Datenschutz in Gesundheitseinrichtungen — Praxisleitfaden 2025

Datenschutz in Gesundheitseinrichtungen — Praxisleitfaden 2025

Datenschutz in Gesundheitseinrichtungen 2025: Der ultimative Leitfaden

Inhaltsverzeichnis

Einleitung: Datenschutzherausforderungen im Gesundheitswesen 2025

Das Jahr 2025 markiert einen Wendepunkt für den Datenschutz in Gesundheitseinrichtungen. Die fortschreitende Digitalisierung, angetrieben durch Gesetze wie das Digital-Gesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG), stellt Krankenhäuser, Arztpraxen und Pflegeeinrichtungen vor immense Herausforderungen. Die flächendeckende Einführung der elektronischen Patientenakte (ePA) und der zunehmende Einsatz von Telemedizin und KI-gestützten Systemen erhöhen die Komplexität. Ein proaktives und lückenloses Datenschutzmanagement ist nicht länger nur eine rechtliche Pflicht, sondern ein entscheidender Faktor für das Vertrauen der Patienten und die Abwehr von Cyberangriffen. Dieser Leitfaden bietet Ihnen praxisorientierte Handlungsempfehlungen, um die Einhaltung der Vorschriften sicherzustellen und Patientendaten wirksam zu schützen.

Rechtliche Grundlagen: Art. 6 und Art. 9 DSGVO im Praxisalltag

Die Datenschutz-Grundverordnung (DSGVO, auf Englisch General Data Protection Regulation oder GDPR) bildet das Fundament für den Datenschutz in Gesundheitseinrichtungen. Zwei Artikel sind hierbei von zentraler Bedeutung:

  • Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung: Jede Datenverarbeitung benötigt eine Rechtsgrundlage. Im Gesundheitswesen ist dies oft der Behandlungsvertrag (Art. 6 Abs. 1 lit. b DSGVO) oder eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), beispielsweise zur Dokumentation.
  • Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten: Gesundheitsdaten genießen einen besonders hohen Schutz. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der strengen Ausnahmen des Art. 9 Abs. 2 DSGVO greift. Für Kliniken und Praxen ist insbesondere Art. 9 Abs. 2 lit. h DSGVO relevant: die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik oder der Behandlung erforderlich.

In der Praxis bedeutet dies: Die Verarbeitung von Patientendaten ist zulässig, solange sie direkt dem Behandlungszweck dient und von Fachpersonal unter Wahrung der ärztlichen Schweigepflicht durchgeführt wird. Für jede darüber hinausgehende Verarbeitung, wie die Teilnahme an einer klinischen Studie oder die Weitergabe von Daten zu Forschungszwecken, ist eine explizite und informierte Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO) unerlässlich.

Besonderheiten nach nationalem Recht und aktuelle Gesetzesentwicklung

Neben der DSGVO prägen nationale Gesetze den Datenschutz im Gesundheitswesen. Dazu zählen das Bundesdatenschutzgesetz (BDSG), die Landeskrankenhausgesetze und insbesondere die Sozialgesetzbücher (SGB V und SGB X). Mit den Digitalisierungsgesetzen von 2025 kommen weitere spezifische Regelungen hinzu, die den Austausch und die Nutzung von Gesundheitsdaten, etwa über die ePA, detailliert steuern. Einrichtungen müssen ihre Prozesse an diese neuen Rahmenbedingungen anpassen und sicherstellen, dass alle nationalen Vorgaben erfüllt werden.

Elektronische Patientenakte (ePA): Risiken, Schnittstellen und Compliance

Die elektronische Patientenakte (ePA) ist ein zentrales Element der Digitalisierungsstrategie. Ihre Integration in die Krankenhaus- und Praxisinformationssysteme (KIS/PVS) birgt jedoch erhebliche Datenschutzrisiken. Es ist entscheidend, die Compliance-Anforderungen strikt umzusetzen.

