Das Wichtigste zum Datenschutz im Gesundheitswesen in Kürze
- Ab 2021 können Versichert ihre Gesundheitsdaten freiwillig in einer elektronischen Patientenakte hinterlegen.
- Da Gesundheitsinformationen zu den besonderen Arten personenbezogener Daten gehören, muss dem Datenschutz im Gesundheitswesen besonders hohe Aufmerksamkeit geschenkt werden. Es drüfen grundsätzlich nur Daten erhoben werden, die für die Behandlung vonnöten sind.
- Die Erhebung darüber hinausgehender Informationen und die Weitergabe der Informationen an Dritte (auch Angehörige des Betroffenen) ist weitgehend nur mit ausdrücklicher Einwilligung zulässig.
- Die von Patienten erhaltenen Informationen unterliegen nicht nur dem Datenschutz, sondern auch der Verschwiegenheitspflicht der Behandelnden und Pfleger. Eine Zuwiderhandlung kann hier somit auch strafrechtlich verfolgt werden.
Warum der Datenschutz in Krankenhaus & Arztpraxis so wichtig ist!
Inhaltsverzeichnis
Informationen über den gesundheitlichen Zustand einer Person gehören zu den besonderen Arten personenbezogener Daten. Als solche unterliegen sie in besonderem Maße dem Datenschutz. Im Gesundheitswesen ist der korrekte und sichere Umgang mit derlei sensiblen Informationen somit unerlässlich, denn die hier gespeicherten und verarbeiteten Patientendaten wecken Begehrlichkeiten.
Ob nun Pharmafirmen, Versicherungen, die Arbeitgeber der Betroffenen oder aber Hacker, die bares Geld mit in Geiselhaft genommenen Daten erpressen können: Im Gesundheitswesen ist ein geeignetes Datenschutzkonzept für jedes Krankenhaus und jede Arztpraxis unerlässlich, um den Missbrauch der sensiblen Infos zu unterbinden. Und auch die Schulung des Personals wird umso bedeutsamer. Was genau aber gilt es zu beachten?
Wann dürfen Gesundheitsdaten gespeichert werden?
Besondere Arten personenbezogener Daten dürfen nur in wenigen Ausnahmefällen überhaupt gespeichert, verarbeitet und genutzt werden. Der Kreis der Befugten ist wesentlich kleiner als bei anderen Informationen (etwa den Konto- oder Adressdaten einer natürlichen Person). Grundsätzlich dürfen Gesundheitsdaten nur dann erhoben werden, wenn der Betroffene hierin einstimmt oder dies gesetzlich gestattet ist.
Letzteres träfe etwa dann zu, wenn das überlebenswichtige Interesse des Betroffenen dadurch gewahrt würde, bezogen zum Beispiel auf Behandlung, Vorsorge und Diagnostik. Der Datenschutz gewährt im Gesundheitswesen also grundsätzlich die Erhebung derlei sensiblen Daten, sofern sie bezüglich der Zweckbindung entsprechende Ziele verfolgt. Und sie müssen diesem Ziel auch genügen können.
Dürfen gemäß Datenschutz in der Medizin Informationen weitergegeben werden?
Da medizinische Daten dem Datenschutz in besonderem Maße unterliegen, ist die Weitergabe an Dritte in der Regel nicht zulässig. Dies jedoch nicht nur aus datenschutzrechtlichen Gründen.
Informationen, die Ärzte und Krankenhauspersonal erhalten, unterliegen dem Arztgeheimnis bzw. dem besonderen Berufsgeheimnis. Neben dem Datenschutz ist im Gesundheitswesen also vor allem auch immer die Verschwiegenheitspflicht zu wahren. Ein Verstoß gegen das Verbot der Preisgabe von Patientendaten ist sogar strafrechtlich relevant.
