Im Gesundheitswesen werden täglich große Mengen an personenbezogenen Daten verarbeitet. Diese Daten sind besonders sensibel, da sie sich auf die Gesundheit und das Wohlergehen der Betroffenen beziehen. Daher gelten im Gesundheitswesen besondere Datenschutzbestimmungen, die in der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) geregelt sind.
Verarbeitung besonderer Kategorien
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist in der Regel mit einem höheren Risiko für die Rechte und Freiheiten der Betroffenen verbunden. Daher müssen Unternehmen des Gesundheitswesens wie bspw. Arztpraxen bei der Verarbeitung dieser Daten besonders sorgfältig vorgehen.
Beispielsweise sollte ein Unternehmen vor der Verarbeitung besonderer Kategorien personenbezogener Daten eine Risikoanalyse durchführen, um die potenziellen Risiken zu identifizieren. Das Unternehmen sollte dann geeignete Maßnahmen ergreifen, um diese Risiken zu minimieren.
Darüber hinaus sollte ein Unternehmen die Betroffenen über die Verarbeitung ihrer besonderen Kategorien personenbezogener Daten umfassend informieren. Die Betroffenen sollten insbesondere über die Rechtsgrundlage der Verarbeitung, die Zwecke der Verarbeitung und die Speicherdauer informiert werden.
Was ist Gesundheitsdaten?
Gesundheitsdaten sind eine spezielle Kategorie von personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Diese Daten umfassen alle Informationen, die sich auf den physischen oder mentalen Gesundheitszustand einer Einzelperson beziehen, sowie auf die erbrachten Gesundheitsdienstleistungen oder medizinische Behandlungen. Gesundheitsdaten können äußerst sensibel sein, da sie Informationen über Krankheiten, Diagnosen, medizinische Untersuchungen, Arztbesuche, Medikamente, Impfungen und andere Aspekte der Gesundheit einer Person enthalten können.
- Krankengeschichte: Diagnosen, Behandlungen, Medikamente, Allergien, Vorerkrankungen
- Medizinische Unterlagen: Arztbriefe, Laborwerte, Röntgenbilder, MRT-Bilder
- Genetische Daten: DNA-Proben, Stammbaum
- Psychiatrische Daten: Diagnosen, Therapien, Medikamente
Datenschutz Gesundheitswesen – die Grundsätze
Die DSGVO und das BDSG legen für den Umgang mit Gesundheitsdaten im Gesundheitswesen folgende Grundsätze fest:
- Rechtmäßigkeit: Die Verarbeitung von Gesundheitsdaten muss rechtmäßig erfolgen. Dies ist in der Regel der Fall, wenn der Betroffene eingewilligt hat oder die Verarbeitung zur Erfüllung eines Vertrags oder einer gesetzlichen Verpflichtung erforderlich ist.
- Transparenz: Die Verarbeitung von Gesundheitsdaten muss transparent erfolgen. Die Betroffenen müssen darüber informiert werden, welche Daten verarbeitet werden, zu welchem Zweck und wie lange.
- Datenminimierung: Gesundheitsdaten dürfen nur in dem Umfang erhoben und verarbeitet werden, der für den jeweiligen Zweck erforderlich ist.
- Speicherbegrenzung: Gesundheitsdaten dürfen nur so lange gespeichert werden, wie dies für den jeweiligen Zweck erforderlich ist.
- Integrität und Vertraulichkeit: Gesundheitsdaten müssen vor unbefugtem Zugriff, Verarbeitung, Änderung oder Vernichtung geschützt werden.
Besondere Anforderungen an die Verarbeitung von Gesundheitsdaten
Neben den allgemeinen Grundsätzen des Datenschutzes gelten im Gesundheitswesen noch einige besondere Anforderungen:
- Einwilligung: Die Einwilligung des Betroffenen ist für die Verarbeitung von Gesundheitsdaten in der Regel erforderlich. Die Einwilligung muss freiwillig und informiert erteilt werden.
