Datenschutz im Gesundheitswesen
Im Gesundheitswesen wird mit besonders sensiblen Daten gearbeitet. Ihnen wird daher auch ein besonderer Schutz zuteil, welcher ein besonderer Umgang notwendig macht. Die Anforderungen an Heilberufe bei der täglichen Arbeit sind daher oftmals komplex und unverständlich, erzeugen Missverständnisse und behindert damit unnötig die Arbeit.
Neben der Datenschutz-Grundverordnung sind zahlreiche Sonderregelungen zu beachten. Dies können zum Beispiel die Vorschriften aus den Sozialgesetzbüchern, dem Strafgesetzbuch oder den Landesgesetzen, Jugendschutzgesetz, BGB und HGB, Personenstandsgesetz sowie den kirchlichen Datenschutzbestimmungen sein. Zudem erwarten Kunden, Patienten, Angehörige oder Betreuer im Gesundheitswesen Sicherheit und Seriosität im Umgang mit Gesundheitsdaten. Ebenso finden viele neue Technologien ihren Weg in die Gesundheitsbranche. Sie vereinfachen und verkürzen Arbeitsabläufe. Allerdings gehen mit diesen bequemen Vereinfachungen und neuen Möglichkeiten neue Risiken einher. Risiken, mit denen das Vertrauen gefährdet. Eine gute Organisation des Datenschutzes und angemessene Maßnahmen zur IT-Sicherheit hilft Ihnen erheblich dabei sowohl den Anforderungen an die Schweigepflicht als auch den Ihrer Patienten zu erfüllen.
Vertrauen ist die Grundlage einer jeden Behandlung
Wir kennen die Besonderheiten
Unterstützung bei der Umsetzung der komplexen Anforderungen einer angemessenen IT-Sicherheit und eines effektiven Datenschutzes im Sinne der Verschwiegenheitspflicht erhalten Sie von unseren zertifizierten Beratern mit ihrer Expertise für Heilberufe.
Für Pflegeheime, Arztpraxen, Sozialeinrichtungen, Krankenhäuser oder ambulante Dienste
- mit Sicherheit gut behandelt
Häufig gestellte Fragen
Private Pflegeeinrichtungen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, sofern ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Artikel 37 Absatz 1 Buchstabe b DS-GVO).
Dadurch, dass Pflegeeinrichtungen für jede betroffene Person eine Pflegedokumentation führen, verarbeiten sie regelmäßig viele Gesundheitsdaten. Gesundheitsdaten sind zudem besonders schützenswert und gehören daher auch zu den besonderen Datenkategorien (Artikel 9 Absatz 1 DS-GVO). Schon danach besteht eine Bestellpflicht.
Auch wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden (§ 38 Absatz 1 Bundesdatenschutzgesetz). Das ist regelmäßig bereits dann der Fall, wenn eine Textverarbeitung mittels PC erfolgt und auf diese Weise personenbezogene Daten erfasst werden und mehr als 20 Beschäftigte hierauf Zugriff haben. Bei sehr kleinen ambulanten Pflegediensten mit weniger als 20 Personen und einem kleinen Klientenkreis, der nicht größer ist als der einer durchschnittlichen Arztpraxis, besteht unter Umständen keine Pflicht zur Benennung eines Datenschutzbeauftragten.
Das hängt entscheidend davon ab, in welchem sachlichen Kontext Pflegeeinrichtungen Daten verarbeiten. Neben den grundsätzlich zu beachtenden allgemeinen Datenschutzgesetzen, gibt es bestimmte Bereiche, in denen der Gesetzgeber besondere Regelungen für den Datenschutz vorsieht.
Übermitteln Pflegeeinrichtungen die Daten der betroffenen Personen beispielsweise an die Pflege- oder an die Krankenkasse, so müssen sie – zusätzlich zu den allgemeinen Datenschutzgesetzen – auch die besonderen Vorschriften zum Sozialdatenschutz beachten:
Wenn Pflegeeinrichtungen als Leistungserbringer Aufgaben der Pflege- bzw. Krankenkassen erfüllen, so gelten für den jeweiligen Bereich besondere Grundsätze der Datenverwendung; im Bereich der Pflegeversicherung sind dies die §§ 104 ff. des Elften Buches Sozialgesetzbuch, im Bereich der Krankenversicherung die §§ 294 ff. des Fünften Buches Sozialgesetzbuch.
Im Übrigen sind auch die besonderen Bestimmungen des Wohn-, Teilhabe- und Pflegegesetze sowie das auf Bundesebene geltende Wohn- und Betreuungsvertragsgesetz zu berücksichtigen. Aus dem Wohn-, Teilhabe- und Pflegegesetz ergibt sich beispielsweise, welche Mitteilungspflichten gegenüber den Heimaufsichten bestehen, die Pflicht zur Anonymisierung der Heimbegehungsberichte vor Aushang in der Einrichtung und Vorgaben zur Aufbewahrung von Unterlagen..
Ebenso regeln auch eine Vielzahl anderer Gesetze Fragen, welche mit den Datenschutzgesetzen eng zusammenhängen : Einige der wichtigsten Beispiele sind etwa die ärztliche Schweigepflicht (Berufsordnung), das Recht am eigenen Bild (§§ 22 ff. Kunsturhebergesetz), beim Betreiben einer eigenen Website bestimmte Vorschriften des Telemediengesetzes oder im Fall der Abrechnung von Telefonanschlüssen der Bewohner bestimmte Vorschriften des Telekommunikationsgesetzes.
Grundsätzlich darf der Verantwortliche kein Beauftragter sein. Ebenfalls sollten Verwandte, Personalleiter, Ehepartner oder IT-Leiter oder andere Beschäftigte sich nicht um die Angelegenheiten des Datenschutzes kümmern, da die Unabhängigkeit nicht gewährleistet ist. Denn schnell wird ein Auge zugedrückt oder es werden auf sonstige Weisen Gefälligkeiten eingefordert.
Die in Art. 38 DS-GVO beschriebene Stellung des Beauftragten und seiner gesetzlich garantierten Nichtgebundenheit an Weisungen bei der Ausführung seiner Aufgaben stehen in direktem Konflikt mit den Weisungen des Arbeitgebers. Auch gilt ein Beauftragter ohne nachweisbare Fachkenntnisse als nicht bestellt.
De jure liegt die Verantwortung zur Einhaltung der Datenschutzgesetze bei den Verantwortlichen und nicht beim Datenschutzbeauftragten – egal ob intern oder extern.
Intern einen Datenschutzbeauftragten zu ernennen, erscheint auf den ersten Blick die sinnvollste und kostengünstigste Lösung zu sein. Doch im Vergleich zur Dienstleistung eines professionellen externen Datenschutzbeauftragten ist das nur in den wenigsten Unternehmen wirklich die beste Alternative.
Zum einen verfügt der intern ernannte Datenschutzbeauftragte häufig nicht über ein hinreichendes Fachwissen sowie die nötige juristische Expertise und Praxiserfahrung, um die Tätigkeit effizient und rechtssicher durchzuführen.
Zum anderen müssen interne Datenschutzbeauftragte besonders in kleinen Unternehmen diese Tätigkeit in Teilzeit erledigen. Dies geht zu Lasten der Arbeitskraft des Mitarbeiters in seinem Fachgebiet und schadet in Konsequenz auch der Effektivität des Unternehmens. Mittel und langfristig sind externe Datenschutzbeauftragter effektiver und günstiger.
Grundsätzlich können die Tätigkeiten auch aus der Ferne mittels Online-Meetings oder Telefonaten ausgeführt werden.
Wir möchten jedoch ungern dauerhaft die Person auf Ihrem Bildschirm sein oder die Stimme am Telefon. Für uns gehört der persönliche Kontakt mit unseren Kunden zu einer guten Partnerschaft auf Augenhöhe dazu.
Ja. In einem kostenfreien Beratungsgespräch können Sie Ihre Fragen stellen. Damit wir Ihre Situation besser einschätzen können, besprechen wir mit Ihnen einige wichtige Fragen.