Datenverarbeitung in Kliniken: DSGVO Leitfaden Praxisnah

Datenverarbeitung in Kliniken: DSGVO Leitfaden Praxisnah

Datenverarbeitung in Gesundheitseinrichtungen: Der operative Compliance-Leitfaden

Die Datenverarbeitung in Gesundheitseinrichtungen stellt höchste Anforderungen an den Datenschutz und die Informationssicherheit. Gesundheitsdaten gehören zu den besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO. Dieser Leitfaden bietet Datenschutzbeauftragten, IT-Verantwortlichen und Klinikverwaltungen ein operatives Playbook, das rechtliche Vorgaben mit praxiserprobten Maßnahmen, Vorlagen und Standardprozessen (auf Englisch: Standard Operating Procedures, SOPs) für den Klinikalltag verbindet.

Inhaltsverzeichnis

Kurzfassung und wichtigste Handlungsempfehlungen

Eine rechtskonforme Datenverarbeitung in Gesundheitseinrichtungen erfordert einen systematischen und risikobasierten Ansatz. Im Zentrum stehen die Einhaltung der DSGVO, insbesondere des Art. 9, sowie nationaler Gesetze wie dem SGB V und landesspezifischen Krankenhausgesetzen. Die Herausforderung liegt darin, den Schutz sensibler Patientendaten mit effizienten klinischen Abläufen in Einklang zu bringen.

Ihre wichtigsten Handlungsempfehlungen für 2025 und darüber hinaus:

  • Risikoanalyse durchführen: Identifizieren Sie alle Datenflüsse und bewerten Sie die Risiken für die Rechte und Freiheiten der Patienten. Priorisieren Sie Prozesse mit hohem Risiko für Datenschutz-Folgenabschätzungen (DSFA).
  • TOM implementieren und prüfen: Stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen (TOM) dem Stand der Technik entsprechen. Dies umfasst Verschlüsselung, Zugriffskontrollen (IAM), regelmäßige Backups und lückenlose Protokollierung.
  • Prozesse standardisieren: Etablieren Sie klare Standard Operating Procedures (SOPs) für kritische Prozesse wie die telefonische Patientenidentifikation, die Datenweitergabe an Dritte und die Reaktion auf Sicherheitsvorfälle.
  • Löschkonzept umsetzen: Entwickeln Sie eine Retentionsmatrix für alle Kategorien medizinischer Dokumente und implementieren Sie einen prozessgestützten Löschvorgang zur Einhaltung der Aufbewahrungsfristen.
  • Mitarbeiter schulen: Regelmäßige und praxisnahe Schulungen sind unerlässlich, um das Bewusstsein für Datenschutz und Informationssicherheit zu schärfen und menschliche Fehler zu minimieren.

Rechtlicher Rahmen: DSGVO, Art. 9 und zulässige Rechtsgrundlagen

Die Verarbeitung von Gesundheitsdaten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt. Ausnahmen regelt Art. 9 Abs. 2 DSGVO. Für Gesundheitseinrichtungen sind vor allem folgende Rechtsgrundlagen relevant:

  • Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Diese Rechtsgrundlage ist die zentrale Norm für die alltägliche Datenverarbeitung in Gesundheitseinrichtungen.
  • Art. 9 Abs. 2 lit. i DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.
  • Art. 9 Abs. 2 lit. a DSGVO: Die ausdrückliche Einwilligung des Patienten. Diese ist insbesondere für Verarbeitungen erforderlich, die nicht direkt vom Behandlungsvertrag gedeckt sind, z. B. für die Teilnahme an klinischen Studien oder die Nutzung bestimmter Komfortdienste.

Zusätzlich sind die ärztliche Schweigepflicht nach § 203 StGB und spezifische Regelungen aus dem SGB V sowie den jeweiligen Landeskrankenhausgesetzen zwingend zu beachten.

Risikoorientierter Prozessüberblick: Datenflüsse in Klinikbereichen

Um Risiken effektiv zu managen, müssen Sie die Datenflüsse in Ihrer Einrichtung kennen. Eine typische “Patientenreise” umfasst zahlreiche Verarbeitungsvorgänge:

  • Patientenaufnahme: Erfassung von Stammdaten, Versicherungsdaten und medizinischer Anamnese.
  • Diagnostik und Behandlung: Erstellung und Verarbeitung von Befunden, Laborergebnissen, Bildgebungsdaten (z. B. MRT, CT), Medikationsplänen und Pflegeprotokollen im Krankenhausinformationssystem (KIS).
  • Interne Kommunikation: Austausch von Patientendaten zwischen Abteilungen, Stationen und Fachärzten.
  • Externe Kommunikation: Datenübermittlung an weiterbehandelnde Ärzte, Labore, Krankenkassen und Abrechnungsdienstleister.
  • Verwaltung und Abrechnung: Verarbeitung von Leistungsdaten zur Abrechnung mit Krankenkassen und Patienten.
  • Archivierung: Langfristige Aufbewahrung der Patientenakte gemäß gesetzlicher Fristen.

