesundheitswesen vollends erfasst. Dabei wird der Datenschutz im Krankenhaus immer wichtiger – denn naturgemäß werden personenbezogene Daten verarbeitet, die besonders schützenswert sind. Neben dem Datenschutz ist auch das besondere Berufsgeheimnis für Angestellte im Gesundheitswesen von Bedeutung. Hier treffen Krankenhäuser in mehrfacher Hinsicht besondere Verantwortungen im Hinblick auf den Schutz der sensiblen Daten und damit auch der Resilienz ihrer IT-Systeme, und -prozesse. Diesen Handlungsbedarf hat der Gesetzgeber erkannt und zuletzt viele Gesetze geschaffen, die diesen Prozess fördern und unterstützen sollen. Dadurch stehen Krankenhäuser vermehrt vor Herausforderungen, die aber einen sehr wichtigen Beitrag leisten werden. Gerne unterstützen wir Sie bei der Umsetzung! Kontaktieren Sie uns jetzt.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!