Gesundheitsdaten und Datenschutz im Krankenhaus
12. März 2019

Ein kleiner Fehler im Datenschutz kostet ein Krankenhaus 400.000 Euro

Das Thema Datenschutz steht in jeder Gesundheitseinrichtung auf der Agenda. Gesundheitsdaten sind besonders schützenswert. Einrichtungen müssen ihre Mitarbeiter im Umgang mit diesen Daten schulen. Ansonsten drohen Datenschutzverstöße, die Bußgelder nach sich ziehen. Das bekam auch ein Krankenhaus in Portugal zu spüren. Hier konnten knapp 1.000 Ärzte, Techniker und andere Mitarbeiter auf Patientendaten zugreifen – Zugang zu sensiblen Daten hatte quasi jeder Mitarbeiter. Die ortsansässige Datenschutzbehörde verhängte gegen das Krankenhaus ein Bußgeld in Höhe von 400.000 Euro. Das Krankenhaus hätte sich mit gut geschultem Personal leicht schützen und das Bußgeld abwenden können. Doch wie schützen sich Gesundheitseinrichtungen eigentlich? Die hohe Fluktuation und Mehrsprachigkeit machen eine zuverlässige Qualifikation aller Mitarbeiter schwierig.

1. Gesundheitsdaten wecken Begehrlichkeiten

Wieso ist Datenschutz in der Gesundheitsbranche überhaupt so wichtig? Krankenhäuser, Pflegeheime und Sanatorien verarbeiten sensible und wertvolle Patientendaten. Ein sorgloser Umgang mit Patientendaten birgt für Patienten, Mediziner und Krankenhaus-Geschäftsführung immense Risiken. Das zeigte der Fall eines portugiesischen Krankenhauses. Dieses musste wegen Datenschutzverstößen eine Geldbuße in Höhe von 400.000 Euro zahlen. Die Medien griffen zudem den Fall auf. Der Imageschaden ist groß.

App- und Smartphone-Hersteller sind die neuen Player im Datenmarkt. Krankenhäuser, Krankenkassen Medizinische Versorgungszentren (MVZ), niedergelassene Ärzte, Pharmaunternehmen und Versicherungen arbeiten seit jeher mit Patientendaten. Die neue Gefahr sind Hacker, Datendiebe und Erpresser.

Die Roland Berger Krankenhausstudie kommt zu dem Ergebnis, dass mehr als 60 Prozent der deutschen Krankenhäuser  Opfer von Hackerangriffen waren. Eine neue Studie der Wirtschaftsprüfer der KPMG zeigt, dass die Tragweite des Themas Datenschutz quer durch alle Branchen hinweg auf Chefetagen immer noch unterschätzt wird. Nur 33% der Unternehmen behandeln Internetsicherheit, Cybersecurity und somit Datenschutz als Chefsache.

2. Datenschutz ist kein Problem, wenn einfache Spielregeln befolgt werden

Der Datenschutz im Gesundheitswesen beginnt an der Rezeption von Praxen und geht über den Assistenzarzt im Krankenhaus bis zur Unternehmensspitze beim Pharmakonzern. Die Geschäftsleitung eines Krankenhauses, eines Unternehmens ist für den Datenschutz und die IT-Sicherheit im Unternehmen letztendlich verantwortlich. Daraus ergeben sich Aufgabenstellungen, die nicht allein an den Datenschutzbeauftragten delegiert werden können. Um das Unternehmen vor Risiken abzuschirmen, sollten die Mitarbeiter Schulungen wahrnehmen, damit sie die notwendige Zukunftskompetenz für die digitale Welt erwerben. Dabei zeigt sich eine Gemeinsamkeit zwischen Radfahren und Datenschutz. Einmal beherzigt, sind die Spielregeln leicht einzuhalten. Die Konzentration auf das Wesentliche und der Faktor Spaß sind die entscheidende Merkmale für die erfolgreiche Wissensvermittlung.

Jenseits des Fachjargons und Bedrohungsszenarien, “alle Unternehmen sind digital erpressbar”, sind bei Schulungen praktische Alltagsfragen relevant:

– Dürfen Mitarbeiter einem Patienten am Telefon Fragen beantworten?

– Was dürfen Krankenhäuser mit erhobenen Daten machen und was nicht?

– Darf ein Arzt einfach so eine neue Software installieren?

– Wie arbeiten Krankenhäuser und Praxen mit externen Partnern wie Laboren und Fachärzten zusammen?

– Was ist ein Vertrag zur Auftragsverarbeitung?

3. Gesundheitsdaten: Was sind die Besonderheiten?

Patienten müssen ihrem Arzt bzw. ihrem Krankenhaus und ihrem Pflegeheim vertrauen können. Die DSGVO regelt, dass kein Patient fürchten muss, dass Informationen über ihn falsch genutzt werden. Gerade im Krankenhaus werden große Mengen von Patientendaten verarbeitet. Viele Ärzte und Mitarbeiter benötigen Zugriff auf die Patientendaten, damit sie die richtige Diagnose stellen und die richtige Behandlung durchführen.

Die Digitalisierung ist der Motor für die hohe Dynamik im Gesundheitswesen. Experten sehen noch einen hohen Nachholbedarf, aber Apple vermarktet seine energieintensive Uhr nicht als Uhr, sondern als Instrument zur Pflege der Gesundheit. Die Techniker Krankenkasse hat eine eigene Gesundheits-App konzeptioniert, die auf den kontinuierlichen Datenfluss zwischen Gesundheitskasse und Versicherten setzt. Ein Ziel der Krankenkasse: Kosteneinsparungen bei gleichzeitig verbessertem Leistungsangebot zu erreichen. Weitere Krankenkassen ziehen nach. Private Anbieter fluten den Online-Markt mit Gesundheitsapps aller Art; nicht alle sind dabei datenschutzfreundlich. In der Forschung ist die Arbeit mit informationsreichen Datensätzen (Big Data) heute Standard. Mit künstlichen Intelligenzen werden Muster in Datensätzen analysiert, um Wirkstoffe in Arzneimittel zu verbessern und Diagnosen genauer vorzunehmen. Bundesgesundheitsminister Jens Spahn hat bei seinem Amtsantritt angekündigt, die Vorteile der Digitalisierung im Gesundheitswesen endlich zur Geltung kommen zu lassen. Nach Jahrzehnten der Verzögerung soll die persönliche elektronische Patientenakte in 2021 in Deutschland Wirklichkeit werden und das Fax als Kommunikationsinstrument der Branche ablösen. Die EU-Kommission strebt an, dass der Austausch von Patientendaten in der EU reibungslos verlaufen soll. Als erster Schritt soll dabei der Datenaustausch in den Grenzgebieten zwischen den Mitgliedstaaten verbessert werden.

4. Wie schützen sich medizinische Einrichtungen vor Datenmissbrauch?

Medizinische Einrichtungen sichern sich durch einfache Maßnahmen gegen Datenschutzverstöße ab. Ob Datenschutz in der Arztpraxis oder Datenschutz im Krankenhaus: Sanatorien, Pflegeheime und Krankenhäuser sollten ein Datenschutzkonzept erstellen und ihre Mitarbeiter qualifizieren. Hier ist Fachwissen gefragt:

– Was gilt für Gemeinschaftspraxen, was für Praxisgemeinschaften?

– Wie sehen gelungene Berechtigungskonzepte aus?

– Wie sieht ein Verzeichnis für Verarbeitungstätigkeiten aus?

5. Der Eid des Hippokrates: Ein Versprechen mit Schlupfloch?

Ärzte verpflichten sich durch den Hippokratischen Eid seit Jahrtausenden zum Stillschweigen. Der Gesundheitszustand ihrer Patienten unterliegt also seit Jahrtausenden dem Datenschutz. Heute verarbeiten Pharmaunternehmen, Krankenhäuser und Pflegeheime medizinische Daten digital. In dieser neuen Welt gilt weiterhin der zentrale Grundsatz der Arzt-Patienten-Beziehung: Vertrauen.

 


Über lawpilots

lawpilots wurde 2017 in Berlin als Legaltech gegründet. Ziel des Innovationsführers für Online-Schulungen ist: Die digitale Bildungsrevolution aktiv gestalten. Recht.Einfach.Verstehen und Zukunftskompetenz bilden die Grundsteine unserer Vision. Sie sind unser Versprechen an unsere Kunden. lawpilots schult europaweit Führungskräfte und Mitarbeiter von mehr als 500 Unternehmen, Verbänden und Verwaltungen. Leitthemen der digitalen Lernplattform sind: ArbeitsschutzComplianceDatenschutz und IT-Sicherheit.

lawpilots setzt für die lernpsychologisch optimierten Online-Kurse auf modernste interaktive Lernspiele, Experteninterviews und innovative Videos. Die digitalen Lerninhalte berücksichtigen die neueste Gesetzgebung auf europäischer und nationaler Ebene sowie stets die aktuelle Rechtsprechung. Unsere Kunden bekommen in konzentrierter Form relevantes Wissen; die gesetzlichen Nachweis- und Unterweisungspflichten werden erfüllt. Durch die innovativen Online-Kurse von lawpilots sind unsere Kunden vor unliebsamen Überraschungen durch Aufsichtsbehörden und Abmahnungen durch Wettbewerber geschützt.

27. März 2019
Datenschutz im Schlaf: Eine Evolution
06. März 2019
lawpilots-Frage des Monats zeigt: Große Wissenslücken beim Datenschutz

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 217 8066
[email protected]

Nils Olhorn
Leiter Kundenservice und sein Team sind
Mo – Fr von 8:30 – 19:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.