Die wichtigsten Antworten zum Datenschutz im Gesundheitswesen

Die häufigsten Fragen

Datenschutz im Gesundheitswesen betrifft in erster Linie den Umgang mit Patientendaten. Im Folgenden beantworte ich die häufigsten Fragen meiner Kunden und Auftraggeberinnen, die bezüglich des Datenschutzes im medizinischen Bereich auftreten.

Zur besseren Lesbarkeit wird die weibliche und männliche Form von Personen (Ärzte, Psychotherapeuten und sonstige Heilberufler) abwechselnd verwendet.
1. Allgemeine Fragen

1.1 Warum ist Datenschutz im Gesundheitswesen wichtig?

Gesundheitsdaten – wie auch genetische und biometrische Daten – gehören der Datenschutzgrundverordnung (DSGVO) nach zu den besonderen Kategorien personenbezogener Daten. Die Verarbeitung dieser Daten unterliegt besonderen Anforderungen.

Die DSGVO definiert Gesundheitsdaten (oftmals gleichgesetzt mit Patientendaten) als personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Ärzte, Therapeuten und weitere Verantwortliche im Gesundheitssektor haben neben den allgemeinen datenschutzrechtlichen Anforderungen für die Verarbeitung von Gesundheitsdaten demnach auch besondere Vorkehrungen zu deren Schutz zu treffen.

1.2 Welche Verordnungen fordern den besonderen Datenschutz im Gesundheitswesen?

Es gibt mehrere relevante Datenschutzverordnungen und Gesetze im Umgang mit Patienten- und Gesundheitsdaten. Dazu zählen etwa:

  • Datenschutzgrundverordnung (DSGVO)
  • Bundesdatenschutzgesetz (BDSG)
  • Berufsordnungen
  • Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) (ab Dezember 2021 im Telekommunikation-Telemedien-Datenschutz-Gesetz TTDSG)
  • E-Privacy-Richtlinie (wird abgelöst von der E-Privacy-Verordnung)

Ich stehe Ihnen mit Vital Data Protect gerne zur Verfügung, damit Sie den Überblick behalten.

1.3 Wo fängt Datenschutz im Gesundheitswesen an?

Streng genommen kann der Datenschutz schon bei einem ersten Telefonat beginnen. In der Arztpraxis beginnt er bereits am Empfangstresen, im Wartezimmer sowie Flur. Leider sind hier häufig schon Vergehen im Datenschutz zu beobachten: Sei es, dass am Telefon oder im persönlichen Gespräch mit Patientinnen Termin- oder Behandlungsdaten für andere Patienten hörbar kommuniziert werden, Patientenakten auf dem Tresen oder Schreibtisch für Dritte einsehbar herumliegen oder Befunde über den Flurfunk ausgetauscht werden.

Im Gesundheitswesen sind dies Verstöße gegen die Rechte der Patientinnen und zudem mit Unannehmlichkeiten für die Betroffenen verbunden. Diskretion im öffentlich zugänglichen Bereich einer Praxis ist daher anzuraten. Dafür können Sie mit Vital Data Protect geeignete organisatorische Maßnahmen ergreifen wie bauliche Veränderungen, Schulung von Mitarbeitenden oder Awareness-Kampagnen.

1.4 Welche Patientendaten unterliegen dem Datenschutz?

Die Datenschutzgrundverordnung (DSGVO) regelt in Artikel 9 den Schutz besonderer Kategorien von personenbezogenen Daten. Hierunter fallen unter anderem die Stammdaten der Patienten. Sie sind für sich genommen nicht besonders schutzbedürftig, aber es gelten dennoch die allgemeinen Anforderungen der DSGVO an deren Erhebung und Verarbeitung.

In Verbindung mit weiteren Informationen, bspw. der Spezialisierung der Ärzte, unterliegen die Stammdaten sehr wohl einem besonderen Schutz. Eindeutiger verhält es sich mit allen Daten zu Gesundheit, Diagnosen und Behandlungen der Patienten.

