Datenschutz im Gesundheitswesen: Schritte für Kliniken und Praxen

Datenschutz im Gesundheitswesen: Schritte für Kliniken und Praxen

Inhaltsverzeichnis

Einleitung: Warum der Datenschutz im Gesundheitswesen oberste Priorität hat

Der Datenschutz im Gesundheitswesen ist mehr als eine gesetzliche Verpflichtung; er ist die Grundlage des Vertrauensverhältnisses zwischen medizinischem Personal und Patientinnen und Patienten. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Ein unzureichender Schutz kann nicht nur zu hohen Bußgeldern führen, sondern auch die Privatsphäre, die soziale Stellung und sogar die körperliche Unversehrtheit von Menschen gefährden. Dieser Ratgeber bietet einen praxisorientierten Überblick über die rechtlichen Anforderungen und gibt konkrete Handlungsempfehlungen für Kliniken, Arztpraxen und andere Akteure im Gesundheitssektor.

Wesentliche Begriffe des Datenschutzes verständlich erklärt

Um den Datenschutz im Gesundheitswesen korrekt umzusetzen, ist ein klares Verständnis der zentralen Begriffe unerlässlich.

Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)

Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, Adresse, Geburtsdatum, aber auch Kennnummern wie die Versichertennummer.

Gesundheitsdaten (Art. 4 Nr. 15 DSGVO)

Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten. Sie umfassen alle Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Dazu zählen Diagnosen, Laborwerte, Behandlungsverläufe, genetische Daten und Informationen über den Lebensstil (z. B. Raucherstatus).

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Neben Gesundheitsdaten fallen hierunter auch Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Ausnahme vor, wie sie für die medizinische Versorgung typisch ist.

Rechtliche Grundlagen: DSGVO und BDSG im Fokus

Die zentralen rechtlichen Rahmenbedingungen für den Datenschutz im Gesundheitswesen sind die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

  • Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch): Als EU-Verordnung hat sie unmittelbare Geltung in Deutschland. Besonders relevant sind Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten).
  • Bundesdatenschutzgesetz (BDSG): Das BDSG ergänzt und konkretisiert die DSGVO auf nationaler Ebene. Insbesondere § 22 BDSG enthält spezifische Regelungen für die Verarbeitung von besonderen Datenkategorien, die auch das Gesundheitswesen betreffen.
  • Weitere Gesetze: Zusätzlich sind bereichsspezifische Vorschriften wie das Fünfte Buch Sozialgesetzbuch (SGB V) oder die ärztliche Schweigepflicht (§ 203 StGB) zu beachten.

Typisches Dateninventar in Praxen und Kliniken: Eine Vorlage

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist gesetzlich vorgeschrieben. Ein minimalistisches Dateninventar, basierend auf den Erfahrungen von MUNAS Consulting, hilft, den Überblick zu behalten. Es bildet die Grundlage für alle weiteren Datenschutzmaßnahmen.

Verarbeitungstätigkeit Datenkategorien Zweck Rechtsgrundlage Empfänger Löschfrist
Patientenaufnahme Stammdaten (Name, Adresse), Kontaktdaten, Versicherungsdaten Anlage der Patientenakte, Identifikation Art. 6 Abs. 1b, Art. 9 Abs. 2h DSGVO Internes Personal 10 Jahre nach Behandlungsabschluss
Medizinische Behandlung Anamnese, Diagnosen, Befunde, Medikationspläne Diagnostik und Therapie Art. 9 Abs. 2h DSGVO i. V. m. Behandlungsvertrag Behandelnde Ärzte, Pflegepersonal 10 Jahre nach Behandlungsabschluss
Leistungsabrechnung Stammdaten, Behandlungsdaten, Diagnoseschlüssel (ICD) Abrechnung mit Krankenkassen oder Privatpatienten Art. 6 Abs. 1b/c, Art. 9 Abs. 2h DSGVO, SGB V Krankenkassen, PVS/Ärztekammern Gesetzliche Aufbewahrungsfristen (10 Jahre)

Rechtsgrundlagen in der Praxis anwenden

Jede Verarbeitung von Gesundheitsdaten benötigt eine gültige Rechtsgrundlage. Im medizinischen Alltag sind vor allem vier relevant:

