Wir starten eine Blogreihe zum Thema „Datenschutz im Gesundheitswesen“
Datenschutz im Gesundheitswesen ist ein sehr weites Feld und wird noch viel zu wenig betrachtet. Deshalb haben wir uns dazu entschlossen, diesem Thema eine kleine Blog-Reihe zu widmen, die thematisch aufeinander aufbaut. Ziel dieser Blogreihe ist es, Ihnen einen Überblick über die wichtigsten Aspekte des Themas „Datenschutz im Gesundheitswesen“ zu verschaffen und dabei praktische Tipps zur Umsetzung in Ihrem Unternehmen an die Hand zu geben. In diesem ersten Artikel werden wir uns mit der Basis befassen, mit den grundsätzlichen Vorgehensweisen.
Welche Bereiche sind für Datenpannen besonders anfällig?
Es gibt einige Felder, in denen es häufiger zu Verstößen kommt als in anderen. Meistens handelt es sich um Fehler, die unbewusst passieren und dennoch Konsequenzen nach sich ziehen. Prüfen Sie gedanklich Ihr Unternehmen: Wie oft treten die folgenden Datenschutzverletzungen in Ihrem Unternehmen auf?
- E-Mail-Fehlversand
- Die Versendung einer E-Mail mit offenem Adressverteiler
- Postfehlversand oder Fax-Fehlversand
- Ihr Unternehmen ist Ziel von Hackingangriffen, Malware oder Trojanern
- Diebstahl eines Datenträgers
- Verlust eines Datenträgers
Im Arbeitsalltag passieren weitere Verstöße, denen einige Unternehmen nicht die angemessene Aufmerksamkeit schenkt. Dazu zählen beispielsweise, dass Computer beim Verlassen des Arbeitsplatzes nicht gesperrt werden, Akten unbeaufsichtigt herumliegen und einsehbar sind oder diese nicht ordnungsgemäß transportiert werden (etwa im Fall von Hausbesuchen o. Ä.).
Die Basics des Datenschutzes
Besonderheiten im Gesundheitswesen
Natürlich gilt die DSGVO im Gesundheitswesen genauso wie in Unternehmen aus anderen Branchen. Die Besonderheit ist jedoch, dass die “Verarbeitung besonderer Kategorien personenbezogener Daten” gem. Art. 9 DSGVO standardmäßig stattfindet. Doch die DSGVO ist nicht die einzige Verordnung, der Sie als Unternehmen des Gesundheitssektors Folge leisten müssen. Auch § 203 StGB ist zu erfüllen. In diesem Paragrafen wird die “Verletzung von Privatgeheimnissen” geregelt und die Schweigepflicht u. a. von Ärzten sowie anderen Berufsgruppen im Gesundheitsbereich festlegt. Im Allgemeinen müssen Sie als Vertreter des Gesundheitswesens also tendenziell mehr als eine Verordnung beachten:
- DSGVO (Datenschutzgrundverordnung)
- BDSG (Bundesdatenschutzgesetz)
- StGB (Strafgesetzbuch)
- BGB (Bürgerliches Gesetzbuch)
- SGB (V)
Auch wenn StGB, BGB und SGB nicht immer im Ganzen relevant sind, sollten Sie die Grundlagen im Blick haben. Im Fokus stehen die Paragrafen § 203 StGB, § 630 BGB und § 199 Abs. 2 BGB.
Schweigepflicht gegenüber der Familie & Freunden
Fälschlicherweise wird häufig angenommen, dass Ärzte oder Therapeuten Wissen über Dritte an enge Familienmitglieder weitergeben dürfen – ein gefährlicher Trugschluss. Während man in anderen Branchen teilweise Auskunft geben darf, gilt im Gesundheitswesen eine Schweigepflicht. Bitte bedenken Sie: Ein enges Verwandtschaftsverhältnis entbindet nicht von der Schweigepflicht! Auch dann nicht, wenn enge Verwandte (ja sogar Eltern) nach dem Gesundheitszustand ihrer Angehörigen fragen.
Informationen dürfen nur im Falle der Einwilligung der Betroffenen weitergegeben werden. Fehlt diese explizite Einwilligung, wäre eine Auskunft unzulässig und verstieße gegen das Datenschutzgesetz. Die Einwilligung erfolgt dann, wenn ein Patient mit der Weitergabe der Informationen freiwillig, aktiv und explizit einverstanden ist. Ausnahmen können gemacht werden, wenn beispielsweise „ein rechtfertigender Notstand” in Kraft tritt (§ 34 StGB ), bei polizeilicher Berechtigung, Nachfrage vonseiten der Aufsichtsbehörden oder bei vorliegender Patientenverfügungen.