Der Datenschutz im Krankenhaus muss diesen Aspekt also in doppelter Hinsicht besonders berücksichtigen. Angestellte und Ärzte dürfen die Gesundheitsdaten nur dann weitergeben, wenn dies ausnahmsweise zulässig ist.
Dies beträfe etwa die Weitergabe von Informationen an die Krankenkasse des Betroffenen, den Medizinischen Dienst, die Berufsgenossenschaft, Standesämter (bei Geburten und Sterbefällen), der Datenschutzbehörde. Der zulässige Umfang der übermittelten Informationen unterliegt hier unterschiedlichen Beschränkungen.
Darüber hinaus sind auch Polizei und Staatsanwaltschaft berechtigt, die Daten zu fordern, wenn dies etwa der Gefahrenabwehr dienen soll.
Im Falle von einigen übertragbaren Krankheiten ist die Meldung sogar verpflichtend – ggf. jedoch anonymisiert oder pseudonymisiert. Dies gilt ebenfalls und in besonderem Maße bei der Weitergabe von Gesundheitsdaten zu Forschungszwecken.
Willigt der Patient aktiv in die Weitergabe der Gesundheitsdaten ein, so ist dies auch unabhängig von dem Empfänger zulässig. Dies kann im Rahmen einer Einwilligungserklärung erfolgen oder aber durch die Schweigepflichtentbindungserklärung. Dabei muss der Betroffene aber eindeutige Kenntnis davon haben, an wen und zu welchem Zweck die Daten übermittelt werden.
Besonderer Datenschutz: Ist die Auskunft im Krankenhaus an Angehörige gestattet?
In Sachen Datenschutz ist im Krankenhaus vor allem auch eine Fallkonstellation zu betrachten: Wem dürfen Informationen über den Gesundheitszustand eines Patienten erteilt werden? Häufig herrscht der Irrglaube bei Betroffenen, dass Ärzte immer jedem Angehörigen Informationen zukommen lassen dürfen.
Eine Ausnahmesituation ergibt sich unweigerlich, wenn der Patient selbst nicht mehr in der Lage ist, Entscheidungen zu treffen oder eine Willenserklärung abzugeben (etwa wenn er im Koma liegt). In diesem Falle wenden sich Ärzte regelmäßig an den Ehegatten oder enge Familienangehörige des Patienten, um im gemeinsamen Gespräch den vermuteten Willen des Patienten zu ergründen. Sicherheit in diesen Situationen kann für alle Seiten am ehesten eine Patientenverfügung bieten.
Datenschutz im Krankenhaus – Checkliste
Im Folgenden wollen wir Ihnen eine verkürzte Checkliste zur Verfügung stellen, anhand derer sich exemplarisch ablesen lässt, wie umfangreich die Regelungen sind, die in Sachen Datenschutz im Gesundheitswesen zu berücksichtigen sind.
Diese Checkliste zum Gesundheitsdatenschutz erhebt keinerlei Anspruch auf Vollständigkeit. Wollen Sie in Ihrer Arztpraxis oder einem Krankenhaus ein optimales Datenschutzkonzept gewährleisten, sollten Sie sehr eng mit einem erfahrenen Datenschutzbeauftragten zusammenarbeiten.
