Diese Auswirkung hat die DSGVO auf den Betrieb in Krankenhäusern

Krankenhäuser sind Einrichtungen, in denen Datenschutz einen hohen Stellenwert hat und äußerst sensibel gehandhabt wird – zudem ist das Bedürfnis der Patienten nach Schutz der privaten Daten enorm.

Diese besonderen Umstände in einer Klinik führen dazu, dass die Abwicklung der DSGVO die Verantwortlichen vor viele Herausforderungen stellt. Ein paar dieser Aufgaben leiten sich davon ab, dass Datenschutz in Krankenhäusern mit personenbezogenen Daten einer bestimmten Kategorie im Sinne des Art. 9 DSGVO zu tun hat. Was muss ein Krankenhaus nun im Einzelnen beachten, wenn es den neuen Richtlinien gerecht werden will?

Datenschutzmanagement für rechtlich abgesicherte Abläufe

Krankenhäuser haben grundsätzlich die gleichen Datenschutzrichtlinien wie jedes andere Unternehmen auch. Die Verletzung von persönlichen Gesundheitsdaten stellt jedoch ein erhöhtes Risiko für das Gesundheitsunternehmen dar. Deshalb muss in einem Krankenhaus die Verarbeitung von Gesundheitsdaten mit höchster Sorgfalt betrieben werden. Ein gut ausgebildetes Datenschutzmanagement auf allen Ebenen kann der Klinik dabei helfen, ihren Pflichten und Rahmenbedingungen korrekt und effizient nachzukommen.

Personenbezogene Daten unter speziellem Schutz

Kliniken hantieren mit sogenannten Gesundheitsdaten. Folglich sind sie für den Betrieb klinischer Einrichtungen grundlegend wichtig. Gesundheitsdaten sind persönliche Daten, die die DSGVO als besonders schützenswert ansieht. Eine Gewährleistung dieses Schutzes passiert durch strikt eingehaltene Rahmenbedingungen und dadurch, dass durch Einwilligung der betroffenen Patienten Daten verarbeitet werden dürfen.

Verpflichtung der Mitarbeiter zur Verschwiegenheit

Ein wesentliches Detail, wie ernst der Datenschutz in Krankenhäusern ausgeführt wird, ist die Funktion der Verschwiegenheitspflicht. Anvertraute Problematiken der Patienten genießen den Status von Geheimnissen und dürfen von speziellen Gruppen von Mitarbeitern nicht ungefragt an Dritte weitergegeben werden. Bei einem Verstoß des Krankenhauspersonals gegen diese rechtliche Verpflichtung drohen hohe Geldstrafen und sogar Freiheitsentzug ist möglich. Ein Haus ist immer gut damit beraten, in diesen Belangen keine Kompromisse einzugehen. Die Verschwiegenheitspflicht gilt auch für Anfragen von Angehörigen des Patienten. Nach Art. 15 DSGVO sind Auskünfte zumeist nur diesen gegenüber zu machen. Informationen zum Gesundheitszustand durch Krankenhausmitarbeiter an Dritte sind nur unter Entbindung der Schweigepflicht zulässig, bedürfen also der ausdrücklichen Zustimmung des Betroffenen.

Die Mindestanforderungen für Datenschutzmaßnahmen

Die Kliniken sind mit gesteigerten Rahmenbedingungen an den Datenschutz konfrontiert. Die Verantwortlichen haben nach Art. 32 DSGVO Sorge zu tragen, dass datenschutzrelevante Maßnahmen ergriffen werden, um dem Bedürfnis nach Schutz der Gesundheitsdaten gerecht zu werden. Diese Maßnahmen sind nicht ausgehend von der DSGVO, aber die Kriterien sind es, unter welchen sie einbezogen werden sollten. Dazu gehören etwa die Schwere des Risikos bei Datenverstößen für die Betroffenen, die konkreten Umstände und der Zweck der Datenverarbeitung, ihr Umfang, die Kosten und die dafür eingesetzte Technik.

Folgenabschätzung nach DSGVO

Art. 35 DSGVO sieht u. a. eine Datenschutz-Folgenabschätzung (DSFA) bei besonders sensiblen Gesundheitsdaten vor. Eine DSFA ist für eine ganze Reihe von Datenverarbeitungstätigkeiten anzusetzen, vor allem vor der Implementierung neuer Systeme.

Externe Dienstleister genau prüfen

Trägern von Berufsgeheimnissen ist es erlaubt, unter gewissen Voraussetzungen externe Dienstleister mit der Auftragsdatenverarbeitung zu beauftragen. Ist dies im Krankenhaus so, sollten Fremdfirmen genauestens auf ihre Eignung getestet werden. Art. 28 DSGVO gibt hierzu strikte Regelungen. Festzustellen gilt außerdem, ob auch die Organisation und eingesetzte Technologie des externen Dienstleisters der Schutzbedürftigkeit von Gesundheitsdaten entsprechen.

Meldepflichten verlangen Ernsthaftigkeit

Aus Art. 33, 34 DSGVO ergeben sich Meldepflichten, die durch das erhöhte Risiko einer Datenschutzverletzung in Krankenhäusern wichtiger sind als in vielen anderen Unternehmen. Die Rechte und Freiheiten von Patienten sind schnell bedroht, selbst wenn personenbezogene Daten für kurze Zeiträume gar nicht zur Verfügung stehen sollten. Diese könnten beispielsweise für eine Operation benötigt werden und somit deren Ausgang bestimmen.