DSGVO im Krankenhaus

DSGVO © stockpics/Adobe.Stock.com

© stockpics/Adobe.Stock.com

Seit Mai 2018 regelt die Datenschutzgrundverordnung (DSGVO) den Umgang mit personenbezogenen Daten sehr genau. Im Rahmen eines Klinikaufenthaltes werden zahlreiche Patientendaten gesammelt, gespeichert und verarbeitet. Kliniken müssen deshalb strenge Dokumentations-, Informations- und Meldepflichten erfüllen.

Laborwerte, Diagnosen, Untersuchungsergebnisse, Therapieempfehlungen und vieles mehr dokumentieren Mitarbeiter in Kliniken tagtäglich. Die Aufzeichnungen bilden die Grundlage einer stringenten und sicheren Behandlung. Gleichzeitig müssen sie jedoch vertraulich behandelt werden. Das bedeutet, die Daten müssen nach außen, aber auch innerhalb der Klinik vor unrechtmäßigem Zugriff geschützt werden.

Funktion der Klinikmitarbeiter regelt Datenzugriff

Intern sind Kliniken dazu verpflichtet, dass sowohl die Einsicht als auch die Verarbeitung der Patientendaten „zweckgebunden“ erfolgt. Das heißt: Jeder darf nur auf die Daten zu greifen, die er für seine Aufgaben benötigt. Zum Beispiel dürfen bei der Aufnahme dem Verwaltungspersonal keine Details zurückliegender Erkrankungen angezeigt werden. Nur die Information, ob der Patient bereits einmal in diesem Krankenhaus behandelt wurde, darf abgefragt werden, um eine doppelte Registrierung zu vermeiden.

Auch die im weiteren Behandlungsprozess erhobenen Daten sind vertraulich zu behandeln. Sie dürfen also nicht für alle Mitarbeiter gleichermaßen zugänglich sein. Untersuchungsergebnisse sind Ärzten vorbehalten, die diese möglichst in einem persönlichen Gespräch mit ihrem Patienten weitergeben. Mitarbeiter in der Verwaltung hingegen haben keinen vollumfänglichen Zugriff auf die Daten des Patienten. Sie sehen nur, was für die Dokumentation oder Abrechnung notwendig ist. Verstöße gegen diese Vorgaben werden geahndet: In Portugal wurde bereits ein Bußgeld in Höhe von 400.000 Euro gegen ein Krankenhaus verhängt, in dem Patientendaten für alle Mitarbeiter zugänglich waren.

Auskunftspflicht zur Datenverarbeitung

Das Krankenhaus ist verpflichtet, den Behandelten auf Verlangen jederzeit Auskunft darüber zu geben, welche Daten es an welche Dritte weitergegeben hat. In jeder Klinik gibt es zudem einen Ansprechpartner für Datenschutz, an den sich Patienten und auch Angehörige mit ihren Fragen wenden können. Auch die Landesbeauftragten für Datenschutz geben Auskunft.

Datenspeicherung im Krankenhaus nach der Entlassung

Patientendaten dürfen nach der Entlassung in der Regel 30 Jahre lang gespeichert werden. Sie befinden sich dann allerdings in einem Archiv und werden nur dann reaktiviert, wenn Anlass dazu besteht. Das kann der Fall sein, wenn eine weitere Behandlung ansteht. Nach Ablauf der gesetzlichen Aufbewahrungsfrist müssen die Patientenakten datenschutzgerecht entsorgt werden. Das heißt, Akten und Datenträger müssen von zertifizierten Entsorgern vernichtet werden. Diese Betriebe entsorgen die Daten nach Kreislaufwirtschaftsgesetz (KrWG) sowie Bundesdatenschutzgesetz (BDSG) und werden jährlich überprüft. Weil stets der Auftraggeber für die fachgerechte Entsorgung verantwortlich bleibt, ist die sogfältige Auswahl wichtig.

Fazit: Fortschritte und Verbesserungsbedarf

Nach gut eineinhalb Jahren sehen Experten sowohl Fortschritte als auch noch Lücken in der Umsetzung der DSGVO in deutschen Krankenhäusern. So hätten die meisten Kliniken mittlerweile ein den Anforderungen entsprechendes Verarbeitungsverzeichnis erstellt. Das heißt, sie haben alle Prozesse erfasst, in denen personenbezogene Daten bei ihnen verarbeitet werden, erklärt Dr. Simon Apelt, Rechtsanwalt für Datenschutz, im Fachmagazin „kma“. Auch den datenschutzrechtlichen Informationspflichten gegenüber Patienten kämen die Einrichtungen gut nach.

Die meisten Probleme bereitet bislang die DSFA

Schwerer hingegen falle es den Verantwortlichen eine Datenschutz-Folgenabschätzung (DSFA) zu erstellen. Diese soll mögliche Folgen der Datenverarbeitungsvorgänge für die Betroffenen vorab analysieren und bewerten. Laut Apelt bereiteten die Aufstellung und Anwendung tragfähiger Maßstäbe für die Risikobewertung hier die meisten Probleme.

Meldeverfahren bei Verstößen

Des Weiteren müssten Kliniken dafür sorgen, ein standardisiertes Meldeverfahren bei Datenschutzrechtsverstößen einzuführen. Nur dann sei es ihnen möglich, innerhalb der vorgeschriebenen 72 Stunden, eine Verletzung des Datenschutzes zu prüfen und darauf zu reagieren.

Recht auf Datenportabilität

Patienten haben zudem das Recht auf „Datenportabilität“, das heißt, dass ihre personenbezogenen Daten, die sie der Klinik bereitgestellt haben, jederzeit für sie selbst und andere zur Verfügung stehen. Dafür müssen sie in einem strukturierten, gängigen, maschinenlesbaren Format gespeichert sein. Schwierig ist bislang noch, ein System zu finden, mit dem komplette Datenbestände an eine andere verantwortliche Stelle übertragen werden können.

Quellen:
DSGVO-Vorschriften sind in Kliniken schwierig umzusetzen; kma online vom 11.10.2019
Broschüre des Bayerischen Landesbeauftragten für Datenschutz: Datenschutz im Krankenhaus
Stiftung Datenschutz

wrm/KWM
Bildquelle:
© stockpics/Adobe.Stock.com

 

Hinterlassen Sie einen Kommentar