Der Umgang mit persönlichen Daten und besonders schützenswerten Daten wie Gesundheitsdaten ist seit je her ein wichtiges Thema beim Krankenhausaufenthalt. Berechtigt ist die Sorge, dass Zimmernachbarn sensible Daten aus Arztgesprächen mithören oder Patientenakten an Unbefugte weitergegeben werden können. Mit der Datenschutz Grundverordnung (DSGVO), Patienten-Datenschutzgesetz (PDSG) und der ärztlichen Schweigepflicht stehen aber zwei Pfeiler dem unachtsamen Umgang mit persönlichen Daten entgegen. Eine zentrale Rolle bei der Einhaltung der Prinzipien der Datensparsamkeit, Integrität und Vertraulichkeit im Umgang mit Patientenakten spielt dabei der Datenschutzbeauftragter des Krankenhauses.
Der Datenschutzbeauftragte im Krankenhaus: Unabhängigkeit und Expertise
Der Datenschutzbeauftragte ist eine zentrale Figur im Schutz personenbezogener Daten im Krankenhaus. Gemäß der DSGVO ist die Bestellung eines Datenschutzbeauftragten für viele Gesundheitseinrichtungen verpflichtend. Doch wem ist dieser Datenschutzexperte unterstellt?
In der Regel ist der Datenschutzbeauftragte unabhängig und direkt der Geschäftsführung oder dem Vorstand des Krankenhauses unterstellt. Dies gewährleistet eine gewisse Autonomie und Unabhängigkeit bei der Wahrnehmung seiner Aufgaben. Der Datenschutzbeauftragte sollte über Fachwissen im Bereich Datenschutz und eine klare Vertrauensstellung verfügen, um seine Aufgaben effektiv zu erfüllen.
Die DSGVO und die ärztliche Schweigepflicht
Die ärztliche Schweigepflicht und die Datenschutz-Grundverordnung (DSGVO) sind zwei separate rechtliche Konzepte, die in Bezug auf den Schutz von Gesundheitsdaten von Patienten Anwendung finden. Hier ist, wie sie miteinander in Beziehung stehen:
- Ärztliche Schweigepflicht: Die ärztliche Schweigepflicht ist ein ethisches und rechtliches Prinzip, das besagt, dass Ärzte und andere medizinische Fachkräfte verpflichtet sind, die Vertraulichkeit von Gesundheitsinformationen ihrer Patienten zu wahren. Dies bedeutet, dass sie ohne die ausdrückliche Einwilligung des Patienten keine Gesundheitsinformationen offenlegen dürfen, es sei denn, es besteht eine rechtliche Verpflichtung zur Offenlegung (z. B. bei bestimmten meldepflichtigen Infektionskrankheiten).
- DSGVO und Gesundheitsdaten: Die DSGVO ist ein europäisches Datenschutzgesetz, das die Verarbeitung personenbezogener Daten regelt, einschließlich sensibler Gesundheitsdaten. Gesundheitsdaten gelten als besonders schützenswert (Artikel 9 DSGVO). Die DSGVO legt fest, dass die Verarbeitung von Gesundheitsdaten unter bestimmten Bedingungen zulässig ist, insbesondere wenn sie zur medizinischen Diagnose, Behandlung oder zur Ausübung von Rechten im Bereich des Arbeitsrechts erfolgt.
- Verarbeitung von Gesundheitsdaten unter der DSGVO: Krankenhäuser und medizinische Einrichtungen müssen die Bestimmungen der DSGVO einhalten, wenn sie Gesundheitsdaten verarbeiten. Dies umfasst die Pflicht, angemessene Sicherheitsmaßnahmen zum Schutz dieser Daten zu ergreifen und die Datenschutzrechte der Patienten zu respektieren.
- Einwilligung: Die Einwilligung des Patienten ist ein wichtiger Faktor im Zusammenhang mit der Verarbeitung von Gesundheitsdaten gemäß der DSGVO. Die Patienten sollten über die Art und den Zweck der Datenerhebung informiert werden und ihre Einwilligung dazu geben. Allerdings kann die ärztliche Schweigepflicht in vielen Fällen als stillschweigende Einwilligung angesehen werden, da die Patienten davon ausgehen, dass ihre Gesundheitsdaten vertraulich behandelt werden.
