Datenverarbeitung in Gesundheitseinrichtungen: Praktischer Leitfaden

Datenverarbeitung in Gesundheitseinrichtungen: Praktischer Leitfaden

Inhaltsverzeichnis

Einleitung: Anwendungsbereich und besondere Schutzbedürftigkeit

Die Datenverarbeitung in Gesundheitseinrichtungen stellt einen der sensibelsten Bereiche des Datenschutzes dar. Kliniken, Praxen und andere medizinische Institutionen verarbeiten täglich eine immense Menge an Gesundheitsdaten, die gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO – General Data Protection Regulation oder GDPR auf Englisch) als „besondere Kategorien personenbezogener Daten“ gelten und einem erhöhten Schutzbedarf unterliegen. Ein Verstoß kann nicht nur zu empfindlichen Bußgeldern führen, sondern vor allem das Vertrauen der Patienten nachhaltig schädigen. Dieser Leitfaden bietet Datenschutzbeauftragten, IT-Verantwortlichen und der Verwaltungsleitung eine praxisnahe Anleitung, um die komplexen Anforderungen der DSGVO rechtssicher und effizient im Klinikalltag umzusetzen. Der Fokus liegt auf der Verknüpfung juristischer Vorgaben mit operativen Prozessen, von der Datenschutz-Folgenabschätzung bis zum Management von Datenpannen.

Kurzüberblick: Relevante Rechtsgrundlagen und Begriffsdefinitionen

Die rechtliche Basis für die Datenverarbeitung in Gesundheitseinrichtungen ist vielschichtig. Die zentralen Regelwerke sind:

  • Datenschutz-Grundverordnung (DSGVO): Als EU-Verordnung bildet sie den übergeordneten Rahmen und definiert die Grundprinzipien der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Besonders Art. 9 DSGVO, der die Verarbeitung besonderer Datenkategorien regelt, ist hier von höchster Relevanz.
  • Bundesdatenschutzgesetz (BDSG): Es konkretisiert und ergänzt die DSGVO auf nationaler Ebene, beispielsweise bei den Regelungen zum Datenschutzbeauftragten oder zur Verarbeitung im Beschäftigungskontext.
  • Spezifische Gesundheitsgesetze: Normen wie das Fünfte Buch Sozialgesetzbuch (SGB V), die Berufsordnungen der Ärzte (z. B. MBO-Ä) oder Landeskrankenhausgesetze enthalten spezifische Vorgaben zur Verarbeitung von Patientendaten, zur ärztlichen Schweigepflicht (§ 203 StGB) und zu Aufbewahrungsfristen.

Zentrale Begriffe sind Gesundheitsdaten (alle Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen), der Verantwortliche (die Gesundheitseinrichtung, die über Zwecke und Mittel der Verarbeitung entscheidet) und die Verarbeitung (jeder Vorgang wie das Erheben, Speichern, Nutzen, Übermitteln oder Löschen von Daten).

Datenkategorien im Krankenhausbetrieb

In einer Gesundheitseinrichtung werden diverse Datenkategorien verarbeitet, die weit über die reinen Diagnosen hinausgehen. Ein strukturierter Überblick ist die Grundlage für jede Datenschutzanalyse:

  • Stammdaten von Patienten: Name, Adresse, Geburtsdatum, Versichertennummer.
  • Medizinische Daten: Anamnesen, Diagnosen, Laborergebnisse, Röntgenbilder, Medikationspläne, OP-Berichte, Pflegeprotokolle.
  • Administrative und Abrechnungsdaten: Fallnummern, abgerechnete Leistungen (DRGs), Rechnungsdaten, Kostenträgerinformationen.
  • Genetische und biometrische Daten: Daten aus humangenetischen Untersuchungen oder biometrische Daten zur Identifikation.
  • Daten Dritter: Informationen über Angehörige, gesetzliche Betreuer oder einweisende Ärzte.
  • Mitarbeiterdaten: Personaldaten, Dienstpläne, Qualifikationsnachweise.