Diese Daten müssen Sie als verantwortliche Person, wie in Artikel 9 gefordert, besonders schützen. Die allgemeinen Anforderungen der DSGVO werden durch nationale Datenschutzgesetze und die einschlägigen kassenärztlichen Verordnungen und Berufsordnungen spezifiziert. Übrigens gehören zu den in Artikel 9 erwähnten weiteren personenbezogenen Daten, die besonders schutzbedürftig sind, auch biometrische und genetische Daten, politische Meinungen, religiöse und weltanschauliche Überzeugungen, eine Gewerkschaftszugehörigkeit sowie Daten zum Sexualleben und der sexuellen Orientierung.

1.5 Wann muss ein Datenschutzbeauftragter benannt werden?

Allgemein wird bei Arztpraxen davon ausgegangen, dass Mitarbeiterinnen ständig personenbezogene Daten verarbeiten. Denn Ärzte behandeln viele unterschiedliche Patienten, weshalb stets ein Abgleich von Daten und Befunden erfolgt.<br><br> Einen Datenschutzbeauftragten müssen Sie auf jeden Fall benennen, wenn in Ihrer Praxis mindestens 20 Mitarbeiter ständig personenbezogene Daten verarbeiten. Das Anstellungsverhältnis spielt dabei keine Rolle. Auch Praktikanten werden mit einberechnet.

Weiterhin müssen Sie eine Datenschutzbeauftragte benennen, wenn die Kerntätigkeit Ihrer Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten liegt. Denn in diesem Fall ist eine Datenschutz-Folgenabschätzung durchzuführen, für die Sie einen Datenschutzbeauftragten benötigen. Eine Verarbeitung personenbezogener Daten gilt nicht als umfangreich, wenn sie durch einzelne Ärzte erfolgt. Einzelarztpraxen können daher von einer Benennung eines Datenschutzbeauftragten absehen. Allerdings bietet es sich an, einen externen Berater in regelmäßigen Abständen auf Ihren Datenschutz blicken zu lassen. So vermeiden Sie ein Bußgeld, sollte es Datenschutzlücken geben.

1.6 Wie verhält es sich mit Datenschutz und Schweigepflicht im Gesundheitswesen?

Der Schutz des Berufsgeheimnisses ist ein hohes Gut und schützt das informationelle Selbstbestimmungsrecht der Patienten, nicht aber die ungehinderte Berufsausübung der Ärzte und Therapeuten. Die ärztliche Schweigepflicht schränkt daher die Befugnisse der Aufsichtsbehörde auch nicht ein.

Wird eine Datenschutzbehörde aufgrund von Beschwerden seitens Patienten tätig, können sich Ärzte und Therapeuten nicht auf § 29 Abs. 3 BDSG berufen. Diese Rechtsnorm regelt, dass betroffene Patienten über die Übermittlung ihrer personenbezogenen Daten nicht informiert werden müssen, wenn bspw. Ermittlungsbehörden Auskunft ersuchen und die Geheimhaltungsinteressen höher wiegen als die Interessen der betroffenen Patienten. Trotz beruflicher Schweigepflicht müssen Sie auch anlasslose Prüfungen der technischen und organisatorischen Maßnahmen zum Datenschutz durch Aufsichtsbehörden zulassen. Wenn Sie die Prüfung verweigern, kann die Aufsichtsbehörde grundsätzlich ein Bußgeld verhängen.

1.7 Brauche ich die Einwilligung von Patienten zur Datenverarbeitung?

Sie können sich für die Verarbeitung von Patientendaten auf Rechtsnormen und Ihren Behandlungsauftrag berufen und die Daten somit ohne ausdrückliche Einwilligung der Patienten verarbeiten. Allerdings sind Sie verpflichtet, die Patienten innerhalb einer angemessenen Frist, jedoch spätestens nach einem Monat über die Verarbeitung zu informieren.

