Sicherer Umgang mit analogen Daten im stationären Gesundheitssystem

Die Anwendung der EU-Datenschutzgrundverordnung (DSGVO) stellt Krankenhäuser und Kliniken vor neue Herausforderungen - insbesondere auch im Umgang mit analogen Daten. Sie sollten sich mit den Auswirkungen auf ihre Prozesse, mit möglichen neuen Risiken und entsprechenden Maßnahmen auseinandersetzen.

Nicht erst seit der im Mai 2018 in Kraft getretenen DSGVO sind Daten ein wichtiges Rechtsgut, das es zu schützen gilt. Dabei gelten die Anforderungen bezüglich des Datenschutzes nicht nur für digitale sondern auch für analoge Daten. In der aktuellen Debatte wird gerade dieser Aspekt jedoch oft vernachlässigt.

Organisatorische und bauliche Gegebenheiten Prüfen

Viele sensible personenbezogene Daten fallen zweifellos im Gesundheitssystem an. Daher gilt es gerade im  Krankenhausalltag und in anderen Bereichen des Gesundheitswesens ein besonderes Augenmerk auf den Schutz dieser Daten zu legen. Inhalte von Anamnesegesprächen, Informationen über den Gesundheitszustand, Diagnosen und Austausch über Therapiemethoden bergen Informationen höchster datenschutzrechtlicher Brisanz. In Krankenhäusern kann es schnell passieren, dass das essenzielle Recht auf informationelle Selbstbe­stimmung bedingt durch bauliche Gegebenheiten und betriebliche Abläufe nicht eingehalten werden kann.

So kann es in Mehrbettzimmern innerhalb eines Krankenhauses zu einer Verletzung dieses Rechts kommen. Die Besprechung von Symptomen, Diagnosen und Therapien in Anwesenheit von Dritten, vorwiegend Zimmernachbarn, stellt eine erhebliche Verletzung der Privatsphäre dar, die nach den Regelungen der DSGVO dringend unterbunden werden muss. Gleiches gilt für die Wahrung der Privatsphäre an Empfangstresen von Untersuchungseinheiten, in der Ambulanz oder in Patientenwartebereichen. Meist stehen bauliche Gegebenheiten einer einfachen Umsetzung der DSGVO-Anforderungen entgegen und es bedarf umfangreicher organisatorischer Anpassungen, um die rechtlichen Vorgaben zu erfüllen. Dabei steht nicht nur der Rechtsverstoß im Fokus, sondern auch eine unter Umständen folgenschwere Beeinträchtigung des Vertrauensverhältnisses zwischen Arzt und Patient.

Signifikant höhere Bußgelder

Eine Missachtung der Regelungen der DSGVO hat für alle Branchen, auch für Krankhäuser, weitreichende Folgen. Strafzahlungen in Höhe von bis zu 20 Mio. Euro oder bis zu 4 % des globalen Jahresumsatzes sind bei einem Verstoß möglich. Im Weiteren können betroffene Patienten Schadensersatzansprüche geltend machen, wenn sensible personenbezogenen Daten an unbefugte Dritte gelangen. Darüber hinaus ist bei einem entsprechenden Fall mit Reputationsschäden für das Krankenhaus zu rechnen.

Handlungsbedarf für Krankenhäuser

Eine schlichte Anpassung des Behandlungsvertrags durch die allgemeinen Geschäftsbedingungen ist nicht ausreichend. Denn die DSGVO räumt den betroffenen Personen das Recht ein, jederzeit formlos die Verarbeitung von personenbezogenen Daten zu untersagen.  Das heißt, in der Praxis können Verstöße gegen die DSGVO jederzeit wieder relevant werden.

Daraus ergibt sich unmittelbarer Handlungsbedarf für Krankenhäuser. Insbesondere sollten dringend umfassende Schulungen beim Personal durchgeführt werden, bei denen alle Aspekte der analogen und digitalen Daten- und Informationssicherheit vermittelt werden. Damit einhergehend müssen aktuelle Routineprozesse in allen Bereichen, in denen analoge personenbezogene Daten Dritten zur Kenntnis gelangen könnten, überdacht und den Anforderungen angepasst werden, im Zweifel auch durch Ergreifen baulicher Maßnahmen. Bei diesem organisatorischen Aufwand ist umfassende Expertise gefragt, um eine schnelle und effiziente Lösung zu erarbeiten. Frage­stellungen in Bezug auf die Ermittlung von Sicherheitslücken sind mit der Erstellung von Leitfäden und Handlungsanweisungen zu verknüpfen, die die Meldeprozesse an Behörden, Forensiker und Versicherer im Falle einer Datenpanne strukturieren.

Richtig Abgesichert?

Die Rechtsunsicherheit bezüglich der Erfüllung der Vorgaben der DSGVO innerhalb des Krankenhaus­alltags stellt ein signifikantes Risiko dar. Eine entsprechende Beratung zur Implementierung DSGVO-konformer Prozesse im Krankenhausbetrieb und ein passgenauer Versicherungsschutz tragen dazu bei, dieses Risiko zu minimieren bzw. abzusichern. Ein DSGVO-Fitness-Check bietet eine organisatorische und technische Beratung und ermöglicht eine konforme Umsetzung der EU-Datenschutz-Grundverordnung.