In unserem ersten Blogartikel der Reihe „Datenschutz im Gesundheitswesen“ haben wir uns damit befasst, welche gesetzlichen Grundlagen für ihre Praxis eine Rolle spielen. Anhand bestimmter Fragen haben wir Ihnen gezeigt, wie Sie sich bezüglich personenbezogener Daten durch Ihre Praxis arbeiten können und Ihre Arbeit damit den Datenschutzgesetzen anpassen. Falls Sie noch keine Erstaufnahme gemacht haben, lesen Sie in unserem ersten „Datenschutz im Gesundheitswesen“ Artikel, wie es geht.
Nun haben Sie bereits erste konkrete Punkte, mit denen Sie arbeiten können, um Ihre Praxis in eine datenschutzkonforme Praxis zu verwandeln. In diesem zweiten Artikel werden wir Ihr Wissen weiter vertiefen, um ein besseres Verständnis für dieses doch sehr komplexe Thema zu schaffen.
Rechtsgrundlagen
Leider kommen wir nicht ganz ohne die trockenen Rechtsgrundlagen aus, die auch das Thema VVT (Verzeichnis für Verarbeitungstätigkeiten aus) beinhalten. Es macht allerdings Sinn, sich mit den gängigsten Regelungen zu befassen, um Ihr Unternehmen wirklich DSGVO konform gestalten zu können.
Beginnen wir also mit den Datenschutz-Vorgaben, die am häufigsten beachtet werden müssen. Und keine Sorge, wir versuchen die Grundlagen so einfach und präzise wie möglich zu beleuchten, damit wir Sie in kürzester Zeit Datenschutz-fit machen!
Die häufigsten zu beachtenden Vorgaben für den Datenschutz in medizinischen Unternehmen
Aus der DSGVO & BDSG
- Art. 5 Grundsätze der Verarbeitung personenbezogener Daten
- Art. 7 Bedingungen für die Einwilligung
- Art. 9 DSGVO, §22 BDSG, Verarbeitung besonderer Kategorien personenbezogener Daten,
- § 4 Videoüberwachung in öffentlich zugänglichen Räumen
- Art. 28 Auftragsverarbeiter
- Art. 15 Auskunftsrecht der betroffenen Personen
- Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen
- § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- Art. 32 Sicherheit der Verarbeitung
Wir können Ihnen an dieser Stelle nur eine kurze Auflistung der Paragrafen bereitstellen, denn die detaillierte Erläuterung der einzelnen Punkte ginge weit über diesen Blogbeitrag hinaus. Und wir wollen Sie schließlich nicht langweilen. Sollten Sie die genauen Gesetzestexte nachschlagen wollen, können Sie sich hier umfassend damit beschäftigen (https://dsgvo-gesetz.de/).
Für uns ist an dieser Stelle besonders wichtig, aus den gesetzlichen Vorgaben die entsprechenden To-Dos für Sie und Ihre Praxis abzuleiten.
Betrachten wir zum Beispiel Art. 7 etwas genauer. Was bedeutet dieser Paragraf konkret für ihr Unternehmen?
Art. 7: „Bedingung für die Einwilligung“
Bitte prüfen Sie genau, ob eine Einwilligung erforderlich ist. Eventuell besteht sogar eine gesetzliche Pflicht, diese Daten zu erheben und auch an Dritte weiterzugeben. Genau dann ist eine Einwilligung nicht immer erforderlich, sondern es reicht eine Information des Patienten.
Seien Sie schlau!
Viele Praxen lassen sich pro forma alles per Einwilligung bestätigen, um auf Nummer Sicher zu gehen. Das stellt teilweise einen enormen bürokratischen Aufwand dar und ist in den meisten Fällen absolut nicht notwendig. Deswegen hier eine klare Empfehlung: Bevor Sie in ein Einwilligungsverfahren gehen, überprüfen Sie genau die rechtlichen Grundlagen: Sind Einwilligungen notwendig, oder ist ein anderer Weg auch rechtmäßig?