Checkliste zum Datenschutz im Gesundheitswesen | Erledigt? | |
---|---|---|
Ja | Nein | |
Wurden bei der Aufnahme nur Daten erhoben, die für die Erbringung der Krankenhausleistung und der Abrechnung vonnöten sind? Nicht benötigt werden etwa Angaben zu Familienstand, Kinderzahl, Beruf, Nationalität, Passnummer usf. (derlei Daten dürfen ohne Einiwilligung nicht erhoben werden, da die Zweckbindung fehlte). | ❍ | ❍ |
Werden in dem Aufnahmeformular freiwillige Angaben eindeutig als solche gekennzeichnet? Dies betrifft vor allem solche, die für die Leistungserbringung nicht von Bedeutung sind und nur mit Einwilligung des Patienten erhoben werden dürfen (s. o.). | ❍ | ❍ |
Erhält der Patient neben der Kopie des Behandlungsvertrages auch ein Hinweisblatt mit Informationen zum Datenschutz im Gesundheitswesen (Umgang mit Patientendaten)? | ❍ | ❍ |
Wurde von dem Patienten ggf. die Einwilligung zur Übermittlung der Patientendaten an einzelne Personen (Hausarzt, Angehörige, Krankenhausgeistlicher) oder Instituationen (Krankenkasse bei privat Versicherten) eingeholt? Ohne entsprechende Einwilligung verstieße die Weitergabe gegen den Datenschutz in Krankenhaus oder Arztpraxis und darüber hinaus auch gegen das Berufsgeheimnis. | ❍ | ❍ |
Werden bei der Anamnese nur Informationen erfragt und erhoben, die für die Diagnostik, Behandlung und Vorsorge erforderlich sind? | ❍ | ❍ |
Sind die erhobenen Daten so aufgenommen worden, dass Unbefugte hiervon keine Kenntnis erlangen können? Unbefugt ist in der Regel jeder, der grundsätzlich nicht direkt in die Pflege und Behandlung des Patienten eingebunden ist. | ❍ | ❍ |
Werden die Patientenakten sicher aufbewahrt? | ❍ | ❍ |
Sind digitalisierte Patientendaten vor dem unbefugten Zugriff ausreichend geschützt (Datensicherheit bei Computerarbeitsplätzen)? | ❍ | ❍ |
Erfolgen Telefonate von Behandelnden und Pflegenden so, dass kein Unbefugter von Patientendaten Kenntnis erlangt? | ❍ | ❍ |
Können Untersuchungsergebnisse und Faxe nicht von Unbefugten eingesehen werden? | ❍ | ❍ |
Gelten Zugriffsbeschränkungen in einzelnen Abteilungen des Krankenhauses? | ❍ | ❍ |
Sind Patientenzimmer und Patientenbetten mit dem Namen des jeweils Betroffenen versehen? So soll verhindert werden, dass Patienten durch Verwechslung fälschlicherweise Informationen zu den Daten anderer Patienten erhalten können. | ❍ | ❍ |
Gibt es die Möglichkeit, Patientengespräche so zu führen, dass kein Unbefugter Kenntnis von deren Inhalt erhält? Grundsätzlich haben Patienten das Recht auf Geheimhaltung der eigenen Daten und müssen nicht vor Zimmernachbarn darüber sprechen, wenn sie dem nicht zustimmen wollen. Es bedarf hierüber einer Aufklärung des Betroffenen. | ❍ | ❍ |
Werden bei der Abrechnung gegenüber gesetzlichen Krankenkassen ausschließlich zulässige Informationen übersandt (gemäß § 301 SGB V)? | ❍ | ❍ |
Erfolgt die Abrechnung gegenüber der privaten Krankenkasse unter ausdrücklicher Zustimmung und Einwilligung des Patienten? | ❍ | ❍ |
Werden in der Poststelle Brief-, Berufs- und Patientengeheimnis gewahrt (Zugangs-, Zugriffsbeschränkung usf.)? | ❍ | ❍ |
Erhalten die Patienten auf Anfrage umfassende Mitteilung, wenn diese von Ihrem Auskunftsrecht Gebrauch machen? | ❍ | ❍ |
Danke für den Beitrag! Ich hatte das Problem, dass es Indiskrepanzen bei meiner Krankenkassen Abrechnung gibt. Ich hoffe ein Rechtsanwalt für Medizinrecht kann das Problem lösen. [von Redaktion entfernt]
Hallo ich grüße Sie.
Ich habe ein gespaltenes Verhältnis zum Deutschen Datenschutz in diesem Falle bzgl. im Gesundheitswesen.
Mein Hausarzt ist die Person zudem ich ein besonderes Verhältnis habe.