Datenschutz ist ein wichtiger Bestandteil im Arbeitsalltag und keineswegs freiwillig zu regeln. Einrichtung im Gesundheitswesen sind verpflichtet, unabhängig von der Mitarbeiter- oder Patientenanzahl datenschutzkonform zu handeln. Die Aussage, ausschließlich offline zu arbeiten, zählt dabei nicht als Ausnahme. Denn auch offline genutzte Akten (Fachausdruck „in nicht automatisierte Dateien”) unterliegen dem Datenschutzgesetz. Zu dieser Art von Daten zählen unter anderem Patientenkarteikarten, Patientenkurven, Pflegedokumentationen, analoge Röntgenbilder oder der strukturierte Aufbau nach festgelegten Merkmalen.
WICHTIG: Der Umgang mit personenbezogenen Daten obliegt immer dem Datenschutz, egal ob die Datenerfassung mittels „automatisierter Verarbeitung „oder in „nicht automatisierter Datei“ geschieht.
Ihr Unternehmen: Datenschutzrelevante Strukturen und Prozesse
Datenverarbeitung ist eine Art Kreislauf, ein Gesamtprozess, der sich stetig wiederholt.
WICHTIG: Betroffen sind nicht nur Patientendaten, dasselbe trifft auch auf Mitarbeiter- und Bewerberdaten zu. Dieser Teil der Daten, die in Praxen verarbeitet und gespeichert werden, wird von manchen Unternehmen eher stiefmütterlich behandelt. Wenn diese Daten jedoch nicht ausreichend geschützt werden, dann stellen sie ein Angriffsziel für Abmahnungen dar, denn auch Daten über Mitarbeiter und Bewerber müssen gemäß der DSGVO behandelt werden.
BEISPIEL AUS DER PRAXIS – WIE KÖNNEN SIE AKTIV WERDEN?
Die Grundlagen für Ihr Unternehmen im Gesundheitssektor kennen Sie nun. Leider reicht dieses Wissen allein nicht aus, um Ihr Unternehmen zu hundert Prozent datenschutzkonform aufstellen. Sie sind jetzt aber in der Lage, aufmerksam durch Ihre Praxis oder Ihr Unternehmen zu gehen, um sich mit dem Prozess der Datenerhebung zu befassen. Wie Sie am besten vorgehen, erklären wir Ihnen anhand eines Praxisbeispiels.
Wenn wir Ihr Interesse geweckt haben und Sie praktische Anleitungen (mit ToDo-Listen und konkreten Aufgaben) zur Sicherung Ihres Unternehmens erhalten möchten, melden Sie sich jetzt kostenlos zu unsere E-Mail-Powerwoche an! Eine Woche voller Tipps, Tricks und konkreten Beispielen, die Ihr Unternehmen datenschutzsicherer machen werden!
BEISPIEL: DER PATIENT IN DER REHA-EINRICHTUNG
Wie können Sie also im Rahmen der Prozesserhebung in einer Praxis vorgehen (Vorab sei gesagt, dass dieses Beispiel natürlich nicht auf jede Praxisart im Gesundheitswesen angewandt werden kann)? Sie werden sehen, an wie vielen Stellen Daten be- und verarbeitet, gespeichert und weitergegeben werden und wie viele verschiedene Mitarbeiter mit den Daten in Kontakt kommen. Wir werden dieses Beispiel als Checkliste für Sie nutzen, damit Sie selbst die gestellten Fragen für Ihr eigenes Unternehmen beantworten können. Auf diese Weise können Sie überprüfen, ob bei Ihnen alles datenschutzkonform abläuft.
Der Fall: Ein Patient mit Rezept besucht eine Reha-Einrichtung
Rezeptabgabe
Der Patient betritt Ihre Praxis und gibt das Rezept ab:
- Wem übergibt der Patient das Rezept? (Therapeut, Rezeption..)
- Was passiert mit dem Rezept, wo wird es dokumentiert? (PC, Akten..)
- Welche Daten werden wo dokumentiert?
- Wie werden die Termine vereinbart und wo werden sie notiert?
- Wird der Patient aufgeklärt und wie? (Datennutzung, Aufklärungsbogen, Aushang…?)
Therapie
Der Patient begibt sich in den Behandlungsraum:
- Welche Daten werden hier dokumentiert?
- Wo werden diese hinterlegt?
- Wer hat Einsicht in die Daten?
- Woher bekommt der zuständige Therapeut die Akte?
- Was passiert mit dem Rezept während der Therapiestunde und danach?
- Was passiert mit der Dokumentation nach der Therapie?
Abrechnung
Der Patient hat seine Behandlung abgeschlossen und muss seine Rechnung begleichen:
- Wer rechnet das Rezept ab? (Sie selbst? Dienstleister wie Abrechnungszentren?)
