Datenschutz im Gesundheitsbereich: Aufsichtsbehörde klärt auf

Im Bereich der Gesundheitsversorgung unterliegen medizinische Daten einem besonders strengen Schutz. Diese Daten umfassen nicht nur persönliche Informationen, sondern fallen gemäß Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DS-GVO) in die Kategorie der besonderen Daten. Diese Kategorie bezieht sich nicht nur auf Gesundheitsdaten, sondern schließt auch die „Verarbeitung von genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person“ ein. Grundsätzlich ist die Erhebung solcher Daten untersagt, es sei denn, es liegen explizite Einwilligungen oder gesetzliche Erlaubnisse gemäß Art. 9 Absatz 2 der DS-GVO vor.

Personenbezogene Daten im medizinischen Bereich betreffen insbesondere Informationen zu Behandlungen, Vorerkrankungen und Diagnostik der Patienten. Diese Daten müssen äußerst vertraulich behandelt werden und dürfen keinesfalls in unbefugte Hände gelangen.

Dieses Gebot resultiert nicht nur aus Datenschutzüberlegungen, sondern unterliegt zusätzlich der ärztlichen Schweigepflicht. Die Offenlegung von Gesundheitsdaten an Dritte ist ausschließlich gestattet, wenn der Patient die behandelnden Personen oder Pflegekräfte von ihrer Schweigepflicht entbindet.

Verstöße gegen das Verbot der Weitergabe von Patientendaten haben strafrechtliche Konsequenzen. Gemäß §203 des Strafgesetzbuches können solche Verstöße mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu einem Jahr geahndet werden. Daher ist es von besonderer Bedeutung, im Gesundheitswesen den Datenschutz sorgfältig zu beachten.

Der Landesbeauftragte für den Datenschutz Niedersachsen hat eine umfangreiche Sammlung von häufig gestellten Datenschutz-Fragen zu diesem Themenbereich zusammengetragen und beantwortet diese auf seiner Internetseite.

Die Fragen und Antworten adressieren alle Leistungserbringerinnen und Leistungserbringer im Gesundheitswesen und sollen unmittelbar für Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen gelten. Aber auch Apothekerinnen und Apothekern, Pflegediensten und ähnlichen Einrichtungen sowie Patientinnen und Patienten legt der der LfD Niedersachsen eine Orientierung an den Empfehlungen nahe.

In den FAQ finden interessierte auch konkrete Empfehlungen, bspw. zu der Frage, in welchen zeitlichen Intervallen Mitarbeiter in Sachen Datenschutz geschult bzw. sensibilisiert werden sollten oder in welchem zeitlichen Abstand ein Verzeichnis der Verarbeitungstätigkeiten einer standardmäßigen „Inventur“ unterzogen werden sollte.

Eine Anlage 1 Muster für Transparenz- und Informationspflichten sowie eine Anlage 2 Beispiel für einen Eintrag im VVT runden die FAQ ab.

Interessierte können sich auch die Veröffentlichung des BayLDA: Der Bayerische Landesbeauftragte für den Datenschutz informiert zum Thema Krankenhaus oder auch die FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern anschauen.

(Foto: MdAbadur – stock.adobe.com)