Das neue EU-Datenschutzrecht kommt und alle sind bestens vorbereitet. Oder? Auch im Umgang mit Patientendaten steigen die Anforderungen an Datenschutz und Datensicherheit.

Ab 25. Mai 2018 gilt EU-weit das neue Datenschutzrecht. Basis ist die EU-Datenschutzgrundverordnung (DSGVO). Ergänzend geht gleichzeitig das neue Bundesdatenschutzgesetz (BDSG-2018) an den Start. Auch andere Gesetze werden angepasst, so z.B. die Regelungen zum Sozialdatenschutz. Krankenhäuser in kirchlicher Trägerschaft unterliegen weiter dem Datenschutzrecht ihrer Kirche, das jedoch DSGVO-„compliant“ sein muss.        
Noch ist seitens der Gesetzgeber nicht alles erledigt, das Datum steht aber unverrückbar fest. Es bleibt rund ein halbes Jahr, um Organisation, Prozesse, Produkte und Services an das neue Recht anzupassen. Medizinprodukte, aber auch Gesundheits-Apps, Patientenbetreuungssysteme und Wearables mit zugehörigen Apps sind genauso betroffen wie soziale Netzwerke, Standardsoftware und sog. Big-Data-Services. Die Liste lässt sich beliebig erweitern. Erfasst wird das gesamte moderne Leben in der EU.

Heikle Patientendaten

Auch unter dem neuen Datenschutzrecht bleibt es bei dem Grundsatz, dass Patientendaten, die die Gesundheit betreffen, besonders geschützt werden.

Art. 4 Nr. 15 DSGVO definiert den Begriff der Gesundheitsdaten als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Nähere Auskunft zur Definition gibt Erwägungsgrund 35 der DSGVO, nach dem zu den Gesundheitsdaten „alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen“. Betroffen sind alle Informationen, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen erhoben bzw. von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz abgeleitet werden, auch aus genetischen Daten und biologischen Proben. Gleiches gilt für Daten über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand einer Person. Man könnte fast meinen, hier auf alte Bekannte zu treffen. Doch so präzise und modern hat sich das bislang geltende Datenschutzrecht mit dem Begriff der Gesundheitsdaten nicht auseinandergesetzt. Neu ist jedenfalls, dass auch Nummern, Symbole und Kennzeichen, die einer natürlichen Person zugeteilt werden, um diese für gesundheitliche Zwecke eindeutig zu identifizieren, als Gesundheitsdaten gelten. Bei alledem ist es unerheblich, ob die Daten von einem Arzt oder sonstigen Angehörigen eines Gesundheitsberufes, Krankenhaus, Medizinprodukt oder In-Vitro-Diagnostikum stammen.

Der besondere Schutz der Gesundheitsdaten ergibt sich aus Art. 9 Abs. 1 DSGVO, der die Verarbeitung u.a. von Gesundheitsdaten erst einmal kategorisch untersagt. Der folgende Absatz 2 sowie § 22 BDSG-2018 stellen dann aber die Arbeitsfähigkeit der medizinischen Versorgung wieder her, indem sie diverse Ausnahmen schaffen. Dazu gehören neben der Einwilligung des Betroffenen erwartungsgemäß insbesondere die Verarbeitung für Zwecke der Gesundheitsvorsorge, Arbeitsmedizin, Diagnostik, Verwaltung von Systemen im Gesundheitsbereich sowie öffentliche Gesundheitsbelange. Auch die Forschung bleibt selbstredend zulässig. Entscheidend ist, dass das Krankenhaus als für die Datenverarbeitung Verantwortlicher den Nachweis der Zulässigkeit der Verarbeitung erbringen muss. Die Verarbeitung selbst darf nur durch ärztliches Personal oder unter dessen Verantwortung erfolgen. Die an der Datenverarbeitung Beteiligten müssen dem Berufsgeheimnis oder anderweitig als Geheimnisträger der gesetzlichen Geheimhaltung unterliegen.