Am besten ist es, die Patienten bereits vor der ersten Behandlung über die Verarbeitung in Kenntnis zu setzen. Lassen Sie sich dies vom Patienten im besten Fall schriftlich bestätigen. Denn als Verantwortliche müssen Sie diese Unterrichtung dokumentieren und nachweisen können. Ein offen zugänglicher, allgemeiner Aushang in der Praxis reicht daher im Zweifel nicht aus. Für derartige Einwilligungen können Sie auf vorhandene Muster zurückgreifen.

1.8 Wie wirkt sich der Widerruf des Einverständnisses von Patienten aus?

Vor der Behandlung und dem ersten Termin holen Sie sich im besten Fall das Einverständnis der Patienten zur Verarbeitung der personenbezogenen Daten ein, auch wenn Sie zur Datenverarbeitung aufgrund des Behandlungsvertrages bereits ermächtigt sind. Mit der Einholung des Einverständnisses kommen Sie gleichzeitig Ihrer Pflicht nach Information und Auskunft des Betroffenen nach. Im Rahmen dieser Informationspflicht müssen Sie die Patienten auch auf ihr Recht des Widerrufs des Einverständnisses hinweisen.

Bezieht sich eine Patientin auf ihr Recht und möchte der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen, können Sie auf den Behandlungsvertrag und die mit diesem einhergehenden vertraglichen Pflichten hinweisen. Denn zu Abrechnungszwecken und auch zur eventuellen Weitergabe von Befunden müssen und dürfen Sie die personenbezogenen Daten weiter verarbeiten.

Der Widerruf ist daher vorerst ohne Wirkung. Anders gestaltet es sich, wenn keine abrechenbare Leistung stattgefunden hat und Sie dennoch Patientenstammdaten gespeichert haben. In einem solchen Fall, Ausbleiben einer Behandlung, müssen Sie die Stammdaten unverzüglich löschen. Es greift hier das Prinzip der Speicherbegrenzung.
2. Umsetzung und Schulung des Datenschutzes im Gesundheitswesen
Sie als Verantwortlicher haften für alles, was vor dem Konnektor passiert – die Zuständigkeit bei der Sicherheit der Telematik-Infrastruktur (TI) liegt bei Ihnen.

Sie haben für die ordnungsgemäße Installation der TI, zum Beispiel durch Beauftragung eines IT-Dienstleisters, Sorge zu tragen. Ebenso sind Sie verantwortlich, geeignete technische und organisatorische Maßnahmen zum Datenschutz zu treffen, einen ausreichenden Schutz verbundener Geräte, sichere Passwörter sowie den geschulten und sachgemäßen Gebrauch der angeschlossenen Geräte samt Anwendungen sicherzustellen.

Für alles, was im oder hinter dem Konnektor geschieht, haftet die Gematik. Ebenso für die Systeme und Anwendungen der TI. Allerdings haften Sie weiterhin dafür, wenn Sie Patientendaten unrechtmäßig über die Telematik-Infrastruktur verarbeiten. Zu IT-Sicherheit und Datenschutz im Gesundheitswesen gehört im Übrigen auch eine Dokumention hinsichtlich der Installation des Konnektors, des Praxisnetzes und den Geräten. Im Fall der Fälle müssen Ärzte und Therapeuten diese vorzeigen.
Als Verantwortliche für Datenschutz und Informationssicherheit im Gesundheitswesen stehen Sie gemäß Artikel 32 DSGVO in der Pflicht, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu bestimmen und zu ergreifen.

Schulungen von Mitarbeitern ist eine der geeigneten organisatorischen Maßnahmen, Patientendaten zu schützen. Die wenigsten Ihrer Mitarbeiter werden bereits über ausreichende Kenntnisse zu Datenschutz und IT-Sicherheitsverhalten verfügen. Es ist Ihre Pflicht, alle Angestellten und Mitarbeitenden über den Datenschutz im Gesundheitswesen durch ein Seminar oder eine Schulung aufzuklären. Denn das Personal und seine Vorgesetzten bilden das größte Sicherheitsrisiko für Daten und IT.