- Dokumentation und Aufbewahrung: Krankenhäuser und medizinische Einrichtungen müssen Gesundheitsdaten ordnungsgemäß dokumentieren und aufbewahren, um die Einhaltung der DSGVO sicherzustellen. Dies bedeutet, dass sie geeignete technische und organisatorische Maßnahmen ergreifen müssen, um den Datenschutz zu gewährleisten.
Die ärztliche Schweigepflicht und die DSGVO ergänzen sich, um den Schutz der Vertraulichkeit von Gesundheitsdaten zu gewährleisten. Ärzte sind ethisch und rechtlich verpflichtet, die Vertraulichkeit von Patientendaten zu wahren, und die DSGVO legt die rechtlichen Rahmenbedingungen für die Verarbeitung dieser Daten fest, wobei die Einwilligung der Patienten eine wichtige Rolle spielt. Krankenhäuser und medizinische Einrichtungen müssen sicherstellen, dass sie sowohl die ärztliche Schweigepflicht als auch die DSGVO-Anforderungen erfüllen.
Zugriff auf Patientendaten
In der Regel haben die folgenden Personen oder Gruppen Zugriff auf Patientendaten im Krankenhaus:
- Medizinisches Personal: Dies umfasst Ärzte, Krankenschwestern, Chirurgen und andere medizinische Fachkräfte, die an der direkten Versorgung des Patienten beteiligt sind. Sie benötigen Zugriff auf die Gesundheitsdaten eines Patienten, um eine angemessene medizinische Versorgung zu gewährleisten.
- Verwaltung und Abrechnung: Personen in der Krankenhausverwaltung und im Abrechnungswesen haben Zugriff auf Patientendaten, um administrative Aufgaben zu erfüllen, wie die Abrechnung von Leistungen und die Verwaltung von Versicherungsansprüchen.
- IT-Personal: Das IT-Personal ist für die Verwaltung und Sicherheit der elektronischen Patientenakten und anderer IT-Systeme verantwortlich. Sie haben Zugriff, um Systeme zu warten und Sicherheitsmaßnahmen zu implementieren.
- Patienten selbst: Patienten haben normalerweise das Recht auf Zugriff auf ihre eigenen Gesundheitsdaten. Sie können Kopien ihrer Patientenakten anfordern.
- Autorisierte Forscher: In einigen Fällen können Forscher Zugriff auf Patientendaten erhalten, um medizinische Studien oder Forschungsprojekte durchzuführen. Dies erfordert jedoch normalerweise die Einwilligung der Patienten oder spezielle Genehmigungen.
- Externe Dienstleister: Krankenhäuser können externe Dienstleister beauftragen, die Zugriff auf Patientendaten benötigen, um spezifische Aufgaben auszuführen, wie IT-Support oder medizinische Abrechnungsdienstleistungen. In solchen Fällen sollten Auftragsverarbeitungsverträge abgeschlossen werden, um den Datenschutz sicherzustellen.
- Sicherheitspersonal: Sicherheitspersonal kann Zugriff auf Patientendaten haben, um die Sicherheit im Krankenhaus zu gewährleisten und den unbefugten Zugriff zu überwachen.
- Krankenkassen: diese Verarbeiten Daten im Zusammenhang mit Zahlungen und Gesundheitszustand und Ursachenermittlung von Ereignissen
Diese Daten werden im Krankenhaus erhoben
- Patientendaten: Dies sind persönliche Informationen über die Patienten, einschließlich Name, Geburtsdatum, Adresse, Kontaktdaten und gegebenenfalls Sozialversicherungsnummer oder Versicherungsinformationen.
- Gesundheitsdaten: Diese Daten umfassen medizinische Informationen über den Gesundheitszustand des Patienten, einschließlich Diagnosen, Behandlungsverlauf, Medikation, Labortests, bildgebende Verfahren, Krankengeschichte und operative Eingriffe.
- Medizinische Dokumentation: Hierzu gehören medizinische Berichte, Arztbriefe, Laborergebnisse, Röntgenbilder, MRT-Scans und andere medizinische Aufzeichnungen.
- Abrechnungs- und Versicherungsdaten: Informationen zur Abrechnung von medizinischen Leistungen, Versicherungsansprüchen und Zahlungsverkehr.
- Administrative Daten: Diese Daten umfassen Informationen zur Terminvergabe, Krankenhausaufenthalt, Entlassung, medizinischer Personalplanung und -verwaltung.
- Kommunikationsdaten: E-Mails, Nachrichten und interne Kommunikationen, die im Zusammenhang mit der medizinischen Versorgung stehen.
- Forschungsdaten: In einigen Fällen führen Krankenhäuser auch klinische Studien und Forschungsprojekte durch, bei denen Daten zu Patienten erhoben werden, um medizinische Erkenntnisse zu gewinnen.
- Betriebsdaten: Informationen zur Verwaltung des Krankenhausbetriebs, einschließlich Personalverwaltung, Finanzdaten, Bestandsführung und Einkaufsdaten.
- Sicherheitsdaten: Aufzeichnungen über den Zugriff auf medizinische Aufzeichnungen, Datenschutzmaßnahmen und Sicherheitsüberwachung.
- Patientenbewertungen und -feedback: Patienten können Bewertungen und Feedback zu ihrer Erfahrung im Krankenhaus abgeben, um die Qualität der Versorgung zu bewerten.
Verpflichtung der Krankenhäuser
Geben der langen Liste an Zugriffsberechtigter und der für den Krankenhausbetrieb notwendigen Datenerhebung hat der Gesetzgeber die Krankenhäuser nach Sozialgesetzbuch (SGB) Fünftes Buch (V) §75 C dazu verpflichtet, geeignete technische Maßnahmen zur Gewährleistung der IT Sicherheit zu ergreifen. Zudem definiert das Bundesamt für Sicherheit in der Informationstechnik in Ihren Branchenspezifischen Sicherheitsstandards (B3S) im Sinne des § 8a BSI-Gesetz, dass Krankenhäuser, die die Schwellwerte der KRITIS Verordnung überschreiten, den B3S Gesundheitswesen zu erfüllen haben. Unberührt davon gelten für Patienten die in DSGVO und Bundesdatenschutzgesetz (BDSG) konkrete Rechte für den Umgang mit deren persönlichen Daten, welche sich aus der Charta der Grundrechte der Europäischen Union Artikel 8 (Datenschutz als Grundrecht) ergeben. Bei Nichtbeachtung drohen sensible Strafen wie bis zu 3 Jahre Freiheitsstrafe für unauthorisierte Weitergabe von Patientendaten an Dritte durch Mitarbeiter und Bußgelder für das Krankenhaus selbst. So musste das Mainzer Uniklinikum 105.000 Euro an Bußgeld bezahlen, weil keine geeigneten Technischen-Organisatorischen Maßnahmen für die IT Sicherheit getroffen worden waren.
Wie lange werden Daten im Krankenhaus aufbewahrt?
Die Aufbewahrungsfristen für medizinische Aufzeichnungen in Krankenhäusern können je nach Land und Rechtssystem variieren. Sie unterliegen oft den Datenschutz- und Gesundheitsgesetzen des jeweiligen Landes sowie den internen Richtlinien des Krankenhauses. Hier sind einige allgemeine Grundsätze:
- Patientenakten: Die Aufbewahrungsfrist für Patientenakten beträgt in vielen Ländern mehrere Jahre, oft mindestens 10 Jahre. Dies dient dazu, den Patienten Zugriff auf ihre Gesundheitsinformationen zu ermöglichen und medizinische Haftungsansprüche abzudecken.
- Klinische Unterlagen: Medizinische Aufzeichnungen, einschließlich Röntgenbilder, Labortests und operative Berichte, können ebenfalls für eine bestimmte Zeitspanne aufbewahrt werden, oft mehrere Jahre bis Jahrzehnte, um Rückverfolgbarkeit und Forschungszwecke zu unterstützen.
- Finanz- und Abrechnungsunterlagen: Rechnungen, Zahlungsbelege und Abrechnungsunterlagen sollten in der Regel für steuerliche und Abrechnungszwecke aufbewahrt werden, normalerweise für einen Zeitraum von mehreren Jahren.
- Personalakten: Personalunterlagen des Krankenhauspersonals unterliegen ebenfalls Aufbewahrungsfristen, die von den arbeitsrechtlichen Bestimmungen und Vorschriften des Landes abhängen.
- Forschungsunterlagen: Wenn das Krankenhaus an klinischen Studien oder Forschungsprojekten beteiligt ist, gelten spezielle Aufbewahrungsfristen für Forschungsdaten, die den ethischen und rechtlichen Anforderungen entsprechen müssen.
- Radiologie- und Bildgebung: Radiologische Bilder und Bildaufnahmen werden normalerweise für einen langen Zeitraum (bis zu 30 Jahre) aufbewahrt, da sie in der Regel langfristig relevant sind.
Ist die Unterbringung in einem Mehrbettzimmer aus Datenschutzsicht bedenklich?
