Das Patienten-Daten-Schutz-Gesetz (PDSG) ist ein deutsches Gesetz, das dazu dient, den Schutz von Patientendaten und die Sicherheit der Gesundheitsversorgung zu gewährleisten. Es trat im Oktober 2020 in Kraft und dient dazu, digitaler Gesundheitsangebote wie die elektronischen Patientenakte (ePA) und digitale Rezepte und Überweisungen auszubauen.
Hier sind einige relevante Inhalte des PDSG aus Sicht der Patienten:
- Zweck der Gesetzgebung: Das PDSG hat zum Ziel, die Vertraulichkeit und Integrität von Gesundheitsdaten sicherzustellen und die Patientenrechte im Zusammenhang mit ihren Gesundheitsdaten zu stärken.
- Patientenrechte: Das Gesetz stärkt die Rechte der Patienten in Bezug auf den Zugriff auf ihre eigenen Gesundheitsdaten und die Kontrolle über deren Verwendung. Patienten haben das Recht, auf ihre Gesundheitsdaten zuzugreifen, Kopien anzufordern und zu entscheiden, wer auf diese Daten zugreifen kann.
- Datenschutz: Das PDSG legt strenge Datenschutzanforderungen fest, um sicherzustellen, dass Gesundheitsdaten angemessen geschützt sind. Dies umfasst Maßnahmen zur Verschlüsselung, Zugriffskontrolle und Datensicherheit.
- Einwilligung: Patienten müssen aktiv in die Verarbeitung ihrer Gesundheitsdaten einwilligen. Dies bedeutet, dass ihre Daten nur mit ihrer ausdrücklichen Zustimmung verwendet werden können, es sei denn, es besteht eine gesetzliche Grundlage für die Verarbeitung.
- Datensparsamkeit: Das Gesetz betont das Prinzip der Datensparsamkeit, was bedeutet, dass nur die für den jeweiligen Zweck erforderlichen Gesundheitsdaten verarbeitet werden dürfen.
- Datenportabilität: Patienten haben das Recht, ihre Gesundheitsdaten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, um sie beispielsweise zu einem anderen Gesundheitsdienstleister zu übertragen.
- Meldung von Datenschutzverletzungen: Gesundheitseinrichtungen sind verpflichtet, Datenschutzverletzungen den Aufsichtsbehörden und betroffenen Patienten zu melden.
- Datenschutzbeauftragte: Krankenhäuser und andere Einrichtungen des Gesundheitswesens müssen Datenschutzbeauftragte benennen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.
- Bußgelder: Das PDSG sieht erhebliche Bußgelder für Verstöße gegen die Datenschutzbestimmungen vor. Dies soll die Einhaltung der Gesetze sicherstellen.
- Forschung und Lehre: Das Gesetz ermöglicht die Verwendung von Gesundheitsdaten für Forschungszwecke, solange bestimmte Anforderungen an den Datenschutz erfüllt sind.
- Elektronische Patientenakte (ePA): Das PDSG regelt die Einführung und Nutzung der elektronischen Patientenakte, die es den Patienten ermöglicht, ihre Gesundheitsdaten digital zu verwalten.
Insgesamt zielt das Patientendaten-Schutzgesetz darauf ab, die Rechte und den Schutz der Patienten in Bezug auf ihre Gesundheitsdaten zu stärken und sicherzustellen, dass diese Daten sicher und vertraulich behandelt werden. Dies trägt dazu bei, das Vertrauen der Patienten in das Gesundheitssystem zu stärken und den Schutz ihrer Privatsphäre zu gewährleisten.
Die Telematikinfrastruktur (TI)
Die Telematikinfrastruktur ist ein Netzwerk- und Kommunikationssystem im deutschen Gesundheitswesen, das die Vernetzung und den Datenaustausch zwischen verschiedenen Akteuren im Gesundheitswesen ermöglicht. Dazu gehören Ärzte, Krankenhäuser, Apotheken und Krankenkassen. Die TI hat das Ziel, den Austausch von Gesundheitsdaten zu erleichtern und die Qualität der Gesundheitsversorgung zu verbessern. Sie spielt eine wesentliche Rolle bei der Umsetzung der Anforderungen des PDSG. Da die TI den Austausch von Gesundheitsdaten zwischen verschiedenen Akteuren im Gesundheitswesen ermöglicht, ist es von entscheidender Bedeutung, sicherzustellen, dass dieser Datenaustausch den Datenschutzbestimmungen des PDSG entspricht.
