Weiße Mäntel in der Grauzone – Datenschutz im Gesundheitssektor

Im Gesundheitssektor, indem eine Vielzahl von besonders schutzwürdigen Patientendaten verarbeitet werden, ist erhöhte Aufmerksamkeit auf den Umgang mit diesen Daten und die Einhaltung datenschutzrechtlicher Bestimmungen zu legen.

Viele punktuelle Maßnahmen wurden im Gesundheitssektor gesetzt, jedoch fehlt zumeist der Gesamtüberblick. Bei großen Gesundheitsdienstleistern insbesondere bei Krankenhäusern, ist die praktische Umsetzung und Dokumentation von Betroffenenrechten nur schwer administrierbar.

Folgende Dinge sollten vorhanden sein um den Gesamtüberblick über den Datenschutz wahren zu können:

  1. Verzeichnis von Verarbeitungstätigkeiten
  2. Dokumentation der technischen und organisatorischen Maßnahmen
  3. Liste von Auftragsverarbeitern inkl. der unterschriebenen Verträge

Dazu sollte ein Vorgehen innerhalb einer Organisation festgelegt werden, wie man diesen Gesamtüberblick über den Datenschutz stets aktuell hält. Ohne ein geeignetes softwaregestütztes Datenschutzmanagementsystem hat sich dies in der Praxis als schwierig erwiesen.

Fehlendes Verständnis über Rechtsgrundlagen

Ein Grundproblem im Gesundheitssektor stellt aktuell das fehlende Verständnis für die Rechtsgrundlagen zur Verarbeitung von Patientendaten dar. Es werden derzeit sehr häufig Einwilligungen von Patienten eingeholt, obwohl es andere (bessere) Rechtsgrundlagen z.B. den Behandlungsvertrag oder eine gesetzliche Grundlage, für die Verarbeitung von Patientendaten gäbe.

Eine Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden. Ein Rückgriff auf die andere (bessere) Rechtsgrundlage, ist nach Widerruf der Einwilligung nicht mehr möglich und eine weitere Verarbeitung der Daten wäre rechtswidrig.

Tipp! Prüfen Sie unbedingt ob tatsächlich eine Einwilligung benötigt wird,
oder ob nicht eine andere Rechtsgrundlage für die Verarbeitung von Patientendaten in Frage kommt.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Die Frage ob ein Datenschutzbeauftragter im Gesundheitssektor notwendig ist, ist nicht immer leicht zu beantworten. Die DSGVO legt dafür den Begriff der „umfangreichen“ Verarbeitung von besonders schützenswerten Daten in der Kerntätigkeit als Maßstab fest. Die Frage dabei ist, was man unter umfangreich versteht. 

Es ist herrschende Ansicht, dass der einzelne niedergelassene Arzt noch keine umfangreiche Verarbeitungstätigkeit durchführt, es jedoch bei zwei oder mehreren sich zu einer Arztpraxis zusammenschließenden Ärzte, schon wieder anders aussieht. Was bleibt ist eine Grauzone. 

Die Wirtschaftskammer spricht eine Empfehlung aus, dass bei Überschreitung von 10.000 Datensätzen und/oder 10 Mitarbeitern jedenfalls ein Datenschutzbeauftragter benannt werden sollte. Andere Autoren im Datenschutz sprechen von 5000 Datensätzen pro Jahr. Für ein Krankenhaus steht eine Bestellpflicht außer Frage.

Tipp! Bestellen Sie einen externen Datenschutzbeauftragten bei zumindest zwei sich zu einer Gesamtpraxis zusammenschließenden Ärzten.

Durchführung einer Datenschutzfolgenabschätzung (DSFA)

Eine weitere Grauzone im Gesundheitssektor betrifft die Frage, ob eine Datenschutzfolgenabschätzung (DSFA) bei einzelnen Verarbeitungstätigkeiten durchzuführen ist. Einerseits wird in der Verordnung über die Ausnahmen zu einer DSFA (sog. White-List) die Patientenverwaltung als ausgenommene Verarbeitung angeführt, jedoch enthält die Verordnung über die verpflichtende Durchführung einer DSFA (sog. Black-List) wiederum eine Pflicht zur Durchführung einer DSFA, falls eine umfangreiche Verarbeitung von besonders schützenswerten Daten durchgeführt wird oder eine Verarbeitung von besonders schutzbedürftigen Personen z.B. Patienten betroffen ist.

Tipp! Führen Sie bei der Verarbeitung von Gesundheitsdaten im Rahmen einer Arztpraxis jedenfalls eine DSFA durch. Auch unabhängig von einer gesetzlichen Pflicht, ist eine strukturierte Bewusstmachung von Risiken ratsam.

Im Gesundheitssektor, indem eine Vielzahl von besonders schutzwürdigen Patientendaten verarbeitet werden, ist erhöhte Aufmerksamkeit auf den Umgang mit diesen Daten und die Einhaltung datenschutzrechtlicher Bestimmungen zu legen.

Im Gesundheitssektor, indem eine Vielzahl von besonders schutzwürdigen Patientendaten verarbeitet werden, ist erhöhte Aufmerksamkeit auf den Umgang mit diesen Daten und die Einhaltung datenschutzrechtlicher Bestimmungen zu legen.

Das Webinar zum Thema

Sie möchten mehr zu diesem Thema erfahren? Dann melden Sie sich zum kostenlosen Webinar an!
“Weiße Mäntel in der Grauzone – Datenschutz im Gesundheitssektor” 
am 16. April 2020 von 09:30 bis 10:00

Veranstalter: DataReporter GmbH (www.datareporter.eu)
Autor & Moderator: Mag. jur. Robert Reitmann
(Chief Legal Officer (CLO) & Co-Founder, DataReporter GmbH)