Datenschutzpraxis im Gesundheitswesen: Leitfaden für Einrichtungen

Datenschutzpraxis im Gesundheitswesen: Leitfaden für Einrichtungen

Inhaltsverzeichnis

Einleitung — Warum Datenschutz in der Gesundheitsbranche entscheidend ist

Der Datenschutz in der Gesundheitsbranche ist mehr als eine gesetzliche Verpflichtung – er ist die Grundlage für das Vertrauensverhältnis zwischen medizinischem Personal und Patientinnen und Patienten. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Sie geben tiefe Einblicke in die körperliche und seelische Verfassung eines Menschen. Ein unsachgemäßer Umgang kann nicht nur zu rechtlichen Konsequenzen und hohen Bußgeldern führen, sondern auch das Ansehen einer Einrichtung nachhaltig schädigen und das Wohl der Betroffenen gefährden. Dieser Leitfaden richtet sich an Datenschutzbeauftragte, Praxisleitungen und IT-Verantwortliche und bietet praxisnahe Hilfestellungen, um die komplexen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und nationaler Gesetze sicher zu meistern.

Kernbegriffe kurz erklärt

Um den Datenschutz in der Gesundheitsbranche korrekt umzusetzen, ist ein klares Verständnis der zentralen Begriffe unerlässlich.

Personenbezogene Daten

Dies sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Gesundheitswesen sind das nicht nur Name und Adresse, sondern auch die Krankenversicherungsnummer, Termindaten oder die bloße Tatsache, dass jemand Patient in einer bestimmten Facharztpraxis ist.

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Hierunter fallen die besonders schützenswerten Gesundheitsdaten. Der Begriff ist weit gefasst und umfasst alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Dazu gehören:

  • Diagnosen und Befunde
  • Anamnesebögen
  • Laborwerte und Röntgenbilder
  • Informationen über verschriebene Medikamente
  • Genetische und biometrische Daten

Die Verarbeitung dieser Daten ist grundsätzlich untersagt, es sei denn, es liegt eine explizite Ausnahme vor, wie zum Beispiel die Einwilligung des Patienten oder die Notwendigkeit zur medizinischen Behandlung (Art. 9 Abs. 2 DSGVO).

Rechtsrahmen und relevante Vorschriften

Der rechtliche Rahmen für den Datenschutz in der Gesundheitsbranche ist vielschichtig und anspruchsvoll. Die wichtigsten Regelwerke sind:

  • Datenschutz-Grundverordnung (DSGVO): Als europäische Verordnung hat die DSGVO (auf Englisch GDPR, General Data Protection Regulation) direkten Vorrang und setzt den Standard für den Schutz personenbezogener Daten. Sie regelt Grundsätze der Verarbeitung, Betroffenenrechte und Pflichten der Verantwortlichen.
  • Nationale Regelungen: Neben der DSGVO gelten spezifische nationale Gesetze. Dazu gehören die Berufsordnungen der Ärzte- und Apothekerkammern mit ihrer Schweigepflicht, die Krankenhausgesetze der Länder und das Fünfte Buch Sozialgesetzbuch (SGB V) für den Bereich der gesetzlichen Krankenversicherung.
  • Datenschutz- und Datenschutz im digitalen Bereich-Gesetz (§ 5 DDG): Das DDG regelt spezifische Aspekte des Datenschutzes in der Telekommunikation und bei Telemedien. Es hat seine Wurzeln im früheren Telemediengesetz (TMG) und ist relevant, wenn Praxen oder Kliniken Online-Dienste wie Terminbuchungsportale oder Patientenportale auf ihrer Webseite anbieten. § 5 DDG schützt insbesondere die Vertraulichkeit der Kommunikation bei der Nutzung solcher Dienste.

Elektronische Patientenakte und besondere Schutzbedürftigkeit

Die Einführung der elektronischen Patientenakte (ePA) stellt den Datenschutz in der Gesundheitsbranche vor neue Herausforderungen. Sie bündelt eine immense Menge hochsensibler Gesundheitsdaten an einem zentralen Ort. Dies erfordert höchste Sicherheitsstandards.

Anforderungen an Einwilligungen und Informationspflichten

Die Nutzung der ePA durch Patientinnen und Patienten ist freiwillig. Behandelnde benötigen für jeden Zugriff eine explizite und protokollierte Einwilligung. Diese muss granularen Zugriff ermöglichen, das heißt, der Patient kann entscheiden, welche Dokumente für wen sichtbar sind. Die Informationspflichten sind hier besonders streng: Praxen und Kliniken müssen transparent darüber aufklären, wer wann und zu welchem Zweck auf die ePA zugreift.

Formulierungsvorschlag für eine Einwilligung:
“Hiermit willige ich ein, dass Dr. med. [Name] zum Zweck der aktuellen Behandlung [Behandlungsanlass] auf die in meiner elektronischen Patientenakte (ePA) gespeicherten Dokumente der Kategorien [z. B. Arztbriefe, Laborbefunde] für die Dauer von [z. B. 7 Tagen] zugreifen darf. Mir ist bekannt, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen widerrufen kann.”

Auftragsverarbeitung mit externen Dienstleistern — Prüfpunkte

Selten können Praxen oder Kliniken alle IT-Aufgaben selbst erledigen. Ob Praxisverwaltungssoftware (PVS), externe Labore, Abrechnungsdienste oder IT-Wartung – sobald ein externer Dienstleister Zugriff auf Patientendaten hat, liegt eine Auftragsverarbeitung vor. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist hier zwingend erforderlich.

Checkliste zur Auswahl von Dienstleistern:

  • AVV vorhanden und konform? Bestehen Sie auf einen DSGVO-konformen Vertrag. Mustervorlagen sind oft unzureichend.
  • Standort des Dienstleisters: Befinden sich die Server und der Firmensitz innerhalb der EU oder des EWR? Bei Drittlandübermittlungen (z. B. in die USA) sind zusätzliche, komplexe Garantien erforderlich.
  • Zertifizierungen: Verfügt der Dienstleister über anerkannte Zertifikate (z. B. ISO 27001), die seine IT-Sicherheit belegen?
  • Technische und organisatorische Maßnahmen (TOM): Lassen Sie sich die TOM des Dienstleisters vorlegen. Sind diese für den Schutz von Gesundheitsdaten angemessen?
  • Weisungsgebundenheit und Kontrollrechte: Stellt der Vertrag sicher, dass der Dienstleister nur auf Ihre Weisung handelt und Sie Kontrollrechte haben?

Datenschutz-Folgenabschätzung: Wann und wie durchführen

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine neue Verarbeitungstechnologie voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Im Gesundheitswesen ist dies häufig der Fall, zum Beispiel bei:

  • Der Einführung eines neuen Krankenhausinformationssystems (KIS).
  • Der Nutzung von KI-basierten Diagnosetools.
  • Dem Aufbau einer umfangreichen Gendatenbank für Forschungszwecke.

Ablauf einer DSFA in einfachen Schritten:

  1. Systematische Beschreibung: Was soll verarbeitet werden? Welche Zwecke werden verfolgt?
  2. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Ist die Verarbeitung für den Zweck wirklich erforderlich?
  3. Risikobewertung: Welche Risiken (z. B. unbefugter Zugriff, Datenverlust) bestehen für die Patienten? Wie hoch ist die Eintrittswahrscheinlichkeit und der mögliche Schaden?
  4. Abhilfemaßnahmen: Welche technischen und organisatorischen Maßnahmen werden geplant, um die Risiken zu minimieren?

Ergibt die DSFA, dass ein hohes Restrisiko verbleibt, muss die zuständige Aufsichtsbehörde konsultiert werden.

Technische und organisatorische Maßnahmen (TOM) praxisnah

Die TOM sind das Herzstück des praktischen Datenschutzes. Es geht darum, konkrete Schutzmaßnahmen zu implementieren. Hier einige praxisnahe Beispiele für den Datenschutz in der Gesundheitsbranche:

  • Zugangskontrolle: Praxistüren und Serverräume sind abzuschließen. Bildschirme müssen bei Verlassen des Arbeitsplatzes gesperrt werden (Windows-Taste + L).
  • Zugriffskontrolle: Es muss ein detailliertes Rollen- und Berechtigungskonzept geben. Eine Pflegekraft benötigt andere Zugriffsrechte auf das KIS als ein Arzt oder die Verwaltung. Jeder Zugriff muss protokolliert werden.
  • Verschlüsselung: Alle mobilen Datenträger (Laptops, USB-Sticks) und die Festplatten der Arbeitsrechner müssen standardmäßig verschlüsselt sein. Der E-Mail-Versand von Patientendaten darf nur über gesicherte, Ende-zu-Ende-verschlüsselte Kanäle erfolgen.
  • Pseudonymisierung: Für Forschungszwecke oder statistische Auswertungen sollten Patientendaten pseudonymisiert werden, d. h., der direkte Personenbezug wird durch ein Kennzeichen (z. B. eine Nummer) ersetzt.
  • Datensicherung: Regelmäßige, verschlüsselte Backups sind Pflicht. Die Wiederherstellbarkeit der Daten muss regelmäßig getestet werden.

