In Krankenhäusern, Arztpraxen oder medizinischen Laboren hat das Datenschutzrecht einen besonders hohen Stellenwert, da hier schwerpunktmäßig sensible Gesundheitsdaten der Patientinnen und Patienten verarbeitet werden. Das stellt an die Verarbeitungsvorgänge und auch an die Beschäftigten hohe Anforderungen, deren Einhaltung auch nachzuweisen ist.
Als eine gute Hilfestellung dient seit längerem eine FAQ auf der Webseite der niedersächsischen Datenschutzaufsichtsbehörde. Vor wenigen Tagen wurde diese Webseite aktualisiert und bietet mit Stand Januar 2024 in der Version 3.0 umfangreiche Hinweise und Empfehlungen, wie Unternehmen und Praxen im Gesundheitsbereich in angemessener Weise dem Datenschutzrecht gerecht werden.
Im Folgenden möchte ich beispielhaft einige Antworten hervorheben.
Schulungen
Zur Häufigkeit der Durchführungen von Schulungen lautet die Empfehlung der Aufsichtsbehörde:
„Alle Beschäftigten einer Arztpraxis kommen mehr oder weniger häufig mit sensiblen Patientendaten in Berührung. Dies gilt von der Reinigungskraft bis zur Praxisinhaberin oder dem Praxisinhaber. Daher müssen alle Beschäftigten vor Aufnahme der Beschäftigung eine datenschutzrechtliche Unterweisung erhalten.
Weitere datenschutzrechtliche Schulungen sollten einmal jährlich verpflichtend für die Beschäftigen erfolgen. Die Unterrichtung und Beratung der Beschäftigten ist eine gesetzlich vorgeschriebene Aufgabe der oder des DSB (Artikel 39 Absatz 1 Nummer 1 DSGVO), sofern diese benannt sind. Ist kein/e DSB benannt, obliegt dies den Verantwortlichen. Es empfiehlt sich, dass im Rahmen der Unterrichtung empfängerorientiert über rechtliche, aber auch über aktuelle Fälle aus der praktischen Arbeit berichtet wird und die Beschäftigten allgemein und auf den jeweiligen Verantwortungsbereich bezogen fachlich informiert werden.“
Auftragsverarbeitung
Im Hinblick auf die vor einigen Jahren (noch) umstrittene Prüfung der „Auftragsverarbeitung“, beispielsweise bei Datenflüssen zwischen Arztpraxen oder an Abrechnungsunternehmen heißt es klarstellend:
„In folgenden Fällen wird, aufgrund der von der dritten Stelle durchgeführten weisungsfreien Tätigkeit, in der Regel keine Auftragsverarbeitung vorliegen:
- Verkauf der eigenen Forderungen an ein Abrechnungsunternehmen (Factoring),
- Einbindung eines Abrechnungsunternehmens mit Durchführung einer Bonitätsprüfung und / oder Durchführung der Vollstreckung von Forderungen,
- Beauftragung eines medizinischen Labors,
- Überweisung an eine andere (Fach)Ärztin oder einen anderen (Fach)Arzt.
Daher bedarf eine Datenübermittlung an diese Stellen einer Rechtsgrundlage oder der Einwilligung der Patienten (siehe auch Ziffer 5).“
Übermittlung von Gesundheitsdaten
Ein „Dauerbrenner“ im Gesundheitsbereich ist die Frage, inwiefern eine Übermittlung von Gesundheitsdaten per Telefax oder E-Mail zulässig ist und ob auch hier dem Wunsch der Patientinnen und Patienten entsprochen werden kann, die zunehmend auch die Befunde oder Rechnungen via EW-Mail erhalten möchten. Hier lautet die aktualisierte sowie praxisnahe Antwort:
„Eine unverschlüsselte E-Mail oder ein Telefax ist vergleichbar mit einer Postkarte, welche leicht von Dritten mitgelesen werden kann. Dies kann eine unbefugte Offenbarung von Patientengeheimnissen darstellen. Im Gesundheitsbereich enthalten alle E-Mails automatisch einen Bezug zu besonderen Kategorien personenbezogener Daten (Gesundheitsdaten). Für die Übermittlung dieser Daten ist zum einen entweder eine Rechtsgrundlage oder die Einwilligung der Betroffenen erforderlich, zum anderen hat die oder der Verantwortliche angemessene technisch-organisatorische Maßnahmen zu treffen, welche die Sicherheit der Übermittlung gewährleisten. Gesundheitsdaten dürfen daher nur mit einem, dem aktuellen Stand der Technik entsprechenden, sicheren Verschlüsselungsverfahren übermittelt werden.