Die Investition in die Schulung der Mitarbeiter lohnt sich also doppelt, gerade wenn die Schulungen regelmäßig angesetzt werden. Das Sicherheitsbewusstsein und das Verhalten benötigen nämlich Übung und Zeit. Sehr hilfreich für den Datenschutz der Arztpraxis ist eine Checkliste als Aushang, die ich Ihnen gern erstelle.
Sie haben das Verzeichnis von Verarbeitungstätigkeiten (VVT) kontinuierlich zu pflegen. Es ist regelmäßig auf seine Aktualität zu überprüfen und ggf. zu ergänzen, insofern neue Verarbeitungen personenbezogener Daten hinzugekommen sind. In den meisten Praxen beschränkt sich die Verarbeitung grob auf zwei Fälle:

  • die Verarbeitung der Patientendaten inklusive der Patientenstammdaten zur Durchführung eines Behandlungsauftrages und zur Abrechnung
  • die Verarbeitung der Mitarbeiterdaten.

Somit ist das VVT – einmal fachgerecht angelegt – für lange Zeit aktuell. Da in Gemeinschaftspraxen Daten häufiger in einem größeren Ausmaß verarbeitet werden als in Einzelarztpraxen, unterliegt das VVT dort öfter einer Anpassung. In ein ordentliches VVT gehören übrigens auch die Speicherfristen bzw. wann die jeweiligen personenbezogenen Daten zum Löschen freigegeben werden können.
Besteht durch einen Datenverlust oder Diebstahl ein Risiko für die Rechte und Freiheiten der Patienten, ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu informieren. Welche Inhalte diese Meldung haben muss, entnehmen Sie Artikel 33 Abs. (3) DSGVO. Die Aufsichtsbehörde müssen Sie kontaktieren, wenn

  • Sie Ihren Laptop verlieren, auf dem die Daten nicht verschlüsselt, also ohne Passwort gespeichert waren,
  • durch einen Hackangriff Patientenstammdaten ergaunert wurden,
  • unberechtigt oder versehentlich Patientendaten gelöscht wurden,
  • ein Verlust oder Diebstahl von Befunden vorliegt.

In letzterem Fall sind Sie verpflichtet, neben der Aufsichtsbehörde auch die Betroffenen selbst zu informieren.
Grundsätzlich haben Betroffene nach Artikel 17 DSGVO das Recht auf Löschung ihrer personenbezogenen Daten – und dies unverzüglich. Unverzüglich bedeutet ohne schuldhaftes Verzögern. Dem Recht der Betroffenen gegenüber stehen Ihre gesetzlichen Aufbewahrungspflichten als Ärztin oder Therapeutin. Diese können je nach Behandlung oder Berufsordnung variieren. Für viele Allgemeinmediziner und Therapeuten liegt die Frist bei zehn Jahren. Bei der Behandlung von Strahlenkrankheiten oder Transfusionen gelten teilweise bis zu 30 Jahre Aufbewahrungspflicht. Diese Fristen gelten für Behandlungsdaten und Befunde.

Sollte es nach einer Terminvereinbarung mit einem Patienten nicht zu einer abzurechnenden Leistung oder Behandlung kommen, können Sie die Patientenstammdaten auf Wunsch des Patienten trotzdem löschen. Der DSGVO-Grundsatz der Speicherbegrenzung erfordert sogar ein Löschen dieser Daten.
3. Kommunikation und Übermittlung von Patientendaten
Die Kommunikation mit den Patienten bei der Anmeldung oder am Empfang in der Praxis ist an datenschutzrechtliche Anforderungen geknüpft. So haben Sie sicherzustellen, dass andere Patienten im Wartezimmer keine sensiblen Informationen mithören können.

