Datenschutz im Krankenhaus: Die wichtigsten Punkte

Ein Krankenhaus verarbeitet eine Menge personenbezogener Patientendaten. Ein Schwerpunkt der Datenverarbeitung in Krankenhäusern betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO – die Gesundheitsdaten. Nachfolgend finden Sie einen Überblick von Themen, die Krankenhäuser im Rahmen des Datenschutzes zu beachten haben.

Welche Daten sind im Krankenhaus besonders schützenswert?

Die Verarbeitung von Gesundheitsdaten gehört im Krankenhaus zum Alltag. Datenschutzrechtlich handelt es sich hierbei um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, welche besonders schutzbedürftig sind.

Besondere Kategorien personenbezogener Daten dürfen nur unter strengen Voraussetzungen und in der Regel nur mit der Einwilligung des Betroffenen verarbeitet werden. Der Grund für die Sonderbehandlung von Gesundheitsdaten liegt in deren existenzieller Bedeutung für die Betroffenen.

Die Verschwiegenheitspflicht als eine Form des Datenschutzes

Neben den datenschutzrechtlichen Regelungen spielt für Krankenhäuser auch die Verschwiegenheitspflicht eine Rolle. Bestimmte Berufsgruppen – darunter bspw. Ärzte – dürfen ihnen anvertraute Geheimnisse nicht unbefugt an Dritte weitergeben. Ein Verstoß gegen diese Verschwiegenheitspflicht kann im schlimmsten Fall sogar nach § 203 StGB mit Freiheitsstrafe oder Geldstrafe geahndet werden. Ein sensibles Thema also, das mit entsprechender Vorsicht behandelt werden sollte.

Telefonische Auskunft über Krankenhausaufenthalt an Angehörige

Die oben aufgeführte Verschwiegenheitspflicht ist auch dann zu beachten, wenn es um telefonische Anfragen enger Angehöriger bezüglich des Gesundheitszustands des Betroffenen geht.

Ebenso wie die Auskunft nach Art. 15 DSGVO in der Regel lediglich gegenüber dem Betroffenen zu erteilen ist, setzen Informationen zum Gesundheitszustand eine Entbindung von der ärztlichen Schweigepflicht voraus und sind demnach grundsätzlich nur mit Zustimmung des Betroffenen zulässig. Liegt eine Einwilligung nicht vor, dürfen Ärzte und Pflegepersonal gegenüber Angehörigen keine Informationen über den Patienten preisgeben. Eine Ausnahme gilt bei Situationen, in denen der Patient beispielsweise aufgrund eines Verkehrsunfalls nicht ansprechbar ist und im Koma liegt. Dem Patienten ist es sodann unmöglich eine Einwilligung zu erteilen. In so einem Fall gilt die sogenannte mutmaßliche Einwilligung. Das Krankenhaus darf antizipieren, dass der Angehörige eine Benachrichtigung der nächsten Verwandten wünscht. Der Angehörige darf solch einer Benachrichtigung jedoch nicht im Vorfeld widersprochen haben.

Noch komplexer wird die telefonische Auskunftserteilung in Hinblick auf die Identitätsfeststellung am Telefon. Das Krankenhaus muss sicherstellen, dass es sich bei dem Anrufer wirklich um einen nahen Angehörigen handelt. In der Praxis gestaltet es sich als schwierig dies zuverlässig zu prüfen.

Worauf sollte beim Datenschutz ein Augenmerk gelegt werden?

Auch wenn in Krankenhäusern datenschutzrechtlich prinzipiell die gleichen Grundsätze gelten wie im Datenschutzrecht allgemein, sind die Anforderungen in diesem Bereich höher. Daher sollten Krankenhäuser sehr sorgsam mit den Themen Datenschutz-Folgenabschätzung bei der Implementierung neuer Systeme, Inanspruchnahme von externen Dienstleistern und etwaigen Meldepflichten umgehen.

Datenschutz-Folgenabschätzung

Nach Art. 35 Abs. 3 lit. b DSGVO ist eine Datenschutz-Folgenabschätzung u. a. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO erforderlich. Art. 9 Abs. 1 besagt:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, (…) hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten (…), Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Da dies in Krankenhäusern immer dann der Fall ist, sobald ein Patient über die Gesundheitskarte registriert bzw. eine Akte für diesen angelegt wird, wird bei der Einführung neuer Systeme und Prozesse von dem Erfordernis einer Datenschutz-Folgenabschätzung regelmäßig auszugehen sein.

Auftragsverarbeitung und Schweigepflicht

Schweigepflichtige Personen dürfen zwar nach dem Gesetz zur „Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ und der Erneuerung von § 203 StGB unter bestimmten streng geregelten Voraussetzungen externe Dienstleister einsetzen. Doch es muss bei der Datenverarbeitung im Krankenhaus ein erhöhtes Augenmerk auf die Eignung des Dienstleisters gelegt werden. Neben Regelungen gemäß den strengen Vorgaben aus Art. 28 DSGVO spielen besonders die technischen und organisatorischen Maßnahmen des Dienstleisters eine Rolle, die auf den hohen Schutzbedarf von Gesundheitsdaten abgestimmt sein müssen.

