Ob in einer Arztpraxis oder einem Krankenhaus, der Datenschutz spielt im Gesundheitswesen eine entscheidende Rolle. Wir gehen auf die DSGVO-Anforderungen ein, die für medizinische Daten gelten, und geben Ihnen praktische Ratschläge, wie Sie mit den größten Problemen umgehen können.

In der Gesundheitsbranche unterliegen medizinische Daten dem Datenschutz. Gesundheitsdaten sind mehr als nur persönliche Daten. Sie werden gemäß Artikel 9 Absatz 1 der Datenschutz-Grundverordnung als besondere Daten eingestuft. Dazu gehört neben der Verarbeitung von Gesundheitsdaten auch die „Verarbeitung von genetischen Daten [und] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person“.

Die Erhebung von Daten aus dieser Kategorie ist im Grunde genommen verboten. In Artikel 9 Absatz 2 der Datenschutz-Grundverordnung sind zahlreiche Fälle aufgeführt, die eine Datenverarbeitung rechtfertigen. Sie sind als strenge Anforderungen zu interpretieren. Folglich erfordert die Datenerhebung die ausdrückliche Zustimmung der Person oder eine gesetzliche Genehmigung.

Der Umgang mit medizinischen Daten wirft eine Reihe von Fragen zum Datenschutz auf.

Für medizinisches Personal gelten die Grundsätze der DSGVO im Allgemeinen. Diese wiederum arbeiten unter strengeren Richtlinien für den Schutz der medizinischen Daten ihrer Patienten. Da es sich bei Gesundheitsdaten mitunter um äußerst persönliche Daten handelt, können sie für die Betroffenen existenzielle Probleme mit sich bringen, wenn sie öffentlich gemacht werden. In den folgenden Abschnitten wird auf drei spezifische Schwierigkeiten beim Schutz von Gesundheitsdaten eingegangen:

Angemessene Maßnahmen und Bewertungen der Auswirkungen

Krankenhäuser und Arztpraxen sind verpflichtet, geeignete technische und organisatorische Systeme zu implementieren, um einen ordnungsgemäßen Umgang mit Gesundheitsdaten zu gewährleisten. Artikel 32 der DSGVO definiert die Maßnahmen, die ergriffen werden müssen.

Ärzte und medizinisches Hilfspersonal hingegen verfügen nur selten über das nötige Fachwissen in diesem Bereich, so dass entsprechende Personen innerhalb der Verwaltung eingestellt oder geschult werden müssen.

Darüber hinaus ist bei der Einführung neuer Verfahren eine „Datenschutz-Folgenabschätzung“ erforderlich. Diese umfasst unter anderem eine Einstufung der Verhältnismäßigkeit der Datenerhebung und eine gründliche Risikobewertung. Vertraulichkeit und Zusammenarbeit mit Dienstleistern sind wichtig.

Auch die Zusammenarbeit mit externen Dienstleistern stellt eine Herausforderung dar. Es geht nicht mehr nur um medizinische Dienstleistungen, sondern auch um digitale Dienstleistungen wie die Speicherung von Daten auf Servern Dritter. Die Bestimmungen der Datenschutz-Grundverordnung gelten nicht nur für die Übermittlung sensibler Daten.

Medizinische Daten unterliegen ebenfalls der Schweigepflicht, die es verbietet, medizinische Geheimnisse an unbeteiligte Dritte weiterzugeben. Dies bedeutet, dass Arztpraxen und Krankenhäuser im Gesundheitswesen den Datenschutz aus zwei Perspektiven betrachten müssen.

Verpflichtungen zur Berichterstattung und Informationsweitergabe

Für einige klinische Bilder gibt es Meldepflichten, an die sich Angehörige der Gesundheitsberufe anonym und pseudonym halten müssen. Aber was ist mit Informationen, die an Krankenversicherungen, die Polizei oder die Angehörigen der betroffenen Person weitergegeben werden?

Diese Adressen müssen unterschieden werden, und die Übermittlungsbefugnis muss doppelt geprüft werden, da die Einschränkungen in der Regel für jede Person einzigartig sind. Die Weitergabe von Informationen an Angehörige führt häufig zu Streitigkeiten, da sie entgegen der landläufigen Meinung vor Ort nicht zulässig ist. Der Arzt darf Informationen an die Angehörigen des Patienten nur mit dessen Einverständnis weitergeben.

Welche Arten von Daten können laut DSGVO im Gesundheitswesen gespeichert werden?

Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO definiert als „personenbezogene Daten über die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Bereitstellung von Gesundheitsdiensten, aus denen Informationen über ihren Gesundheitszustand gewonnen werden können“. 4 Nr. 15 DSGVO. Diese dürfen zunächst nicht gespeichert werden, es sei denn, der Patient hat eingewilligt oder es liegt eine gesetzliche Erlaubnis vor.

Andere personenbezogene Daten, wie der Name einer Person oder Kontaktinformationen, fallen ebenfalls unter die Datenschutz-Grundverordnung. Diese Patientendaten dürfen nur dann erhoben, aufbewahrt und verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt oder wenn die betroffene Person ihre Einwilligung gegeben hat.

Müssen Arztpraxen und Krankenhäuser einen Datenschutzbeauftragten haben?

Ob in Arztpraxen, Krankenhäusern oder Apotheken ein Datenschutzbeauftragter erforderlich ist, ist nicht bekannt. Wenn beispielsweise in einer Praxis mehr als zehn Personen täglich mit personenbezogenen Daten in Berührung kommen, besteht eine gesetzliche Verpflichtung.

Ist eine erhebliche Verarbeitung von Gesundheitsdaten nach Art. 37 Abs. 1 DS-GVO absehbar ist, wird die Bestellung eines Datenschutzbeauftragten auch bei einem Zusammenschluss von Gemeinschaftspraxen obligatorisch. Es ist auch zulässig, einen externen Datenschutzbeauftragten für ein effektives Datenschutzmanagement zu beauftragen.

Für die Erhebung und Verarbeitung von Daten im Gesundheitswesen gelten besondere Gesetze, um medizinische Daten vor Missbrauch durch Patienten zu schützen. Zusätzlich zu den strengen Beschränkungen der DSGVO gilt für den Schutz von Gesundheitsdaten nach wie vor die Geheimhaltungspflicht, die Patientendaten auf zwei Arten schützt.