Jeder dieser Schritte birgt spezifische Risiken, die durch geeignete Maßnahmen adressiert werden müssen.

DSFA in der Praxis: Checkliste, Bewertungskriterien und Priorisierung

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist bei der Datenverarbeitung in Gesundheitseinrichtungen häufig der Fall.

Checkliste zur Notwendigkeit einer DSFA

  • Wird eine neue Technologie (z. B. KI-gestützte Diagnosesoftware, neue KIS-Module) eingeführt?
  • Werden Gesundheitsdaten in großem Umfang verarbeitet?
  • Werden Daten systematisch überwacht (z. B. in der Telemedizin)?
  • Werden verschiedene Datensätze zusammengeführt oder kombiniert?
  • Werden Daten von besonders schutzbedürftigen Personen (Patienten) verarbeitet?

Wenn Sie eine dieser Fragen mit “Ja” beantworten, ist eine DSFA dringend anzuraten. Die Priorisierung sollte sich an der Sensitivität der Daten und dem Umfang der Verarbeitung orientieren.

Technische und Organisatorische Maßnahmen (TOM): Konkrete Vorgaben

Die TOMs nach Art. 32 DSGVO sind das Herzstück der Datensicherheit. Sie müssen dem Stand der Technik entsprechen und das Risiko für die Patientendaten minimieren.

Konkrete Vorgaben für den Klinikbetrieb

  • Verschlüsselung:
    • Transportverschlüsselung: Konsequenter Einsatz von TLS 1.2/1.3 für die gesamte Datenübertragung (intern und extern).
    • Datenbankverschlüsselung: Verschlüsselung der KIS-Datenbanken im Ruhezustand (at rest).
    • Endgeräteverschlüsselung: Obligatorische Verschlüsselung von Festplatten auf allen Laptops, mobilen Geräten und Desktops.
  • Identitäts- und Zugriffsmanagement (IAM):
    • Need-to-Know-Prinzip: Jeder Mitarbeiter erhält nur Zugriff auf die Daten, die er für seine spezifische Aufgabe benötigt.
    • Rollenbasiertes Berechtigungskonzept (RBAC): Klare Definition von Zugriffsrechten für verschiedene Berufsgruppen (Ärzte, Pflege, Verwaltung).
    • Zwei-Faktor-Authentifizierung (2FA): Absicherung aller Fernzugriffe und Zugänge zu kritischen Systemen.
  • Backups und Wiederherstellung:
    • 3-2-1-Regel: Drei Kopien der Daten auf zwei verschiedenen Medien, davon eine Kopie extern (offline oder in einer anderen Brandzone).
    • Regelmäßige Tests: Periodische Überprüfung der Wiederherstellbarkeit der Backups.
  • Protokollierung (Logging):
    • Lückenlose Aufzeichnung: Protokollierung aller Zugriffe (Lesen, Schreiben, Löschen) auf Patientendaten im KIS.
    • Regelmäßige Auswertung: Systematische Analyse der Protokolldaten auf unbefugte Zugriffsversuche oder Anomalien.

Telefonische Patientenkommunikation: Verifizierungs-SOP

Die telefonische Auskunft an Patienten oder Dritte birgt ein hohes Risiko von Datenschutzverletzungen. Ein standardisierter Prozess ist unerlässlich.

SOP zur telefonischen Identitätsprüfung

  1. Identifikation des Anrufers: Bitten Sie den Anrufer, sich mit vollem Namen und Geburtsdatum zu identifizieren.
  2. Abgleich mit dem System: Vergleichen Sie die genannten Daten mit den im KIS hinterlegten Informationen.
  3. Zusätzliche Verifizierung (Wissensabfrage): Stellen Sie eine Kontrollfrage, deren Antwort nur dem echten Patienten bekannt sein sollte (z. B. “Können Sie mir bitte Ihre Postleitzahl nennen?” oder “Wann war Ihr letzter Termin bei uns?”). Vermeiden Sie Fragen, deren Antworten leicht von Dritten in Erfahrung gebracht werden können.
  4. Dokumentation: Protokollieren Sie den Anruf, die erfolgte Verifizierung und den Inhalt der Auskunft kurz in der Patientenakte oder einem dafür vorgesehenen System. Vermerken Sie Datum, Uhrzeit und den Namen des bearbeitenden Mitarbeiters.
  5. Eskalation bei Zweifel: Bei geringsten Zweifeln an der Identität des Anrufers verweigern Sie die Auskunft und bieten alternative, sichere Kommunikationswege an (z. B. persönliches Erscheinen mit Ausweis, schriftliche Anfrage, Kommunikation über ein sicheres Patientenportal).

Elektronische Patientenakte (ePA): Datenflüsse und Prüfkriterien

Die ePA verändert die Datenverarbeitung in Gesundheitseinrichtungen grundlegend. Kliniken agieren hier als Datenerfasser und Datenabrufer. Die Hoheit über die Daten und die Zugriffsfreigaben liegen beim Patienten.

Wichtige Aspekte für Kliniken

  • Datenflüsse: Verstehen Sie die Architektur der Telematikinfrastruktur (TI) und die Rolle Ihres Konnektors. Stellen Sie sicher, dass Datenflüsse vom KIS in die ePA und umgekehrt sicher und protokolliert ablaufen.
  • Interoperabilität: Achten Sie darauf, dass Ihr KIS die erforderlichen Standards (z. B. HL7, FHIR) unterstützt, um einen reibungslosen Datenaustausch zu gewährleisten.
  • Anbieterprüfung: Prüfen Sie die Verträge mit Ihrem KIS-Anbieter und dem Konnektor-Dienstleister genau. Stellen Sie sicher, dass alle datenschutzrechtlichen Anforderungen erfüllt sind und die Verantwortlichkeiten klar geregelt sind (z. B. im Rahmen eines Auftragsverarbeitungsvertrags).

Datenweitergabe an Dritte: Musterklauseln für Auftragsverarbeitung

Kliniken geben regelmäßig Daten an Dritte weiter, z. B. an externe Labore, Abrechnungsstellen, IT-Dienstleister oder Software-as-a-Service (SaaS)-Anbieter. Erfolgt dies im Auftrag der Klinik, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.

Unverzichtbare Klauseln in einem AVV

  • Gegenstand und Dauer der Verarbeitung: Genaue Beschreibung, welche Daten zu welchem Zweck wie lange verarbeitet werden.
  • Rechte und Pflichten des Auftraggebers (Klinik): Uneingeschränktes Weisungsrecht, Kontroll- und Auditrechte.
  • Pflichten des Auftragnehmers:
    • Verarbeitung nur auf Weisung.
    • Gewährleistung der Vertraulichkeit der Mitarbeiter.
    • Umsetzung geeigneter TOM nach dem Stand der Technik.
    • Regelungen zur Hinzuziehung von Sub-Auftragnehmern (nur mit Genehmigung).
    • Unterstützung bei der Erfüllung von Betroffenenrechten.
    • Meldung von Datenschutzverletzungen an den Auftraggeber.
    • Rückgabe oder Löschung der Daten nach Vertragsende.

Aufbewahrungsfristen und Löschstrategie: Retentionsmatrix

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass personenbezogene Daten gelöscht werden, sobald sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Dem stehen gesetzliche Aufbewahrungspflichten gegenüber.

Beispielhafte Retentionsmatrix

Dokumentenart Gesetzliche Grundlage Aufbewahrungsfrist
Patientenakte (ärztliche Aufzeichnungen) § 630f Abs. 3 BGB 10 Jahre nach Abschluss der Behandlung
Röntgenaufnahmen und -aufzeichnungen § 28 Abs. 3 RöV / § 85 StrlSchG 10, 15 oder 30 Jahre je nach Art und Anwendung
Abrechnungsunterlagen (Rechnungen) § 147 AO, § 257 HGB 10 Jahre
Transfusionsmedizinische Unterlagen Transfusionsgesetz (TFG) Bis zu 30 Jahre

Ein Löschkonzept muss definieren, wer für die Löschung verantwortlich ist, wie die Fristen überwacht und wie die Löschung technisch und nachweisbar umgesetzt wird.

Sicherheitsvorfall und Meldepflichten: Incident-Response-Ablauf

Ein Sicherheitsvorfall (Data Breach) erfordert ein schnelles und strukturiertes Vorgehen. Die Meldung an die zuständige Aufsichtsbehörde muss gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden erfolgen.

