Datenschutz im Krankenhaus

20. Mai 2020

Datenschutz Verstehen – Datenschutz im Krankenhaus

Kurze Einleitung

Krankenhäuser diagnostizieren Krankheiten, heilen und pflegen ihre Patienten. Dabei erheben Schwestern, Pfleger und Ärzte zwingend personenbezogene Daten. In Krankenhäusern werden generell Daten zu Gesundheit Ihrer Patienten erhoben. Diese Art der Daten werden als besondere personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO bezeichnet. Doch was müssen Krankenhäuser hinsichtlich des Datenschutzes beachten und wie funktioniert die Umsetzung?

Inhalt:

Datenschutz im Krankenhaus
Datenschutz bei der Auskunft für Angehörige im Krankenhaus
Datenschutz im Mehrbettzimmer des Krankenhauses
Einwilligungserklärung Datenschutz im Krankenhaus
Notaufnahme und Datenschutz
DSGVO Bußgelder im Krankenhaus

Datenschutz im Krankenhaus

Wie bereits erläutert, befinden sich Regelungen hinsichtlich der Verarbeitung besonderer Kategorien personenbezogenen Daten in Art. 9 Abs. 1 DSGVO. Die Verarbeitung dieser Daten ist nur unter strengen Voraussetzungen zulässig. In der Regel ist die Zulässigkeit durch die Einwilligung der betroffenen Personen gegeben. Der Grund für diese Sonderbehandlung von Gesundheitsdaten liegt in der existenziellen Bedeutung für die betroffenen Personen.

Neben den datenschutzrechtlichen Aspekten spielt auch die Verschwiegenheitspflicht insbesondere im Krankenhaus eine wichtige Rolle. Unter der Verschwiegenheitspflicht versteht man die rechtliche Verpflichtung bestimmter Berufsgruppen, ihnen anvertraute Geheimnisse nicht an Dritte weiterzugeben.

Ein Verstoß kann strafrechtliche Konsequenzen in Form von Freiheitsstrafen oder Bußgeldern im Sinne des § 203 StGB mit sich bringen. Daher ist bei dem Umgang mit besonderen personenbezogenen Daten ausdrückliche Vorsicht geboten. Doch was ist, wenn Angehörige betroffener Patienten Auskunft über den Gesundheitszustand erfragen? Des Weiteren stellt sich die Frage, ob und wie Angehörige sich identifizieren müssen?

Datenschutz bei der Auskunft für Angehörige im Krankenhaus

Die bisherigen Ausführungen des Beitrags machen deutlich, in welchem Umfang sensible personenbezogene Daten im Krankenhaus erhoben werden. Wichtig ist allerdings auch, dass Ärzte ihren Patienten und deren Angehörigen ein Gefühl von Sicherheit und Vertrauen entgegenbringen müssen, indem sie anvertraute Daten so gut wie möglich schützen.

Angehörige und Freunde wollen oftmals über den Gesundheitszustand durch den behandelnden Arzt informiert werden, sofern sich nahestehende Personen in Behandlung befinden. Doch auch gegenüber Familienangehörigen, einschließlich der Ehepartner und Freunde, unterliegt der Arzt der Schweigepflicht. Auskünfte über den Gesundheitszustand (Gesundheitsdaten) dürfen immer nur dann erteilt werden, wenn einer der folgenden Rechtfertigungsgründe vorliegt.

Der Patient hat der Auskunft gegenüber den Angehörigen bzw. den berechtigten Personen eingewilligt.
Einem Vormund ist uneingeschränkt Auskunft zu gewähren.
Der Arzt darf den Arbeitgeber im Umfang der Dauer der Arbeitsunfähigkeit ebenfalls informieren.
Handelt es sich um geplante und schwere Straftaten, muss der Arzt die Polizei informieren.
Wenn der Patient bewusstlos geworden ist, kann der Arzt von einem mutmaßlichen Einverständnis ausgehen und Angehörige Auskünfte erteilen.
Bei bestimmten Krankheiten ist der Arzt verpflichtet das Gesundheitsamt zu informieren. Dies ist insbesondere bei Krankheiten, wie z.B. Masern, Covid 19. etc. der Fall.
Der Patient wird von einem anderen Arzt behandelt. Die Weitergabe von Daten unter den Ärzten ist in diesem Zusammenhang notwendig und damit auch datenschutzkonform.

Datenschutz im Mehrbettzimmer des Krankenhauses

In der Praxis kommt es oft vor, dass die Krankenhauszimmer mit mehreren Patienten besetzt werden. Die Verschwiegenheitspflicht aus § 203 StGB bezieht sich natürlich auch auf Mitpatienten, die ein Zimmer im Krankenhaus teilen. Gleichwohl werden Krankheitsdaten, Diagnosen und Therapien während der Visite laut verkündet.

Um diesem Problem entgegenzuwirken, müssen Maßnahmen getroffen werden, die zur Wahrung und Sicherheit der Patientendaten erforderlich sind. Eine dieser Maßnahmen könnte so gestaltet werden, dass Mitpatienten die Räumlichkeiten, während der Visite, verlassen müssen. So bleiben die Daten der Patienten gesichert. Dies kann allerdings nur dann umgesetzt werden, wenn die Mitpatienten in der Lage sind selbständig den Raum zu verlassen. In der Praxis wird dies wohl eher weniger der Fall sein.

Eine weitere Maßnahme könnte darin bestehen, dass die Ärzte im Rahmen der Visite eine Sphäre schaffen, bei der das gesprochene Wort zwischen Ärzten und Patienten geschützt wird, sodass Mitpatienten von dieser Angelegenheit nichts erfahren.

Auskunft Angehörige Krankenhaus Datenschutz

Einwilligungserklärung Datenschutz im Krankenhaus

Nach dem Inkrafttreten der Datenschutzgrundverordnung herrscht immer noch viel Verunsicherung in den Krankenhäusern. Besonders der Datenaustausch ist für viele Krankenhäuser eine Herausforderung. Die Frage, die sich die Betroffenen stellen, betrifft hauptsächlich die Einwilligungserklärung der Patienten. Muss der Patient nun jedem Vorgang schriftlich zustimmen oder gibt es Ausnahmen?

Grundsätzlich ist bei der Übermittlung von Patientendaten an Dritte stets eine Einwilligung im Sinne des Art. 9 Abs. 2 DSGVO erforderlich. Das heißt, dass keine Datenverarbeitung ohne die Zustimmung des Patienten erfolgen darf. In einigen Fällen ist eine Einwilligung allerdings entbehrlich. Dies ist immer dann der Fall, wenn eine gesetzliche Übermittlungsverpflichtung oder -befugnis besteht. Eine gesetzliche Übermittlungsverpflichtung besteht beispielsweise bei der Übermittlung von Patientendaten an die Berufsgenossenschaften, Gesundheitsämter, Krebsregister etc. Die Datenübermittlung an die Krankenversicherung ist durch die Offenbarungspflicht nach §§ 108, 301 SGB V abgedeckt.

Nur wenn die gesetzliche Befugnis zur Datenverarbeitung fehlt, hängt die Weitergabe der Daten von der Einwilligung der Patienten ab. Nach § 73 Abs. 1 SGB V muss eine Einwilligungserklärung des Patienten stets schriftlich erfolgen. Von dieser Regel kann nach Rechtsauffassung der Bremer Krankenversicherung und vieler anderer Institutionen abgewichen werden, wenn ein Arzt zum Zwecke der Diagnostik oder Weiterbehandlung der Patienten andere Leistungserbringer einbezieht.

Notaufnahme und Datenschutz

Kommen Patienten in die Notaufnahme, werden ebenfalls besondere personenbezogene Daten erhoben. Für die Erhebung ist normalerweise eine Einwilligung seitens des Patienten notwendig.

Diese Einwilligung kann allerdings entbehrlich sein. Dies kann insbesondere dann vorliegen, wenn ein Fall von Art. 9 Abs.2 lit. i) DSGVO einschlägig ist. Demnach dürfen besondere personenbezogene Daten auch dann erhoben werden, wenn es zum Schutz der öffentlichen Gesundheit oder zur Gewährleistung eines hohen Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung geht. Kommt ein Patient beispielsweise bewusstlos in die Notaufnahme, ist die Erhebung der besonderen personenbezogenen Daten zulässig, da die Voraussetzungen von Art. 9 Abs. 2 lit. i) DSGVO greifen. Der Art. 9 Abs. 2 lit. i) geht ebenfalls mit dem Rechtsgedanken des Art. 1 Abs. 1 Grundgesetz (GG) einher.

DSGVO Bußgelder im Krankenhaus

Wie bereits geschildert bestehen für Krankenhäuser generell ein hohes Risiko hinsichtlich der Umsetzung datenschutzrechtlicher Vorgaben. Die Missachtung dieser Vorgaben kann mit hohen Bußgeldern bestraft werden. Im Folgenden werden einige Krankenhäuser aufgeführt, welche verschiedene datenschutzrechtlichen Pflichten missachtet haben und mit einem hohen Bußgeld bestraft wurden.

Wegen unzureichenden technischen und organisatorischer Maßnahmen (TOM) im Sinne des Art. 32 DSGVO hat das niederländische Krankenhaus (HAGA- Krankenhaus) eine Geldbuße von 460.000 Euro erhalten.
Das Mainzer Universitätsklinikum musste ein Bußgeld in Höhe von 105.000 Euro zahlen, weil besondere personenbezogene Daten verwechselt wurden, falsche Rechnungen ausgestellt worden sind und TOM`s nicht eingehalten wurden.
Im Krankenhaus Barreiro Montijo bei Lissabon musste ein Krankenhaus ein Bußgeld in Höhe von 400.000 Euro zahlen, weil Unbefugte Zugriff auf Patientendaten gehabt haben.
In einem Krankenhaus in Baden-Württemberg wurde ein Bußgeld von 80.000 Euro verhängt. Nach Angaben des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg seien besondere personenbezogene Daten im Internet aufgetaucht.

Nils Möllers

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Datenschutz im Krankenhaus

Inhalt:

Datenschutz im Krankenhaus

Datenschutz bei der Auskunft für Angehörige im Krankenhaus

Datenschutz im Mehrbettzimmer des Krankenhauses

Einwilligungserklärung Datenschutz im Krankenhaus

Notaufnahme und Datenschutz

DSGVO Bußgelder im Krankenhaus

Blog

Datenschutz bei der Digitalisierung im HR-Bereich

Verpflichtung auf das Datengeheimnis DSGVO

Auskunftsrecht und Auskunftsersuchen DSGVO: Das sollten Sie beachten

Wir verwenden Cookies

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy