So setzen Krankenhäuser Datenschutzmaßnahmen nach der DSGVO um

Krankenhäuser gehören zu den Orten, an denen Datenschutz sensibel gehandhabt wird und das Bedürfnis der Patienten nach Schutz der privaten Daten sehr groß ist. Was haben nun Krankenhäuser im Einzelnen zu beachten, wenn sie den neuen Bestimmungen gerecht werden möchten?

Die spezifischen Umstände in einer Klinik führen dazu, dass die Umsetzung der DSGVO die Verantwortlichen vor nicht wenige Herausforderungen stellt. Einige dieser Aufgaben leiten sich daraus ab, dass Datenschutz im Krankenhaus mit personenbezogenen Daten einer besonderen Kategorie im Sinne des Art. 9 DSGVO zu tun hat.

Datenschutzmanagement für rechtlich sichere Abläufe

Für ein Krankenhaus gelten prinzipiell die gleichen datenschutzrechtlichen Bestimmungen wie für jeden anderen Betrieb. Weil die Verletzung der persönlichen Gesundheitsdaten aber mit erhöhten Risiken für das Gesundheitsunternehmen einhergeht, sind alle Datenverarbeitungsprozess im Krankenhaus mit höchster Sorgfalt zu betrachten und zu steuern. Ein professionelles Datenschutzmanagement auf allen Ebenen kann die Klinik dabei unterstützen, ihren Pflichten korrekt und effizient nachzukommen.

Personenbezogene Daten unter besonderem Schutz

Krankenhäuser arbeiten mit sogenannten Gesundheitsdaten. Diese sind für den Betrieb klinischer Einrichtungen essenziell. Gesundheitsdaten sind personenbezogene Daten, die die DSGVO als besonders schutzbedürftig bewertet. Dieser Schutz wird unter anderem dadurch gewährleistet, dass diese Daten nur unter strikt eingehaltenen Rahmenbedingungen und mit der Einwilligung der betroffenen Patienten verarbeitet werden dürfen.

Verpflichtung der Mitarbeiter zur Verschwiegenheit

Ein wesentliches Merkmal, wie ernst der Datenschutz in Krankenhäusern genommen wird, ist die Verschwiegenheitspflicht. Anvertraute berufliche Sachverhalte genießen den Status von Geheimnissen und dürfen von bestimmten Gruppen von Mitarbeitern nicht unbefugt an Dritte weitergegeben werden. Verstößt ein Mitglied des Krankenhauspersonals gegen diese rechtliche Bindung, drohen Geldstrafen und sogar der Freiheitsentzug. Eine Klinik ist immer gut beraten, in diesem Punkt keine Kompromisse zu machen. Die Verschwiegenheitspflicht gilt auch für Anfragen von Angehörigen des Patienten. Nach Art. 15 DSGVO sind Auskünfte zumeist nur diesen gegenüber zu machen. Informationen zum Gesundheitszustand durch Krankenhausmitarbeiter an Dritte sind nur unter Entbindung der Schweigepflicht zulässig, bedürfen also der ausdrücklichen Zustimmung des Betroffenen.

Die Kriterien für Datenschutzmaßnahmen

Krankenhäuser sind mit erhöhten Anforderungen an den Datenschutz konfrontiert. Die Klinik-Verantwortlichen haben nach Art. 32 DSGVO Sorge zu tragen, dass datenschutzrelevante Maßnahmen greifen, um der besonderen Schutzbedürftigkeit von Gesundheitsdaten gerecht zu werden. Die Art dieser Maßnahmen ist nicht Gegendstand der DSGVO, aber die Kriterien sind es, unter denen sie eingeplant werden sollten. Dazu gehören etwa die Schwere des Risikos bei Datenverstößen für die Betroffenen, die konkreten Umstände und der Zweck der Datenverarbeitung, ihr Umfang, die Kosten und die dafür eingesetzte Technik.

Folgenabschätzung nach DSGVO

Art. 35 DSGVO verlangt u. a. eine Datenschutz-Folgenabschätzung (DSFA) bei besonders schützenswerten Gesundheitsdaten. Eine DSFA ist für eine ganze Reihe von Datenverarbeitungstätigkeiten vorzunehmen, insbesondere vor der Implementierung neuer Systeme.

Externe Dienstleister genau prüfen

Trägern von Berufsgeheimnissen ist es gestattet, unter gewissen Voraussetzungen externe Dienstleister mit der Auftragsdatenverarbeitung zu beschäftigen. Ist dies im Krankenhaus der Fall, sollten Fremdfirmen genauestens auf ihre Eignung geprüft werden. Art. 28 DSGVO gibt hierzu strikte Bestimmungen. Zu fragen ist überdies, ob auch die Organisation und die eingesetzte Technologie des externen Dienstleisters mit der Schutzbedürftigkeit von Gesundheitsdaten übereinstimmen.

Meldepflichten ernst nehmen

Aus Art. 33, 34 DSGVO ergeben sich Meldepflichten, die durch das hohe Risiko einer Datenschutzverletzung in Krankenhäusern gewichtiger sind als in vielen anderen Unternehmen. Die Rechte und Freiheiten von Patienten sind schnell bedroht, selbst wenn personenbezogene Daten für kurze Zeiträume gar nicht zur Verfügung stehen sollten. Diese könnten beispielsweise für eine Operation benötigt werden und somit deren Ausgang bestimmen.