Ein Mehrbettzimmer in einem Krankenhaus kann aus Datenschutzsicht Bedenken hervorrufen, insbesondere wenn sensible Gesundheitsdaten der Patienten offen besprochen oder sichtbar gemacht werden könnten. Hier sind einige Überlegungen:
- Sichtbarkeit von Patientendaten: In einem Mehrbettzimmer könnten andere Patienten oder Besucher die medizinische Versorgung und Behandlungsgespräche mitverfolgen oder Gesundheitsinformationen sehen oder hören. Dies könnte die Vertraulichkeit der Patientendaten gefährden.
- Vertraulichkeit der Gespräche: Medizinische Fachkräfte sollten sicherstellen, dass Gespräche mit Patienten in Mehrbettzimmern diskret und vertraulich geführt werden. Dies kann jedoch schwieriger sein, da es weniger Privatsphäre gibt.
- Datenschutzvorhänge oder -trennwände: Einrichtungen sollten geeignete Vorhänge oder Trennwände bereitstellen, um die Privatsphäre der Patienten in Mehrbettzimmern zu schützen. Dies kann dazu beitragen, dass Gespräche und Untersuchungen diskret ablaufen.
- Einwilligung: Krankenhäuser sollten sicherstellen, dass Patienten über die Unterbringung in Mehrbettzimmern informiert sind und ihre Einwilligung dazu gegeben haben. Einige Patienten könnten aus Gründen der Privatsphäre oder des persönlichen Komforts die Unterbringung in einem Einzelzimmer bevorzugen.
- Datenverarbeitung und -speicherung: Die Speicherung von Patientendaten und -akten in Mehrbettzimmern sollte sicher und geschützt erfolgen, um den Zugriff unbefugter Personen zu verhindern.
- Sensibilisierung des Personals: Krankenhauspersonal sollte in Fragen des Datenschutzes geschult sein und verstehen, wie sie mit Patientendaten in Mehrbettzimmern umgehen sollten, um die Privatsphäre zu schützen.
- Rechtliche Anforderungen: Die Einhaltung der Datenschutzgesetze, wie der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union oder dem Health Insurance Portability and Accountability Act (HIPAA) in den USA, ist entscheidend. Diese Gesetze legen fest, wie Patientendaten geschützt werden müssen.
Inhaltliche Verantwortung für den Datenschutz im Krankenhaus
Die inhaltliche Verantwortung für den Datenschutz im Krankenhaus erstreckt sich jedoch über die Rolle des Datenschutzbeauftragten hinaus. Alle Mitarbeiter und Führungskräfte des Krankenhauses sind für die Einhaltung der Datenschutzbestimmungen verantwortlich. Dies umfasst:
- Sensibilisierung und Schulung: Krankenhausmitarbeiter müssen für Datenschutzfragen sensibilisiert sein und regelmäßig geschult werden. Dies hilft, Datenschutzverletzungen zu vermeiden.
- Datenschutzrichtlinien und -verfahren: Das Krankenhaus sollte klare Datenschutzrichtlinien und -verfahren entwickeln und implementieren. Diese sollten den Umgang mit Patientendaten, den Zugriff darauf und die Meldung von Datenschutzverletzungen regeln.
- Technische und organisatorische Maßnahmen: Die Implementierung von Sicherheitsmaßnahmen wie Zugriffsbeschränkungen, Verschlüsselung und Datensicherung ist von entscheidender Bedeutung, um Datenschutzverletzungen zu verhindern.
- Datenminimierung: Das Prinzip der Datenminimierung sollte angewendet werden, um sicherzustellen, dass nur die für die medizinische Versorgung notwendigen Daten gesammelt und verarbeitet werden.
- Auftragsverarbeitung: Wenn externe Dienstleister (z. B. IT-Anbieter) Zugriff auf Patientendaten haben, müssen Auftragsverarbeitungsverträge gemäß der DSGVO abgeschlossen werden.
Fazit
Datenschutz im Krankenhaus erfordert eine koordinierte Anstrengung aller Beteiligten, angefangen bei der Geschäftsführung bis hin zu den Mitarbeitern, und wird durch die Expertise des Datenschutzbeauftragten unterstützt. Die Einhaltung der Datenschutzbestimmungen ist nicht nur gesetzlich vorgeschrieben, sondern trägt auch dazu bei, das Vertrauen der Patienten zu stärken und sensible Gesundheitsdaten angemessen zu schützen