Die DSGVO – Stress für das Gesundheitswesen?

Inhaltsverzeichnis

Seit Monaten spukt eine Abkürzung durch die Fachpresse: DSGVO. Das steht für Datenschutz-Grundverordnung, und diese enthält neue Datenschutz-Vorschriften, die von der EU erlassen wurden und am 25.05.2018 in allen EU-Staaten in Kraft treten.

Was bedeutet die DSGVO für das Gesundheitswesen? Haben Sie sich schon eine Meinung gebildet? Schauen wir uns die neuen Regelungen einfach mal gemeinsam an. 

Deutschland: Schon vorher straffe Regelungen im BDSG

Zunächst mal: Das Inkrafttreten der DSGVO bedeutet nicht, dass der Datenschutz in Deutschland plötzlich von 0 auf 100 gefahren wird. Im Gegenteil: Deutschland hatte schon zuvor mit seinem Bundesdatenschutzgesetz (BDSG), den Landesdatenschutzgesetzen (LDSG) und weiteren Vorschriften wie etwa der beruflichen Schweigepflicht (§ 203 StGB) einen international vorbildlichen Rechtsrahmen in Sachen Datenschutz. Statt dieser bewährten Vorschriften gilt nun nicht etwa allein die DSGVO – vielmehr müssen die vorhandenen Gesetze an die neue Datenschutz-Grundverordnung angepasst werden. Es gibt also ein altes und ein neues BDSG, und das neue tritt am 25.05.2018 in Kraft, wie auch die europaweite DSGVO.

Ist das BDSG nun nicht eigentlich überflüssig, wenn in der DSGVO schon alles verbindlich geregelt ist? Nein, denn: Sogenannte Öffnungsklauseln in der DSGVO legen bestimmte Bereiche fest, in denen jeder EU-Staat seine eigenen Regelungen treffen darf. Ein Beispiel ist die Frage, ob Bußgelder gegen öffentliche Stellen verhängt werden dürfen: Das neue BDSG sagt dazu „nein“.

Bußgelder auch für Krankenhäuser

Allerdings mit einer Ausnahme: Laut neuem BDSG dürfen Bußgelder sehr wohl gegen Einrichtungen des öffentlichen Rechts verhängt werden, wenn diese miteinander im Wettbewerb stehen. Das wird ab dem 25. Mai eine wichtige Rolle für Krankenhäuser spielen, die in öffentlicher Trägerschaft sind: Obwohl Deutschland sich generell dagegen entschieden hat, für öffentliche Stellen Bußgelder nach DSGVO zuzulassen, können sie nach Meinung von Juristen doch gegen Krankenhäuser verhängt werden, wenn diese in öffentlicher Trägerschaft sind, weil Krankenhäuser mit anderen Krankenhäusern im Wettbewerb stehen. Gegen Krankenhäuser in privater Trägerschaft kommen Bußgelder sowieso in Betracht, wie für jedes andere private Unternehmen auch.

Teure Datenschutzverstöße

Und die zukünftige Höhe dieser Bußgelder ist ein wesentlicher Unterschied zum alten BDSG: Ab dem 25. Mai können bei bestimmten Datenschutzverstößen Bußgelder in Höhe von bis zu 20 Millionen EUR oder 4% des globalen Umsatzes des letzten Geschäftsjahres angeordnet werden – nach altem BDSG nur bis zu 300.000 EUR.

In der Vergangenheit waren Bußgelder bis 50.000 EUR die Regel, und die höheren Summen bis 300.000 EUR die Ausnahme.

Weitere Verschärfungen der Bußgeldregelung: Zukünftig müssen Verstöße bestraft werden – bisher lag dies im Ermessen der Aufsichtsbehörden. Diese werden ab jetzt zudem deutlich häufiger von Verstößen erfahren, denn es besteht ab dem 25. Mai eine Meldepflicht, die es unter dem alten BDSG nicht gab, und die Meldung muss sogar praktisch umgehend erfolgen: Innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde.

Gesundheitsdaten unter DSGVO und neuem BDSG

Aber was kann man in Sachen Datenschutz so schwerwiegend falsch machen, dass solche Bußgelder gerechtfertigt wären? Speziell im Gesundheitswesen? Tatsächlich werden sowohl vom alten BDSG als auch von der DSGVO und dem neuen BDSG Gesundheitsdaten als besonders schützenswert klassifiziert (Art. 9 DSGVO): Ihre Verarbeitung ist, mit einigen Ausnahmen, verboten. Ab dem 25. Mai fallen explizit auch genetische Daten unter diese Einordnung.

