Zur Navigation springen Zum Inhalt springen Zum Footer springen

Umsetzung der DSGVO im Krankenhaus

Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) war und ist für viele Unternehmen eine nicht leicht zu erledigende Aufgabe, doch besonders in Krankenhäusern stellt sie eine Herausforderung dar.

Verarbeitung von Gesundheitsdaten

Das Erfassen und Verarbeiten von Gesundheitsdaten ist ein großer Bestandteil im Arbeitsalltag von Krankenhäusern. Aus Datenschutzperspektive werden diese gemäß Artikel 9 DSGVO als besondere Kategorien personenbezogener Daten eingestuft, die so besonders geschützt werden müssen.

Die Verarbeitung solch sensibler Daten unterliegt in der Regel strengen Voraussetzungen und darf meist nur mit Einwilligung des Betroffenen stattfinden. Grund für diese Einstufung ist die existenzielle Relevanz der Gesundheitsdaten für die Patienten.

Verschwiegenheitspflicht

Abgesehen vom Datenschutz ist für Krankenhäuser auch die Verschwiegenheitspflicht zu beachten. Diese meint die Verpflichtung bestimmter Berufe und Berufsgruppen, ihnen anvertraute geheime Daten nicht unzulässig an Dritte weiterzugeben. Nach § 203 StGB kann ein Verstoß gegen die Verschwiegenheitspflicht eine Freiheits- oder Geldstrafe nach sich ziehen, so dass es sich auch aus diesem Blickwinkel lohnt, besondere Vorsicht beim Umgang mit Gesundheitsdaten walten zu lassen.

Konkrete Auswirkungen für Krankenhäuser

Generell gelten in Krankenhäusern die gleichen datenschutzrechtlichen Regelungen, wie in anderen Arbeitsbereichen auch. Die Anforderungen sind jedoch höher.

Artikel 32 DSGVO setzt voraus, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu erreichen. Genaueres lässt die DSGVO jedoch offen und nennt ausschließlich einige Kriterien, die bei der Wahl der zu treffenden Maßnahmen zu beachten sind. Dazu gehören der Stand der Technik, Implementierungskosten, die Art und der Umfang der Daten, sowie die Umstände und Zwecke der Verarbeitung und außerdem die Schwere der Risiken für Betroffene und deren Eintrittswahrscheinlichkeit.

Anhand dieser Kriterien wird schnell deutlich, dass für Krankenhäuser stets verstärkte Maßnahmen für die Gewährleistung der Datensicherheit getroffen werden sollten. Es wird im Normalfall ein großer Umfang besonders schutzwürdiger Daten verarbeitet, deren Verletzung mit einem hohen Risiko für Betroffene verbunden ist.

Datenschutz-Folgenabschätzung

Artikel 35 DSGVO führt aus, dass u.a. bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten eine Datenschutz-Folgenabschätzung notwendig ist.

Für Krankenhäuser bedeutet dies konkret, dass bei der Einführung neuer Prozesse und Systeme in regelmäßigen Abständen die Erfordernis einer Datenschutz-Folgenabschätzung zu erwarten ist.

Auftragsverarbeitung

Berufsgeheimnisträgers haben dank des „Gesetz(es) zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ die Erlaubnis externe Dienstleister bzw. Auftragsverarbeiter einzusetzen. Dennoch sollte bei der Prüfung der Eignung von Dienstleistern darauf geachtet werden, ob ihre technischen und organisatorischen Maßnahmen dem hohen Schutzniveau von Gesundheitsdaten entsprechen. Außerdem sind die Regelungen in Artikel 28 DSGVO zum Thema Auftragsverarbeitung zu berücksichtigen.

Auskünfte

Die Verschwiegenheitspflicht gilt auch bei Anfragen enger Angehöriger bezüglich der Gesundheitsdaten Betroffener. Dies deckt sich mit Artikel 15 DSGVO, der ebenfalls besagt, dass eine Auskunft ausschließlich gegenüber dem Betroffenen zu erteilen ist. Eine Entbindung von der ärztlichen Schweigepflicht kann so nur mit Zustimmung des Betroffenen geltend gemacht werden.

Meldepflichten

Nach Artikel 33, 34 DSGVO hat jeder Verantwortliche im Fall einer Datenschutzverletzung eine Meldepflicht. In Krankenhäusern dürfte dies auch für kleine Vorfälle, die in anderen Bereichen nicht meldepflichtig sind, gelten.

Selbst bei normalerweise geringen Risikos und Eintrittswahrscheinlichkeiten, wie etwa beim kurzfristigen Aussetzen der Verfügbarkeit von Daten, kann dies im Krankenhaus ein hohes Risiko für Rechte und Freiheiten von betroffenen Personen bedeuten. So ist in Krankenhäusern verschärft zu prüfen, welche Datenschutzpannen der Meldepflicht unterliegen.

Fazit

Unter den betrachteten Gesichtspunkten empfiehlt es sich bei der Umsetzung der DSGVO in Krankenhäusern ein umfassendes Datenschutzmanagement zu etablieren und ein Bewusstsein für die Relevanz des Themas, gerade in diesem Arbeitsfeld, zu schaffen.



Rechtstipp aus dem Rechtsgebiet Datenschutzrecht

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Rechtstipps-Newsletter abonnieren

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Newsletter jederzeit wieder abbestellbar.