Datenschutz im Gesundheitswesen

Datenschutz bei Gesundheitsdaten

Arztpraxen, Krankenhäuser, Pflegeeinrichtungen, Apotheken, ärztliche Sachverständige und Gesundheitsforschungseinrichtungen, aber auch die gesetzlichen Krankenkassen und privaten Krankenversicherungsträger erheben und verarbeiten tagtäglich eine Vielzahl personenbezogener Daten. In diesen Datensätzen finden sich mitunter auch Gesundheitsdaten, die als besonders sensible Daten gelten.

Ihnen wird ein besonderes Schutzbedürfnis zuteil. Dem entsprechen Schutzbestimmungen im Straf-, Berufs- und Persönlichkeitsrecht sowie im Datenschutzrecht. Auf die datenschutzrechtlichen Belange soll im Folgenden eingegangen werden.

Gesundheitsdaten nur zweckbestimmt verarbeiten

Die Erhebung und Verarbeitung von Gesundheitsdaten darf grundsätzlich nur insoweit erfolgen, als sie im Rahmen der Zweckbestimmung des Behandlungsvertrages und/oder zur Wahrung berechtigter Interessen der datenverarbeitenden Stelle erforderlich erscheint. Das bedeutet, dass z.B. die Versichertenkarten der gesetzlichen Krankenkassen nur identifikationseröffnende Personenbezogene Daten (Name, Geburtsdatum, Geschlecht, Adresse und Kartennummer), aber keine Gesundheitsdaten des Betroffenen enthalten dürfen.

Einwilligung des Betroffenen in die Speicherung seiner Gesundheitsdaten

Praxen, Krankenhäuser, Pflegeheime, Apotheken und andere datenverarbeitende Stellen haben vor der Verarbeitung von Gesundheitsdaten die Einwilligung des Betroffenen einzuholen. Auch die Übermittlung der bereits verarbeiteten Daten darf in der Regel nur mit der Einwilligung des Patienten erfolgen. Die Einwilligungserklärung des Patienten untersteht regelmäßig einem Schriftformerfordernis.

Schutzmaßnahmen bei Gesundheitsdaten

Grundsätzlich müssen bei der Erhebung und Verarbeitung sensibler Gesundheitsdaten alle notwendigen Maßnahmen zum Schutz derselben ergriffen werden. Die erhebende Stelle hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um den gesetzlichen Anforderungen zu entsprechen. Was in diesem Zusammenhang als „erforderlich“ anzusehen ist, orientiert sich an dem Schutzbedarf der jeweiligen Daten. Für gewöhnlich sind Zutritts-, Zugangs- und Weitergabekontrollen neben Verfügbarkeits-, Eingabe- und Auftragskontrollen anzustrengen. Ferner ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

Nicht nur die verschwiegenheitsverpflichteten Ärzte, sondern schlichtweg jedwede Person in einer gesundheitsdatenverarbeitenden Stelle ist auf die Geheimhaltung zu verpflichten. Die gesetzlichen Krankenkassen unterliegen bzgl. der Daten der Versicherten einem Sozialgeheimnis, welches mit der ärztlichen Schweigepflicht vergleichbar ist. Auch die regelmäßige datenschutzrechtliche Schulung des Personals im Gesundheitswesen ist eine unabdingbare Voraussetzung zur Vermeidung von Datenschutzverletzungen.

Die Schulung vollzieht in der Praxis zumeist der betriebsinterne Datenschutzbeauftragte. Nach aktuellem Datenschutzrecht hat grundsätzlich jede Arztpraxis, jedes Krankenhaus, jedes Pflegeheim, soweit diese Patientendaten automatisch verarbeiten, einen Beauftragten für den Datenschutz zu bestellen. Grund hierfür ist, dass die Verarbeitung von Gesundheitsdaten einer „Vorabkontrolle“ (künftig „Datenschutz-Folgenabschätzung“) unterliegt, für die der Datenschutzbeauftragte zuständig ist.

Resümierend unterliegt die Erhebung und Verarbeitung von personenbezogenen Daten im Gesundheitswesen gehobenen Schutzbestimmungen, die ein angemessenes Datenschutzmanagement unabdingbar erscheinen lassen.