Kommunikation mit Patientinnen und Patienten

Die Kommunikation über moderne Kanäle birgt Risiken. Messenger-Dienste wie WhatsApp sind für den Austausch von Gesundheitsdaten in der Regel ungeeignet, da die Datenverarbeitung durch den Anbieter (Meta) intransparent ist und oft in den USA stattfindet.

  • E-Mail: Der Versand sensibler Daten wie Befunde per unverschlüsselter E-Mail ist ein schwerwiegender Verstoß. Nutzen Sie stattdessen sichere Patientenportale oder Transportverschlüsselung und holen Sie eine explizite, informierte Einwilligung des Patienten ein, die auch auf die Risiken hinweist.
  • SMS und Messenger: Reine Terminerinnerungen ohne Nennung von Details zur Behandlung können zulässig sein, wenn eine Einwilligung vorliegt. Jegliche inhaltliche Kommunikation ist zu vermeiden.

Fallbeispiel: Eine radiologische Praxis verschickt einen Link zum Abruf von Bildern per SMS. Der Link ist nicht personalisiert oder passwortgeschützt. Jeder, der die SMS abfängt, kann auf die hochsensiblen Bilder zugreifen. Dies stellt eine schwere Datenschutzverletzung dar.

Umgang mit Foto und Video bei Veranstaltungen

Fotos von Praxisjubiläen, Tagen der offenen Tür oder Fortbildungen sind eine gute Sache für die Öffentlichkeitsarbeit. Doch Vorsicht: Sobald Personen erkennbar sind, handelt es sich um personenbezogene Daten. Es ist eine informierte Einwilligung der abgebildeten Personen (Mitarbeiter, Besucher, Patienten) erforderlich, bevor die Bilder veröffentlicht werden (z. B. auf der Webseite oder in sozialen Medien). Weisen Sie bereits am Eingang mit Schildern darauf hin, dass fotografiert wird, und geben Sie eine Möglichkeit zum Widerspruch.

Kinder- und Jugenddaten im Gesundheitskontext

Die Daten von Kindern und Jugendlichen genießen einen besonderen Schutz. Bei der Verarbeitung dieser Daten ist in der Regel die Einwilligung der Sorgeberechtigten erforderlich. Ab wann ein Jugendlicher selbst einwilligen kann (Einsichtsfähigkeit), hängt vom Einzelfall ab. In der Regel wird dies ab einem Alter von 16 Jahren angenommen, bei medizinischen Behandlungen kann dies jedoch je nach Reife des Jugendlichen auch früher der Fall sein. Die Dokumentation hierzu ist entscheidend.

Rolle des internen Datenschutzbeauftragten und Schulungen

Der Datenschutzbeauftragte (DSB) ist zentraler Ansprechpartner für alle Fragen rund um den Datenschutz in der Gesundheitsbranche. Er berät, überwacht und schult. Seine Aufgabe ist es nicht, den Datenschutz allein umzusetzen, sondern die Leitungsebene dabei zu unterstützen.

Essentiell sind regelmäßige Schulungen für alle Mitarbeiterinnen und Mitarbeiter. Jeder, der mit Patientendaten arbeitet, muss für die Risiken sensibilisiert sein. Wichtige Schulungsinhalte sind:

  • Grundsätze der DSGVO
  • Umgang mit der ärztlichen Schweigepflicht
  • Sichere Passwortvergabe und Sperren des Bildschirms
  • Erkennen von Phishing-Mails
  • Meldeverfahren bei Datenschutzpannen

Diese Schulungen sollten mindestens einmal jährlich stattfinden und die Teilnahme muss dokumentiert werden.

Checkliste für Kliniken und Praxen — Sofortmaßnahmen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen: Dokumentieren Sie alle Prozesse, bei denen Patientendaten verarbeitet werden.
  • Datenschutzbeauftragten benennen: Prüfen Sie, ob Sie gesetzlich zur Benennung eines DSB verpflichtet sind, und melden Sie ihn der Aufsichtsbehörde.
  • AV-Verträge prüfen: Überprüfen Sie alle Verträge mit externen Dienstleistern. Fehlen Verträge oder sind sie veraltet?
  • Datenschutzerklärung der Webseite aktualisieren: Ist sie vollständig, verständlich und aktuell?
  • Mitarbeiter schulen und verpflichten: Haben alle Mitarbeiter eine Verpflichtungserklärung zur Einhaltung des Datengeheimnisses unterschrieben und wurden sie geschult?
  • TOMs überprüfen: Führen Sie für 2025 eine interne Überprüfung Ihrer technischen und organisatorischen Maßnahmen durch. Sind die Virenscanner aktuell? Funktioniert das Backup?
  • Prozess für Betroffenenanfragen etablieren: Wie reagieren Sie, wenn ein Patient Auskunft über seine Daten verlangt?
  • Prozess für Datenpannen definieren: Wer muss im Falle einer Datenpanne informiert werden? (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden)

Häufige Fehler und wie man sie vermeidet

  • Fehler: Offenliegende Patientenakten: In einem unbesetzten Anmeldebereich liegen Patientenakten offen einsehbar.
    Vermeidung: Eine “Clean Desk Policy” einführen. Akten und Notizen müssen nach Bearbeitung sofort weggeschlossen werden.
  • Fehler: Unverschlüsselter E-Mail-Versand: Ein Arztbrief wird als einfacher PDF-Anhang an einen weiterbehandelnden Kollegen gesendet.
    Vermeidung: Sichere Übertragungswege wie KV-Connect nutzen oder passwortgeschützte, verschlüsselte Anhänge versenden (das Passwort muss auf einem anderen Weg übermittelt werden).
  • Fehler: Private Geräte für dienstliche Zwecke: Eine Ärztin fotografiert eine Wunde mit ihrem privaten Smartphone, um sie einem Kollegen zu zeigen.
    Vermeidung: Strikte Trennung von privaten und dienstlichen Geräten. Wenn mobile Geräte genutzt werden, müssen diese vom Arbeitgeber gestellt, gesichert und verwaltet werden.

Weiterführende Ressourcen und offizielle Leitfäden

Für eine vertiefte Auseinandersetzung mit dem Thema Datenschutz in der Gesundheitsbranche empfehlen wir die Webseiten offizieller Stellen und anerkannter Berufsverbände:

Fazit mit Kernempfehlungen

Ein proaktiver und gut organisierter Datenschutz in der Gesundheitsbranche ist unverzichtbar. Er schützt nicht nur vor empfindlichen Bußgeldern und Reputationsschäden, sondern stärkt das Fundament des Vertrauens, auf dem die moderne Medizin aufbaut. Die Digitalisierung schreitet unaufhaltsam voran und macht eine kontinuierliche Auseinandersetzung mit den datenschutzrechtlichen Anforderungen zur Daueraufgabe.

Unsere Kernempfehlungen für 2025 und darüber hinaus:

  1. Betrachten Sie Datenschutz als Qualitätsmerkmal: Ein hohes Datenschutzniveau ist ein Wettbewerbsvorteil und schafft Vertrauen.
  2. Schaffen Sie klare Verantwortlichkeiten: Benennen Sie einen kompetenten Datenschutzbeauftragten und geben Sie ihm die nötigen Ressourcen.
  3. Investieren Sie in die Schulung Ihrer Mitarbeiter: Die sicherste Technik nützt nichts, wenn der Mensch das schwächste Glied in der Kette ist. Sensibilisierung ist der beste Schutz.
  4. Dokumentieren Sie Ihre Maßnahmen: Ein lückenloses Verzeichnis von Verarbeitungstätigkeiten und dokumentierte TOMs sind im Ernstfall Ihre beste Verteidigung.

Ein sorgfältiger Umgang mit Patientendaten ist eine ethische und rechtliche Verpflichtung, die den Respekt vor der Würde und Privatsphäre jedes Einzelnen widerspiegelt. Für weitere Informationen und individuelle Beratung stehen Ihnen Experten wie die von MUNAS Consulting zur Seite.