Die direkte Kommunikation per Telefon ist grundsätzlich sicher und unbedenklich, sowohl das einfache Anfragen als auch die Übermittlung von Befunden. Bei anderen elektronischen Kommunikationsmitteln nimmt die Unbedenklichkeit jedoch ab. Hinterlassen Sie oder Praxismitarbeiter Sprachnachrichten auf der Mailbox oder dem Anrufbeantworter eines Patienten, müssten Sie sicherstellen, dass neben der Patientin keine weitere Person (Dritte) mithören oder das Band später abhören kann. Dasselbe Prinzip trifft auch auf den Faxversand zu.

Mit der Digitalisierung im Gesundheitswesen nimmt die E-Mail-Kommunikation zwischen Arztpraxis und Patienten zu. Diese muss prinzipiell Ende zu Ende verschlüsselt sein. In den meisten Fällen ist die Ende-zu-Ende-Verschlüsselung – zumindest bei einem der Kommunikationsteilnehmer – nicht richtig eingerichtet. Die Kommunikation per E-Mail mit Ihren Patientinnen ist daher in den meisten Fällen nicht datenschutzkonform.

Bei der praxisinternen Nutzung von WhatsApp muss vorab sichergestellt sein, dass jeder im Adressbuch gespeicherte Kontakt auf jedem Smartphone der Mitarbeiter der Übermittlung seiner Kontaktdaten an die WhatsApp-Server zugestimmt hat. Da dies mit sehr hoher Wahrscheinlichkeit nicht erfolgt, ist die Nutzung des Dienstes unzulässig. Zudem ist die Übermittlung von Patientendaten in die USA, dorthin werden Daten laut Datenschutzbestimmung des Unternehmens übermittelt, datenschutzrechtlich an sehr hohe Anforderungen gebunden, die sehr wahrscheinlich nicht erfüllt werden. Zu guter Letzt müssten Sie als Verantwortliche mit WhatsApp zuerst einen Vertrag zur Auftragsverarbeitung schließen, bevor Sie den Messengerdienst beruflich nutzen können.

Übrigens muss das Speichern von Patientenstammdaten im Handy auch im Verarbeitungsverzeichnis dokumentiert werden, inklusive einer Ausführung der Zweckbindung bis hin zu Speicherfristen. Dasselbe gilt, wenn ein Kontakt-/Datenabgleich mit einem Clouddienst passiert.
Die Übermittlung von Patientendaten oder Befunden per Fax ist erlaubt, solange der Arzt oder die Therapeutin als verantwortliche Person sicherstellt, dass das Fax persönlich vom beabsichtigten Empfänger entgegengenommen werden kann.

Faxgeräte, die Faxe von Gateway-Routern in E-Mails umwandeln lassen und das Fax als Dokumentenanhang versenden, sind nicht mit den Datenschutzregelungen konform. Denn die Übermittlung personenbezogener Daten über E-Mail muss Ende zu Ende verschlüsselt sein, was in den wenigsten Fällen zutrifft.

Aus diesem Grund wird die Faxübertragung mittlerweile von der ersten Landesdatenschutzaufsicht als unzulässig bewertet. Es ist zu erwarten, ob andere Aufsichtsbehörden dieser Ansicht folgen. Im Zweifelsfall verschicken Sie Befunde über den alten und zumindest datenschutzrechtlich sicheren Postweg.
Zu unterscheiden ist zuerst, ob die Online-Terminvergabe über Ihre eigene Website oder einen Drittanbieter erfolgt. Bei Drittanbietern willigen die Patienten in die Verarbeitung ihrer personenbezogenen (Stamm-)Daten durch den Dritten zur Terminvergabe vorab ein.

Erfolgt die Terminvergabe über Ihre eigene Website, holen Sie sich vor Nutzung dieses Services die Einwilligung der Patienten ein. Dies erfolgt bspw. über eine Checkbox mit Hinweis auf die Datenschutzerklärung auf Ihrer Website, in der Sie über die Verarbeitung entsprechend der Vorgaben der DSGVO bei der Terminvergabe informieren.