Incident-Response-Ablaufplan

  1. Entdeckung und Analyse: Sofortige Untersuchung des Vorfalls. Was ist passiert? Welche Daten sind betroffen? Wie viele Personen sind betroffen?
  2. Eindämmung: Maßnahmen zur Begrenzung des Schadens (z. B. Systeme vom Netz nehmen, Zugänge sperren).
  3. Bewertung: Risikobewertung für die Rechte und Freiheiten der betroffenen Personen. Besteht ein hohes Risiko?
  4. Meldung:
    • Meldung an die Aufsichtsbehörde: Innerhalb von 72 Stunden, wenn ein Risiko besteht.
    • Benachrichtigung der Betroffenen: Unverzüglich, wenn ein hohes Risiko besteht (Art. 34 DSGVO).
  5. Aufarbeitung und Prävention: Beseitigung der Ursachen und Ableitung von Maßnahmen zur zukünftigen Verhinderung ähnlicher Vorfälle. Lückenlose Dokumentation des gesamten Prozesses.

Auditpunkte und Messgrößen: Prüfliste für Audits

Regelmäßige interne Audits und die Vorbereitung auf externe Prüfungen sind entscheidend für eine nachhaltige Compliance. Ein Auditor wird typischerweise folgende Punkte prüfen:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Ist es vollständig, aktuell und aussagekräftig?
  • Datenschutz-Folgenabschätzungen: Wurden sie für Hochrisikoverarbeitungen durchgeführt und dokumentiert?
  • Wirksamkeit der TOM: Können Sie die Implementierung und regelmäßige Überprüfung Ihrer TOM nachweisen (z. B. durch Penetrationstests, Protokollauswertungen)?
  • Auftragsverarbeitungsverträge: Liegen für alle Dienstleister, die Patientendaten verarbeiten, gültige AVVs vor?
  • Schulungsnachweise: Wurden alle Mitarbeiter mit Zugriff auf Patientendaten regelmäßig geschult und ist dies dokumentiert?
  • Prozessdokumentation: Existieren dokumentierte Prozesse für Betroffenenrechte, Datenpannen und die telefonische Verifikation?

Praktische Vorlagen und Checklisten

Zur Operationalisierung der Compliance sind standardisierte Vorlagen unerlässlich. Ihre internen Dokumente sollten die folgenden Strukturen aufweisen:

  • DSFA-Kurzvorlage: Sollte Abschnitte zur Beschreibung der Verarbeitung, zur Notwendigkeits- und Verhältnismäßigkeitsprüfung, zur Risikoanalyse (Eintrittswahrscheinlichkeit und Schadenshöhe) und zu den geplanten Abhilfemaßnahmen enthalten.
  • AVV-Skelett: Muss alle in Art. 28 Abs. 3 DSGVO geforderten Punkte abdecken und sollte durch spezifische Anhänge zu den TOM und den genehmigten Sub-Auftragnehmern ergänzt werden.
  • Telefon-Script: Ein kurzer, prägnanter Leitfaden für Mitarbeiter am Empfang oder auf Station, der die Schritte der Verifizierungs-SOP abbildet und Formulierungen für die Kontrollfragen vorschlägt.

Häufige Einzelfragen mit klaren Entscheidungswegen (FAQ)

Dürfen wir Patientendaten für Forschungszwecke nutzen?

Die Nutzung von Patientendaten für die Forschung ist streng geregelt. Ohne eine spezifische gesetzliche Erlaubnis ist eine ausdrückliche, informierte und freiwillige Einwilligung des Patienten nach Art. 9 Abs. 2 lit. a DSGVO erforderlich. Alternativ kann eine vollständige Anonymisierung der Daten erfolgen, sodass kein Personenbezug mehr herstellbar ist. In diesem Fall findet die DSGVO keine Anwendung mehr.

Wie gehen wir mit Auskunftsersuchen von Angehörigen um?

Auskünfte an Angehörige unterliegen der ärztlichen Schweigepflicht und den strengen Regeln der DSGVO. Eine Auskunft ist nur zulässig, wenn der Patient (sofern er einwilligungsfähig ist) dem zugestimmt hat oder eine gültige Vorsorgevollmacht vorliegt, die explizit die Entbindung von der Schweigepflicht umfasst. Bei bewusstlosen oder nicht einwilligungsfähigen Patienten ist nach dem mutmaßlichen Willen zu entscheiden, was äußerste Sorgfalt erfordert.

Muss jeder externe IT-Dienstleister einen AVV erhalten?

Ja, sobald ein IT-Dienstleister potenziell auf personenbezogene Daten (insbesondere Patientendaten) zugreifen kann – selbst wenn es nur im Rahmen von Wartungs- oder Supporttätigkeiten (Fernwartung) geschieht –, handelt es sich um eine Auftragsverarbeitung. Ein AVV nach Art. 28 DSGVO ist daher zwingend erforderlich.

Literatur und maßgebliche Referenzen

Für eine Vertiefung der Thematik und zur laufenden Information über aktuelle Entwicklungen im Bereich Datenschutz und Datensicherheit im Gesundheitswesen empfehlen wir die Webseiten führender Organisationen und Behörden: