Anforderungen der DSGVO für Krankenhäuser & Kliniken
Seit Einführung der DSGVO hatten Kliniken Zeit die dortigen Vorgaben & Pflichten umzusetzen, dennoch bleiben offene Fragen und Problemfelder
Die DSGVO enthält eine Vielzahl an Vorgaben & Verpflichtungen, die Krankenhäuser – trotz des hohen Schutzniveaus aufgrund der ärztlichen Schweigepflicht – einhalten und umsetzen müssen.
Umfassende Informations- & Auskunftspflicht
Die DSGVO sieht eine umfassende Information der Patienten vor. Diese muss Angaben über die Art und Kategorien der erhobenen Daten enthalten. Zudem sollte angegben werden, wenn man sich sog. Auftragsdatenverarbeiter bedient und diese in dem Merkblatt benennen.
Stets sollte geprüft werden, dass auch die – teilweise schärferen – Regelungen der Landesdatenschutzgesetze und der Landeskrankenhausgesetze eingehalten werden. Letztere enthalten vor allem Regelungen zur Zulässigkeit des „Auslagern“ von Daten durch das Krankenhaus (bspw. in ein Rechenzentrum).
Uneinheitliche Kostenregelung bei Auskunft
Bei Auskunftsverlangen nach Art. 15 DSGVO kann hiervon auch die Behandlungsdokumentation umfasst sein. Insoweit besteht nach DSGVO ein Anspruch auf kostenfreie Auskunft. Die Vorgabe des BGB zur Einsicht in die Behandlungsdokumentation sieht jedoch einen Anspruch auf Ersatz der Kopierkosten durch den Patienten vor. Es bleibt abzuwarten wie dieser Konflikt zukünftig durch Gerichte oder den Gesetzgeber gelöst wird.
Erweiterte Dokumentationspflichten
Kliniken müssen ein sog. Verarbeitungsverzeichnis gem. Art. 30 DSGVO führen, in dem alle Verabreitungstätigkeiten detailliert aufgeführt sind. Hier fallen auch Schnittstellen zwischen der DSGVO und den ärztlichen Berufspflichten ins Gewicht. Ob bzw. inwieweit eine Einwilligung des Patienten zur Verarbeitung von Gesundheitsdaten durch Dritte erfordelrich ist, muss stets im Einzellfall geprüft werden.
Datenschutzvorfall
Zudem muss darauf geachtet werden, dass bei einer Verletzung von DSGVO-Vorschriften (sog. Datenschutzvorfall) eine sehr kurze Meldefrist zur (Selbst-)Anzeige bei der Datenschutzbehörde greift. Die Frist beträgt lediglich 72 Stunden, ab dem Zeitpunkt der „Entdeckung“ des Datenschutzvorfalls. Auch die betroffene Person muss ggfs. informiert werden.
Klares Konzept & Zuständigkeiten festlegen
Sinnvoll ist es daher ein klares Konzept mit internen und externen Zuständigkeiten sowie internen „Melderouten“ festzulegen, damit keine Zeit mit der Klärung von Zuständigkeitsfragen „vergeudet“ wird. Hier sollte gewährleistet sein, dass die kurze Frist bestmöglichst ausgenutzt wird. Vor der Abgabe der Anzeige an die Aufsichtsbehörde sollte – unter Beiziehung rechtlicher Beratung – geprüft werden, ob und welche Umstände meldepflichtig sind und inwieweit die Folgen – wie Bußgelder – durch schützende Maßnahmen abgemildert werden können. Bereits in diesem frühen Stadium kann eine Anzeige über einen spezialisierten Rechtsanwalt sinnvoll sein.
Erfahrungsgemäß werden bereits bei der Entwicklung und Implementierung eines Handlungsleitfadens für Datenschutzvorfälle Mängel beim Datenschutz erkannt, so dass diese systematisch behoben werden können.
RAin Alexa Frey, Fachanwältin für Medizin- & IT-Recht