Datenschutz im Krankenhaus

Informationstechnik im Krankenhaus ist ein sensibles Thema. Es geht hier nicht nur um Datenschutz, auch nicht nur um den Schutz der Vertraulichkeit der Arzt-Patienten-Beziehung, sondern auch um Gesundheitsschutz: Fehlende oder falsche Daten können fatale medizinische Konsequenzen für die Patienten haben. Dagegen schützt nur ein durchdachtes Datenschutzmanagement.

Prüfungen von Datenschutzaufsichtsbehörden zeigen teilweise chaotische Zustände: Patientenunterlagen liegen für Besucher einsehbar im Stations- oder Behandlungszimmer. In Patientenaktenarchiven gehen Menschen unkontrolliert ein und aus. EDV-Dienstleister können ungehindert auf Daten zugreifen und diese lesen, sogar manipulieren. Arztbriefe werden unverschlüsselt im Internet per E-Mail verschickt. In der Klinik findet keine Abschottung der sensiblen Informationen statt.

Aus dem Datenschutzrecht ergeben sich für die Zugriffsrechte auf Patientendaten im Krankenhaus die folgenden Grundsätze: Patientendaten dürfen nur im Rahmen der Zweckbestimmung des Behandlungsvertrages und den damit verbundenen gesetzlichen Regelungen erhoben und verarbeitet, nicht aber uneingeschränkt – d. h. über die unmittelbare Zweckbindung hinaus – ausgetauscht und verwendet werden, auch nicht innerhalb des Krankenhauses. Das Krankenhaus ist in diesem Sinne keine informationelle Einheit.

Das Prinzip der Erforderlichkeit ist hier streng zu beachten, das auch als Prinzip der minimalen Rechte oder „need-to-know“-Prinzip bezeichnet wird. Insbesondere ist hier zwischen dem Arzt und seinen berufsmäßig tätigen Gehilfen einerseits sowie den sonstigen Gehilfen andererseits zu unterscheiden. Das medizinische Fachpersonal trägt die Verantwortung für die korrekte Verwendung der Daten. Der Patient hat, sofern das zuständige Krankenhausgesetz nichts anderes bestimmt, das Recht, Daten für bestimmte Zugriffe sperren zu lassen, wobei er auf eventuell für ihn entstehende Nachteile hinzuweisen ist. Er hat andererseits auch ein Anrecht darauf, daß seine Daten zur rechten Zeit am rechten Ort verfügbar sind, insbesondere nicht gegen seinen Willen oder seine Interessen zurückgehalten oder außerhalb der gesetzlichen Pflichten vernichtet werden.

Daher ist es unverzichtbar, dass der Umgang mit Patientendaten genau geregelt ist. Mindestens für folgende wichtige Abläufe sollten eindeutige Bestimmungen existieren:

  •  Lauf eines Patienten von der Aufnahme bis zur Entlassung
  •  Neueinstellung von Mitarbeitern mit Einweisung in die IT, Schulung zur Datensicherheit und Verpflichtung auf das Datengeheimnis
  •  Beauftragung von Drittfirmen
  • Datenschutzkontrollen
  • Datenübermittlungsanforderungen von Dritten (zum Beispiel Versicherungen, Polizei)

Über ein Berechtigungskonzept kann gewährleistet werden, dass alle Mitarbeiter die für ihre Aufgabenwahrnehmung nötigen Daten zur Verfügung haben.

Zugriffsrechte werden in Form eines eines abteilungsspezifischen Regelwerkes festgelegt, das mit dem Datenschutzbeauftragten abzustimmen ist. Bei Bedarf wird für den einzelnen Patienten eine Rechteliste in der Patientenakte mitgeführt, z. B. wenn er von seinem Widerspruchsrecht gebrauch gemacht hat. Die Rechte werden je nach Anwendungsfall vergeben an:

  • Fachabteilungen
  • Rolleninhaber
  • Einzelpersonen

Im Krankenhausbetrieb sind hierarchisch geordnete, rollenbasierte Zugriffsrechte meistens angemessen. Den unterschiedlichen Aufgaben und Zielen entsprechend ist der Zugriff nach der Art der Daten und der Art des Zugriffs zu gewährleisten. Die Definition der Rollen und der ihnen zugeordneten Zugriffsrechte sollte durch durch den Kliniksvorstand vorgenommen und durch eine zentrale verfahrensbetreuende Stelle umgesetzt werden. Die Zuweisung von Rollen zu bestimmten Personen erfolgt durch die Fachabteilung. Soweit lediglich abteilungsinterne Zugriffsmöglichkeiten betroffen sind, können eigene Rollen auch durch die Fachabteilung definiert werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Ein Kommentar

  1. rulman Profile Picture
    rulman

    Danke für Ihren Artikel

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.