Inhaltsverzeichnis
- Kurzfassung und Kernempfehlungen
- Die rechtliche Basis: DSGVO und Schweigepflicht im Gesundheitswesen
- Der Weg der Patientendaten: Datenflüsse von der Aufnahme bis zur Abrechnung abbilden
- Risikomanagement: DSFA und VVT als zentrale Werkzeuge
- Die digitale Festung: Technische und Organisatorische Maßnahmen (TOMs)
- Moderne Patientenkommunikation: E-Mail, SMS und Messenger sicher gestalten
- Zusammenarbeit mit Dritten: Externe Dienstleister und Auftragsverarbeiter prüfen
- Spezialthemen im klinischen Alltag
- Notfallplan bei Datenpannen: Richtig handeln bei einem Breach
- Faktor Mensch: Schulung, Zugriffsrechte und Rollenkonzepte
- Audit-Checkliste für den Datenschutz in Gesundheitseinrichtungen
- FAQ: Häufig gestellte Fragen aus der Praxis
- Anhang: Muster und Vorlagen
- Quellen und weiterführende Verweise
Kurzfassung und Kernempfehlungen
Ein robuster Datenschutz in Gesundheitseinrichtungen ist keine bürokratische Hürde, sondern die Grundlage für das Vertrauen zwischen Patienten und Behandlern. Gesundheitsdaten sind nach Artikel 9 der DSGVO besonders schützenswert. Kliniken und Praxen müssen daher einen systematischen Ansatz verfolgen, der rechtliche Vorgaben, klinische Prozesse und technische Sicherheitsmaßnahmen nahtlos integriert. Die Kernaufgaben umfassen die lückenlose Dokumentation von Datenverarbeitungen (VVT), die proaktive Risikobewertung bei neuen Technologien (DSFA) und die Implementierung starker technischer und organisatorischer Maßnahmen (TOMs). Dieser Leitfaden bietet praxisnahe Anleitungen und Vorlagen, um den Datenschutz in Ihrer Einrichtung rechtssicher und effizient zu gestalten.
Die rechtliche Basis: DSGVO und Schweigepflicht im Gesundheitswesen
Die Verarbeitung von Gesundheitsdaten unterliegt strengsten gesetzlichen Regelungen. Das Verständnis dieser Grundlagen ist essenziell für einen funktionierenden Datenschutz in Gesundheitseinrichtungen.
Besondere Schutzbedürftigkeit nach Art. 9 DSGVO
Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der expliziten Ausnahmen greift. Für Gesundheitseinrichtungen sind vor allem diese relevant:
- Art. 9 Abs. 2 lit. h DSGVO: Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich.
- Art. 9 Abs. 2 lit. a DSGVO: Die ausdrückliche Einwilligung des Patienten für einen oder mehrere festgelegte Zwecke.
Jede Datenverarbeitung benötigt zudem eine allgemeine Rechtsgrundlage nach Art. 6 DSGVO, meist der Behandlungsvertrag (Art. 6 Abs. 1 lit. b DSGVO).
Ärztliche Schweigepflicht nach § 203 StGB
Parallel zur DSGVO schützt der § 203 des Strafgesetzbuches (StGB) das Berufsgeheimnis. Ein Verstoß gegen die ärztliche Schweigepflicht kann strafrechtliche Konsequenzen haben. Datenschutzmaßnahmen in Kliniken und Praxen müssen daher immer auch sicherstellen, dass unbefugte Dritte keinen Zugang zu Patientengeheimnissen erhalten.
Der Weg der Patientendaten: Datenflüsse von der Aufnahme bis zur Abrechnung abbilden
Um den Datenschutz in Gesundheitseinrichtungen wirksam zu steuern, müssen Sie wissen, welche Daten wo, wie und warum verarbeitet werden. Das systematische Erfassen des Datenflusses (Data Mapping) ist der erste Schritt.
Typischer Datenlebenszyklus eines Patienten
- Patientenaufnahme: Erfassung von Stammdaten, Anamnesebogen, Versicherungsinformationen, Einholung von Einwilligungen. Transparenz durch Informationspflichten nach Art. 13/14 DSGVO.
- Behandlung und Dokumentation: Erstellung und Pflege der Patientenakte (digital oder analog), Verarbeitung von Befunden, Diagnosen, Medikationsplänen im Krankenhausinformationssystem (KIS) oder Praxisverwaltungssystem (PVS).
- Interne Kommunikation: Fallbesprechungen, Übergaben zwischen Abteilungen. Der Zugriff muss auf das Notwendige beschränkt sein (“Need-to-know”-Prinzip).
