DSGVO

Datenschutz im Gesundheitswesen

| Autor / Redakteur: Kathrin Schürmann* / Ira Zahorsky

Welche Transparenz- und Informationspflichten bestehen gegenüber dem Patienten?

Insgesamt ändern sich mit der DSGVO die Anforderungen an die Art und Weise der Einwilligung im Vergleich zur bisherigen Rechtslage erheblich, worauf insbesondere im Gesundheitswesen zu achten ist. Allgemein sind die Informationspflichten gegenüber der betroffenen Person im Vergleich zum alten BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person vor allem die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung, z.B. jede Untersuchung gesondert) und die Dauer der Datenverarbeitung mitgeteilt werden müssen. Auch alle Betroffenenrechte ebenso wie die Rechtsgrundlage der Datenverarbeitung gehören zur Informationspflicht. Die Mitteilung kann in der Regel durch eine Datenschutzerklärung im Rahmen der ersten Patientenbefragung oder Patientenanamnese im Wartezimmer erfolgen. Das Unabhängige Landesamt für Datenschutz Schleswig-Holstein empfiehlt dabei die Verteilung von Flyern im Wartezimmer. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden.

Welche weiteren Vorschriften der DSGVO sind im Gesundheitswesen relevant?

Aufgrund der Natur der verarbeiteten Daten ist im Gesundheitswesen vor allem Artikel 32 DSGVO („Datensicherheit der Verarbeitung“) von großer Bedeutung. So haben Krankenhäuser, Ärzte, Krankenversicherungen etc. „unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen“ zu treffen, um den Schutz der verarbeiteten Daten vor Zerstörung, unrechtmäßiger Verarbeitung und Offenlegung zu gewährleisten. Im Falle der Auftragsdatenverarbeitung, die gerade für Krankenhäuser (z.B. bei der Abwicklung von Zahlungen durch externe Dienstleister) immer relevanter wird, ist eine gemeinsame Risikoabschätzung durch Krankenhaus und Auftragsverarbeiter und eine gemeinsame Erarbeitung und Umsetzung entsprechender Maßnahmen zu empfehlen. Spätestens an dieser Stelle sollte ein regelmäßiger Austausch der Datenschutzbeauftragten stattfinden.

Gleiches gilt bezüglich der Vorgaben der DSGVO, wonach Datenschutz auch bei der technischen Ausrichtung von Websites und anderen elektronischen Eingabemöglichkeiten von Daten zu befolgen ist (Privacy by Design). Das Konzept des Privacy by Design ist vor allem auch im Rahmen der aktuellen Diskussion um Datenaustauschplattformen (sog. „Patientenportale“) zu berücksichtigen. Vor allem im Falle der Auftragsdatenverarbeitung ist zudem eine Datenschutzfolgenabschätzung durchzuführen, die zugleich mit Kosten-Nutzen-Überlegungen und der weiteren Strategieplanung von Krankenhäusern verknüpft werden kann. Auf diese Weise bietet die DSGVO bei rechtzeitiger rechtlicher Beratung eine echte Chance auf Prozessoptimierung.

Wann ist im Gesundheitswesen die Bestellung eines Datenschutzbeauftragten erforderlich?

Mangels expliziter Vorschrift für das Gesundheitswesen in der DSGVO richtet sich die Erforderlichkeit zur Bestellung eines Datenschutzbeauftragten nach den allgemeinen Voraussetzungen. Ein Datenschutzbeauftragter ist also dann zu bestellen, wenn mindestens zehn Mitarbeiter im Schwerpunkt mit der Verarbeitung personenbezogener Daten betraut sind oder wenn eine besonders große Menge an Daten verarbeitet wird. In der Regel sind diese Voraussetzungen bei kleineren Arztpraxen und Apotheken nicht erfüllt, sehr wohl aber bei Krankenhäusern. Bei Gemeinschaftspraxen sind die Voraussetzungen unklar und müssen im Einzelfall ermittelt werden.

Grundsätzlich gilt, dass ein Datenschutzbeauftragter auch dann zu bestellen ist, wenn aufgrund der Datenverarbeitung eine derart große Gefahr für die Rechte und Interessen der betroffenen Person besteht, dass eine Datenschutzfolgenabschätzung erforderlich ist. Diese Gefahr kann bei Gesundheitsdaten zwar nicht bereits aufgrund ihrer Natur ohne weiteres bejaht werden, ist aber eher zu bejahen als bei einer vergleichbaren Bearbeitung von Daten, die nicht besonders schutzwürdig sind. Die Datenschutzkonferenz hat hierzu am 26. April 2018 einen Beschluss gefasst, der die Kriterien für die Benennungspflicht bei Gesundheitsberufen beschreibt (pdf).

Fazit und Handlungsempfehlung

Die DSGVO legt großen Wert auf Transparenz und Information sowie auf Dokumentation. Gelingt es den Verantwortlichen im Gesundheitswesen diese Anforderungen zu erfüllen, sollten die hohen Bußgelder der DSGVO vermieden werden können.

Auf der nächsten Seite finden Sie eine Checkliste zur Umsetzung der Handlungsempfehlungen.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45654465 / Sicherheit/Datenschutz)