Eine der Ausnahmen des Verarbeitungsverbots ist die Verarbeitung zum Zweck der Gesundheitsversorgung, und auch die Verarbeitung mit explizitem Einverständnis des Betroffenen.

Datenschutzbeauftragte und Datenschutz-Folgenabschätzung

Das bedeutet, dass Einrichtungen im Gesundheitswesen selbstverständlich weiterhin Gesundheitsdaten von Patientinnen und Patienten erheben dürfen. Größere Einrichtungen müssen allerdings, da sie mit sensiblen Daten umgehen, eine Datenschutz-Folgenabschätzung vornehmen – und dokumentieren! Für die einzelne Arztpraxis gilt das nicht, denn laut DSGVO ist eine Datenschutz-Folgenabschätzung nicht zwingend notwendig, „wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt“ (Erwägungsgrund 91). Wie sieht es für kleine oder große Pflegedienste aus? Hier ist mehr als ein Angehöriger eines Gesundheitsberufes an der Datenverarbeitung beteiligt. Wie das in der Realität beurteilt werden wird, das werden wahrscheinlich erst Gerichtsentscheidungen in der Zukunft zeigen. Was enthält so eine Datenschutz-Folgenabschätzung? Es müssen vier Fragenbereiche beantwortet werden:

  • Welche Datenverarbeitung erfolgt und zu welchen Zwecken?
  • Ist sie notwendig und verhältnismäßig?
  • Welche Risiken für die Rechte der Betroffenen besteht hierbei?
  • Wie werden diese Risiken beherrscht?

Für alle Einrichtungen, die eine Datenschutz-Folgenabschätzung machen müssen, gilt auch: Sie müssen einen Datenschutzbeauftragten benennen. Dies ist ansonsten für Einrichtungen im Gesundheitswesen laut neuem BDSG dann Pflicht, wenn 10 oder mehr MitarbeiterInnen mit der automatisierten Datenverarbeitung beschäftigt sind – also beispielsweise per Computer auf Patientenkurven zugreifen. So war es auch schon unter dem alten BDSG – es ändert sich für Einrichtungen ab 10 Mitarbeitern also zumindest in dieser Hinsicht nichts.

Einwilligung: Schriftlich oder mündlich, aber zweckgebunden

Wenn die erhobenen Daten über das hinausgehen, was zur reinen Gesundheitsversorgung notwendig ist, dann muss die Einrichtung eine Einwilligung der Patientin oder des Patienten einholen. Diese muss auch weiterhin nicht unbedingt schriftlich erfolgen – sollte aber, damit alle Beteiligten auf der sicheren Seite sind. Im Gegensatz zu früher muss die Einwilligung (bzw. deren Dokumentation, wenn die Einwilligung selber mündlich erfolgt ist) sich auf einen ganz bestimmten Zweck der Datenverarbeitung beziehen, zum Beispiel „Übermittlung an eine private Verrechnungsstelle“. Einwilligungen für einen bestimmten Zweck gelten somit ganz klar nicht für einen anderen Zweck – und wenn der ursprüngliche Zweck wegfällt, müssen die Daten gelöscht werden.

Recht auf Vergessenwerden

Denn auch im Gesundheitswesen gilt das mit der DSGVO eingeführte „Recht auf Vergessenwerden“: Betroffene dürfen ihre Daten löschen lassen, wenn dem nicht wichtige in der DSGVO aufgeführte Gründe entgegenstehen. Im Gesundheitswesen wären solche anderen Gründe beispielsweise Aufbewahrungspflichten oder das Recht und die Pflicht von Angehörigen der Gesundheitsberufe, ihre Tätigkeit zu dokumentieren.

Fazit: Nicht alles wird anders unter der DSGVO, aber einiges.

Bitte beachten Sie, dass dieser Beitrag nur einen ersten allgemeinen Überblick über die neue gesetzliche Regelung im Datenschutzrecht geben kann. Er ist offenkundig nicht auf Ihre spezifische Situation zugeschnitten, stellt keine Rechtsberatung dar und kann eine solche auch nicht ersetzen. Bitte wenden Sie sich in jedem Fall an Ihren Datenschutzbeauftragten, rechtlichen Berater oder den oder die in Ihrem Unternehmen für datenschutzrechtliche Fragen sonst Zuständige(n).


Bildnachweis: Jan Engel – stock.adobe.com

ist Ärztin und Medizininformatikerin sowie Beraterin und Fachautorin für Digitalisierung im Gesundheitswesen. Sie ist Autorin mehrerer Bücher und zahlreicher Artikel zu den Themen Informatik und Informationssicherheit in der Medizin.
mehr weniger
Weitere interessante Beiträge