Das war bisher auch schon so. Neu sind die mehr oder weniger konkreten Vorgaben des § 22 Abs. 3 BDSG-2018, nach dem „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen“ sind - und zwar „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“. Um die Gesetzesadressaten mit diesem Satzungetüm nicht völlig im Regen stehen zu lassen, hat der Gesetzgeber sich erbarmt und ein paar Hinweise mit auf den Weg gegeben. Hilfreich sind vor allem geeignete technisch-organisatorische Maßnahmen (TOMs), Maßnahmen zum Monitoring, Sensibilisierung der Beteiligten, Bestellung eines Datenschutzbeauftragten, Einhaltung des Need-to-know-Prinzips, Pseudonymisierung, Verschlüsselung, Einrichtung eines Business Continuity Managements, Verfahren zur regelmäßigen Bewertung der TOMs und andere spezifische Verfahrensregelungen zur Sicherstellung der Compliance. Wie das konkret funktioniert, wird die Zukunft weisen. Die Aufsichtsbehörden werden die Anforderungen im Laufe der Zeit näher definieren. Vermutlich müssen auch die Gerichte in diversen Verfahren helfen.

Privacy by …

Die vorstehenden Ausführungen betreffen vor allem die Organisation des Datenschutzes. Dies ist für die Einhaltung der DSGVO jedoch nicht ausreichend. Auch die Anbieter stehen vor der Herausforderung, dass sie ihre Produkte und Services auf das neue Datenschutzrecht anpassen müssen. Die Stichworte hierzu sind Privacy by Design und Privacy by Default. Produkte und Services, mit denen Patientendaten verarbeitet werden, müssen datenschutzfreundlich gestaltet und voreingestellt werden. Die Zeiten, in denen eine Gesundheits-App nahezu alle Nutzerdaten, die sie auf dem Smartphone oder Tablet findet, sammelt und „nach Hause“ überträgt sind mit der DSGVO vorbei. Gleiches gilt für Voreinstellungen, die der App by default erst einmal alles gestatten, bis der Nutzer die Rechteeinräumung in verschachtelten Menüs ausfindig macht und abstellt. Dabei müssen wir uns klar machen, dass bereits vermeintlich harmlose Produkte wie Fitnessarmbänder mit App betroffen sind, weil sie über ihre Sensoren Gesundheitsdaten erfassen und verarbeiten. Nicht anders sieht es bei dem Injektor aus, der sich per Bluetooth mit dem Smartphone des Patienten verbindet und darüber dem behandelnden Arzt oder einem Dritten (z.B. dem Pharmaunternehmen) mitteilt, was wann mit welcher Dosis und Einstichtiefe injiziert wurde. Adhärenzdaten sind Gesundheitsdaten. Also muss auch das Patientenbetreuungssystem, das den Patienten bei seiner Vorbereitung auf eine OP unterstützt und kontrolliert, datenschutzfreundlich entwickelt und voreingestellt werden. In vielen Fällen muss die Einwilligung des Betroffenen eingeholt werden, was angesichts der strengen gesetzlichen Vorgaben nicht einfach ist, wenn die Einwilligung wirksam sein soll – doch dazu später mehr.

Loslegen statt Panik

Ja, es stimmt. Die Höhe der drohenden Bußgelder bei Datenschutzverstößen steigt erheblich an. Die DSGVO sieht bis zu 10 und 20 Mio. € bzw. 2% und 4% des gesamten weltweit erzielten Jahresumsatzes als Geldbußen vor. Trotz dieser Verschärfung, der diversen Neuerungen und der kurzen für die Umsetzung verbleibenden Zeit ist keine Panik angesagt. Eine solide Basis, auf der sich gezielt aufsetzen lässt, sollte in jeder Klinik vorhanden sein. Ein Datenschutzbeauftragter ist mit Sicherheit bestellt; die DSGVO-Aktualisierung der Bestellung ist primär Formsache. Die Aufgaben sind also nicht unlösbar. Nur Vogel Strauß spielen sollten die Verantwortlichen aus Management, Fachabteilung und IT jetzt nicht.

Dieser Beitrag ist auch in Management & Krankenhaus 12/2017 auf S. 20 nachzulesen.

Die Themen Einwilligung, Auftrags(daten)verarbeitung und Datenschutzfolgeabschätzung werden im zweiten Teil des Artikels in der Ausgabe Management & Krankenhaus 1_2/2018 auf S. 16 näher beleuchtet.