So wird die DSGVO bislang in Krankenhäusern umgesetzt

Krankenhäuser sind Institutionen, in denen Datenschutz einen hohen Stellenwert hat und mit extremer Vorsicht gehandhabt wird. Wegen dieser Umstände stehen die Verantwortlichen bei der Abwicklung der DSGVO vor einer großen Herausforderung.

Einige dieser Aufgaben sind ableitbar: Die persönlichen Daten, die in Krankenhäusern verarbeitet werden, gehören bestimmten Kategorien im Sinne des Art. 9 DSGVO an. Was gilt es also – vor allem für Kliniken – in Bezug auf die neuen Richtlinien zu beachten?

Datenschutzmanagement für rechtlich abgesicherte Abläufe

Grundsätzlich haben Krankenhäuser dieselben Datenschutzbestimmungen wie jedes andere Unternehmen auch. Sollten sensible Daten verletzt werden, so stellt dies ein erhöhtes Risiko für das Gesundheitsunternehmen dar. Deshalb ist eine sorgfältige Bearbeitung von Gesundheitsdaten absolut wichtig. Gutes Datenschutzmanagement durch alle Instanzen kann die Klinik dabei unterstützen, ihren Pflichten korrekt und effizient nachzukommen.

Personenbezogene Daten unter speziellem Schutz

Kliniken haben mit sogenannten Gesundheitsdaten zu tun. Daraus ergibt sich die Wichtigkeit für den Betrieb klinischer Einrichtungen. Es sind solche persönliche Daten, die die DSGVO als besonders schützenswert ansieht. Durch strikt eingehaltene Richtlinien und die Tatsache, dass nur mit Einverständnis der betroffenen Patienten Daten verarbeitet werden dürfen, wird eine Gewährleistung dieses Schutzes realisiert.

Mitarbeiter verpflichten sich zur Verschwiegenheit

Ein grundlegender Aspekt, der veranschaulicht, wie ernst der Datenschutz in Krankenhäusern genommen wird, ist die Verschwiegenheitspflicht. Von Patienten anvertraute Informationen genießen Geheimhaltungsstatus und dürfen von speziellen Mitarbeitern nicht ungefragt an andere Personen weitergegeben werden. Sollte es zu einem Verstoß durch einen Klinikmitarbeiter gegen diese rechtliche Verpflichtung kommen, so drohen hohe Geldstrafen, und sogar Freiheitsentzug ist möglich. Krankenhäuser sind also gut beraten, in diesem Zusammenhang keine Kompromisse einzugehen. Die Verschwiegenheitspflicht gilt auch für Anfragen von Angehörigen des Patienten. Nach Art. 15 DSGVO sind Auskünfte zumeist nur diesen gegenüber zu erteilen. Informationen zum Gesundheitszustand durch Krankenhausmitarbeiter an Dritte sind nur nach Entbindung von der Schweigepflicht zulässig, bedürfen also der ausdrücklichen Zustimmung des Betroffenen.

Die Mindestanforderungen für Datenschutzmaßnahmen

Die Kliniken haben mit verschärften Richtlinien im Bereich des Datenschutzes zu kämpfen. Verantwortliche Mitarbeiter haben nach Art. 32 DSGVO dafür Sorge zu tragen, dass datenschutzrelevante Maßnahmen eingeleitet werden, um dem Schutzbedürfnis der Gesundheitsdaten gerecht zu werden. Diese Maßnahmen gehen nicht von der DSGVO aus, aber die Kriterien, nach welchen sie einbezogen werden. Dazu gehören etwa die Schwere des Risikos bei Datenverstößen für die Betroffenen, die konkreten Umstände und der Zweck der Datenverarbeitung, ihr Umfang, die Kosten und die dafür eingesetzte Technik.

Folgenabschätzung nach DSGVO

Datenschutzfolgenabschätzungen (DSFA) sieht Art. 35 DSGVO u. a. bei besonders sensiblen Gesundheitsdaten vor. Sie können für eine ganze Reihe von Datenverarbeitungstätigkeiten angesetzt werden, vor allem aber vor der Implementierung neuer Systeme.

Externe Dienstleister müssen genau geprüft werden

Berufsgeheimnisträgern ist es durchaus erlaubt, unter gewissen Umständen externe Dienstleister mit der Auftragsdatenverarbeitung zu beauftragen. Im Krankenhaus sollten Fremdfirmen genauestens auf ihre Eignung geprüft werden. Art. 28 DSGVO gibt hierzu klare Richtlinien. Festzustellen gilt es außerdem, ob auch die Organisation und eingesetzte Technologie des externen Anbieters mit der Schutzbedürftigkeit von Gesundheitsdaten kompatibel sind.

Meldepflichten verlangen Seriosität

Aus Art. 33, 34 DSGVO ergeben sich Meldepflichten, die durch das erhöhte Risiko einer Datenschutzverletzung in Krankenhäusern essenzieller sind als in vielen anderen Unternehmen. Die Rechte und Freiheiten von Patienten sind schnell in Gefahr, selbst wenn personenbezogene Daten für knappe Zeiträume gar nicht zur Verfügung stehen sollten. Diese könnten zum Beispiel für eine Operation benötigt werden und somit deren Ausgang bestimmen.