DSFA-Entscheidungsbaum: Wann ist eine Datenschutz-Folgenabschätzung nötig?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der Datenverarbeitung in Gesundheitseinrichtungen ist dies häufig der Fall. Der folgende Entscheidungsbaum hilft bei der Einschätzung:

Schritt 1: Liegt eine Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) in großem Umfang vor?

  • Ja: Eine DSFA ist sehr wahrscheinlich erforderlich. Ein Krankenhausinformationssystem (KIS), das die Daten aller Patienten einer Klinik verarbeitet, ist ein klares Beispiel.
  • Nein: Fahren Sie mit Schritt 2 fort.

Schritt 2: Werden neue Technologien eingesetzt?

  • Ja: Prüfen Sie, ob die Technologie (z. B. KI-gestützte Diagnosetools, Telemedizin-Plattformen) zu einem hohen Risiko führt. Die Aufsichtsbehörden führen Listen mit Verarbeitungstätigkeiten, die eine DSFA erfordern (sog. Blacklists). Ist Ihre Verarbeitung dort genannt, ist die DSFA Pflicht.
  • Nein: Fahren Sie mit Schritt 3 fort.

Schritt 3: Werden Daten systematisch und umfassend bewertet oder für Scoring/Profiling genutzt?

  • Ja: Dies ist ein starker Indikator für eine DSFA-Pflicht, z. B. bei Systemen zur Risikobewertung von Patienten.
  • Nein: Eine DSFA ist möglicherweise nicht erforderlich, aber eine sorgfältige Dokumentation der Entscheidung ist unerlässlich.

Trigger Kriterien für eine DSFA im Gesundheitswesen sind insbesondere die Einführung eines neuen KIS, die Vernetzung mit externen Partnern über eine Telematikinfrastruktur, die Nutzung von Cloud-Diensten zur Speicherung von Patientendaten oder der Einsatz mobiler Gesundheitsanwendungen (Health Apps).

Das Verzeichnis von Verarbeitungstätigkeiten: Aufbau und Beispiel

Das Verzeichnis von Verarbeitungstätigkeiten (VVT), auf Englisch Record of Processing Activities (RoPA), ist das zentrale Dokumentationstool nach Art. 30 DSGVO. Es dient als Nachweis der Rechenschaftspflicht. Für Gesundheitseinrichtungen ist es entscheidend, hier die besonderen Verarbeitungstätigkeiten detailliert zu beschreiben.

Aufbau eines VVT-Eintrags

Ein Eintrag sollte mindestens folgende Informationen enthalten:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten.
  • Zwecke der Verarbeitung (z. B. Patientendokumentation, Abrechnung, Qualitätssicherung).
  • Beschreibung der Kategorien betroffener Personen (z. B. Patienten, Mitarbeiter, Angehörige).
  • Beschreibung der Kategorien personenbezogener Daten (z. B. Stammdaten, Diagnosedaten, Abrechnungsdaten).
  • Rechtsgrundlage der Verarbeitung (z. B. Behandlungsvertrag gem. Art. 9 Abs. 2 lit. h DSGVO).
  • Kategorien von Empfängern (z. B. Krankenkassen, MDK, externe Labore, IT-Dienstleister).
  • Fristen für die Löschung der verschiedenen Datenkategorien.
  • Beschreibung der Technischen und Organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO.

Beispiel: Verarbeitungstätigkeit „Stationäre Patientenabrechnung“

  • Zweck: Abrechnung der erbrachten stationären Leistungen gegenüber den Kostenträgern.
  • Betroffene: Stationäre Patienten.
  • Datenkategorien: Stammdaten, Aufenthaltsdaten, Diagnosen (ICD-10), Prozeduren (OPS), Entlassungsberichte.
  • Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO i. V. m. Behandlungsvertrag und § 301 SGB V.
  • Empfänger: Jeweilige Krankenkasse, Medizinischer Dienst (bei Prüfungen).
  • Löschfrist: 10 Jahre nach Abschluss der Behandlung (gem. Berufsrecht und Handelsrecht).
  • TOM: Verschlüsselung der Übertragungswege, rollenbasiertes Zugriffskonzept im Abrechnungssystem, Protokollierung der Zugriffe.

Technische Maßnahmen konkret: Verschlüsselung, Zugriffskonzepte und mehr

Die Sicherheit der Datenverarbeitung in Gesundheitseinrichtungen hängt maßgeblich von robusten Technischen und Organisatorischen Maßnahmen (TOM) ab.

  • Verschlüsselung: Festplatten auf Servern und Endgeräten (Laptops, mobile Visitenwagen) müssen verschlüsselt sein (Encryption at Rest). Die Datenübertragung, sei es intern im Netzwerk oder extern an Partner, muss ebenfalls verschlüsselt erfolgen (Encryption in Transit, z. B. über TLS 1.3).
  • Zugriffskonzepte: Ein strenges, rollenbasiertes Berechtigungskonzept (Role-Based Access Control) ist unerlässlich. Pflegepersonal darf nur auf die Daten der eigenen Station zugreifen, die Verwaltung nur auf Abrechnungsdaten. Das Need-to-know-Prinzip muss konsequent umgesetzt werden.
  • Protokollierung: Jeder Zugriff auf Patientendaten im KIS muss lückenlos protokolliert werden (Wer hat wann auf welche Daten zugegriffen?). Diese Protokolle müssen regelmäßig (automatisiert) ausgewertet werden, um unberechtigte Zugriffe zu erkennen.
  • Backups: Ein solides Backup-Konzept (z. B. die 3-2-1-Regel) ist Pflicht. Backups müssen ebenfalls verschlüsselt und sicher aufbewahrt werden. Entscheidend ist die regelmäßige Erprobung der Wiederherstellung, um im Notfall handlungsfähig zu sein.

Operationalisierung: Rollen, Zuständigkeiten und Schulungsrhythmen

Datenschutz ist eine Gemeinschaftsaufgabe. Klare Rollen und Verantwortlichkeiten sind der Schlüssel zum Erfolg.

  • Klinikleitung: Trägt die Gesamtverantwortung (Rechenschaftspflicht), stellt die notwendigen Ressourcen bereit und etabliert eine Datenschutzkultur.
  • Datenschutzbeauftragter (DSB): Berät, überwacht die Einhaltung der Vorschriften und ist Ansprechpartner für Aufsichtsbehörden. Er muss unabhängig und mit den nötigen Kompetenzen ausgestattet sein.
  • IT-Abteilung: Ist für die Implementierung und den Betrieb der technischen Sicherheitsmaßnahmen verantwortlich.
  • Mitarbeiter: Jeder, der mit Patientendaten arbeitet, muss für den Datenschutz sensibilisiert werden. Regelmäßige, verpflichtende Schulungen (mindestens jährlich sowie bei Neueinstellungen) sind unabdingbar und müssen dokumentiert werden.

Vertragsmanagement nach Art. 28 DSGVO: Dienstleister sicher einbinden

Kaum eine Gesundheitseinrichtung kommt ohne externe Dienstleister aus (z. B. für KIS-Software, Cloud-Speicher, externe Abrechnung). Findet hierbei eine Verarbeitung personenbezogener Daten im Auftrag statt, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich. Dieser muss detaillierte Regelungen zu den Weisungsrechten, den TOM des Dienstleisters, den Meldepflichten bei Pannen und den Kontrollrechten (Audits) enthalten.

Wichtige Auditfragen für Dienstleister:

  • Können Sie aktuelle Zertifizierungen nach ISO 27001 oder branchenspezifischen Standards vorweisen?
  • Wie stellen Sie die strikte Mandantentrennung sicher?
  • Wo befinden sich die Rechenzentren (Datenübermittlung in Drittstaaten)?
  • Wie sieht Ihr Prozess für die Meldung von Datenschutzverletzungen aus?

Patientenkommunikation und Identitätsprüfung: Sichere Musterprozesse

Die Kommunikation mit Patienten birgt Risiken. Es müssen Prozesse etabliert werden, die eine sichere Identitätsprüfung gewährleisten.

  • Telefon: Vor der Herausgabe von Informationen muss der Anrufer sicher identifiziert werden (z. B. durch Abfrage von Geburtsdatum und Adresse, die bereits vorliegen). Sensible Informationen sollten nicht am Telefon, sondern per Post oder über ein sicheres Patientenportal übermittelt werden.
  • E-Mail: Unverschlüsselte E-Mails sind für die Übermittlung von Gesundheitsdaten ungeeignet. Nutzen Sie stattdessen verschlüsselte E-Mails oder sichere Portallösungen. Informieren Sie Patienten proaktiv über die Risiken.
  • Messenger-Dienste: Die Nutzung von Standard-Messengern wie WhatsApp ist für die Kommunikation von Patientendaten unzulässig.

Einwilligung versus Einwilligungsersatz: Rechtsgrundlagen sicher anwenden

Die Verarbeitung von Gesundheitsdaten benötigt eine solide Rechtsgrundlage. Die Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO) ist nur eine davon und oft nicht die beste. In vielen Fällen stützt sich die Datenverarbeitung in Gesundheitseinrichtungen auf den Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO). Dies gilt für alle Verarbeitungen, die für die medizinische Behandlung, Diagnose und Versorgung unmittelbar notwendig sind. Eine Einwilligung ist hingegen erforderlich für Zwecke, die darüber hinausgehen, z. B. die Teilnahme an einer klinischen Studie oder die Weitergabe von Daten an private Verrechnungsstellen.

Formulierungsbeispiel für eine Einwilligung: Eine Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Sie muss den genauen Zweck, die übermittelten Datenkategorien und die Empfänger benennen und auf das jederzeitige Widerrufsrecht hinweisen.

Retention Mapping: Gesetzliche Aufbewahrungsfristen und Löschkonzepte

Patientendaten dürfen nicht unbegrenzt gespeichert werden. Ein Löschkonzept, basierend auf gesetzlichen Aufbewahrungsfristen, ist Pflicht. Die wichtigste Frist im klinischen Bereich ist die 10-jährige Aufbewahrungsfrist für die Patientendokumentation nach Abschluss der Behandlung (gem. § 630f BGB und MBO-Ä). Für Abrechnungsunterlagen gelten steuer- und handelsrechtliche Fristen. Ein Retention Mapping ordnet jeder Datenkategorie eine spezifische Frist zu und definiert den technischen Löschprozess.

Bestandteile eines internen Vorlagenpakets

Ein standardisiertes Vorlagenpaket erleichtert die tägliche Arbeit und sichert die Compliance. Es sollte enthalten:

  • Textbausteine für Einwilligungserklärungen (z. B. für Forschung, Fotodokumentation).
  • Ein Protokollformular für telefonische Auskünfte zur Dokumentation der Identitätsprüfung.
  • Einen standardisierten Workflow für die Bearbeitung von Betroffenenanfragen (DSAR – Data Subject Access Request auf Englisch).
  • Ein Template für die Durchführung und Dokumentation einer Datenschutz-Folgenabschätzung (DSFA).
  • Eine Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (VVT).

Incident Response: Vorbereitung auf den Ernstfall einer Datenpanne

Trotz aller Vorsichtsmaßnahmen kann es zu einer Datenschutzverletzung (Datenpanne) kommen. Ein gut vorbereiteter Incident-Response-Plan ist entscheidend. Eine Simulation (Tabletop-Übung) hilft, die Abläufe zu trainieren.

Ablauf bei einer Datenpanne:

  1. Entdeckung und interne Meldung: Jeder Mitarbeiter muss wissen, wie und an wen eine vermutete Panne zu melden ist.
  2. Analyse und Eindämmung: Das Incident-Response-Team (IT, DSB, Leitung) bewertet den Vorfall und ergreift Sofortmaßnahmen.
  3. Risikobewertung: Prüfung, ob ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
  4. Meldung an die Aufsichtsbehörde: Wenn ein Risiko besteht, muss die Panne binnen 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden.
  5. Benachrichtigung der Betroffenen: Wenn ein hohes Risiko besteht, müssen auch die betroffenen Personen unverzüglich informiert werden.
  6. Dokumentation und Nachbereitung: Jeder Vorfall muss dokumentiert und zur Verbesserung der Maßnahmen genutzt werden.

Übungsfall: Beispielimplementierung in der Radiologie

Eine radiologische Abteilung verarbeitet hochsensible Bilddaten. Ein typischer Prozess ist die Übermittlung eines Befundes an einen externen, weiterbehandelnden Arzt.

  • Datenerhebung: Anforderungsschein des Arztes (Rechtsgrundlage: Behandlungsvertrag).
  • Verarbeitung: Erstellung der Bilddaten (MRT, CT) und Befundung durch den Radiologen im PACS/RIS-System. Der Zugriff ist auf das radiologische Personal beschränkt (TOM).
  • Übermittlung: Der Befund wird nicht per unverschlüsselter E-Mail, sondern über ein gesichertes Ärzteportal oder per KV-Connect versendet. Der Versand wird im System protokolliert.
  • Speicherung: Die Bilddaten und der Befund unterliegen der 10-jährigen Aufbewahrungsfrist. Nach Ablauf der Frist werden sie gemäß Löschkonzept sicher gelöscht.

Prüfliste und Meilenplan für 2025 und darüber hinaus

Eine strukturierte Herangehensweise sichert den langfristigen Erfolg.

90-Tage Schnellstart

  • [ ] Überprüfung und Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten (VVT).
  • [ ] Audit der bestehenden Auftragsverarbeitungsverträge (AVV).
  • [ ] Durchführung einer Basisschulung für alle Mitarbeiter mit Patientenkontakt.
  • [ ] Test des Incident-Response-Plans durch eine Tabletop-Übung.

12-Monats Roadmap (ab 2025)

  • Q1: Implementierung eines zentralen Löschkonzepts und Start der ersten Löschroutinen.
  • Q2: Durchführung einer umfassenden DSFA für das zentrale Krankenhausinformationssystem (KIS).
  • Q3: Überarbeitung des Berechtigungskonzepts und Audit der Zugriffsprotokolle.
  • Q4: Jahresbericht des Datenschutzbeauftragten und Planung der Schulungsmaßnahmen für das Folgejahr.

Links zu offiziellen Leitfäden und weiterführenden Ressourcen

Für vertiefende Informationen und offizielle Orientierungshilfen zur Datenverarbeitung in Gesundheitseinrichtungen sind die Veröffentlichungen der Datenschutz-Aufsichtsbehörden unerlässlich. Die Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bietet umfassende Leitfäden und Tätigkeitsberichte.

Zudem bieten Berufsverbände wie die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. wertvolle Fachinformationen.

Anhang: Glossar wichtiger Begriffe

  • DSGVO (Datenschutz-Grundverordnung): Die zentrale europäische Verordnung zum Schutz personenbezogener Daten.
  • Gesundheitsdaten: Besonders geschützte Daten gemäß Art. 9 DSGVO, die sich auf die physische oder psychische Gesundheit einer Person beziehen.
  • DSFA (Datenschutz-Folgenabschätzung): Ein Prozess zur Bewertung und Minderung von Risiken bei bestimmten Verarbeitungsvorgängen.
  • TOM (Technische und Organisatorische Maßnahmen): Sicherheitsvorkehrungen zum Schutz personenbezogener Daten (z. B. Verschlüsselung, Zugriffskontrollen).
  • VVT (Verzeichnis von Verarbeitungstätigkeiten): Eine Dokumentation aller Prozesse, in denen personenbezogene Daten verarbeitet werden, vorgeschrieben durch Art. 30 DSGVO.
  • AVV (Auftragsverarbeitungsvertrag): Ein Vertrag, der die Verarbeitung von Daten durch einen externen Dienstleister im Auftrag regelt.