- Externe Kommunikation und Datentransfer: Übermittlung von Befunden an weiterbehandelnde Ärzte, Labore oder Therapeuten. Dies erfordert eine Rechtsgrundlage oder eine Schweigepflichtentbindung.
- Abrechnung: Übermittlung von Leistungsdaten an Krankenkassen oder private Verrechnungsstellen.
- Archivierung und Löschung: Sichere Aufbewahrung gemäß gesetzlicher Fristen (z. B. 10 Jahre für Patientenakten) und anschließende datenschutzkonforme Vernichtung oder Löschung.
Risikomanagement: DSFA und VVT als zentrale Werkzeuge
Zwei zentrale Instrumente der DSGVO helfen dabei, die Datenverarbeitung zu strukturieren und Risiken zu managen: das Verzeichnis von Verarbeitungstätigkeiten (VVT) und die Datenschutz-Folgenabschätzung (DSFA).
Datenschutz-Folgenabschätzung (DSFA) Schritt für Schritt
Eine Datenschutz-Folgenabschätzung (DSFA) ist immer dann erforderlich, wenn eine geplante Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist bei der Verarbeitung von Gesundheitsdaten in großem Umfang regelmäßig der Fall, z. B. bei der Einführung eines neuen KIS oder einer Telemedizin-Plattform.
Ablauf einer DSFA:
- Schritt 1: Systematische Beschreibung: Was ist der Zweck der Verarbeitung? Welche Datenkategorien sind betroffen? Wer hat Zugriff?
- Schritt 2: Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung zur Zweckerreichung erforderlich? Gibt es mildere Mittel?
- Schritt 3: Risikoanalyse: Welche potenziellen Risiken für Patienten bestehen (z. B. unbefugter Zugriff, Datenverlust, Diskriminierung)? Wie hoch ist die Eintrittswahrscheinlichkeit und der mögliche Schaden?
- Schritt 4: Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen (TOMs) werden ergriffen, um die identifizierten Risiken zu minimieren?
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das zentrale Dokumentationsinstrument. Es listet alle Prozesse auf, bei denen personenbezogene Daten verarbeitet werden. Für jede Tätigkeit müssen unter anderem die Zwecke, die Datenkategorien, die Empfänger und die Löschfristen dokumentiert werden.
Typische Verarbeitungstätigkeiten in einer Klinik:
- Patientenverwaltung und -behandlung
- Personalverwaltung
- Abrechnung mit Kostenträgern
- Videoüberwachung von Eingangsbereichen
- Betrieb der Webseite mit Kontaktformular
- Qualitätssicherung und Forschung
Die digitale Festung: Technische und Organisatorische Maßnahmen (TOMs)
Der Schutz von Gesundheitsdaten erfordert eine robuste IT-Sicherheitsarchitektur. Die folgenden TOMs sind für den Datenschutz in Gesundheitseinrichtungen unerlässlich.
- Verschlüsselung: Alle Übertragungswege (E-Mail, Datenleitungen) müssen stark verschlüsselt sein (TLS 1.2/1.3). Datenträger auf Servern und mobilen Geräten (Laptops, Smartphones) müssen ebenfalls verschlüsselt werden (Data-at-Rest-Verschlüsselung).
- Identitäts- und Zugriffsmanagement (IAM): Ein striktes rollen- und rechtebasiertes Zugriffskonzept stellt sicher, dass Mitarbeiter nur die Daten einsehen können, die sie für ihre jeweilige Aufgabe benötigen (z. B. Pflegepersonal vs. Verwaltung).
- Multi-Faktor-Authentifizierung (MFA): Der Zugriff auf kritische Systeme wie das KIS oder PVS muss ab 2025 standardmäßig durch einen zweiten Faktor (z. B. App-Token, SMS-Code) abgesichert werden.
- Protokollierung (Logging): Jeder Zugriff auf Patientendaten muss nachvollziehbar protokolliert werden. Dies dient der Aufklärung von Sicherheitsvorfällen und der Kontrolle.
- Backup und Notfallwiederherstellung: Regelmäßige, getestete Backups sind essenziell, um Datenverfügbarkeit nach einem Systemausfall oder Ransomware-Angriff sicherzustellen.
Moderne Patientenkommunikation: E-Mail, SMS und Messenger sicher gestalten
Die Kommunikation mit Patienten über digitale Kanäle birgt hohe Risiken. Hier ist besondere Vorsicht geboten.
E-Mail und SMS
Der Versand von Gesundheitsdaten per unverschlüsselter E-Mail oder SMS ist grundsätzlich unzulässig. Eine Ausnahme besteht nur bei einer ausdrücklichen, informierten und freiwilligen Einwilligung des Patienten, nachdem dieser über die Risiken (z. B. fehlende Verschlüsselung, Mitlesen durch Dritte) aufgeklärt wurde. Für den regelmäßigen Austausch sollten sichere Portallösungen oder verschlüsselte E-Mail-Verfahren (z. B. S/MIME, PGP) etabliert werden.