Datenschutzgerechte Übermittlungswege sind unter anderem: Persönliche Übergabe, Versand per Brief, hinreichend inhaltsverschlüsselte E-Mail (Ende-zu-Ende Verschlüsselung bzw. per Gateway-Lösung) oder die Inanspruchnahme gesonderter abgesicherter Umgebungen (z.B. in einem Virtuellen-Privaten-Netzwerk (VPN), die Kommunikation im Medizinwesen (KIM) oder der Messenger der Telematik Infrastruktur).“
Datenschutzverletzungen
Für den etwaigen Fall einer Datenschutzverletzung gem. Art. 33 DSGVO, die auch im Gesundheitsbereich eintreten und angesichts der Sensibilität der hiervon unter Umständen betroffenen personenbezogenen Daten zu schwerwiegenden Folgen führen können, findet sich in der aktuellen FAQ folgende Antwort:
„Könnte aufgrund des Vorfalls sogar ein hohes Risiko für die Betroffenen vorliegen, sind gemäß Artikel 34 DSGVO auch die Betroffenen in geeigneter Weise unverzüglich zu unterrichten. Ein hohes Risiko ist immer dann anzunehmen, wenn die von der Datenpanne betroffenen Daten dazu geeignet sind, die Patientinnen und Patienten in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen erheblich zu beeinträchtigen („Existenz“) oder wenn deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit der Betroffenen beeinträchtigen könnte.
Eine Kenntnis über die oder den unbefugten Empfänger von Daten (im Falle eines Fehlversandes) kann je nach Verhalten dieser Person im Einzelfall das Risiko minimieren. Gleichwohl ist jede Datenschutzverletzung intern zu protokollieren (Artikel 33 Absatz 5 DSGVO).“
Insbesondere der letztgenannte Absatz ist gänzlich neu und verdeutlicht die Anforderungen an die Dokumentation derartiger Vorfälle, die von Verantwortlichen häufig übersehen werden.
Terminerinnerung
Zur Frage, inwiefern Patientinnen und Patienten an einen Untersuchungstermin erinnert werden dürfen (sog. Recall-System) wird in den neuesten FAQ ausführlicher geschrieben:
„Bereits mit der Erinnerung an einen Untersuchungstermin werden besondere Kategorien personenbezogener Daten verarbeitet. Die Versendung einer Terminerinnerung mit einer Postkarte ohne Briefumschlag ist daher nicht zulässig. Gleiches gilt für elektronische Terminerinnerungsservices. Diese müssen die Anforderungen der Artikel 25 und 32 DSGVO erfüllen und eine nach dem Stand der Technik gesicherte digitale Kommunikation gewährleisten. Als Auftraggeber sind die Ärztinnen oder Ärzte verantwortlich für die Datenverarbeitung beim Auftragsverarbeiter und haben sich regelmäßig von der ordnungsgemäßen Leistungserbringung zu überzeugen.
Sofern die Terminerinnerung durch einen Auftragsverarbeiter erfolgt, müssen die Patientinnen und Patienten vor einer Weitergabe der Daten an den Auftragsverarbeiter im Rahmen der Informationen nach Artikel 13 DSGVO über diesen Auftragsverarbeiter informiert werden. Dies gilt auch bei telefonischen Terminvereinbarungen.“
Zudem bekräftigt der LfD Niedersachsen in den neuesten FAQ (vor dem Hintergrund jüngster EuGH-Rechtsprechung), dass im Rahmen einer Auskunftsanfrage von Patientinnen und Patienten die erste Kopie innerhalb eines Monats und kostenfrei zu erteilen ist.
Gänzlich neu ist die Beurteilung der Verantwortlichkeit beim Einsatz von digitalen Gesundheitsanwendungen.
Fazit
Insgesamt dürften die Ausführungen sehr hilfreich sein und sollten in jedem Fall von Unternehmen aus dem Gesundheitsbereich beachtet werden, um ein angemessenes Datenschutzmanagement sicherzustellen.
19. April 2024 @ 18:21
Der angehängte link bezieht sich m.E. auf den unverschlüsselten Versand von Daten zwischen einer Einrichtung und der privaten mail-Adresse eines Patienten. Kann ein Patient aber auch dem unverschlüsselten Mailversand zwischen zwei Einrichtungen untereinander zustimmen oder gelten zwischen den Einrichtungen höhere Anforderungen an die Professionalität der Datenübermittlung?
17. April 2024 @ 18:36
Muss ein Patient im Krankenhaus damit dem verschlüsselten Mailversand seiner Daten ausdrücklich zustimmen oder kann er bereits auch dem unverschlüsselten Versand zustimmen, damit der Träger seinen organisatorischen Verpflichtungen nachgekommen ist? Die Frage beschäftigt mich lange, aber ich finde sie nirgends geklärt?
19. April 2024 @ 11:31
Sehr geehrter Fragensteller,
haben Sie vielen Dank für diese berechtigte Nachfrage.
Grundsätzlich ist es ja so, dass diese Übermittlung der Daten nur verschlüsselt erfolgen sollte, es sei denn, die betroffene Person stimmt in nachweisbarer Weise ausdrücklich der unverschlüsselten Übermittlung der Daten zu. Also ohne Regelung muss die Übermittlung möglichst sicher und nach dem Stand der Technik geschützt erfolgen. Mehr hierzu auch unter: https://www.datenschutz-notizen.de/darf-der-arzt-dem-patienten-den-befund-per-e-mail-zusenden-4829754/