Datenschutz und Gesundheitsdaten
28. Mai 2021

Der richtige Umgang mit Gesundheitsdaten


In Krankenhäusern und Praxen gehört der Umgang mit Gesundheitsdaten als sensible Daten zum Alltag. Patient:innen müssen sich darauf verlassen können, dass alle Angaben zu ihrem Gesundheitszustand vollkommen vertraulich behandelt werden. Neben dem Einhalten der ärztlichen Schweigepflicht gibt es jedoch noch andere Maßnahmen, die den Datenschutz im Krankenhaus unterstützen können.

Gesundheitsdaten Beispiele

Gesundheitsdaten Beispiele

In der Regel wird von medizinischen Einrichtungen der Name, das Geburtsdatum, die Kontaktmöglichkeiten und Informationen zu Vorerkrankungen der betroffenen Person abgefragt. Alle diese Patientendaten, ob digital oder in Papierform, unterliegen dem Datenschutz. Nach Art. 9 DSGVO gelten Gesundheitsdaten aufgrund ihres sensiblen Inhalts als besonders schützenswert und unterliegen zusätzlich dem Arztgeheimnis.

Umgang mit Gesundheitsdaten: Sie unterliegen dem Datenschutz

Die ärztliche Schweigepflicht und die Regelungen in der europäischen Datenschutz-Grundverordnung (DSGVO) existieren unabhängig voneinander. Die Verwendung von Patientendaten muss stets beiden Anforderungen gerecht werden. Ein Verstoß kann mit Geld- oder Freiheitsstrafen geahndet werden.

Nur die betroffene Person selbst hat laut des Bundesdatenschutzgesetzes (BDSG) immer das Recht in die über sie oder ihn geführte Patientenakte Einsicht zu nehmen. Ausnahmen bilden hier lediglich therapeutische Gründe. 

Eine Herausgabe von medizinischen Daten am Telefon ist aufgrund der unzureichenden Identifizierungsmöglichkeiten im Sinne der ärztlichen Schweigepflicht nicht erlaubt.

Umgang mit Gesundheitsdaten

Haben Angehörige ein Recht auf Auskunft? 

Die ärztliche Schweigepflicht verhindert ebenfalls die Weitergabe der Gesundheitsdaten ohne Einwilligung der betreffenden Person oder Anonymisierung der Daten. 

Auch die Weitergabe an Personen aus der engsten Verwandtschaft ist nicht erlaubt. Die Informationen dürfen nur dann an die Angehörigen weitergegeben werden, wenn die zu behandelnde Person ihre Einwilligung erteilt hat. Damit entbindet sie den Arzt oder die Ärztin von ihrer Schweigepflicht. Hierfür ist es wichtig, dass die Einwilligung in schriftlicher Form und mit Unterschrift der betreffenden Person vorliegt. Jene muss deutlich erkennen können, welche Daten zu welchem Zweck weitergegeben werden sollen. Auch eine Widerrufsmöglichkeit muss gegeben sein. 

Als Ausnahme gilt, wenn die Person aufgrund ihres Zustandes nicht in der Lage dazu ist die Einwilligung auszufüllen. Es ist deshalb stets ratsam schon bei der Aufnahme im Krankenhaus abzufragen wer informiert werden darf. Denn fehlt es an den nötigen Informationen, muss das behandelnde ärztliche Fachpersonal entscheiden, ob die Weitergabe personenbezogener Daten im Sinne der zu behandelnden Person geschieht. 

Bei zu großer Unsicherheit wird mit der Krankenhausverwaltung oder dem Familiengericht Rücksprache gehalten.

Umgang mit Gesundheitsdaten: Wann dürfen sie weitergegeben werden?

Der Umgang mit Gesundheitsdaten ist einheitlich geregelt. Alle Daten, die während der Pflege und Behandlung der betreffenden Person erhoben werden, müssen nach den Anforderungen des ärztlichen Berufsgeheimnis nach § 203 Strafgesetzbuch (StGB) geschützt werden. Nur das in den direkten Umgang mit der Person eingebundene Personal darf die personenbezogenen Gesundheitsdaten der betroffenen Person einsehen. Je nach Bereich wird die Einsichtnahme zusätzlich eingeschränkt.

Nach Art. 9 Abs. 2 lit. a DSGVO darf der Patient in die Verarbeitung und Weitergabe seiner Gesundheitsdaten einwilligen. Dies kann im Sinne der medizinischen Diagnostik oder beispielsweise der Beurteilung der Arbeitsfähigkeit von Beschäftigten notwendig sein.

In jedem Fall müssen im Vorfeld eine Aufklärung sowie eine genaue Bezeichnung des Verwendungszwecks stattfinden. Es muss konkret dargestellt sein welche Daten, aus welchem Grund, an wen weitergeleitet werden. 

Die Verarbeitung der Gesundheitsdaten ist im Ausnahmefall zulässig, wenn sie dem Schutz lebenswichtiger Interessen dienen, die betroffene Person aus körperlichen oder rechtlichen Gründen jedoch außerstande ist ihre Einwilligung zu geben. 

Neben der Weitergabe ist auch das Sammeln von Patientendaten nur im Rahmen der Erfüllung des Behandlungsvertrages erlaubt. In unserer Online-Schulung „Datenschutz für Praxen und Krankenhäuser“ erhalten Sie eine Orientierungshilfe, wie Sie ohne rechtliches Risiko Analysen oder Patientenbefragungen durchführen können.

Wer ist im Krankenhaus für den Datenschutz verantwortlich?

Wer ist im Krankenhaus für den Datenschutz verantwortlich? 