Risiken und Herausforderungen

  • Unberechtigter Zugriff: Sowohl interne als auch externe Akteure könnten versuchen, auf sensible ePA-Daten zuzugreifen.
  • Sicherheit der Schnittstellen: Die Anbindung der ePA an die eigene IT-Infrastruktur über Konnektoren der Telematikinfrastruktur (TI) muss lückenlos abgesichert sein.
  • Datenintegrität: Die Korrektheit und Vollständigkeit der in die ePA eingestellten Daten muss jederzeit gewährleistet sein.

Compliance-Anforderungen für 2025

Für einen rechtskonformen Umgang mit der ePA sind folgende Punkte entscheidend:

  • Granulares Berechtigungsmanagement: Patienten müssen die Möglichkeit haben, feingranular zu steuern, welche Einrichtung oder welcher Arzt auf welche Dokumente zugreifen darf. Ihre Systeme müssen diese Berechtigungen technisch umsetzen und respektieren.
  • Protokollierungspflicht: Jeder Zugriff auf die ePA muss lückenlos protokolliert werden. Diese Protokolle müssen für den Patienten einsehbar sein.
  • Patienteneinwilligung: Obwohl die ePA für gesetzlich Versicherte als Opt-out-Lösung eingeführt wird, basiert der konkrete Zugriff durch eine Einrichtung auf einer aktiven Berechtigung durch den Patienten.

Technische Maßnahmen (TOMs): Ein Muss für jede Einrichtung

Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO sind das Rückgrat für einen effektiven Datenschutz in Gesundheitseinrichtungen. Sie müssen dem Stand der Technik entsprechen und das spezifische Risiko für Patientendaten berücksichtigen.

Essenzielle technische Maßnahmen

  • Verschlüsselung: Alle Patientendaten müssen sowohl bei der Speicherung (at rest) als auch bei der Übertragung (in transit) stark verschlüsselt werden. Dies gilt für interne Netzwerke, Backups und die Kommunikation nach außen.
  • Zugriffskontrolle: Implementieren Sie ein strenges, rollenbasiertes Zugriffskonzept (RBAC). Jeder Mitarbeiter darf nur auf die Daten zugreifen, die er für seine spezifische Aufgabe benötigt (“Need-to-know”-Prinzip). Der Einsatz von Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu KIS und PVS ist ab 2025 Standard.
  • Protokollierung: Alle Zugriffe auf Patientendaten müssen revisionssicher protokolliert werden. Die Protokolle sollten regelmäßig (automatisiert) auf verdächtige Aktivitäten überprüft werden.
  • Backup und Wiederherstellung: Regelmäßige, verschlüsselte und geografisch getrennt gelagerte Backups sind unerlässlich, um nach einem Ransomware-Angriff oder Systemausfall den Betrieb schnell wiederherstellen zu können. Testen Sie die Wiederherstellungsprozesse regelmäßig.

Organisatorische Maßnahmen (OMs): Prozesse, die Sicherheit schaffen

Technik allein genügt nicht. Klare organisatorische Regelungen und geschulte Mitarbeiter sind ebenso wichtig für den Datenschutz.

  • Rollen und Verantwortlichkeiten: Definieren Sie klar, wer im Haus für welche Datenschutzthemen verantwortlich ist. Benennen Sie einen (internen oder externen) Datenschutzbeauftragten, der die Leitung berät und die Einhaltung der Vorschriften überwacht.
  • Mitarbeiterschulungen: Führen Sie verpflichtende und regelmäßige Datenschutzschulungen für alle Mitarbeiter durch. Sensibilisieren Sie insbesondere für Phishing-Gefahren und den korrekten Umgang mit Patientendaten im Alltag. Dokumentieren Sie die Teilnahme.
  • Zugriffsprozesse: Etablieren Sie formale Prozesse für die Vergabe, Änderung und den Entzug von Zugriffsrechten. Scheidet ein Mitarbeiter aus, müssen alle Zugänge unverzüglich gesperrt werden.

Auftragsverarbeitung (AVV): So wählen Sie Dienstleister sicher aus

Wenn externe Dienstleister (z. B. für die IT-Wartung, Laborleistungen oder Software-as-a-Service) Patientendaten verarbeiten, liegt eine Auftragsverarbeitung vor. Ein lückenloser Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO ist zwingend erforderlich.

Kriterien für die Auswahl und Prüfung von Dienstleistern

  • Nachweis über TOMs: Fordern Sie vom Dienstleister eine detaillierte Beschreibung seiner technischen und organisatorischen Maßnahmen. Zertifizierungen (z. B. nach ISO 27001) können ein Indikator für ein hohes Sicherheitsniveau sein.
  • Standort der Datenverarbeitung: Bevorzugen Sie Dienstleister, die Daten ausschließlich innerhalb der EU/des EWR verarbeiten. Bei einer Verarbeitung in Drittländern müssen zusätzliche Garantien (z. B. Standardvertragsklauseln) vorhanden sein.
  • Prüf- und Weisungsrechte: Der AVV muss Ihnen umfassende Kontrollrechte einräumen, um die Einhaltung der Datenschutzpflichten beim Dienstleister überprüfen zu können.

Ein Muster-AVV für Gesundheitseinrichtungen sollte spezifische Klauseln zur Wahrung der ärztlichen Schweigepflicht, zu den Meldepflichten bei Datenpannen und zur sicheren Löschung von Daten nach Vertragsende enthalten.

Datenschutz-Folgenabschätzung (DSFA): Schritt-für-Schritt-Anleitung

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann durchzuführen, wenn eine neue Verarbeitungstechnologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist bei der Verarbeitung von Gesundheitsdaten in großem Umfang, wie bei der Einführung eines neuen KIS oder der ePA-Anbindung, regelmäßig der Fall.

Beispiel-DSFA für einen digitalen Aufnahmeprozess

Angenommen, eine Klinik führt ein neues Tablet-basiertes System zur digitalen Patientenaufnahme inklusive Anamnesebogen ein.

Schritt Beschreibung Beispiel
1. Systematische Beschreibung Art, Umfang, Kontext und Zwecke der Verarbeitung beschreiben. Patienten geben ihre Stammdaten, Versicherungsdaten und Gesundheitsdaten (Anamnese) über ein verschlüsseltes Tablet in das KIS ein. Zweck: Effiziente und fehlerfreie Patientenaufnahme.
2. Notwendigkeit und Verhältnismäßigkeit Prüfen, ob die Verarbeitung zur Zweckerreichung erforderlich ist. Digitale Erfassung vermeidet Medienbrüche und Übertragungsfehler, ist somit notwendig und verhältnismäßig. Datenminimierung wird durch Pflichtfelder sichergestellt.
3. Risikoanalyse Risiken für die Rechte und Freiheiten der Patienten identifizieren und bewerten. Risiken: Diebstahl des Tablets, unbefugter Zugriff auf Daten im WLAN, Kompromittierung des KIS. Wahrscheinlichkeit und möglicher Schaden werden bewertet.
4. Abhilfemaßnahmen Maßnahmen zur Risikominimierung planen und festlegen. Maßnahmen: Festplattenverschlüsselung auf dem Tablet, sicheres WLAN (WPA3), rollenbasiertes Zugriffskonzept im KIS, regelmäßige Sicherheitstests.

Incident-Response und Meldepflichten bei Datenpannen

Trotz bester Vorkehrungen kann es zu einer Datenschutzverletzung (Datenpanne) kommen. Ein strukturierter Notfallplan (Incident-Response-Plan) ist entscheidend.

  • Fristen: Eine meldepflichtige Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO).
  • Dokumentation: Alle Vorfälle, ob meldepflichtig oder nicht, müssen intern lückenlos dokumentiert werden. Diese Dokumentation dient als Nachweis Ihrer Rechenschaftspflicht.
  • Kommunikationsfluss: Legen Sie klar fest, wer im Falle einer Panne wen informiert (Mitarbeiter -> Vorgesetzter -> Datenschutzbeauftragter -> Geschäftsleitung).
  • Patientenbenachrichtigung: Besteht durch die Panne ein hohes Risiko für die persönlichen Rechte und Freiheiten der Patienten, müssen auch diese unverzüglich informiert werden (Art. 34 DSGVO).

Patientenkommunikation sicher gestalten

Die Kommunikation mit Patienten über unsichere Kanäle wie unverschlüsselte E-Mails, SMS oder Messenger-Dienste (z. B. WhatsApp) ist hochproblematisch und birgt erhebliche Risiken.

  • Einwilligung: Für die Nutzung solcher Kanäle benötigen Sie eine explizite, informierte und freiwillige Einwilligung des Patienten, nachdem Sie ihn über die Risiken (z. B. fehlende Ende-zu-Ende-Verschlüsselung) aufgeklärt haben.
  • Sichere Alternativen: Etablieren Sie sichere Kommunikationswege wie verschlüsselte Patientenportale oder bieten Sie eine gesicherte E-Mail-Kommunikation (z. B. via S/MIME oder PGP) an.
  • Datenminimierung: Versenden Sie niemals mehr sensible Informationen als absolut notwendig. Diagnosen oder detaillierte Befunde haben in einer unverschlüsselten E-Mail nichts zu suchen.

Datenminimierung und Speicherfristen in klinischen Prozessen

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) besagt, dass nur die Daten verarbeitet werden dürfen, die für den Zweck unbedingt erforderlich sind. Nach Zweckerfüllung und Ablauf gesetzlicher Aufbewahrungsfristen (z. B. 10 Jahre für Patientenakten nach § 630f BGB) müssen die Daten sicher gelöscht werden. Erstellen Sie ein Löschkonzept, das diese Fristen berücksichtigt und die technische Umsetzung der Löschung regelt.

Sonderfälle: Kinder, Jugendliche und besonders schützenswerte Patientengruppen

Bei der Behandlung von Minderjährigen ist die Einwilligung der Sorgeberechtigten erforderlich. Je nach Einsichtsfähigkeit des Jugendlichen sollte dieser zusätzlich in die Entscheidungen einbezogen werden. Bei nicht einwilligungsfähigen Erwachsenen (z. B. aufgrund von Demenz) sind die Regelungen zur gesetzlichen Betreuung zu beachten. Der Datenschutz muss in diesen Fällen besonders sensibel gehandhabt werden.

Kontrollen und Audit-Checkliste für interne Prüfungen

Regelmäßige interne Audits helfen dabei, die Wirksamkeit Ihrer Datenschutzmaßnahmen zu überprüfen und Schwachstellen aufzudecken. Eine einfache Checkliste kann folgende Punkte umfassen:

  • Sind alle AV-Verträge aktuell und vollständig?
  • Wurden die Zugriffsberechtigungen ausgeschiedener Mitarbeiter zeitnah entzogen?
  • Sind die Protokolle der Datenzugriffe vollständig und werden sie ausgewertet?
  • Wurden alle Mitarbeiter im letzten Jahr nachweislich geschult?
  • Ist der Incident-Response-Plan bekannt und aktuell?
  • Entspricht das Löschkonzept den gesetzlichen Fristen?

Vorlagen und Mustersätze für die Praxis

Standardisierte Vorlagen erhöhen die Effizienz und Rechtssicherheit. Es empfiehlt sich, anwaltlich geprüfte Mustersätze für zentrale Prozesse zu entwickeln und zu nutzen, beispielsweise für:

  • Einwilligungserklärungen (z. B. für Privatabrechnung, Fotodokumentation)
  • Patienteninformationen nach Art. 13 DSGVO
  • Verpflichtungserklärungen für Mitarbeiter auf das Datengeheimnis
  • Protokollformate für Datenpannen und Zugriffsprüfungen

Ein funktionierendes System für den Datenschutz in Gesundheitseinrichtungen ist eine Daueraufgabe, die eine kontinuierliche Anpassung an neue Technologien und rechtliche Vorgaben erfordert. Mit den hier vorgestellten Maßnahmen legen Sie jedoch ein solides Fundament für das Vertrauen Ihrer Patienten und die Sicherheit Ihrer Einrichtung in 2025 und darüber hinaus.

Anhang: Weiterführende Links und Ressourcen

Für vertiefende Informationen und offizielle Leitlinien können Sie die Webseiten der Datenschutz-Aufsichtsbehörden konsultieren. Die zentrale Anlaufstelle auf Bundesebene ist:

Zusätzlich bieten Fachverbände wie der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. oder die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. wertvolle branchenspezifische Hilfestellungen und Netzwerkmöglichkeiten.