SPEZIALGESETZLICHE REGELUNGEN
Neben den Regelungen zum Datenschutzrecht gibt es auch zahlreiche spezialgesetzliche Regelungen, die sogar vorrangig zu beachten sind. Tipp: Vernachlässigen Sie diese Vorschriften nicht und prüfen Sie, ob es in Ihrer Praxis eine entsprechende Relevanz zur Einhaltung der spezialgesetzlichen Vorschriften gibt. Lassen Sie uns einen kurzen Blick auf diese Vorschriften werfen:
Spezialgesetzliche Vorschriften
Weitere Regelungen für den medizinischen Datenschutz:
- Patientengesetz §§ 630 ff BGB Infektionsschutzgesetz
- Medizinproduktegesetz
- Krebsregistergesetz
- Strahlenschutzgesetz (ab 2018), Strahlenschutzverordnung
- Arzneimittelgesetz, Betäubungsmittelgesetz
- Gendiagnostikgesetz
- Gesetz zur Modernisierung der gesetzlichen Krankenkassen
- Transfusionsgesetz
Die nächste Übersicht regelt vorrangig die Themen der Datenübermittlung à la „Was ist erlaubt und was nicht“.
Diese spezialgesetzlichen Vorschriften regeln wesentliche Aspekte aus dem Sozial- und Gesundheitswesen
- SGB I grundsätzliche Regelungen im Rahmen der Verwaltungsvorschriften
- § 35 Sozialgeheimnis
- § 36a elektronische Kommunikation
- § 60 Angabe von Tatsachen (zum Beispiel bei Erhalt von Sozialleistungen)
- SGB V Regelungen zur gesetzlichen Krankenversicherung
- § 73 kassenärztliche Versorgung
- § 301 Krankenhäuser (erforderliche Datenübermittlung zum Zwecke der Leistungsabrechnung)
- SGB VII Regelungen zur gesetzlichen Unfallversicherung
- SGB IX Rehabilitation und Teilhabe behinderter Menschen
- SGB X Sozialverwaltungsverfahren und Sozialdatenschutz
- SGB XI soziale Pflegeversicherung
Um genau ins Detail zu gehen und zu überprüfen, ob die einzelnen Paragrafen für Ihren speziellen Fall Anwendung finden, sollten Sie sich die entsprechenden Kapitel zu Gemüte führen.
Unterscheidung zwischen Primär- und Sekundärdaten
Primärdaten sind zweckgebunden Daten. Sie werden also nicht standardmäßig erhoben, sondern immer für einen eigenständigen Verarbeitungszweck erhoben und analysiert. Durch die Zweckbindung ist die Datenqualität sehr viel höher als bei Sekundärdaten und die Daten sind stets aktuell. Die Erhebung solcher Daten ist allerdings mit hohem Zeit-, Kosten- und Personalaufwand verbunden.
Sekundärdaten hingegen sind bereits erhobene Daten, die nun für anderen Verarbeitungszwecke genutzt werden, als ursprünglich vorgesehen. Sie sind also nicht direkt zweckgebunden und dadurch auch qualitativ nicht so hochwertig wie Primärdaten (allein schon aufgrund der Aktualität der Daten).
Sekundärdaten haben allerdings den Vorteil, dass sie bereits vorliegen und nicht erst noch erhoben werden müssen. Zudem ist es wesentlich günstiger, mit Sekundärdaten zu arbeiten.
Die Vor- und Nachteile von Primär- und Sekundärdaten sind konträr, sodass die Vorteile des einen die Nachteile des anderen darstellen und umgekehrt.
Alle Datenarten spielen ebenfalls eine Rolle im schon angesprochenen Verzeichnis für Verarbeitungstätigkeiten (VVT). So viel darf bereits gesagt werden: Wir werden noch einen gesonderten Beitrag zu diesem speziellen Thema vorbereiten, der im Detail erklärt, wie das Ganze funktioniert.
Datenkategorien im Datenschutz
Im Gesundheitswesen finden Sie unterschiedliche Kategorien von personenbezogenen Daten vor.
Um zu verstehen, mit welchen Daten und Kategorien von Daten Sie sich in Ihrem Arbeitsalltag befassen, haben wir für Sie einen Überblick entworfen. Sich mit dieser Thematik zu befassen ist ebenfalls enorm wichtig, um überhaupt einschätzen zu können, mit welchen Daten Sie betraut sind und auch tatsächlich nutzen (und, ob diese primär oder sekundär zu zählen sind).
Patientendaten
Alle Informationen über eine Person, die in der Funktion als Patient erhoben, verarbeitet oder gespeichert werden, sind als Patientendaten zu bezeichnen. Die Daten werden zumeist in medizinischen Einrichtungen erhoben und werden gemäß Art. 9 Abs. 1 DSGVO den besonderen Kategorien personenbezogener Daten zugeordnet. Somit unterliegen sie einem besonderen Schutzbedarf. Die Erhebung erfolgt meist in elektronischer oder papier bezogener Weise. Patientendaten werden zur Dokumentation der Behandlung sowie zur späteren Abrechnung der erbrachten Leistung benötigt.
Routinedaten
Bei Routinedaten im Gesundheitswesen handelt es sich um kontinuierlich erhobene und standardisierte Primärdaten. Nachdem die Primärdaten ihren ursprünglichen Erhebungszweck erfüllt haben, können sie in anonymisierter Form für weitere sekundäre (Forschungs-) Zwecke verwendet werden. Als Quellen von Routinedaten sind beispielsweise die Abrechnungsdaten der gesetzlichen Krankenversicherungen, die Krankenhausdiagnosestatistik, Krebsregisterdaten oder Daten der Sozialversicherungsträger zu nennen.
Sozialdaten
In § 67 Abs. 1 SGB X werden Sozialdaten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, welche von einer Stelle im Sinne von § 35 SGB I (Sozialversicherungsträger, Sozialhilfeträger oder Versorgungsbehörden) zur Erfüllung der Aufgaben der Sozialgesetzbücher erhoben, verarbeitet oder genutzt.
Die Sozialdaten unterliegen dem Sozialgeheimnis gemäß § 35 SGB I. Eine Erhebung, Verarbeitung oder Nutzung der Daten ist nur unter den Voraussetzungen nach §§ 67ff. SGB X erlaubt. In §§ 78a SGB X werden technische und organisatorische Maßnahmen (TOM) zum Schutz von Sozialdaten beschrieben. In §§ 81ff. SGB X sind die Rechte der Betroffenen geregelt, demnach hat jeder Betroffene das Recht, sich an den Bundesbeauftragten für den Datenschutz zu wenden, wenn er der Ansicht ist, dass er in den Rechten bezüglich seiner personenbezogenen Sozialdaten verletzt wurde.
Abrechnungsdaten
Nach § 295 SGB V sind an der vertragsärztlichen Versorgung teilnehmende Ärzte und Einrichtungen verpflichtet, die Abrechnungsunterlagen aufzuzeichnen und zu übermitteln. Zu diesen Daten gehören die erbrachten Leistungen, der Behandlungstag und die Diagnose, verschlüsselt mittels ICDG.
Stammdaten
Die Stammdaten stellen die Grundinformationen über einen Patienten dar und sind somit eine Teilmenge der Patientendaten. Zu den Stammdaten eines Patienten gehören folgende Angaben:
- Vor- und Nachname,
- Geburtsdatum
- Geschlecht
- Anschrift
- Versicherungsstatus
- Kontaktdaten (Telefon, Mobilfunk, E-Mail),
- Krankenkasse
Behandlungsdaten
Als Behandlungsdaten werden alle Daten, die während der Behandlung eines Patienten erhoben werden, bezeichnet. Diese Daten lassen sich in Fall- und Patientenbezogene Behandlungsdaten einteilen. Fallbezogene Daten werden genau einem Fall zugeordnet, welcher wiederum einem Patienten zugeordnet ist. Bei den patientenbezogenen Daten werden diese einem Patienten zugeordnet, jedoch keinem expliziten Behandlungsfall. Genau wie die Stammdaten stellen die Behandlungsdaten eine Teilmenge der Patientendaten dar.
Angehörigendaten
In vielen medizinischen Einrichtungen werden bei der Aufnahme von Patienten auch Angaben über Angehörige erhoben, die in bestimmten Fällen z. B. beim Tod des Patienten oder zur Abholung zu kontaktieren sind.
Forschungsdaten
Als Forschungsdaten werden Daten bezeichnet, die im Zuge eines wissenschaftlichen Vorhabens erhoben werden, das Ergebnis einer Forschung sind oder während eines Forschungsprozesses entstehen.