Messenger-Dienste wie WhatsApp
Die Nutzung von Standard-Messengern wie WhatsApp zur Übermittlung von Patientendaten ist nicht datenschutzkonform. Die Anbieter verarbeiten Metadaten und teilweise Adressbuchdaten für eigene Zwecke, was mit der ärztlichen Schweigepflicht und der DSGVO unvereinbar ist. Es müssen spezielle, für das Gesundheitswesen konzipierte und sichere Messenger-Lösungen eingesetzt werden.
Zusammenarbeit mit Dritten: Externe Dienstleister und Auftragsverarbeiter prüfen
Keine Gesundheitseinrichtung arbeitet isoliert. Ob IT-Dienstleister, Labor, Abrechnungsstelle oder Cloud-Anbieter – bei der Weitergabe von Daten an Dritte müssen die Regeln der Auftragsverarbeitung beachtet werden.
Der Auftragsverarbeitungsvertrag (AVV)
Sobald ein externer Dienstleister im Auftrag und nach Weisung Ihrer Einrichtung personenbezogene Daten verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag regelt die Rechte und Pflichten beider Seiten, insbesondere die Einhaltung der Sicherheitsmaßnahmen.
Checkliste zur Dienstleisterprüfung
- Liegt ein gültiger AVV vor?
- Wo werden die Daten verarbeitet (Standort EU/EWR bevorzugt)?
- Welche technischen und organisatorischen Maßnahmen weist der Dienstleister nach (z. B. ISO 27001 Zertifizierung)?
- Sind die Subunternehmer des Dienstleisters im AVV aufgeführt und genehmigt?
- Sind die Kontroll- und Weisungsrechte der Einrichtung klar definiert?
Spezialthemen im klinischen Alltag
Elektronische Patientenakte (ePA)
Die elektronische Patientenakte (ePA) stellt besondere Anforderungen an den Datenschutz. Das Kernprinzip ist die Datenhoheit des Patienten. Er allein entscheidet, welche Daten in der ePA gespeichert und welcher Arzt darauf zugreifen darf. Gesundheitseinrichtungen müssen die technischen und organisatorischen Prozesse schaffen, um dieses feingranulare Berechtigungsmanagement umzusetzen.
Bild- und Videodokumentation
Fotos oder Videos von Patienten sind Gesundheitsdaten von höchster Sensibilität. Ihre Anfertigung und Nutzung (z. B. für die Dokumentation, Lehre oder Veröffentlichungen) erfordert eine gesonderte, zweckgebundene Einwilligung. Dienstliche Aufnahmen dürfen niemals mit privaten Geräten erstellt werden.
Umgang mit Daten von Minderjährigen
Daten von Kindern und Jugendlichen genießen einen besonderen Schutz. Einwilligungen in Datenverarbeitungen müssen in der Regel von den Sorgeberechtigten erteilt werden. Ab einem gewissen Alter (oft ab 16 Jahren, im Einzelfall früher) können Minderjährige je nach Einsichtsfähigkeit auch selbst einwilligen.
Notfallplan bei Datenpannen: Richtig handeln bei einem Breach
Trotz bester Vorkehrungen kann es zu einer Datenpanne kommen. Ein strukturierter Notfallplan ist entscheidend, um den Schaden zu begrenzen und gesetzliche Pflichten zu erfüllen.
Meldepflichten nach Art. 33 DSGVO
Eine Verletzung des Schutzes personenbezogener Daten muss unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden, es sei denn, die Panne führt voraussichtlich nicht zu einem Risiko für die Betroffenen.
Checkliste für den Ernstfall
- Sofortmaßnahmen: Lücke schließen, Schaden eindämmen (z. B. System vom Netz nehmen).
- Analyse: Was ist passiert? Welche Daten sind betroffen? Wie viele Personen sind betroffen?
- Risikobewertung: Besteht ein hohes Risiko für die Rechte und Freiheiten der Betroffenen?
- Meldung an die Behörde: Wenn ein Risiko besteht, innerhalb von 72 Stunden melden.
- Benachrichtigung der Betroffenen: Wenn ein hohes Risiko besteht, müssen die Patienten unverzüglich informiert werden.
- Dokumentation: Jeden Vorfall intern lückenlos dokumentieren, auch wenn er nicht meldepflichtig war.
Faktor Mensch: Schulung, Zugriffsrechte und Rollenkonzepte
Der beste technische Schutz ist wirkungslos, wenn die Mitarbeiter nicht sensibilisiert sind. Der Faktor Mensch ist ein zentraler Baustein für den Datenschutz in Gesundheitseinrichtungen.
Regelmäßige und verpflichtende Datenschutzschulungen für alle Mitarbeiter sind unerlässlich. Inhalte sollten die Grundlagen der DSGVO, die ärztliche Schweigepflicht, den Umgang mit Passwörtern und die Erkennung von Phishing-Mails umfassen. Ein klares, dokumentiertes und regelmäßig überprüftes Rollen- und Berechtigungskonzept stellt sicher, dass das “Need-to-know”-Prinzip in der Praxis gelebt wird.
Audit-Checkliste für den Datenschutz in Gesundheitseinrichtungen
Nutzen Sie diese Fragen zur regelmäßigen Selbstkontrolle oder zur Vorbereitung auf externe Prüfungen:
- Ist ein Datenschutzbeauftragter (DSB) benannt und der Behörde gemeldet?
- Ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) vollständig und aktuell?
- Werden Datenschutz-Folgenabschätzungen bei neuen Prozessen systematisch durchgeführt?
- Sind alle technischen und organisatorischen Maßnahmen (TOMs) dokumentiert und auf ihre Wirksamkeit geprüft?
- Existieren mit allen Auftragsverarbeitern gültige AV-Verträge?
- Finden regelmäßige Mitarbeiterschulungen statt und werden diese dokumentiert?
- Gibt es einen etablierten Prozess für den Umgang mit Betroffenenrechten (Auskunft, Löschung)?
- Ist der Notfallplan für Datenpannen aktuell und allen relevanten Personen bekannt?
FAQ: Häufig gestellte Fragen aus der Praxis
Dürfen wir Patientendaten für Forschungszwecke nutzen?
Die Nutzung von Patientendaten für die Forschung ist ein eigener Zweck und vom Behandlungsvertrag nicht abgedeckt. Sie erfordert in der Regel eine gesonderte, informierte Einwilligung des Patienten. Eine Alternative ist die vollständige Anonymisierung der Daten, sodass kein Personenbezug mehr herstellbar ist.
Wie lange müssen wir Patientenakten aufbewahren?
Die gesetzliche Aufbewahrungsfrist für ärztliche Unterlagen beträgt nach § 630f BGB in der Regel 10 Jahre nach Abschluss der Behandlung. Es können sich aus anderen Vorschriften (z. B. Strahlenschutzverordnung) längere Fristen ergeben.
Was tun, wenn ein Patient seine Daten gelöscht haben will?
Dem Recht auf Löschung (“Recht auf Vergessenwerden”, Art. 17 DSGVO) muss grundsätzlich nachgekommen werden. Allerdings stehen dem oft gesetzliche Aufbewahrungspflichten entgegen. Solange eine solche Pflicht besteht, werden die Daten nicht gelöscht, aber für andere Verarbeitungen gesperrt.
Anhang: Muster und Vorlagen
Musterformulierung für eine Einwilligung
„Hiermit willige ich, [Name des Patienten], freiwillig ein, dass [Name der Einrichtung] meinen Befund [konkrete Bezeichnung] per unverschlüsselter E-Mail an meine Adresse [E-Mail-Adresse] sendet. Ich wurde darüber aufgeklärt, dass bei einer unverschlüsselten E-Mail das Risiko besteht, dass unbefugte Dritte die Inhalte mitlesen können. Diese Einwilligung kann ich jederzeit widerrufen.“
DPIA-Kurztemplate (Struktur)
- Beschreibung der Verarbeitung: Zweck, Art, Umfang und Kontext.
- Bewertung der Notwendigkeit und Verhältnismäßigkeit.
- Risikoidentifikation: Quelle, Art und Schwere der Risiken für Betroffene.
- Geplante Abhilfemaßnahmen: TOMs zur Risikominimierung.
- Bewertung des Restrisikos.
RoPA-Beispiel (Struktur einer Verarbeitungstätigkeit)
| Feld | Beispiel: Patientenverwaltung |
|---|---|
| Verarbeitungstätigkeit | Patientenstamm- und Behandlungsdatenverwaltung |
| Zweck | Medizinische Behandlung, Dokumentation, Abrechnung |
| Betroffene Personen | Patienten |
| Datenkategorien | Stammdaten, Kontaktdaten, Versicherungsdaten, Gesundheitsdaten (Diagnosen, Befunde) |
| Empfänger | Krankenkassen, weiterbehandelnde Ärzte, externe Labore |
| Drittlandtransfer | Nein |
| Löschfrist | 10 Jahre nach Behandlungsabschluss |
| TOMs (Verweis) | Siehe TOM-Dokumentation (Zugriffskontrolle, Verschlüsselung etc.) |