Datenschutz im Gesundheitswesen

Die EU-Datenschutz-Grundverordnung (DSGVO) hat letztlich für alle Unternehmen zu besonderen und vor allem neuen Herausforderungen geführt.
Das klar erklärte Ziel war und ist die Vereinheitlichung des Umgangs mit personenbezogenen Daten auf europäischer Ebene.
Dabei trifft die DSGVO jedoch nicht nur die großen multinationalen Wirtschaftsunternehmen.

Gerade der Datenschutz im Gesundheitswesen birgt einige Herausforderungen, nicht zuletzt wegen des besonderen Schutzes von Gesundheitsdaten, und stellt damit die Arztpraxis genauso wie die Klinik / das Krankenhaus, die Pflegeeinrichtung und die Praxis für Physiotherapie vor Schwierigkeiten bei der Verarbeitung personenbezogener Daten.

Wir wollen hier einen Einblick in die Herausforderungen geben und Ansätze zur Bewältigung aufzeigen.

Grundlagen und Herausforderung

Physiotherapie DatenschutzInsbesondere Unternehmen mit Tätigkeit im Gesundheitswesen sind erheblich gefordert die Anforderungen an eine rechtmäßige Verarbeitung personenbezogener Daten umzusetzen und letztlich auch nachweisen zu können.

Hintergrund ist der besondere Schutz von Gesundheitsdaten als sensible personenbezogene Daten gemäß Art. 9 DSGVO. Dieser lautet in Absatz 1:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Nun mag man meinen, die Verarbeitung solcher Daten sei generell und stets verboten. Die DSGVO folgt hierbei jedoch dem sogenannten Prinzip des „Verbots mit Erlaubnisvorbehalt“, d.h. die Verarbeitung solcher Daten ist tatsächlich grundsätzlich verboten, soweit sie nicht ausnahmsweise erlaubt ist.

Das klingt zunächst sehr kompliziert, wird jedoch verständlicher in Kenntnis des Art. 9 Absatz 2 DSGVO, der die Ausnahmen von dem grundsätzlichen Verbot aufzählt, wenn er beginnt mit:

„Absatz 1 gilt nicht in folgenden Fällen:“

Besonders relevante Ausnahmen sind dabei die informierte Einwilligung der von der Datenverarbeitung betroffenen Person sowie die Verarbeitung zum Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik  oder der Versorgung und Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einer Person eines Gesundheitsberufs.

Hierbei kommt etwa der Behandlungsvertrag nach § 630a BGB zwischen Arzt / Krankenhaus / Physiotherapeut und Patient in Betracht, bei dem es sich entsprechend § 630b BGB um einen Unterfall des Dienstvertrags handelt.

Das sind Gesundheitsdaten

Die DSGVO definiert den Begriff in Art. 14 Nr. 15. Hiernach sind Gesundheitsdaten:

„Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;“

Gesundheitsdaten sind daher sehr weitreichende Informationen über eine betroffene Person und nicht etwa nur rein medizinische Daten. Dies stellt auch Erwägungsgrund 35 der DSGVO klar:

„Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.“

Insbesondere wird hieraus deutlich, dass es hinsichtlich der Verarbeitung solcher Daten unerheblich ist, ob es sich um aktuelle, frühere oder auch zukünftige Gesundheitszustände handelt. Ebenso wie die Tatsache einer Behandlung oder Anmeldung zu einer solchen. Diese Informationen werden ingesamt als besonders schützenswert eingestuft.

Legt man diese Regelungen daher streng aus, so könnten bereits Abbildungen, auf denen eine betroffene Person mit Brille oder Hörgerät gezeigt wird, zu den Gesundheitsdaten zählen.

Digitalisierung und Datenübermittlung

Die besonderen Herausforderungen an den Datenschutz im Gesundheitswesen bestehen dabei etwa in der fortschreitenden Digitalisierung. So etwa der zunehmenden Führung digitaler Patientenakten mit all ihren Vorteilen, aber eben auch Risiken für und Anforderungen an die IT-Sicherheit. Dies unabhängig davon, ob es sich um eine Arztpraxis, ein Krankenhaus, eine Pflegeeinrichtung oder etwa eine Physiotherapiepraxis handelt.

Doch auch die Vielzahl der im Gesundheitswesen zu findenden Akteure und deren Vernetzung führt zu erheblichen Herausforderungen für die einzelne verantwortliche Stelle.

Zu beachten sind dabei etwa ein Auseinanderfallen von betroffener Person (= Patient) und Kostenträger (= etwa Krankenkassen), aber auch Fragen der Vor-, Mit- und Nachbehandlung betroffener Personen und der Zulässigkeit von Datenübermittlungen an bzw. zwischen solchen Stellen.