Es ist wichtig mit Ihm gesundheitl. Probleme von mir Ihm offen mitzuteilen.
1. Wie ist es aber mit der Sprechstundenhilfe (MTA) ! Erste Anlaufstelle bzgl. Termin beim Hausarzt.
2. Oder Bestellungen von Medikamenten.
Bei Nr. 1. Wird immer nachgefragt . Was meine Beschwerden sind um einen Sprechstundentermin zu bekommen .
Bei Nr. 2 . Wird auch nachgefragt wieviel Tabletten ich einnehme .
In beiden Fällen sind dies persönliche / diskrete Angaben , die meiner Meinung nach nur meinem Hausarzt und mich etwas angehen !
Warum fragt die MTA danach ! Wie soll ich mich verhalten ! Kann ich mich in beiden Fällen auf den Datenschutz beziehen und Ihr mitteilen das dies nur meinem Hausarzt und mich etwas angeht.
Wäre nett wenn Sie mir etwas dazu schreiben !
Mit freundlichen Grüßen , D.M.
Hallo,
wie sieht in der Vollstationären Pflege aus? Die Heime schließen mit dem Versicherten einen Vertrag ab. (Oder mit dessen Vertreter). Wenn es zu einer Versorgung kommt mit Hilfsmitteln, welche das Haus nicht laut Abgrenzungskatalog vorrätig haben soll, z.B.: zum Verbrauch bestimmte Hilfsmittel zur Teilnahme am öffentlichen Leben z.B. Inkontinenzmaterial, wird dies an einen Leistungserbringer der Kassen per Rezept mitgeteilt. Hier kommt es aber dazu das Selbstbeteiligungen der gesetzlichen Zuzahlung entstehen, oder Zukäufe. Rechnungen werden im Rahmen des Auftrages erstellt aber nicht bezahlt, da heben die Häuser die Hände. Sie sehen sich nicht als Erfüllungsgehilfe die Post zu verteilen bzw. den Betreuern etc. den Hinweis zu geben die Unterlagen einzureichen. Geschweige denn die Betreuerdaten oder Vollmachtnehmerdaten heraus zu geben. Wie verhält sich dies?? Im Grunde ist der Patient der Leidtragende, da die Pauschalen kaum ausreichend sind und die Zukäufe durch die Decke schießen mit Inkasso Gebühren etc. Auch Erben sind davon betroffen, da der Schaden bereits entstanden ist, anstatt ihn von vorneherein abzuwenden.
Man will Patientendaten hinsichtlich möglicher Korrelationen auswerten. Die Identität, zu welchem Patienten Daten gehören, muss geschützt werden. Nun gibt es Patienten, deren (im Einzelfall medizinisch relevante) Daten in gewisser Weise zu einem Unikat führen, das wiederum den Schutz der Identität unmöglich macht (vgl. Finderabdrücke, Gesichtsaufnahmen). Das bedeutet: Die erfassten Daten sind so eindeutig, dass ganz klar ist, um wen es sich handelt. Ein Pharmahersteller braucht aber in der Forschung solche Daten. Er will die von ihm erfassten Daten zusammen mit Daten anderer Unternehmen in einer Cloud ablegen und alle, die „mitmachen“, können die Daten zu Analysen benutzen. Plötzlich erkennt man die Übereinstimmung von Daten, die Rückschlüsse auf genau einen (!) Patienten zulassen, so dass seine Identität nicht mehr geschützt ist.
Wir können z.B. im Zahlungsverkehr Daten konvertieren, formatieren, komprimieren und dann verschlüsseln, um diese Daten so in einem Archiv abzulegen, dass man darin mit unvollständigen Angaben nach „alten“ Buchungen suchen kann, ohne dabei „unnötig“ Daten zu entschlüsseln und zu dekomprimieren.