  • Behandlungsvertrag (Art. 9 Abs. 2h i. V. m. Art. 6 Abs. 1b DSGVO): Die häufigste Rechtsgrundlage. Die Verarbeitung ist für die medizinische Versorgung notwendig.
  • Einwilligung (Art. 9 Abs. 2a DSGVO): Erforderlich für Verarbeitungen, die nicht direkt zur Behandlung gehören, z. B. die Teilnahme an einer Studie oder die Weitergabe von Daten an nicht direkt beteiligte Dritte. Die Einwilligung muss freiwillig, informiert und widerrufbar sein.
  • Gesetzliche Pflicht (Art. 6 Abs. 1c DSGVO): Gilt beispielsweise für die Meldung bestimmter ansteckender Krankheiten an das Gesundheitsamt.
  • Lebenswichtige Interessen (Art. 9 Abs. 2c DSGVO): In Notfallsituationen, wenn der Patient oder die Patientin nicht einwilligungsfähig ist (z. B. bei Bewusstlosigkeit).

Datenschutz-Folgenabschätzung (DSFA) Schritt für Schritt

Eine Datenschutz-Folgenabschätzung (DSFA, DPIA auf Englisch) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine neue Verarbeitungstechnologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Im Gesundheitswesen ist dies oft der Fall, etwa bei der Einführung einer neuen Praxissoftware oder einer elektronischen Patientenakte.

Ablauf einer DSFA für 2025 und darüber hinaus

  1. Systematische Beschreibung: Was soll verarbeitet werden? Welchem Zweck dient es?
  2. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Ist die Verarbeitung für den Zweck wirklich notwendig? Gibt es mildere Mittel?
  3. Risikoanalyse: Welche Risiken für die Patienten (z. B. Datenverlust, unbefugter Zugriff) bestehen? Wie hoch ist die Eintrittswahrscheinlichkeit und der mögliche Schaden?
  4. Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen (TOMs) werden geplant, um die Risiken zu minimieren?

Ausfüllbare DSFA-Checkliste (vereinfacht)

  • Projektbeschreibung: [Kurze Beschreibung des Vorhabens, z. B. “Einführung eines Cloud-basierten Terminbuchungssystems”]
  • Datenkategorien betroffen: [z. B. Patientennamen, Geburtsdaten, Behandlungsart]
  • Rechtsgrundlage geprüft: [Ja/Nein, z. B. “Ja, Art. 6 Abs. 1b DSGVO”]
  • Hauptrisiko identifiziert: [z. B. “Unbefugter Zugriff auf Termindaten durch Dritte”]
  • Geplante Gegenmaßnahme 1: [z. B. “Ende-zu-Ende-Verschlüsselung der Übertragung”]
  • Geplante Gegenmaßnahme 2: [z. B. “Abschluss eines Auftragsverarbeitungsvertrages (AVV) mit dem Anbieter”]
  • Restrisiko bewertet als: [Niedrig/Mittel/Hoch]
  • DSFA dokumentiert am: [Datum]

Effektive technische Schutzmaßnahmen (TOM)

Technische Maßnahmen sind das Rückgrat für einen sicheren Datenschutz im Gesundheitswesen.

  • Verschlüsselung: Festplatten von Servern und Laptops sowie mobile Datenträger müssen vollständig verschlüsselt sein. Die Datenübertragung (z. B. per E-Mail oder über Webformulare) muss ebenfalls durchgängig verschlüsselt erfolgen (z. B. mittels TLS).
  • Zugriffskonzepte: Ein Rollen- und Berechtigungskonzept stellt sicher, dass Mitarbeitende nur auf die Daten zugreifen können, die sie für ihre jeweilige Aufgabe benötigen (Need-to-know-Prinzip).
  • Audit-Logs: Alle Zugriffe auf Patientendaten müssen protokolliert werden. So lässt sich im Nachhinein feststellen, wer wann auf welche Daten zugegriffen hat.
  • Pseudonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden. Das bedeutet, dass direkte Identifikatoren (wie der Name) durch ein Pseudonym (z. B. eine zufällige Nummer) ersetzt werden.

Unverzichtbare organisatorische Maßnahmen (OM)

Technik allein reicht nicht. Klare Prozesse und geschulte Mitarbeitende sind entscheidend.

