Haben Sie sich auch schon mal die Frage gestellt, ob Datenschutz im Gesundheitswesen berücksichtigt wird. Eine Situation, die zu mindestens daran zweifeln lässt, dürfte uns allen bekannt vorkommen. Wer kennt es nicht? Sie betreten eine überfüllte Arztpraxis. Hinter Ihnen hat sich bereits eine lange Schlange gebildet. Zusätzlich befinden sich zahlreiche weitere Patienten im Empfangsbereich und die Arzthelferin bzw. der Arzthelfer fragt Sie ganz unbekümmert: „Was haben Sie denn?“.
„Wird sich an den Datenschutz im Gesundheitswesen gehalten?“ dürfte eine der Fragen sein, die Ihnen als Patient mit nur wenig Berührungspunkten zum Datenschutz, aber auch als Datenschutzbeauftragter daraufhin durch den Kopf schwirren könnte, allerdings fallen nicht nur Arztpraxen unter das Gesundheitswesen. Neben Arztpraxen zählen unter anderem Apotheken, Krankenhäuser, Pflegeeinrichtungen, Zahnärzte sowie Krankenversicherungen zum Gesundheitswesen.
Datenschutz im Gesundheitswesen – Der Grund für die hohe Bedeutung
Die hohe Bedeutung für den Datenschutz im Gesundheitswesen liegt an der Vielzahl personenbezogener Daten und der besonderen Angaben personenbezogener Daten, die in diesen Bereichen erhoben, verarbeitet und genutzt werden. Im Gesundheitswesen werden neben zahlreichen personenbezogenen Daten (orange Sprechblasen), wie dem Namen oder der Adresse einer Person, viele besondere Arten personenbezogener Daten (rote Sprechblasen) erhoben, verarbeitet und genutzt. Bei besonderen Arten personenbezogener Daten handelt es sich ebenfalls um personenbezogene Daten für die der Gesetzgeber allerdings einen besonderen Schutz vorsieht. Unter besondere Arten personenbezogener Daten fallen, gemäß § 3 Abs. 9 Bundesdatenschutzgesetz (BDSG), unter anderen Angaben zur rassischen Herkunft, religiösen Überzeugung, politischen Meinung und zur Gesundheit. Letztere werden regelmäßig im Gesundheitswesen erhoben, verarbeitet und genutzt.
Rechtliche Grundlagen im Gesundheitswesen
Im Gesundheitswesen ist zum einen die Verschwiegenheitspflicht zu beachten. Gemäß § 203 Strafgesetzbuch (StGB) sind unter anderem Ärzte, Apotheker und Berufspsychologen zur Verschwiegenheit verpflichtet, wobei eine Verletzung zur einer Freiheitsstrafe von bis zu einem Jahr oder zu Geldstrafen führen kann. Die Verschwiegenheitspflicht schützt Patienten davor, dass zum Beispiel Ärzte ihre persönlichen Daten nicht weitergeben, allerdings werden personenbezogene Gesundheitsdaten zunehmend elektronisch erfasst, was wiederrum „neue“ Risiken birgt und die Bedeutung für den Datenschutz im Gesundheitswesen erhöht.
Werden personenbezogene Daten oder besondere Angaben personenbezogener Daten, die – wie bereits erwähnt- natürlich auch personenbezogene Daten sind, mit oder ohne Datenverarbeitungsanlagen ( PCs, Tablets oder Smartphones) erhoben, verarbeitet oder genutzt, so greift üblicherweise das Datenschutzrecht. Gerade die Nutzung mobiler Endgeräte, insbesondere Smartphones und Tabletts, hält immer weiter Einzug in das Gesundheitswesen. Erfolgten vor 2-3 Jahren die Dokumentation noch überwiegend auf Papier, wird nun immer mehr Technik eingesetzt. Der Datenschutz im Gesundheitswesen gewinnt daher ebenfalls rapide an Bedeutung!
Datenschutz im Gesundheitswesen – Verbot mit Erlaubnisvorbehalt
Zunächst sollte beachtet werden, dass im Datenschutz das Verbot mit Erlaubnisvorbehalt gilt, wodurch jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten sowie besonderer Arten personenbezogener Daten verboten ist, außer es liegen eine gesetzliche Grundlage oder informierte Einwilligungen der Betroffenen vor, die dies erlauben.