- Wer führt die Abrechnung durch?
- Wer kommuniziert mit wem und wann?
- Wer kontrolliert die Abrechnungssumme und wie?
- Wird das Rezept kopiert und wenn ja, wo wird es gelagert?
Nachbehandlung
Der Patient hat mit der Abrechnung abgeschlossen, doch was passiert jetzt?
- Gibt es einen Kopie des Rezeptes, wo wird diese abgelegt und für welchen Zeitraum? (Löschfristen)
- Was passiert mit der Dokumentation und wo wird diese abgelegt?
- Wie sieht der Archivierungsprozess im Allgemeinen aus?
Warum macht so eine Aufnahme Sinn und warum stellen wir dabei so viele Fragen? Hintergrund ist, dass jegliche Verarbeitung von Daten einer rechtlichen Grundlage bedarf. Es dürfen also auch nur Daten erhoben werden, die einem wirklichen Zweck dienen („Grundsatz der Zweckbindung“ gem. Art. 5 Abs. 1 lit. B DSGVO).
ZIEL DER BESTANDSAUFNAHME: Das erklärte Ziel oder das Ergebnis dieser Prozessaufnahme muss ein sogenanntes “Verzeichnis von Verarbeitungstätigkeiten” sein (VVT). Hier sind alle Datenverarbeitung Tätigkeiten Ihres Unternehmens aufgelistet. Wie genau dieses VVT gestaltet sein muss, gibt die Gesetzgebung klar vor.
Grundsatz der Individualität
Leider ist Datenschutz etwas sehr Individuelles. Ich kann als professioneller Datenschutzbeauftragter also nicht einfach mit einem Datenmanagement Konzept im Rahmen der DSGVO bei Ihnen auftauchen und dieses einfach auf jeden meiner Kunden gleichermaßen anwenden. Wir müssen schon sehr genau hinschauen, welche Prozesse ablaufen und was wo und an welcher Stelle an Datenverarbeitung stattfindet. Es gibt sogar im Gesundheitswesen erhebliche Unterschiede, je nach Unternehmensform. Deshalb muss auch jede Einrichtung einzeln betrachtet werden. Unterschiede in den Prozessen weisen etwa die folgenden Einrichtungen auf:
- Ärztliche Versorgung in der niedergelassenen Praxis
- Krankenhäuser
- Reha Einrichtungen
- Stationäre Pflegeeinrichtungen
- Ambulante Pflege Dienste
- Beratungsstellen
- Apotheken
All diese Einrichtungsformen haben zwar die gleichen Grundprozesse, aber was inhaltlich passiert, kann sehr unterschiedlich ausfallen. Deswegen sprechen wir bei Schwarte Consulting vom „Grundsatz der Individualität“.
IST IHRE PRAXIS DATENSCHUTZKONFORM?
Wenn Sie prüfen wollen, ob Ihr Unternehmen datenschutzkonform aufgestellt ist, begeben Sie sich auf einen Rundgang durch die Praxis. Verfolgen Sie etwa den Weg eines Rezepts (wie oben im Praxisbeispiel veranschaulicht), verfolgen Sie die personenbezogenen Daten ihrer Mitarbeiter, oder den Behandlungsweg eines Patienten, ohne Rezept. Zu diesem Zweck haben wir einen kleinen Spickzettel vorbereitet, den wir Ihnen gerne an die Hand geben möchten. Denn oft geht es nur darum, die richtigen Fragen zu stellen:
In einem der nächsten Artikel dieser Blogreihe gehe ich noch einmal gesondert auf dieses Vorgehen ein, denn das Ergebnis dieser Fragen werden wir gleichzeitig für das schon genannte Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO nutzen können.
Zusammenfassung
Wir haben in diesem Beitrag gelernt, dass besonders im Gesundheitswesen eine Vielzahl an Gesetzen beachtet werden muss, die dem Schutze der Betroffenen dienen. Wir haben die wichtigsten Schritte einer Prozessaufnahme beleuchtet und uns das Ergebnis einer solchen Prozessaufnahme ins Gedächtnis gerufen: Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO.
Im nächsten Teil unserer Blogreihe zum Thema “Datenschutz im Gesundheitswesen”, werden wir uns mit Rechtsgrundlagen und Kategorien des Datenschutzes befassen.
Die Beiträge sind keine Rechtsberatung (als dieser ich auch nicht tätig sein darf), zudem garantiere ich keine Vollständigkeit bzw. ersetzt das Geschrieben keinen Kurs oder die Arbeit eines Datenschutzbeauftragten o. Ä., denn das Thema ist viel zu komplex. Ich gebe lediglich Eckpunkte und erste Hinweise, damit Sie sich intensiver mit dem Thema zu befassen können.