Die Datenverarbeitung regeln Sie darüber hinaus mit dem Auftragsdatenverarbeiter, sprich mit demjenigen, der die Online-Terminvergabe für Sie technisch realisiert und die Daten verarbeitet. Übrigens: Einige Drittanbieter verlangen den Abgleich der Patientenstammdaten mit Ihnen als Ärztin oder Therapeutin. Dies ist ohne vorige Patienteneinwilligung unzulässig und ohnehin ein fragwürdiges Geschäftsmodell.
Die datenschutzrechtlichen Hürden sind hoch, die Sie als Arbeitgeber im Falle einer Erlaubniserteilung der beruflichen E-Mail für private Zwecke zu nehmen haben. Und das selbst dann, wenn Sie ein betriebliches und berechtigtes Interesse haben, auf E-Mail-Postfächer von Mitarbeitern zuzugreifen, bspw. bei längerer Krankheit. Möchten Sie die private Nutzung genehmigen, empfiehlt sich eine entsprechende Einwilligungserklärung, in der die Arbeitnehmerin Sie vom Fernmeldegeheimnis entbindet und bestimmten Zugriffs- und Kontrollmöglichkeiten Ihrerseits zustimmt.

Denn nach Ansicht der Aufsichtsbehörden sind Sie Telekommunikationsanbieter, wenn Sie die private Nutzung beruflicher E-Mails erlauben, und müssend somit das Fernmeldegeheimnis wahren. Allerdings sind derartige Einwilligungen wiederum an Anforderungen des Datenschutzrechts im Kontext des Beschäftigungsverhältnisses gebunden.

Denn aufgrund des faktischen Abhängigkeitsverhältnisses werden an den von Arbeitnehmern freiwillig erteilten Einwilligungen strenge Anforderungen gestellt. Bei Nichtbeachtung der datenschutzrechtlichen Vorgaben an die Nutzung der beruflichen E-Mail für private Zwecke droht Ihnen Bußgeld. Mehr noch: Verstoßen Sie gegen das erwähnte Fernmeldegeheimnis, müssen Sie sogar mit strafrechtlichen Konsequenzen rechnen.
Unter Dritte verstehen wir im Sinne des Datenschutzes alle natürlichen oder juristischen Personen – außer den Ärzten (Verantwortliche) und den Patientinnen (Betroffene).

Alle personenbezogenen Daten von Patientinnen dürfen nur an Dritte weitergegeben werden, wenn eine Patienteneinwilligung vorliegt oder eine Rechtsnorm die Weitergabe erlaubt. Anfragen von Krankenkassen auf vertragsärztlichen Formularen/Vordrucken – auch zur Erstellung einer Abrechnung – fallen ebenso unter besagte Rechtsnormen wie Anfragen von Sozialgerichten oder Gesundheitsämtern.

Dabei obliegt Ihnen als Verantwortlicher die Pflicht, sich im Zweifelsfall von der anfragenden Stelle die zugrunde liegende Rechtsnorm nachweisen zu lassen. Auch Angehörigen dürfen Sie Patientendaten, hierzu zählen auch Rezepte, nur auf Grundlage einer Ihnen vorliegenden Patienteneinwilligung geben.
Als Arzt oder Psychotherapeut müssen Sie folgende Punkte beachten, wenn Sie eine Videobehandlung anbieten:

  • greifen Sie nur auf die Videodienste von zertifizierten Anbietern zurück; aktualisierte Anbieterverzeichnisse finden Sie beispielsweise bei der Kassenärztlichen Bundesvereinigung
  • vorab benötigen Sie die Einwilligung des Patienten zur Durchführung einer Behandlung per Videokonferenz
  • wie auch bei einer Sitzung in Ihren Praxisräumen muss die Videobehandlung die Privatsphäre gewährleisten, vertraulich und störungsfrei ablaufen; es dürfen keine Dritten zuhören oder die Sitzung stören. Zudem muss sichergestellt sein, dass die Kommunikation angemessen ist
  • zu guter Letzt muss der Klarname der Patienten für Sie ersichtlich sein