Datenschutz im Gesundheitswesen

12.06.2021

Datenschutz im Gesundheitswesen

Der Datenschutz im Gesundheitswesen ist ein sehr bedeutendes Thema. Der Grund hierfür liegt in der Art der verarbeiteten Daten. Diese Gesundheitsdaten gehören laut DSGVO zu besonderen Kategorien von Daten und sind deshalb besonders zu schützen. Hierdurch entstehen Vor- und Nachteile in Bereichen des Gesundheitswesens. 

Es gibt aktuell bezüglich des Datenschutzes im Gesundheitswesen verschiedene Entwicklungen, auf die im Folgenden jeweils eingegangen werden soll. 

Datenschutzverstoß im Krankenhaus

Da der Datenschutz von Gesundheitsdaten besonders wichtig ist, muss bei Verstößen mit empfindlichen Strafen gerechnet werden. Ein Beispiel hierfür stammt aus Italien. Da die DSGVO EU-weit gilt, sind hier dieselben gesetzlichen Grundlagen gegeben. 

In einer Klinik für Gynäkologie mit dem Schwerpunkt für Schwangerschaftsabbrüche forderte eine Patientin, dass keine Daten an Dritte weitergegeben werden. Um dies sicherzustellen, gab sie eine separate Telefonnummer an. Trotzdem wurde nach ihrem Krankenhausaufenthalt versucht, sie über die Festnetztelefonnummer zu kontaktieren. Hier wurde nur ihr Ehemann erreicht, der darüber in Kenntnis gesetzt wurde, dass die Frau Patientin in der Klinik sei und eine Besprechung mit ihr geplant sein. 

Allein die Information über den Krankenhausaufenthalt stellt schon die Verarbeitung von Gesundheitsdaten dar. Hierdurch wurde für die Klinik eine Strafe über 50.000€ verhängt. Zu dieser Summe trägt die Sensibilität der Daten, die besondere Schutzwürdigkeit von Schwangerschaftsabbrüchen und die negativen Auswirkungen auf das Privatleben der Patientin bei. Außerdem seien im Krankenhaus keine geeigneten technischen und organisatorischen Maßnahmen vorhanden gewesen, um eine solche Offenlegung zu vermeiden (Quelle: https://www.datenschutz-notizen.de/weitergabe-von-gesundheitsdaten-an-ehemann-bussgeld-i-h-v-50-000-euro-0729236/).

TraumaRegister DGU 

Ein Fall, in dem sich der Datenschutz als hinderlich herausstellt, ist das TraumaRegister DGU. In diesem Register werden pseudonymisierte Daten von Schwerverletzten gesammelt, die medizinisch versorgt werden. Dieses Register ist ein wichtiger Bestandteil der nationalen Qualitätssicherung der Schwerverletztenbehandlung. Der Zweck besteht darin, dass die Versorgung der Patienten evaluiert wird und daraus Verbesserungsmöglichkeiten in Diagnostik und Therapie aufgedeckt werden. 

Um jedoch die Daten eines Patienten in das Register aufzunehmen, ist dessen Einwilligung nötig. Diese zu erhalten ist bei Schwerverletzten eine organisatorisch und ethisch höchst schwierige Herausforderung. Auch bei verstorbenen Patienten ist eine Eintragung ins Register nicht garantiert. Dazu gelten in den Bundesländern unterschiedliche Vorgaben . In einigen gilt der Datenschutz über den Tod hinaus und somit können auch die Angehörigen die Daten nicht freigeben. 

Aus diesem Grund gehen die Eintragungen in das TraumaRegister DGU seit Einführung der DSGVO zurück. Die Deutsche Gesellschaft für Orthopädie und Unfallchirurgie (DGOU) warnt davor, dass das Register in Zukunft nicht mehr die Realität widerspiegelt. Die vollständige

Pressemitteilung ist hier nachzulesen. 

Elektronische Patientenakte (ePA) 

Die ePA soll alle relevanten medizinischen Informationen zu einem Patienten bündeln. So können immer alle Informationen schnell und einfach abgerufen werden und es müssen keine Behandlungen unnötigerweise wiederholt werden. Seit dem 01.01.21 kann die ePA von allen Versicherten beantragt werden. Sie wird nun phasenweise erweitert. 

Für den bisherigen Umfang der ePA hagelte es viel Kritik. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) beanstandet, dass die Patienten bisher entweder alle Informationen zur Einsichtnahme durch einen Arzt freigeben können oder gar keine Informationen. Diese „Alles-oder-Nichts-Prinzip“ entspricht dem BfDI zufolge nicht der DSGVO. Eine Verbesserung ist erst im Jahr 2022 geplant, aber nur für Patienten, die ein mobiles Endgerät nutzen. 

Ebenso wird kritisiert, dass Menschen ohne mobiles Endgerät kategorisch von der Nutzung der ePA ausgeschlossen werden. Diese Personengruppe kann dementsprechend nicht von den Vorteilen profitieren und wird in ihrer Patientensouveränität beschränkt. Dies stellt nach dem BfDI ebenfalls einen Verstoß gegen die DSGVO dar. 

Aus diesen Gründen übersandte der BfDI kurz vor Start der ePA eine förmliche Warnung an die gesetzlichen Krankenkrassen, falls diese den Versicherten eine rechtswidrige ePA anbieten würden. Da diese trotzdem angeboten wird, hat der BfDI den Krankenkassen zunächst eine Anhörung zur Vorbereitung eines Bescheides übersandt, in dem sie angewiesen werden, den Patienten eine datenschutzkonforme ePA anzubieten. 

Die Krankenkassen stehen hierbei in einer schwierigen Position. Verweigern Sie die Umsetzung der ePA nach dem dafür erlassenen Patientendaten-Schutz-Gesetz, drohen ihnen hohe Strafzahlungen. Setzen sie jedoch das Recht um, das als nicht DSGVO-konform angesehen wird, geraten sie in den Fokus der Aufsichtsbehörden. 

Impfnachweis 

Ein ziemlich aktueller Aspekt beim Datenschutz im Gesundheitswesen stellt der Impfnachweis gegen das Coronavirus dar. Menschen, die eine vollständige Impfung gegen das Coronavirus erhalten haben, können aktuell einen digitalen Impfnachweis erhalten. Hierdurch müssen sie ihren analogen Nachweis oder ihren Impfpass nicht mehr vorzeigen. Im Impfpass können weitere gesundheitlich relevante Informationen eingesehen werden. Dies stellt immer ein Risiko für die Betroffenen dar. 

Dieser Ausweis gilt zusätzlich zum gelben Impfausweis. Nach Ansicht von Datenschützern ist dieser Impfnachweis datenschutzrechtlich positiv anzusehen und erfüllte die zugehörigen Standards. 

Fazit 

Der Datenschutz im Gesundheitswesen ist ein großer und komplizierter Bereich. Dieser kann kaum in einem Blogbeitrag umfassend erfasst werden. Aufgrund dessen können immer nur einzelne Teilaspekte beleuchtet werden. 

Kontaktieren Sie uns!

Sollten Sie zu diesem oder anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, nehmen Sie gern Kontakt zu uns auf.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DSGVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

DataFreshup GmbH

Von-Arenberg-Straße 38
40668 Meerbusch
Deutschland

Social Media

DataFreshup GmbH

Von-Arenberg-Straße 38
40668 Meerbusch
Deutschland

Social Media

DataFreshup GmbH

Von-Arenberg-Straße 38
40668 Meerbusch
Deutschland

Social Media