  • Rollen und Verantwortlichkeiten: Benennen Sie einen Datenschutzbeauftragten (sofern gesetzlich erforderlich) und definieren Sie klare Zuständigkeiten für den Datenschutz.
  • Mitarbeiterschulungen: Regelmäßige und verpflichtende Schulungen zum Datenschutz und zur Datensicherheit sind unerlässlich. Alle Mitarbeitenden müssen auf das Datengeheimnis verpflichtet werden.
  • Prozessdokumentation: Erstellen Sie klare Anweisungen für datenschutzrelevante Prozesse, z. B. für die Auskunftserteilung an Patienten oder den Umgang mit Datenpannen.
  • Clean-Desk-Policy: Sensible Unterlagen dürfen nicht offen herumliegen. Bildschirme müssen bei Verlassen des Arbeitsplatzes gesperrt werden.

Umgang mit Drittparteien und Cloud-Anbietern

Die Zusammenarbeit mit externen Dienstleistern (z. B. IT-Support, Abrechnungsstellen, Cloud-Anbieter) birgt Risiken. Schließen Sie mit jedem Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Prüfen Sie den Anbieter sorgfältig, insbesondere wenn die Daten außerhalb der EU verarbeitet werden sollen.

Sichere Kommunikation mit Patientinnen und Patienten

Die Kommunikation mit Patienten muss datenschutzkonform erfolgen.

  • E-Mail: Der Versand von Gesundheitsdaten per unverschlüsselter E-Mail ist unzulässig. Nutzen Sie sichere Alternativen wie verschlüsselte E-Mails (S/MIME, PGP) oder sichere Patientenportale.
  • Messenger-Dienste: Gängige Messenger wie WhatsApp sind für die Übermittlung von Gesundheitsdaten ungeeignet.
  • SMS: Eine SMS ist ebenfalls unverschlüsselt und sollte nur für allgemeine Informationen (z. B. Terminerinnerungen ohne Nennung des Behandlungsgrundes) verwendet werden.

Datenschutz bei Abrechnungen und externen Dienstleistern

Bei der Weitergabe von Daten an externe Abrechnungsstellen gilt das Prinzip der Datenminimierung. Es dürfen nur die Daten übermittelt werden, die für die Abrechnung zwingend erforderlich sind. Auch hier ist ein AVV die rechtliche Grundlage der Zusammenarbeit.

Regeln für Foto- und Videoaufnahmen in Gesundheitseinrichtungen

Foto- oder Videoaufnahmen von Patientinnen und Patienten sind nur mit einer ausdrücklichen, informierten und dokumentierten Einwilligung zulässig. Dies gilt sowohl für medizinische Zwecke (z. B. Wunddokumentation) als auch für andere Zwecke (z. B. Bilder für die Praxis-Webseite).

Besonderer Schutz für spezielle Personengruppen

Der Datenschutz im Gesundheitswesen erfordert besondere Sorgfalt bei bestimmten Gruppen:

  • Kinder und Jugendliche: Bei Minderjährigen ist in der Regel die Einwilligung der Sorgeberechtigten erforderlich. Ab einer gewissen Einsichtsfähigkeit (ca. 14–16 Jahre) kann der Jugendliche oft selbst entscheiden.
  • Forschungsdaten: Für die Nutzung von Patientendaten zu Forschungszwecken ist in der Regel eine separate, spezifische Einwilligung notwendig. Anonymisierung und Pseudonymisierung spielen hier eine zentrale Rolle.

Incident Management: Richtig auf Datenschutzvorfälle reagieren

Trotz aller Vorkehrungen kann es zu einer Datenschutzverletzung kommen (z. B. Verlust eines USB-Sticks, Hackerangriff). In diesem Fall greift ein klar definierter Prozess.

  1. Sofortige interne Meldung: Jeder Vorfall muss unverzüglich an den Datenschutzbeauftragten oder die Geschäftsführung gemeldet werden.
  2. Bewertung des Risikos: Es muss bewertet werden, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.
  3. Meldung an die Aufsichtsbehörde: Besteht ein Risiko, muss der Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.
  4. Benachrichtigung der Betroffenen: Besteht ein hohes Risiko, müssen auch die betroffenen Patientinnen und Patienten informiert werden.

Praktische Checklisten für den schnellen Einstieg

Start-Check für kleine Praxen

  • Datenschutzbeauftragten benannt? (Prüfen, ob Pflicht besteht)
  • Verzeichnis von Verarbeitungstätigkeiten erstellt?
  • Alle Mitarbeitenden auf das Datengeheimnis verpflichtet?
  • Auftragsverarbeitungsverträge mit allen Dienstleistern (z. B. Softwarehaus, Labor) vorhanden?
  • Datenschutzerklärung auf der Webseite aktuell?