Datenschutz im Gesundheitswesen

In zunehmendem Maß verwenden Einrichtungen des Gesundheitswesens, insbesondere Arztpraxis und Krankhaus, auch mobile Geräte im Rahmen der Datenverarbeitung.

So lassen sich etwa auf Tablets Patienakten aufrufen und Basisinformationen, Kurven, Röntgenbilder und ähnliches betrachten. Ärzte können Anordnungen eingeben und die Akte kann zum Teil auch mobil bearbeitet und verändert werden. Eine Synchronisierung hält die Daten schließlich in allen Instanzen in gleichem Maße aktuell. Das Risiko für den Verlust oder auch ungewollte Manipulation der verarbeiteten Daten steigt damit zwangsläufig, wenngleich solche Technologien selbstverständlich auch große Chancen bieten.

Eine Einrichtungen, etwa radiologische Praxen, ermöglichen ihren Patienten darüber hinaus auch die digitale „Mitnahme“ der gefertigten Aufnahmen über spezielle Applikationen (z.B. „RadPix“ des Bayreuther Unternehmens „i-radiologie GbR“).

Problematisch können auch die Fälle werden, in denen Angehörige (oder zum Teil auch sonstige Dritte) Rezepte, Überweisungen oder Untersuchungsergebnisse für die betroffene Person abholen oder in Erfahrung bringen oder auf andere Weise durch Ansprache von Behandlern und/oder Personal Auskunft über die betroffene Person, ihren Zustand oder Behandlung erlangen möchten.

Auswirkungen

Gerade im Gesundheitswesen können Datenschutzverstöße oder Datenpannen für betroffene Personen zu erheblichen negativen Auswirkungen und Schäden führen.

Man denke etwa an das Bekanntwerden ggf. sensibler Diagnosen. Auch die Tatsache einer laufenden Behandlung als solche kann sich entsprechend negativ auswirken.

Für verantwortliche Stellen erheblich können jedoch gerade auch etwaige Bußgelder sein, die die jeweils zuständige Aufsichtsbehörde bei entsprechend gravierenden Verstößen gegen den Datenschutz verhängen könnten.

Insgesamt gelten für verantwortliche Stellen des Gesundheitswesens daher hohe Datenschutzanforderungen. Verantwortliche und Mitarbeiter sollten insoweit in besonderem Maße für die Belange des Datenschutzes sensibilisiert sein. Betroffene Personen müssen zutreffend über die Datenverarbeitung informiert werden, ggf. sind Einwilligungen von diesen einzuholen.

Der Weg zu einem DSGVO-konformen Datenschutz im Gesundheitswesen

1. Verträge, Formulare und Informationen

Prüfen Sie Ihre verwendeten Unterlagen. Informieren Sie Ihre Patienten/Kunden datenschutzkonform über die Art und Weise der Datenverarbeitung in Ihrer Praxis oder Ihrer Einrichtung. Passen Sie Ihre Unterlagen, Formblätter, Anamnesebögen ggf. an.

2. Einwilligungen

Halten Sie Einwilligungen vor, soweit erforderlich.

3. Maßnahmen der Datensicherheit

Prüfen Sie die in Ihrer Praxis oder Ihrer Einrichtung eingesetzten Maßnahmen der Datensicherheit.

Die DSGVO verfolgt ganz klar einen sogenannten „risikobasierten Ansatz“, d.h. die einzusetzenden Maßnahmen im Hinblick auf den Datenschutz müssen sich an dem Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen orientieren.

Um dieses Risiko einschätzen zu können und zu klären, ob die angewendeten Maßnahmen ausreichend sind, müssen zunächst die Datenverarbeitung und ihre Zwecke beschrieben werden.

Hier hat sich letztlich die Bearbeitung in 4 Phasen etabliert, die wir auch in der Beratung durchlaufen:

a. Beschreibung der durchgeführten Datenverarbeitungen und ihr Zweck

Es wird geprüft und beschrieben auf welche Weise Daten verarbeitet werden und zu welchem Zweck. Hier spielt der Umfang der Datenverarbeitung ebenso eine Rolle, wie die technische Umsetzung.

b. Prüfung der Erforderlichkeit einzelner Verarbeitungsvorgänge sowie ihrer Verhältnismäßigkeit

Bereits das alte Bundesdatenschutzgesetz enthielt in § 3a den Grundsatz der Datensparsamkeit. Die Begrifflichkeit hat sich etwa geändert, die DSGVO spricht in Art. 5 Absatz 1 Buchstabe c) nunmehr von einem Grundsatz der Datenminimierung. Gemeint ist jedoch wie bereits zuvor, dass Daten einerseits dem Zweck nach angemessen verarbeitet werden sowie auf das für den Zweck notwendige Maß beschränkt werden. Das heißt letztlich nichts anderes, als dass nur die Daten verarbeitet werden sollen (und dürfen), die auch tatsächlich benötigt werden.

