Datenschutz im Gesundheitswesen

Der Datenschutz im Gesundheitswesen ist ein sehr bedeutendes Thema. Der Grund hierfür liegt in der Art der verarbeiteten Daten. Diese Gesundheitsdaten gehören laut DS-GVO zu besonderen Kategorien von Daten und sind deshalb besonders zu schützen. Hierdurch entstehen Vor- und Nachteile Bereichen des Gesundheitswesens. 

Es gibt aktuell bezüglich des Datenschutzes im Gesundheitswesen verschiedene Entwicklungen, auf die im Folgenden jeweils eingegangen werden soll. 

Datenschutzverstoß im Krankenhaus

Da der Datenschutz von Gesundheitsdaten besonders wichtig ist, muss bei Verstößen mit empfindlichen Strafen gerechnet werden. Ein Beispiel hierfür stammt aus Italien. Da die DS-GVO öEU-weit gilt, sind hier die gleichen gesetzlichen Grundlagen gegeben. 

In einer Klinik für Gynäkologie mit dem Schwerpunkt für Schwangerschaftsabbrüche forderte eine Patientin, dass keine Daten an Dritte weitergegeben werden. Um dies sicherzustellen, gab sie eine separate Telefonnummer an. Trotz dessen wurde sie nach ihrem Krankenhausaufenthalt versucht über die Festnetztelefonnummer zu kontaktieren. Hier wurde nur ihr Ehemann erreicht, der darüber in Kenntnis gesetzt wurde, dass die Frau Patientin in der Klinik sei und eine Besprechung mit ihr geplant sein. 

Allein die Information über den Krankenhausaufenthalt stellt schon die Verarbeitung von Gesundheitsdaten dar. Hierdurch wurde für die Klinik eine Strafe über 50.000€ verhängt. Zu dieser Summe trägt die Sensibilität der Daten, die besondere Schutzwürdigkeit von Schwangerschaftsabbrüchen und die negativen Auswirkungen auf das Privatleben der Patientin bei. Außerdem seien im Krankenhaus keine geeigneten technischen und organisatorischen Maßnahmen vorhanden gewesen, um eine solche Offenlegung zu vermeiden (Quelle: https://www.datenschutz-notizen.de/weitergabe-von-gesundheitsdaten-an-ehemann-bussgeld-i-h-v-50-000-euro-0729236/).

Datenschutz im Gesundheitswesen. Patientenakte und Fonendoskop

Quelle: pixabay.com

TraumaRegister DGU 

Ein Fall, in dem sich der Datenschutz als hinderlich herausstellt, ist das TraumaRegister DGU. In diesem Register werden pseudonymisierte Daten von Schwerverletzten gesammelt, die medizinisch versorgt werden. Dieses Register ist ein wichtiger Bestandteil der nationalen Qualitätssicherung der Schwerverletztenbehandlung. Der Zweck besteht darin, dass die Versorgung der Patienten evaluiert wird und daraus Verbesserungsmöglichkeiten in Diagnostik und Therapie aufgedeckt werden. 

Um jedoch die Daten eines Patienten in das Register aufzunehmen, ist dessen Einwilligung nötig. Diese zu erhalten ist bei Schwerverletzten eine organisatorisch und ethisch höchst schwierige Herausforderung. Auch bei verstorbenen Patienten ist eine Eintragung ins Register nicht garantiert. Her gelten unterschiedliche Vorgaben in den Bundesländern. In einigen gilt der Datenschutz über den Tod hinaus und hier können auch die Angehörigen die Daten nicht freigeben. 

Aus diesem Grund gehen die Eintragungen in das TraumaRegister DGU seit Einführung der DS-GVO zurück. Die Deutsche Gesellschaft für Orthopädie und Unfallschirurgie (DGOU) warnt davor, dass das Register in Zukunft nicht mehr die Realität widerspiegelt. Die gesamte Pressemitteilung ist hier nachzulesen. 

Elektronische Patientenakte (ePA) 

Die ePA soll alle relevanten medizinischen Informationen zu einem Patienten bündeln. So können immer alle Informationen schnell und einfach abgerufen werden und es müssen keine Behandlungen unnötigerweise wiederholt werden. Seit dem 01.01.21 kann die ePA von allen Versicherten beantragt werden. Sie wird nun phasenweise erweitert. 

Für den bisherigen Umfang der ePA erntete sie viel Kritik. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beanstandet, dass die Patienten bisher entweder alle Informationen freigeben können zur Einsichtnahme eines Arztes oder garkeine Informationen. Diese „Alles-oder-Nichts-Prinzip“ entspricht dem BfDI zufolge nicht der DS-GVO. Eine Verbesserung dessen ist erst im Jahr 2022 geplant, aber nur für Patienten, die ein mobiles Endgerät nutzen. 

Ebenso wird kritisiert, dass Menschen ohne mobiles Endgerät kategorisch von der Nutzung der ePA ausgeschlossen werden. Diese Personengruppe kann dementsprechend nicht von den Vorteilen profitieren und werden ihn ihrer Patientensouveränität beschränkt. Dies stellt nach dem BfDI ebenfalls einen Verstoß gegen die DS-GVO dar. 

Aus diesen Gründen übersandte der BfDI kurz vor Start der ePA eine förmliche Warnung an die gesetzlichen Krankenkrassen, falls diese den Versicherten eine rechtswidrige ePA anbieten würden. Da diese trotz dessen angeboten wird, hat der BfDI den Krankenkassen zunächst eine Anhörung zur Vorbereitung eines Bescheides übersandt, in dem sie angewiesen werden, den Patienten eine datenschutzkonforme ePA anzubieten. 

Die Krankenkassen stehen hierbei in einer schwierigen Position. Verweigern Sie die Umsetzung der ePA nach dem dafür erlassenen Patientendaten-Schutz-Gesetz, drohen ihnen hohe Strafzahlungen. Setzen sie jedoch dieses Recht um, welches als nicht DS-GVO-konform angesehen wird, geraten sie in den Fokus der Aufsichtsbehörden. 

Impfnachweis 

Ein ziemlich aktueller Aspekt beim Datenschutz im Gesundheitswesen stellt der Impfnachweis gegen das Corona-Virus dar. Menschen, die eine vollständige Impfung gegen das Coronavirus erhalten haben, können aktuell einen digitalen Impfnachweis erhalten. Hierdurch müssen sie ihren analogen Nachweis oder ihren Impfpass nicht mehr vorzeigen. Im Impfpass können weitere gesundheitlich relevante Informationen eingesehen werden. Dies stellt immer ein Risiko für die Betroffenen dar. 

Dieser Ausweis gilt zusätzlich zum gelben Impfausweis. Nach Ansicht von Datenschützern ist dieser Impfnachweis datenschutzrechtlich positiv anzusehen und erfüllte die zugehörigen Standards. 

Fazit 

Der Datenschutz im Gesundheitswesen ist ein großer und komplizierter Bereich. Dieser kann kaum in einem Blogbeitrag umfassend erfasst werden. Aufgrund dessen können immer nur einzelne Teilaspekte beleuchtet werden. 

Kontaktieren Sie uns!

Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog