Datenschutz und die EU-DSGVO im Gesundheitswesen18 | 10 | 17

Datenschutz und EU-DSGVO im Gesundheitswesen und Sozialwesen

Die Anwendung EU-Datenschutz-Grundverordnung (EU-DSGVO) steht kurz bevor und es ist an der Zeit, das Thema Datenschutz vermehrt in den Blick zu nehmen. Vor allem Organisationen im Sozial- und Gesundheitswesen müssen sich jetzt auf die neuen Anforderungen einstellen.

Einrichtungen, die Gesundheitsdaten erheben, verarbeiten oder nutzen müssen hier besonders aufmerksam mit den sensiblen Daten von PatientInnen umgehen. Auch in der EU-DSGVO nehmen diese Daten eine besondere Stellung ein. Nimmt man vor allem Einrichtungen der stationären Pflege und Krankenhäuser in den Blick, muss zwischen den Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden: Für erstere gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Für letztere gilt es, insbesondere den Umgang mit Gesundheitsdaten vor dem Hintergrund der EU-DSGVO nochmals zu überprüfen.

Welche Informationen gehören zu den Gesundheitsdaten?

In der DSGVO (Art. 4 Nr.  15) sind diese erläutert:

„Gesundheitsdaten“ sind demnach personenbezogene Daten,

„die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Gesundheitsdaten gehören nach dem BDSG und auch nach der EU-DSGVO zu der besonderen Kategorie personenbezogener Daten. Hier hat sich durch die EU-DSGVO nicht viel an der Definition geändert. Neu hinzugekommen sind allerdings genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für alle Daten dieser Kategorien, also auch für Gesundheitsdaten, gilt eine besondere Schutzbedürftigkeit.

Hieraus ergibt sich ein grundsätzliches Verbot der Verarbeitung dieser Daten. Die Verarbeitung ist nur unter bestimmten Vorrausetzungen möglich (Art. 9 2a-j DSGVO). Entweder willigt die betroffene Person ein oder es bestehen gesetzliche Rechtfertigungsmöglichkeiten. Beispielsweise finden sich im genannten Artikel Erlaubnistatbestände für das Gesundheitswesen.

5 Schritte für den EU-DSGVO-konformen Datenschutz

Was müssen Einrichtungen im Sozial- und Gesundheitswesen, wie Alten- und Pflegeheime oder Krankenhäuser für den Umgang mit sensiblen Gesundheitsdaten zukünftig beachten?

Erfahren Sie hier die fünf wichtigsten Schritte für den EU-DSGVO-konformen Datenschutz:

Bestellen Sie einen Datenschutzbeauftragten. Bei umfangreicher Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO muss auf jeden Fall ein Datenschutzbeauftragter bestellt werden!
Führen Sie eine Datenschutz-Folgeabschätzung (Art. 35 Abs. 3 b DSGVO) durch. Diese ist notwendig, wenn ein potenzieller Datenverlust ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Person zur Folge hat. Dies ist bei Gesundheitsdaten der Fall.
Verstecken Sie sich nicht: Bei Datenpannen sollten zum einen die verschärften Regeln im Rahmen der DSGVO beachtet werden. Hier gilt die Pflicht zur Selbstanzeige innerhalb von 72 Stunden!
Denken Sie an die im Rahmen der Umstellung auf die DSGVO massiv erhöhten Bußgelder. Bei der Entscheidung über mögliche Sanktionen werden auch die Kategorien von Daten berücksichtigt. Da Gesundheitsdaten zu den besonders schützenswerten gehören, fallen die Strafen voraussichtlich eher hoch aus.
Legen Sie Wert auf Datensicherheit! Mit der zunehmenden Digitalisierung – auch von Patientendaten – ist dieses Thema bei der elektronischen Verarbeitung und Speicherung von sensiblen Daten besonders wichtig. Angaben finden sich in der DSGVO beispielsweise in Artikel 32.

Was ist eine Datenschutz-Folgeabschätzung?

Durch das hohe Schutzniveau von Gesundheitsdaten ist nach der EU-DSGVO die Durchführung einer Datenschutz-Folgeabschätzung notwendig. Diese kann ggf. zu mehr Aufwand in Einrichtungen des Gesundheitswesens führen. Hier gibt es Parallelen zu der im Bundesdatenschutzgesetz (BDSG) bekannten Vorabkontrolle.

Zu einer Datenschutz-Folgeabschätzung gehören vier Aspekte, die Sie entsprechend dokumentieren und verschriftlichen müssen:

Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung der Gesundheitsdaten

Gegebenenfalls müssen hier auch die von dem Verantwortlichen verfolgten, berechtigten Interessen hinzugefügt werden. Hierbei sind (technische) Prozesse, IT-Systeme aber auch Datenflüsse und Systemgrenzen im Detail zu bewerten.

Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Datenerhebung und Speicherung.

Hier geht es um die Einhaltung des Grundsatzes der Datensparsamkeit. Als Mitarbeiter in Einrichtungen des Gesundheitswesens müssen Sie sich die Frage stellen, ob die erhobenen Gesundheitsdaten wirklich in vollem Umfang für Ihre Arbeit notwendig sind.

Risikobewertung

Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Wie hoch ist das Risiko der Beeinträchtigung des Rechtes auf informelle Selbstbestimmung der Patienten?

Maßnamenplanung

Dokumentieren Sie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Hier muss auch auf technische Sicherheitsvorkehrungen und Verfahren eingegangen werden, wie etwa Schutz von Passwörtern, Beschränkung der Zugriffsrechte oder Technologien zur Verschlüsselung.

 

Um die gestiegenen Anforderungen des Datenschutzes nach Anwendung der EU-DSGVO gerecht zu werden, müssen auch die Einrichtungen im Gesundheitswesen den Umgang mit Patientendaten noch einmal überprüfen. Gut ausgebildete Mitarbeiter mit den entsprechenden Fachkenntnissen, sind hier der erste Schritt zu gesetzeskonformen Datenschutz. Und dieser ist wiederum ein Garant für Transparenz und Qualität der Einrichtung.

Für alle, die mehr über die Anforderungen an das Datenschutzmanagement in ihrem Unternehmen erfahren oder selbst Datenschutzbeauftragte/r werden möchten, empfehle ich die Angebote der DGQ zu diesem Thema:

Über den Autor:

Christina Eibert ist seit März 2017 Produktmanagerin bei der DGQ Weiterbildung. Dort ist die studierte Sozialwissenschaftlerin für die Konzeption von Weiterbildungsinhalten und -formaten verantwortlich.

2 Kommentare bei “Datenschutz und die EU-DSGVO im Gesundheitswesen”

  1. b0b07026ec9af796a3bd7b4aabcf288a M. A. Adamska-Reiche sagt:

    Bitte korrigieren Sie den technischen Fehler zu diesem Beitrag im RSS-Fee, ich bekomme ihn seit dem 18.10.17 mehrmals täglich, inzwischen über 60 Mal!

    1. Christina Eibert sagt:

      Hallo Frau Adamska-Reiche,
      ich habe das Problem weitergeitet und hoffe es wird zeitnah behoben werden können.
      Beste Grüße
      Christina Eibert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.