IT-Kontrollliste

  • Sind alle Arbeitsplatzrechner passwortgeschützt und sperren sich automatisch?
  • Sind die Festplatten aller mobilen Geräte (Laptops) verschlüsselt?
  • Wird eine aktuelle Antivirensoftware eingesetzt?
  • Existiert ein regelmäßiger Prozess für Software-Updates (Patch-Management)?
  • Ist das WLAN mit WPA2/WPA3 gesichert und gibt es ein separates Gäste-WLAN?

Zwei anonymisierte Kurzfälle aus der Praxis

Fall 1: Die unverschlüsselte E-Mail in der Facharztpraxis

Situation: Eine Mitarbeiterin einer kleinen kardiologischen Praxis versendete einen Arztbrief mit detaillierten Befunden versehentlich per unverschlüsselter E-Mail an den falschen Empfänger.

Maßnahme: Der Vorfall wurde sofort intern gemeldet. Da ein hohes Risiko für den Patienten bestand (Offenlegung sensibler Daten), erfolgte eine Meldung an die Aufsichtsbehörde und eine Information des betroffenen Patienten innerhalb von 72 Stunden. Technisch wurde eine E-Mail-Verschlüsselungslösung eingeführt und das Personal erneut geschult.

Lessons Learned: Menschliches Versagen ist eine Hauptursache für Datenpannen. Technische Sicherungen (z. B. Pflicht zur Verschlüsselung) und regelmäßige Schulungen sind unerlässlich, um das Risiko zu minimieren.

Fall 2: Unzureichender AVV mit einem Cloud-Anbieter

Situation: Ein mittelgroßes Medizinisches Versorgungszentrum (MVZ) nutzte einen US-amerikanischen Cloud-Dienst zur Terminplanung, ohne die internationalen Datenübermittlungen ausreichend zu prüfen oder einen DSGVO-konformen AVV abzuschließen.

Maßnahme: Im Rahmen einer internen Prüfung wurde der Mangel aufgedeckt. Der Dienst wurde umgehend durch einen europäischen Anbieter ersetzt, der alle Anforderungen der DSGVO erfüllt und einen validen AVV anbietet. Die Daten wurden sicher migriert und vom alten Anbieter gelöscht.

Lessons Learned: Die Auswahl von Dienstleistern, insbesondere von Cloud-Anbietern, erfordert eine sorgfältige datenschutzrechtliche Prüfung (Due Diligence). Ein Standard-AVV reicht oft nicht aus, besonders bei Übermittlungen in Drittländer.

FAQ: Häufige Fragen zum Datenschutz im Gesundheitswesen

Darf ich Befunde per WhatsApp an Kollegen senden?

Nein. Die Nutzung von Standard-Messengern wie WhatsApp zur Übermittlung von Patientendaten ist aufgrund mangelnder Ende-zu-Ende-Kontrolle und der Datenverarbeitung durch den Anbieter (Meta) nicht zulässig. Nutzen Sie sichere, für den medizinischen Bereich zertifizierte Messenger.

Wie lange müssen Patientenakten aufbewahrt werden?

Die zivilrechtliche Aufbewahrungsfrist für ärztliche Unterlagen beträgt in der Regel 10 Jahre nach Abschluss der Behandlung. Es können jedoch spezialgesetzliche Regelungen längere Fristen vorschreiben (z. B. im Strahlenschutz).

Benötige ich für jede E-Mail an einen Patienten eine Einwilligung?

Für den Versand sensibler Gesundheitsdaten per E-Mail benötigen Sie eine ausdrückliche Einwilligung des Patienten in diese unsichere Übertragungsform, nachdem Sie ihn über die Risiken aufgeklärt haben. Besser ist es, sichere Kommunikationswege zu etablieren.

Für vertiefende Informationen und Mustervorlagen sind die Webseiten der Berufsverbände eine verlässliche Quelle:

  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD)

Schlussbemerkung und Handlungsempfehlungen

Ein systematischer und proaktiver Ansatz ist der Schlüssel für einen erfolgreichen Datenschutz im Gesundheitswesen. Beginnen Sie mit einer Bestandsaufnahme Ihrer Datenverarbeitungen, implementieren Sie die grundlegenden technischen und organisatorischen Maßnahmen und schulen Sie Ihre Mitarbeitenden regelmäßig. Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der das Vertrauen Ihrer Patientinnen und Patienten sichert und Ihre Einrichtung vor rechtlichen und finanziellen Risiken schützt.