Mitarbeiterdaten
Bei Mitarbeiterdaten handelt es sich um Einzelangaben über die Angestellten eines Unternehmens. Hierzu zählen der Vor- und Nachname, die Anschrift, die Kontaktdaten, die Position innerhalb des Unternehmens sowie der Verdienst. Ausgehend von EW 155 DSGVO sind die Mitgliedstaaten berechtigt, Regelungen und Vorschriften für die Verarbeitung von Beschäftigtendaten zu erlassen. Durch § 26 BDSG-neu wird die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses geregelt
Biometrische Daten
Auch der Begriff biometrische Daten wird durch die europäische Datenschutz-Grundverordnung definiert und kann den Gesundheitsdaten zugewiesen werden. Als biometrische Daten werden Informationen über eine natürliche Person bezeichnet, die durch spezielle technische Verfahren gewonnen werden und physische, physiologische und verhaltenstypische Merkmale dieser Person aufweisen. Des Weiteren dienen sie zur eindeutigen Identifizierung der Person. Als Beispiele sind Gesichtserkennungsbilder oder Fingerabdrücke zu nennen.
Genetische Daten
Der Begriff genetische Daten wurde in die Begriffsbestimmungen der Europäische Datenschutz-Grundverordnung in Art. 4 Abs. 13 aufgenommen. Dadurch werden genetische Daten als Informationen über die „vererbten oder erworbenen genetischen Eigenschaften einer Person [bezeichnet], die eindeutigen Informationen über die Physiologie oder die Gesundheit […] und aus der Analyse einer biologischen Probe […] gewonnen wurden.“ (Art. 4 Abs. 13 DS-GVO).
Was können Sie also konkret tun?
Im ersten Beitrag unserer Blogreihe „Datenschutz im Gesundheitswesen“ habe ich Ihnen gezeigt, wie Sie durch Ihre Praxis gehen können und welche Fragen Sie stellen müssen, um einen prozessualen Überblick zu bekommen. Das Ganze sollte in einer strukturierten Form stattfinden. H3 Schritt für Schritt Anleitung Überlegen Sie, zu welchen Datenverarbeitungsprozessen welche rechtliche Grundlage passt. Dann schreiben Sie diese auf und betrachten im zweiten Schritt die Spezialvorschriften, die wir in diesem Artikel betrachtet haben und schreiben ebenfalls auf.
(Übrigens als kleiner Exkurs: der jeweilige Prozesspunkt ist bzw. kann eine sogenannten Verarbeitungstätigkeit sein, die für die VVT wichtig ist.)
Hier ein kleines Beispiel, wie das Ergebnis Ihres Rundganges dokumentiert werden könnte:
Anhand dieses Beispiels sehen Sie bereits, dass die Dokumentation an sich nicht besonders kompliziert ist, sie aber dennoch einmal präzise durchgearbeitet werden muss.
Sobald Sie die rechtlichen Grundlagen zur Verarbeitungstätigkeit hinzugefügt und die Kategorie der Daten hinterlegt haben, sind Sie schon fast bei einer VVT angelangt. Sie sehen also, dass wir bereits parallel das Thema „Verzeichnis für Verarbeitungstätigkeit“ gem. Art. 30 DSGVO bearbeiten, bis wir zur kompletten Aufklärung dieses Themas kommen.
Zusammenfassung
In diesem aktuellen Artikel haben wir uns mit den wichtigsten rechtlichen Regelungen befasst.
Wir haben die Besonderheiten im Gesundheitswesen betrachtet, deren Einhaltung teilweise sogar Vorrang gegenüber der DSGVO haben.
Zudem haben wir uns mit dem Thema Daten-Kategorien beschäftigt und sind nun in der Lage, Prozesse nach bestimmten Fragen (Verarbeitungstätigkeiten) aufzunehmen, diese mit den gesetzlichen Grundlagen zusammenzubringen und das Ganze mit konkreten Datenkategorien in Einklang zu bringen.
Was kommt als Nächstes?
Das nächste Thema, mit dem wir uns im Rahmen der Blogartikelreihe „Datenschutz im Gesundheitswesen“ beschäftigen, handelt von der korrekten Auftragsverarbeitung. Wir stellen uns gemeinsam die Frage: Welche Drittparteien bekommen von uns personenbezogene Daten übermittelt und was ist dabei zu beachten? Wir freuen uns immer über Feedback, Anregungen und Newsletter-Abonnenten!
Die Beiträge sind keine Rechtsberatung, als dieser ich auch nicht tätig sein darf, zudem garantiere ich keine Vollständigkeit bzw. ersetzt einen Kurs als Datenschutzbeauftragter oder sonst was, denn das Thema ist viel zu komplex ich gebe lediglich Eckpunkte, um sich intensiver mit dem Thema zu befassen.