- Einwilligung: Gemäß dem PDSG müssen Patienten ihre Einwilligung zur Verarbeitung ihrer Gesundheitsdaten geben. Die TI sollte Mechanismen zur Einholung und Dokumentation dieser Einwilligungen bereitstellen.
- Datenschutz und Sicherheit: Die TI muss sicherstellen, dass die übermittelten Gesundheitsdaten angemessen geschützt und verschlüsselt sind, um Datenschutzverletzungen zu verhindern.
- Zugriffskontrolle: Die TI sollte auch Zugriffskontrollen implementieren, um sicherzustellen, dass nur autorisierte Benutzer auf die Gesundheitsdaten zugreifen können.
- Dokumentation und Aufbewahrung: Das PDSG enthält auch Anforderungen an die Dokumentation und Aufbewahrung von Gesundheitsdaten, die von der TI berücksichtigt werden müssen.
- Compliance: Die Einhaltung des PDSG ist für alle Akteure in der Telematikinfrastruktur verpflichtend, um Bußgelder und rechtliche Konsequenzen zu vermeiden.
Technisch-Organisatorische Maßnahmen
Die Telematikinfrastruktur hat auch erhebliche Auswirkungen auf die Informationssicherheit in Krankenhäusern. Hier sind einige wichtige Aspekte, die bei der Umsetzung in Form von technisch-organisatorischen Maßnahmen (TOM) berücksichtigt werden müssen:
- Sicherer Datenaustausch: Die Telematikinfrastruktur ermöglicht es Krankenhäusern, Gesundheitsdaten sicher mit anderen Gesundheitsdienstleistern, Versicherungsgesellschaften und Behörden auszutauschen. Die Sicherheit dieses Datenaustauschs ist von entscheidender Bedeutung, um den Schutz sensibler Gesundheitsdaten zu gewährleisten.
- Verschlüsselung: Gesundheitsdaten, die über die Telematikinfrastruktur übertragen werden, sollten verschlüsselt sein, um sicherzustellen, dass sie während der Übertragung vor unbefugtem Zugriff geschützt sind.
- Zugriffskontrolle: Die Telematikinfrastruktur sollte Mechanismen zur Zugriffskontrolle und Authentifizierung bieten, um sicherzustellen, dass nur autorisierte Benutzer auf die Daten zugreifen können. Dies schließt den Zugriff von Mitarbeitern, Patienten und externen Partnern ein.
- Auditing und Protokollierung: Krankenhäuser müssen in der Lage sein, den Zugriff auf die Telematikinfrastruktur zu überwachen und Aktivitäten zu protokollieren, um verdächtige Aktivitäten zu erkennen und nachzuverfolgen.
- Datenschutz und Einwilligung: Die Telematikinfrastruktur muss die Datenschutzbestimmungen einhalten und sicherstellen, dass Patienten in die Verarbeitung ihrer Gesundheitsdaten einwilligen, wenn dies erforderlich ist.
- Schutz vor Cyberangriffen: Krankenhäuser müssen die Telematikinfrastruktur vor Cyberangriffen schützen, da Gesundheitsdaten ein attraktives Ziel für Hacker sind. Dies erfordert Sicherheitsmaßnahmen wie Firewalls, Antivirus-Software und regelmäßige Sicherheitsüberprüfungen.
- Datensicherung: Die Telematikinfrastruktur sollte Mechanismen zur regelmäßigen Datensicherung und Wiederherstellung bieten, um den Verlust von Gesundheitsdaten zu verhindern.
- Schulung und Sensibilisierung: Krankenhausmitarbeiter sollten für die Sicherheitsaspekte der Telematikinfrastruktur geschult und sensibilisiert werden, um Sicherheitsverstöße zu minimieren.
- Compliance mit regulatorischen Anforderungen: Krankenhäuser müssen sicherstellen, dass ihre Telematikinfrastruktur den geltenden gesetzlichen und regulatorischen Anforderungen entspricht, einschließlich der Datenschutz-Grundverordnung (DSGVO) und nationaler Gesetze.
- Notfallplanung: Krankenhäuser sollten Notfallpläne entwickeln, um auf Sicherheitsvorfälle oder Ausfälle der Telematikinfrastruktur angemessen reagieren zu können.