Datenschutzverletzungen im Krankenhaus

Datenschutzverletzungen im Bereich des medizinischen Datenschutzes sind im Rahmen von Meldepflichten nach Art. 33, 34 DSGVO eng auszulegen. Vorfälle, die in anderen Bereichen aufgrund des geringen Risikos und der geringen Eintrittswahrscheinlichkeit keiner Meldepflicht unterliegen, dürften daher in Krankenhäusern regelmäßig zu einer Meldepflicht führen. Als Beispiel nennt die Artikel-29-Datenschutzgruppe in WP 250 Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 hier den Fall, dass personenbezogene Daten kurzfristig nicht verfügbar sind. Selbst in diesem Fall kann ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegen, wenn es sich dabei beispielsweise um kritische medizinische Daten handelt, die für eine Operation benötigt werden.

IT-Sicherheit vorantreiben: Ransomware-Angriffe häufen sich

Ransomware-Angriffe auf Krankenhäuser nehmen stetig zu. Hacker wissen, dass diese in puncto IT-Sicherheit zumeist sehr schlecht ausgestattet sind und dringend darauf angewiesen sind, schnell wieder zum Tagesgeschäft übergehen zu können. Somit sehen die Aussichten für eine erfolgreiche Erpressung und den Erhalt eines Lösegelds gut aus.

Insbesondere für Krankenhäuser ist es enorm wichtig die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO regelmäßig auf den Stand der Technik hin zu überprüfen. Die IT sollte organisatorisch und personell sehr gut ausgestattet sein. Auch jeder Mitarbeiter sollte regelmäßig im Datenschutz geschult werden, um Kriminellen kein leichtes Einfallstor, wie z. B. durch den Versand kompromittierter E-Mails, zu bieten und verdächtige Aktionen frühzeitig zu erkennen.

Da es sich bei Gesundheitsdaten um besonders schutzbedürftige Daten handelt, deren Verletzung in der Regel ein hohes Risiko impliziert, ist für den Datenschutz und die Datensicherheit im Krankenhaus stets ein strenger Maßstab anzulegen.

NIS-2: Neue Anforderungen für KRITIS-Krankenhäuser

Die am 16. Januar 2023 in Kraft getretene EU-Richtlinie NIS-2 (Network and Information Security) sieht für Betreiber kritischer Infrastrukturen (KRITIS) Mindestanforderungen an das Risikomanagement und die IT-Sicherheit vor. Damit sollen KRITIS besser vor Cyber-Bedrohungen geschützt sein. Unter NIS-2 fallen auch Krankenhäuser. Bei Nichteinhaltung drohen Krankenhäusern im schlechtesten Fall Bußgelder von bis zu 10 Mio. Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Praxisfälle aus dem Krankenhaus – FAQs

In diesem Abschnitt geht es um ausgewählte Praxisfälle des Krankenhausalltags. Welche Rechte stehen Betroffenen in welchem Umfang zu?

Welche Krankenhausmitarbeiter dürfen was über mich wissen?

Ausschließlich die mit einem Patienten betrauten Mitarbeiter wie Ärzte, Krankenschwestern und Pfleger sowie dazugehörige Verwaltungsmitarbeiter dürfen Informationen über die Krankengeschichte einsehen, soweit dies für die Behandlung notwendig ist.

Darf ich selbst Einsicht in meine Patientenakte nehmen?

Patienten haben gemäß Artikel 15 DSGVO einen gesetzlichen Auskunftsanspruch zu den Inhalten ihrer Patientenakte. Ärztliche Beurteilungen und Wertungen sind jedoch ausgenommen.

Wie sieht es mit dem Datenschutz in Mehrbettzimmern im Krankenhaus aus?

Hier müssen Ärzte und Pflegepersonal besonders vorsichtig sein. Eine diskrete Behandlung muss gewährleistet sein. Gerade sensible Diagnosen sollten im vertraulichen Einzelgespräch kommuniziert werden.

Wie lange dürfen Daten im Krankenhaus nach dem Aufenthalt gespeichert werden?

Gemäß der Berufsordnungen der Kammern dürfen Patientendaten für die Dauer von mindestens zehn Jahren nach Abschluss der Behandlung aufbewahrt werden. Röntgenbilder sind gemäß Strahlenschutzverordnung für 30 Jahre vorzuhalten. Nichtdestotrotz müssen die elektronischen Daten nach Abschluss der Behandlung und entsprechender Abwicklung für die Station und die behandelnden Ärzte gesperrt werden.

Datenschutz im Krankenhaus ist wichtiger denn je!

Aufgrund der Risiken, die eine Verletzung von Gesundheitsdaten mit sich führen kann, sind sehr hohe Maßstäbe an die die Daten betreffenden Verarbeitungsprozesse anzulegen. Die für Ärzte und Pflegepersonal geltende Verschwiegenheitserklärung gebietet für Krankenhäuser doppelte Vorsicht im Umgang mit Patientendaten. Insofern ist es auch gut und wichtig, dass mit NIS-2 die Krankenhäuser gesetzlich in die Pflicht genommen werden deutlich mehr Geld in ihre IT-Sicherheit zu investieren. So werden diese in Zukunft gegenüber Ransomware-Angriffen hoffentlich besser gewappnet sein.