Das Bundesdatenschutzgesetz (BDSG) schreibt nach § 4f die Einstellung eines Datenschutzbeauftragten im Krankenhaus vor. Es kann sich hierbei um einen internen oder externen Datenschutzbeauftragten handeln. Wichtig ist, dass sie oder er sich mit den Bestimmungen des Datenschutzes in Anbetracht des jeweiligen Datenumfangs der Klinik auskennt und in jedem Fall zuverlässig arbeitet.

Schlussendlich ist es von Bedeutung, dass jeder Mitarbeitende des Krankenhauses die wichtigsten Regeln des Datenschutzes beherrscht und fit im Umgang mit Gesundheitsdaten ist. In unserer Online-Schulung „Datenschutz für Praxen und Krankenhäuser“ lernen Ihre Angestellten den sicheren Umgang mit personenbezogenen Daten im Klinikalltag. Schützen Sie Ihr Krankenhaus vor rechtlichen Strafen und steigern Sie das Vertrauen in Ihre Einrichtung, indem Sie Ihre Mitarbeitenden gezielt weiterbilden.

Was ändert die digitale Patientenakte?

Seit Januar 2021 ist eine Testversion der digitalen bzw. elektronischen Patientenakte (ePA) in Deutschland zugelassen. Sie gilt als eines von mehreren Instrumenten zur Digitalisierung des Gesundheitswesens. Sie soll vor allem der Sammlung aller Gesundheitsdaten der betreffenden Person dienen. Der Inhaber selbst oder behandelnde Ärzte stellen die entsprechenden Daten ein.

Dies soll im Sinne der Vorbeugung von Mehrfachuntersuchungen oder falscher Medikation aufgrund von fehlenden Informationen geschehen. Als Resultat gelten Kosteneinsparungen und eine höhere Versorgungsqualität der Patienten und Patientinnen.

Auch hier gilt, nur die betreffende Person selbst darf entscheiden wer Zugriff auf die digitale Patientenakte erhält. Der Patient oder die Patientin selbst können jederzeit ihre Daten einsehen, Inhalte einfügen oder entfernen.

Nach der Erteilung einer Zugriffsberechtigung für das behandelnde medizinische Fachpersonal muss eine zusätzliche Authentifizierung des Heilberufsausweises der jeweiligen Person erfolgen. Zugriffsberechtigungen können entweder für die Zeit der Behandlung oder einen längeren Zeitraum erteilt werden.

Die digitale Patientenakte

Wann braucht eine Arztpraxis einen Datenschutzbeauftragten? 

In Arztpraxen gelten dieselben Vorgaben der ärztlichen Schweigepflicht und der DSGVO wie in Krankenhäusern. Auch für Praxen ist nach Art. 37 DSGVO ein Datenschutzbeauftragter verpflichtend einzustellen, wenn:

  1. Die Arztpraxis ein Teil einer Behörde oder öffentlichen Stelle ist
  2. Die Kerntätigkeit der Arztpraxis aus der Durchführung der Datenverarbeitung besteht. 
  3. Oder die Kerntätigkeit der Arztpraxis aus der umfangreichen Verarbeitung von Gesundheitsdaten besteht. (Dies bezieht sich nur auf Praxen mit mehr als einem Arzt)

Verfügt Ihre Praxis über weniger als 10 Beschäftigte sind Sie nicht dazu verpflichtet einen Datenschutzbeauftragten zu benennen.

Checkliste: Datenschutz in Praxen und Krankenhäusern

Checkliste: Datenschutz in Praxen und Krankenhäusern

  1. Wer hat Zugang zu den persönlichen Daten der Patienten?
  2. Wie sind die persönlichen Daten ihrer Patienten geschützt?
  3. Stellen Sie die Einwilligungsformulare direkt bei der Aufnahme aus?
  4. Sind die Einwilligungsformulare rechtlich einwandfrei formuliert? Ist korrekt dargestellt, welche Daten, aus welchem Grund an wen weitergeleitet werden?
  5. Haben Sie in Ihrer Klinik / Praxis einen Datenschutzbeauftragten, der alle Maßnahmen zum Schutz der Gesundheitsdaten überwacht und den Sie im Zweifel um Rat fragen können?
  6. Sind Ihre Mitarbeitenden über die wichtigsten Grundlagen im Datenschutz informiert?

Quellen:

Ärztekammer Nordrhein (o.J.): Datenschutz in Krankenhaus und Praxis oder: Wer darf wem was sagen? https://www.aekno.de/wissenswertes/dokumentenarchiv/recht/datenschutz-in-krankenhaus-und-praxis-oder-wer-darf-wem-was-sagen

BDSG (2021). https://www.gesetze-im-internet.de/bdsg_2018/

Deutsches Ärzteblatt (2016): Datenschutz: Wann Ärzte Auskunft geben dürfen – und wann nicht. https://www.aerzteblatt.de/archiv/181276/Datenschutz-Wann-Aerzte-Auskunft-geben-duerfen-und-wann-nicht

DSGVO (2021). https://dsgvo-gesetz.de/

Hohenhövel, Lipp (2021):Ärztliche Schweigepflicht und Patientendatenschutz in der ethischen Fallberatung. Orthopäde. doi: 10.1007/s00350-021-5840-z 

Lux, T. (2017). Digitalisierung im Gesundheitswesen – zwischen Datenschutz und moderner Medizinversorgung. Wirschaftsdienst. Nr. 97, Ausgabe 10. S. 687-703

Verbraucherzentrale (2021). Elektronische Patientenakte (ePA) in die Testphase gestartet. https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/krankenversicherung/elektronische-patientenakte-epa-in-die-testphase-gestartet-57223

28. Mai 2021
Verhindern Sie Diskriminierung am Arbeitsplatz
11. Mai 2021
Woher kommt die gendergerechte Sprache?