Patientendaten und die DSGVO: Die vier wichtigsten Herausforderungen der Datenschutzgrundverordnung für das Gesundheitswesen

Blog Cybersicherheit Datenschutz
Pic Source: rawpixel via Unsplash

Allgemeiner Gesundheitszustand, spezielle Blutergebnisse, sexuelle Orientierung: Bei jeder ärztlichen Untersuchung werden Mengen an besonders sensiblen personenbezogenen Daten erhoben. Diese werden gespeichert, aufbewahrt und oftmals auch an Dienstleister zur Verarbeitung weitergegeben.

Seit dem 25. Mai 2018 findet die Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) auch in Deutschland Anwendung. Mit dem Gesetz wird das Datenschutzrecht europaweit vereinheitlicht. Personenbezogene Daten sollen mit den neuen Bestimmungen besser geschützt und ihre Weitergabe geregelt werden. Da der Gesundheitssektor häufig auch mit sensiblen personenbezogenen Daten zu tun hat, gilt hier besondere Vorsicht. Verantwortlich für den Schutz der Patientendaten ist in der Regel der behandelnde Arzt. Die Neuregelungen, zu denen die EU-DSGVO führt, stellen das Gesundheitswesen, insbesondere niedergelassene Ärzte, vor finanzielle und organisatorische Herausforderungen.

Die vier unseres Erachtens wichtigsten Herausforderungen haben wir für Sie punktuell zusammengefasst:

1. Informationspflicht bei der Erhebung von Patientendaten

Die Arztpraxis hat die Pflicht, ihre Patienten über die Erhebung der personenbezogenen Daten und deren Verarbeitung umfassend zu informieren. Dies gilt beispielsweise für die Zwecke der Verarbeitung der Daten, die Rechtsgrundlage zur Erhebung und etwaige Beschwerderechte. Auf Antrag des Patienten muss zudem mindestens innerhalb eines Monats nach der Antragstellung über weitere Details Auskunft gegeben werden.

Unser Tipp:

  • Definition und Strukturierung des Informationsprozesses (insbes. Verantwortliche, Ablauf, Dokumentation der Information)
  • Nutzung einheitlicher  Vorlagen
  • Im ganzen Land werden Verbraucher derzeit mit Informationen zur DSGVO überschwemmt.
  • Haben Sie daher Verständnis, wenn einige Ihrer Patienten keine Freudensprünge über einen weiteren „Vortrag“ zu den neuen Datenschutzbestimmungen machen.
     

2. Beweispflichtige Dokumentation der Einwilligung

Der Patient muss in die Nutzung und Verarbeitung seiner Gesundheitsdaten ausdrücklich einwilligen, wenn keine speziellere gesetzliche Ausnahme greift. Die Voraussetzung der “Ausdrücklichkeit” stellt höhere Anforderungen an den Konkretheitsgrad, als dies bei einer “normalen” Einwilligung der Fall ist. Diese Einwilligung sollte unbedingt beweispflichtig dokumentiert und gespeichert werden. Hierfür bietet sich die Unterschrift des Betroffenen an. Das geht mit einem gewissen Verwaltungsaufwand einher, auf den Sie vorbereitet sein sollten. Außerdem gelten Sonderregelungen für Minderjährige; hier kommt es auf die Einwilligung der Erziehungsberechtigten an.

Unser Tipp:

  • Vorbereitung auf Verwaltungsaufwand durch umfassende Einwilligungsvorlagen
    Technische Lösungen zur Dokumentation der Einwilligung

3. Auftragsverarbeitung und Weitergabe von Gesundheitsdaten

Sie verarbeiten nicht alle personenbezogenen Daten in Ihrer Praxis? Wenn Sie diese Informationen an externe Dienstleister weiterleiten oder diese darauf Zugriff haben (wie z.B. IT-Dienstleister), sollten Sie prüfen, ob Sie den gesetzlichen Anforderungen entsprechende  Auftragsverarbeitungsverträge abgeschlossen haben. Geht es um die Weitergabe originärer Gesundheitsdaten, müssen Sie dafür die Einwilligung des Betroffenen – also des Patienten, dessen Daten Sie weitergeben – einholen. Es sei denn, es greift eine spezielle gesetzliche Ausnahme. Dies gilt z.B. bei Abrechnungsdienstleistern. Generell gilt: Daten müssen bei Ihren Partnern ebenso gut geschützt sein, wie in Ihrem eigenen Unternehmen.

Unser Tipp:

  • Erstellung eines Verfahrensverzeichnisses (Übersicht, welche personenbezogenen Daten von wem und wie verarbeitet werden)
  • Kontrolle der technischen und organisatorischen Maßnahmen Ihrer Dienstleistungspartner, um sicherzustellen, dass diese die Daten Ihrer Patienten ausreichend schützen.
  • Abschluss von Auftragsverarbeitungsverträgen
  • Einholung ausdrücklicher Einwilligungserklärungen

4. IT-Sicherheits- und Datenschutzkonzept

Patientendaten sind, wie andere personenbezogene Daten auch, unter anderem nach dem Stand der Technik durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff zu schützen. Datenpannen müssen Sie umgehend melden und die Betroffenen darüber informieren. Sicherheitsvorfälle führen nicht nur zu einem Verlust an Vertrauen in Ihre Arztpraxis, sondern schaden auch Ihrer Reputation. Der Gesetzgeber ahndet Verstöße mit empfindlichen Geldbußen von bis zu 20 Millionen Euro oder maximal vier Prozent des Vorjahresumsatzes.

Unser Tipp:

Patientendaten sind bei Cyberkriminellen beliebt. In Anbetracht des enormen Schadens, der bei einem Cyber-Sicherheitsvorfall entstehen kann, ist Prävention der wichtigste Bestandteil des IT-Sicherheits- und Datenschutzkonzepts.

  • Aktualisierung der IT-Systeme und Anpassung an den Stand der Technik
  • Nutzung von Technik, in der IT-Sicherheit und Datenschutz schon integriert wurden und die den Umgang durch nutzerfreundliche Voreinstellungen erleichtert
  • IT- Sicherheitstraining für alle MitarbeiterInnen
  • Einrichtung von Meldeketten bei Datenschutzpannen

Für den Fall, dass es doch zu einer Datenpanne kommt:

  • Notfallcheckliste
  • Zuverlässige Dienstleistungs- und Notfall-Partner, die erreichbar sind.
  • Versicherung gegen Cybersicherheitsvorfälle

Unser Autor:

Dr. Hans-Peter Anlauf (LL.M.), ehemaliger Leiter der Rechtsabteilung bei Perseus

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited