Datenschutz und die EU-DSGVO im Gesundheitswesen18 | 10 | 17

Datenschutz und EU-DSGVO im Gesundheitswesen und Sozialwesen

Die Anwendung EU-Datenschutz-Grundverordnung (EU-DSGVO) steht kurz bevor und es ist an der Zeit, das Thema Datenschutz vermehrt in den Blick zu nehmen. Vor allem Organisationen im Sozial- und Gesundheitswesen müssen sich jetzt auf die neuen Anforderungen einstellen.

Einrichtungen, die Gesundheitsdaten erheben, verarbeiten oder nutzen müssen hier besonders aufmerksam mit den sensiblen Daten von PatientInnen umgehen. Auch in der EU-DSGVO nehmen diese Daten eine besondere Stellung ein. Nimmt man vor allem Einrichtungen der stationären Pflege und Krankenhäuser in den Blick, muss zwischen den Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden: Für erstere gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Für letztere gilt es, insbesondere den Umgang mit Gesundheitsdaten vor dem Hintergrund der EU-DSGVO nochmals zu überprüfen.

Welche Informationen gehören zu den Gesundheitsdaten?

In der DSGVO (Art. 4 Nr.  15) sind diese erläutert:

„Gesundheitsdaten“ sind demnach personenbezogene Daten,

„die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Gesundheitsdaten gehören nach dem BDSG und auch nach der EU-DSGVO zu der besonderen Kategorie personenbezogener Daten. Hier hat sich durch die EU-DSGVO nicht viel an der Definition geändert. Neu hinzugekommen sind allerdings genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für alle Daten dieser Kategorien, also auch für Gesundheitsdaten, gilt eine besondere Schutzbedürftigkeit.

Hieraus ergibt sich ein grundsätzliches Verbot der Verarbeitung dieser Daten. Die Verarbeitung ist nur unter bestimmten Vorrausetzungen möglich (Art. 9 2a-j DSGVO). Entweder willigt die betroffene Person ein oder es bestehen gesetzliche Rechtfertigungsmöglichkeiten. Beispielsweise finden sich im genannten Artikel Erlaubnistatbestände für das Gesundheitswesen.

5 Schritte für den EU-DSGVO-konformen Datenschutz

Was müssen Einrichtungen im Sozial- und Gesundheitswesen, wie Alten- und Pflegeheime oder Krankenhäuser für den Umgang mit sensiblen Gesundheitsdaten zukünftig beachten?

Erfahren Sie hier die fünf wichtigsten Schritte für den EU-DSGVO-konformen Datenschutz:

Bestellen Sie einen Datenschutzbeauftragten. Bei umfangreicher Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO muss auf jeden Fall ein Datenschutzbeauftragter bestellt werden!
Führen Sie eine Datenschutz-Folgeabschätzung (Art. 35 Abs. 3 b DSGVO) durch. Diese ist notwendig, wenn ein potenzieller Datenverlust ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Person zur Folge hat. Dies ist bei Gesundheitsdaten der Fall.
Verstecken Sie sich nicht: Bei Datenpannen sollten zum einen die verschärften Regeln im Rahmen der DSGVO beachtet werden. Hier gilt die Pflicht zur Selbstanzeige innerhalb von 72 Stunden!
Denken Sie an die im Rahmen der Umstellung auf die DSGVO massiv erhöhten Bußgelder. Bei der Entscheidung über mögliche Sanktionen werden auch die Kategorien von Daten berücksichtigt. Da Gesundheitsdaten zu den besonders schützenswerten gehören, fallen die Strafen voraussichtlich eher hoch aus.
Legen Sie Wert auf Datensicherheit! Mit der zunehmenden Digitalisierung – auch von Patientendaten – ist dieses Thema bei der elektronischen Verarbeitung und Speicherung von sensiblen Daten besonders wichtig. Angaben finden sich in der DSGVO beispielsweise in Artikel 32.

Was ist eine Datenschutz-Folgeabschätzung?

Durch das hohe Schutzniveau von Gesundheitsdaten ist nach der EU-DSGVO die Durchführung einer Datenschutz-Folgeabschätzung notwendig. Diese kann ggf. zu mehr Aufwand in Einrichtungen des Gesundheitswesens führen. Hier gibt es Parallelen zu der im Bundesdatenschutzgesetz (BDSG) bekannten Vorabkontrolle.

Zu einer Datenschutz-Folgeabschätzung gehören vier Aspekte, die Sie entsprechend dokumentieren und verschriftlichen müssen:

Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung der Gesundheitsdaten

Gegebenenfalls müssen hier auch die von dem Verantwortlichen verfolgten, berechtigten Interessen hinzugefügt werden. Hierbei sind (technische) Prozesse, IT-Systeme aber auch Datenflüsse und Systemgrenzen im Detail zu bewerten.

Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Datenerhebung und Speicherung.

Hier geht es um die Einhaltung des Grundsatzes der Datensparsamkeit. Als Mitarbeiter in Einrichtungen des Gesundheitswesens müssen Sie sich die Frage stellen, ob die erhobenen Gesundheitsdaten wirklich in vollem Umfang für Ihre Arbeit notwendig sind.

Risikobewertung

Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Wie hoch ist das Risiko der Beeinträchtigung des Rechtes auf informelle Selbstbestimmung der Patienten?

Maßnamenplanung

Dokumentieren Sie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Hier muss auch auf technische Sicherheitsvorkehrungen und Verfahren eingegangen werden, wie etwa Schutz von Passwörtern, Beschränkung der Zugriffsrechte oder Technologien zur Verschlüsselung.

 

Um die gestiegenen Anforderungen des Datenschutzes nach Anwendung der EU-DSGVO gerecht zu werden, müssen auch die Einrichtungen im Gesundheitswesen den Umgang mit Patientendaten noch einmal überprüfen. Gut ausgebildete Mitarbeiter mit den entsprechenden Fachkenntnissen, sind hier der erste Schritt zu gesetzeskonformen Datenschutz. Und dieser ist wiederum ein Garant für Transparenz und Qualität der Einrichtung.

 

Weiterbildungsangebote rund um die Themen Gesundheitswesen und Compliance

Im Lehrgang Qualitätsmanagement im Gesundheits- und Sozialwesen eignen Sie sich grundlegende Kenntnisse zu einem zeitgemäßen Qualitätsmanagement an. Sie lernen die wesentlichen Anforderungen im Hinblick auf die Dokumentation und Prozessorientierung kennen. Die Inhalte des Lehrgangs orientieren sich maßgeblich an der Norm DIN EN ISO 9001, ergänzt um Anforderungen von DIN EN 15224. Sie entwickeln Fragetechniken, mit denen Sie Gesprächssituationen im beruflichen Kontext souverän meistern. Jetzt anmelden »

In der Weiterbildung zum Compliance Officer erhalten Sie einen Überblick über gesetzliche Compliance-Grundlagen. Sie lernen die wesentlichen Compliance-Risiken in der Wirtschaft kennen. Darüber hinaus behandeln Sie vertieft die Entwicklung und Umsetzung wirksamer Schutzmaßnahmen gegen Compliance-Verstöße. Sie erhalten alle erforderlichen Instrumente, um professionell mit eingetretenen Compliance- Vorfällen umzugehen. Jetzt anmelden »

Über die Autorin: Christina Eibert

Christina Eibert ist studierte Sozialwissenschaftlerin und Produktmanagerin bei der DGQ. Sie verantwortet die Trainings in den Bereichen Compliance, Datenschutz, Statistik und Cyber-Sicherheit. Besonders wichtig ist es ihr, praxisnahe und zukunftsorientierte Weiterbildungen zu entwickeln, von denen Teilnehmer und Unternehmen gleichermaßen profitieren.

Comments are closed.