Wäre das ggf. ein Denkansatz, um Patientendaten in eine schützende Syntax/Codierung, die normiert wäre, zu konvertieren, so dass man darin nach Korrelationen suchen kann? Es darf keine Redundanz in diesen auf diese Weise archivierten Daten geben? Stellt man fest, dass es zu den Suchbegriffen bisher keinen Eintrag im Archiv gibt, nur dann darf man das Archiv ergänzen.
Findet man Daten wieder, könnte das bedeutet, dass es sich um den gleichen Patienten handelt, dessen Daten bereits in diesem Archiv abgespeichert wurden. Die Daten müssten mit einem Faktor markiert werden, der aussagt, dass es bereits zu „Korrelationen“ gekommen ist, um zu verschleiern, dass es sich um denselben Patienten handelt.
Hallo Heinz-Ulrich,
bitte wenden Sie sich an einen Datenschutzbeauftragten, um diesen Spezialfall prüfen zu lassen. Eine rechtliche Einschätzung ist an dieser Stelle nicht möglich. Ggf. kann auch ein Datenschutz-Audit in Auftrag gegeben werden.
Die Redaktion von datenschutz.org
Wie kann ich mich gegen das wehren ? Spahn will alle Krankendaten ohne Zustimmung weitergeben
Forschung und Industrie sollen Zugriff auf anonymisierte Behandlungsdaten aller gesetzlich Versicherten erhalten
Sehr geehrte Vorredener/innen,
zunächst möchte ich erwähnen, dass ich unabhängig von diesem Portal bin und meine eigene Stellungnahme abgebe.
Als hauptsächlich für medizinisch tätige Kunden kenne ich als Datenschutzbeauftragter kenne ich Ihre Sorgen und Ängste. Die EU bringt mit der DSGVO, deren zweijährige Übergangsfrist am 25.05.2018 zu Ende gegangen ist, nur in Teilbereichen neue gesetzliche Grundlagen. Weit über 90% der Anforderungen an den Datenschutz waren bereits im alten BDSG verankert.
Ärzte und medizinische Heilberufe unterliegen einer Vielzahl von gesetzlichen Verpflichtungen. So sind Ihre Daten und Gesundheitsdaten z.B. an die Kassenärztliche Verinigung zur Abrechnung, an die Ärztliche Stelle zur Qualitätssicherung, etc. weiterzuleiten.
Weiterhin funktionieren EDV Anlagen in Praxen und Krankenhäusern nur dann, wenn sie regelmäßig gewartet und erneuert werden. In diesem Zug können Servicetechniker u. U. auch Einblick in Ihre Daten erhalten müssen.
Wie bereits das alte BDSG enthält die DSGVO einen umfangreichen Katalog an sogenannten „Technisch-Organisatorischen-Maßnahmen“ die sicherzustellen sind. Mit Hilfe dieser TOMs wird dafür gesorgt, dass Ihre Daten und Gesundheitsdaten vertraulich behandelt werden.
Die wohl einschneidenste Neuerung der DSGVO liegt in der massiven Dokumentationspflicht der getroffenen Maßnahmen bzw. der Beschreibung des Datenschutzkonzepts.
Mit freundlichen Grüßen
Achim [Nachname, Firmenname von der Redaktion entfernt]
Wieso muss ich Daten sammeln helfen, um sie dann schützen zu lassen?
Ich traue diesem ganzen Werk nicht und wollte auch die EU nicht!
Diese Daten-Sammelwut ist mir äußerst suspekt und widersprüchlich und ich frage mich,
was will der EU Datenschutz mit meinen Auskünften zu meiner Gesundheit wirklich?!
Es geht um höchst persönliche Daten, die außer mir und den Behandelnden eigentlich
gar nichts angeht!
Was hat SGB X damit zu tun?
Es wurde auch zeit das der Datenschutz verschärft wird.
Besonders bei den Ärzten.
Sie geben einfach Daten weiter ohne das der Patient davon weiß.
Dann kann man sehen wie Falschangaben Wieder in Ordnung kommen
Oft geht es nur mit dem Anwalt.