- Sonderregelungen für Berufsgeheimnisträger: Berufsgeheimnisträger, wie Ärzte, Apotheker und Krankenschwestern, dürfen Gesundheitsdaten auch ohne Einwilligung des Betroffenen verarbeiten, wenn dies zur Erfüllung ihrer beruflichen Aufgaben erforderlich ist.
- Datenaustausch: Gesundheitsdaten dürfen nur mit anderen Stellen ausgetauscht werden, wenn dies zur Erfüllung eines gesetzlichen Auftrags oder der Gesundheitsversorgung erforderlich ist.
Praktische Umsetzung der Datenschutzbestimmungen
Um die Datenschutzbestimmungen im Gesundheitswesen zu erfüllen, müssen Verantwortliche für die Verarbeitung von Gesundheitsdaten eine Reihe von Maßnahmen ergreifen. Dazu gehören unter anderem:
- Erstellung einer Datenschutz-Folgenabschätzung: Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung von Gesundheitsdaten ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt.
- Benennung eines Datenschutzbeauftragten: In bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten erforderlich.
- Implementierung technischer und organisatorischer Maßnahmen im Datenschutz Gesundheitswesen: Um die Datensicherheit zu gewährleisten, müssen technische und organisatorische Maßnahmen zum Schutz der Gesundheitsdaten ergriffen werden.
- Pseudonymisierung: Die Pseudonymisierung von besonderen Kategorien personenbezogener Daten kann die Anonymität der Betroffenen erhöhen und das Risiko einer unrechtmäßigen Verarbeitung verringern.
Datenweitergabe
Da medizinische Daten einen erhöhten Schutzbedarf im Hinblick auf Datenschutz aufweisen, ist es üblicherweise nicht gestattet, diese an Dritte weiterzugeben. Dies gilt jedoch nicht ausschließlich aufgrund von Datenschutzvorschriften.
Die Informationen, die Ärzte und medizinisches Personal erhalten, unterliegen dem ärztlichen Schweigepflicht und anderen speziellen beruflichen Verschwiegenheitsverpflichtungen. Neben der Wahrung des Datenschutzes im Gesundheitsbereich steht daher auch die Verpflichtung zur Verschwiegenheit im Vordergrund. Ein Verstoß gegen das Verbot der Weitergabe von Patientendaten hat sogar strafrechtliche Konsequenzen.
Die Weitergabe von Informationen aus dem Gesundheitswesen ist in bestimmten Fällen zulässig. Dazu gehören:
- Weitergabe an die Krankenkasse des Betroffenen: Die Krankenkasse ist für die Abrechnung der Leistungen zuständig. Sie benötigt daher bestimmte Informationen aus der Patientenakte, um die Leistungen zu prüfen und zu erstatten.
- Weitergabe an den Medizinischen Dienst: Der Medizinische Dienst ist eine unabhängige Organisation, die die Qualität der medizinischen Versorgung überwacht. Er kann daher auch Informationen aus der Patientenakte anfordern, um die Qualität der Versorgung zu bewerten.
- Weitergabe an die Berufsgenossenschaft: Die Berufsgenossenschaft ist für die Unfallversicherung zuständig. Sie kann daher auch Informationen aus der Patientenakte anfordern, um die Unfallversicherung zu prüfen.
- Weitergabe an Standesämter: Standesämter benötigen bestimmte Informationen aus der Patientenakte, um Geburten und Sterbefälle zu registrieren.
- Weitergabe an die Datenschutzbehörde: Die Datenschutzbehörde ist für die Überwachung des Datenschutzes zuständig. Sie kann daher auch Informationen aus der Patientenakte anfordern, um die Einhaltung des Datenschutzes zu prüfen.
In bestimmten Fällen ist eine Einwilligung des Patienten erforderlich, um Informationen weitergeben zu dürfen. Dies ist beispielsweise der Fall, wenn die Daten an Dritte weitergegeben werden, die nicht an der Behandlung des Patienten beteiligt sind.