Es ist daher zu prüfen, ob einzelne Verarbeitungsvorgänge in ihrem Umfang erforderlich und angemessen sind unter Berücksichtigung des damit verfolgten Zwecks. Insbesondere sollten sich Mitarbeiter und Mitarbeiterinnen durchaus die Frage stellen, ob einzelne erhobene Daten im Rahmen ihrer täglichen Arbeit tatsächlich erforderlich sind oder ob auf die Erhebung und Speicherung einzelner Datenkategorien ggf. sogar ohne Auswirkungen verzichtet werden kann.

c. Einschätzung des Risikos und Überprüfung der angewendeten Maßnahmen

Nach Beschreibung der Verarbeitungen und Überprüfung der Erforderlichkeit können die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet werden. Hierbei bewegt man sich in einer sogenannten Risikomatrix aus der Schwere des möglichen Schadens und der Eintrittswahrscheinlichkeit eines solchen Schadens.

Hiernach müssen die angewendeten Maßnahmen zum Datenschutz anhand des Risikos überprüft werden.

Das Landesamt für Datenschutzaufsicht in Bayern verdeutlicht den risikobasierten Ansatz in einem sehr überspitzten Beispiel einer fiktiven Hausarztpraxis. Wenngleich deutlich überzeichnet, so macht das Beispiel dennoch klar, dass es stets auf die konkrete Situation ankommt:

„Ein Hausarzt zieht mit seiner Praxis in ein neu gebautes Haus. Das Gebäude hat allerdings noch keine „richtige“ Haustüre, da diese noch nicht lieferbar war und erst in zwei Wochen eingebaut werden kann. Nach dem Umzug sind zudem die Patientenakten in Papier nicht geschützt, da auch die Aufbewahrungsschränke noch nicht geliefert wurden. Diese Umstände haben zur Folge, dass die Patientenakten in einem frei zugänglichen Raum liegen. Als Schutzmaßnahme bringt der Arzt ein Pappschild am Eingang an, dass der Zutritt zu dem Haus strengstens verboten ist.“

Fundstelle: https://www.lda.bayern.de/de/dsfa.html

Hier erkennt man schnell, dass die in dem Beispiel konkret angewendeten Maßnahmen zum Datenschutz selbstverständlich nicht ausreichen. Bei einer Risikobewertung käme man zu dem Ergebnis, dass von einem sehr hohen Risiko auszugehen ist. Dies basierend auf einer großen bis maximalen Eintrittswahrscheinlichkeit eines Schadens (hier ggf. durch Diebstahl des Patientenakten) sowie einer hohen Schwere des Schadens.

d. Änderung bestehender oder Planung neuer Maßnahmen

Ergibt die Prüfung, dass die derzeit angewendeten Maßnahmen nicht ausreichen, so sind diese abzuändern und/oder neue Maßnahmen zu planen.

Im Beispiel heißt das etwa Einsatz einer stabilen, abschließbaren und einbruchshemmenden Haustüre sowie sicherer Aufbewahrungsschränke (vgl. auch https://www.lda.bayern.de/de/dsfa.html). Vorher dürfen die Akten nicht in die Räumlichkeiten verbracht werden. Allerdings ist das Beispiel selbstverständlich stark abstrahiert, sodass in der Praxis zwangsläufig noch weitere Maßnahmen hinzutreten müssen.

Profitieren Sie von unserer Erfahrung!

Wir verfügen über eine Spezialisierung und umfangreiche Erfahrung im Bereich des Datenschutzes in Einrichtungen des Gesundheitswesens.

Geschäftsführer und Datenschutzbeauftragter DSB-TÜV Christoph Schmitt betreut und berät diverse Unternehmen aus dem Gesundheitssektor, von der Arztpraxis bis zum Physiotherapeuten.

Wir unterstützen Sie bei der Analyse und Prüfung Ihrer vorhandenen Datenschutzsituation und der Umsetzung eines DSGVO-konformen Datenschutzkonzepts.

Nehmen Sie Kontakt mit uns auf! Gerne besprechen wir gemeinsam mit Ihnen den Bedarf Ihres Unternehmens und machen Ihnen ein Angebot hinsichtlich einer Datenschutzberatung Ihres Unternehmens bis hin zur Übernahme des Amts des externen Datenschutzbeauftragten.