Die Erhebung besonderer Angaben personenbezogener Daten im Gesundheitswesen ist in § 28 Abs. 7 BDSG geregelt. Gemäß § 28 Abs. 7 BDSG dürfen besondere Arten personenbezogener Daten zum Zweck
- der Gesundheitsvorsorge,
- der medizinischen Diagnostik,
- der Gesundheitsversorgung oder
- der Verwaltung von Gesundheitsdiensten
erhoben werden und wenn die Verarbeitung durch
- ärztliches Personal oder
- sonstiger Personen, die der Geheimhaltungspflicht unterliegen, erfolgt.
Zu den oben benannten Zwecken dürfen besondere Arten personenbezogener Daten auch durch andere als in § 203 Abs. 1 und 3 StGB benannten Personen erhoben, verarbeitet und genutzt werden, allerdings ist dies, gemäß § 28 Abs. 7 Satz 3 BDSG, „[…]unter den Voraussetzungen zulässig, unter denen ein Arzt selbst hierzu befugt wäre.“ Verwaltungsmitarbeiter, die nicht der Schweigepflicht unterliegen, sollten aus diesem Grund eine Verschwiegenheitserklärung unterzeichnen, bevor sie diese Daten verarbeiten dürfen.
Eine Übermittlung besonderer Angaben personenbezogener Daten, die beim Datenschutz im Gesundheitswesen unter die Verarbeitung fällt, ist nur unter strengen Voraussetzungen möglich. Sollen personenbezogene Daten übermittelt werden, wie zum Beispiel an eine externe Abrechnungsstelle, so müssen regelmäßig neben informierten Einwilligungen auch Schweigepflichtentbindungen eingeholt werden. „Verantwortliche Stellen“, wie Arztpraxen, sollten allerdings beachten, dass das Verweigern der Behandlung, wenn der Patient zur Übermittlung nicht einwilligen möchte, in den meisten Fällen nicht erlaubt ist (Kopplungsverbot). Eine gesetzeskonforme Lösung ist beim Datenschutz im Gesundheitswesen daher umso wichtiger.
Datenschutz im Gesundheitswesen – Technische und organisatorische Maßnahmen
Bei dem Thema „Datenschutz im Gesundheitswesen“ spielen neben der Frage, wann ist eine Datenerhebung, -verarbeitung und –nutzung erlaubt, die technischen und organisatorischen Maßnahmen (TOM) eine immer größere Rolle. Gemäß § 9 BDSG in Verbindung mit der Anlage zu § 9 Satz 1 BDSG sind alle „verantwortlichen Stellen“, die personenbezogene Daten sowie besondere Arten personenbezogener Daten erheben, verarbeiten oder nutzen zur Einhaltung der technischen und organisatorischen Maßnahmen verpflichtet, um die Anforderungen des BDSG zu erfüllen. Die TOMs, zu denen unter anderem die Zugangskontrolle und Zugriffskontrolle gehören, sollen Informationen vor dem Zugriff durch Unbefugte schützen.
Mögliche Maßnahmen wären, um zu dem Beispiel in der Einleitung zu kommen, ein Formular an den Patienten auszugeben. Dieser könnte mit der Maßnahme seine gesundheitlichen Probleme – ohne, dass es Unbefugte (andere Patienten) erfahren – schildern. Eine weitere erforderliche Maßnahme, die sie hieraus ergeben würde, wäre das ordnungsgemäße Entsorgen bzw. Vernichten der Formulare.
Neben den benannten Schritten sind, um die Anforderungen des Bundesdatenschutzgesetzes, weiterer relevanter Gesetze und perspektivisch auch der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen, weitere Maßnahmen erforderlich. Mit diesen Maßnahmen soll, wie bereits erläutert, verhindert werden, dass Unbefugte auf sensible Daten, wie personenbezogene Daten, zugreifen können. Der Zugriff durch Unbefugte kann für „verantwortliche Stellen“ zu hohen Bußgeldern und einem erheblichen Imageverlust führen. Durch die Vielzahl an Unternehmen, die ein externer Datenschutzbeauftragter berät, bringt in der Regel nur dieser die erforderliche Perspektive für den Support rund um den Datenschutz im Gesundheitswesen mit.