Polizei und Staatsanwaltschaft können auch Daten aus dem Gesundheitswesen anfordern, wenn dies zur Verhinderung von Gefahren erforderlich ist.
Darüber hinaus muss die Weitergabe von Informationen in Einklang mit den allgemeinen Grundsätzen der DSGVO erfolgen, insbesondere mit den Grundsätzen der Rechtmäßigkeit, der Zweckbindung, der Speicherbegrenzung und der Datenminimierung.
Datenschutz Gesundheitswesen: Auskunft an Angehörige
Im Krankenhaus sind die Rechte von Patienten auf Datenschutz besonders wichtig. Dies gilt auch für die Weitergabe von Informationen über den Gesundheitszustand an Angehörige.
Fehlende Einwilligung
In der Regel ist es nicht zulässig, Informationen über den Gesundheitszustand eines Patienten an Angehörige weiterzugeben, ohne dass der Patient dies ausdrücklich genehmigt hat. Dies gilt auch für Ehegatten, Eltern oder Kinder. Die Weitergabe von Informationen an Angehörige ist nur dann zulässig, wenn der Patient eine Einwilligung erteilt hat oder der Arzt von seiner Schweigepflicht entbunden wurde.
Ausnahmesituationen des Datenschutz im Gesundheitswesen
Es gibt jedoch einige Ausnahmesituationen, in denen die Weitergabe von Informationen an Angehörige zulässig ist. Dies ist zum Beispiel der Fall, wenn der Patient nicht mehr in der Lage ist, Entscheidungen zu treffen oder eine Willenserklärung abzugeben. In diesem Fall können Ärzte sich an den Ehegatten oder enge Familienangehörige des Patienten wenden, um den vermuteten Willen des Patienten zu ergründen.
Patientenverfügung
Die sicherste Möglichkeit, um sicherzustellen, dass Angehörige im Falle einer Notsituation über den Gesundheitszustand informiert werden, ist eine Patientenverfügung. In einer Patientenverfügung kann der Patient festlegen, wer im Falle seiner Unfähigkeit Entscheidungen über seine Behandlung treffen darf.
Organisatorische Maßnahmen
Die Einhaltung von Datenschutz und Schweigepflicht ist in der Arztpraxis besonders wichtig:
- Vertrauliche Gespräche im Wartebereich: Ärzte und Angestellte sollten vertrauliche Gespräche über Patientendaten nicht im Wartebereich führen, wo sie von Dritten mitgehört werden können.
- Unbeaufsichtigter Empfang: Der Empfangsbereich sollte immer beaufsichtigt sein, um zu verhindern, dass Unbefugte an Patientenakten oder andere sensible Daten gelangen.
- Patientenakten im Behandlungsraum: Patientenakten sollten nicht im Behandlungsraum liegengelassen werden, wo sie von anderen Patienten eingesehen werden können.
- Auskünfte ohne Absicherung: Auskünfte über Patientendaten sollten nur an Personen erteilt werden, die dazu berechtigt sind. Dies sollte vor der Auskunft geklärt werden.
- Übertragung unzulässiger Daten: Die Krankenkasse sollte nur die Daten erhalten, die für die Abrechnung der Leistungen erforderlich sind.
Nutzen Sie das PRODATIS Datenschutz Branchen Know-how
PRODATIS hilft Ihnen mit der branchenspezifischen Erfahrungen, Haftungsrisiken zu vermeiden und bietet Ihnen darüber hinaus kompetente Unterstützung bei der Planung und Umsetzung Ihrer IT-Projekte. Gern führen wir auch Mitarbeiterschulungen gezielt für Ihre Bildungseinrichtung durch, um Ihre Mitarbeiter zum Thema Datenschutz zu sensibilisieren und Sie bei der Erfüllung Ihrer gesetzlichen Pflichten zu unterstützen. So unterstützen wir Sie bei der Einhaltung der gesetzlichen Vorgaben zur Verarbeitung, Sicherung und Archivierung Ihrer Daten einschl. Dokumentationen.
