Vierter Teil unserer Rechtserie: Interne Richtlinien zur Einhaltung der datenschutzrechtlichen Vorgaben sind für jede Krankenanstalt ein unverzichtbares Muss. Verstöße werden scharf geahndet.
Die datenschutzrechtlichen Grundlagen finden sich in der Datenschutzgrundverordnung. Hinsichtlich der Gesundheitsdaten, die zu den höchst geschützten Daten gehören, wird dabei eine strikte Trennung und der Schutz dieser Daten angeordnet. Neben der DSGVO sehen darüber hinaus auch die einzelnen Berufsgesetze sowie die Krankenanstaltengesetze spezielle Verschwiegenheitsverpflichtungen vor.
Aufgabe der Krankenanstaltenträger ist es daher, dass durch interne Richtlinien sowie das im Vorbeitrag genannte Compliance Management System (CMS) sichergestellt wird, dass keine Datenschutzverletzungen oder Verstöße gegen die Verschwiegenheit erfolgen.
Bei den besonders schützenwerten Daten handelt es sich um die personenbezogenen Patientendaten wie Namen, Sozialversicherungsnummer, Diagnosen, Befunde, Behandlungen, Patientenkonten, Abrechnungen. All diese Daten dürfen von den Mitarbeiter:innen der Krankenanstalten auch nur dann eingesehen werden, wenn dies erforderlich ist (z.B. im Rahmen der konkreten direkten Patientenversorgung) und auch nur im erforderlichen Ausmaß. Mitarbeiter:innen, die eine:n bestimmte:n Patient:in nicht selbst betreuen, z.B. weil diese auf einer anderen Abteilung liegen, sind nicht befugt, in die Krankengeschichte Einsicht zu nehmen. Wesentlich ist somit, dass teilweise auch eine mehrstufige Authentifizierung eingeführt wird, rollenbasierte Zugriffe erfolgen und diese Zuteilungen in regelmäßigen Abständen überprüft werden. Ein Zuwiderhandeln stellt nicht nur einen Verstoß gegen die DSGVO dar, sondern kann auch arbeitsrechtliche Konsequenzen nach sich ziehen.
Sofern keine ausdrückliche gesetzliche Grundlage für die Verarbeitung und Speicherung der Daten besteht, ist eine ausdrückliche Einwilligung der Patient:innen erforderlich.
Was sollte daher von den Rechtsträgern berücksichtigt und z.B. durch interne Richtlinien oder Weisungen oder Aufnahme in den Dienstverträgen geregelt werden?
– Ausdrücklicher Verweis auf die Verschwiegenheit, regelmäßige nachweisliche Schulungen dazu
– Zugangsbeschränkungen zu den Gesundheitsdaten (Einsicht in die Krankengeschichte nur Personen ermöglichen, die in die Behandlung, Pflege oder Betreuung involviert sind), Dokumentationssystem des Zugriffs, Dokumentation des Datenempfängers
– Unterschiedliche Dokumentation mit unterschiedlichen Zugriffsmöglichkeiten (vertrauliche Informationen getrennt von der allgemein zugänglichen Dokumentation führen)
– Verfassen von internen Compliance Regelungen (diese Richtlinien müssen auch den Mitarbeiter:innen nachweislich zur Kenntnis gebracht werden, z.B. durch verpflichtende Schulungen mit Anwesenheitsnachweis, Meldesystem bei Zuwiderhandeln etc.)
– Handlungen bei bekannt gewordenen Verstößen
Den Mitarbeiter:innen muss auch klar kommuniziert werden, dass die Weitergabe von Daten nur über eine sichere Übertragung zu erfolgen hat, z.B. über verschlüsselte E-Mails oder sichere Patientenportale.
Krankenanstaltenträger müssen darüber hinaus sicherstellen, dass durch entsprechende Auftragsverarbeitungsverträge mit IT-Dienstleistern, Cloud-Anbietern oder Abrechnungsdiensten die Übertragung der datenschutzrechtlichen Verpflichtungen sichergestellt werden und ein sicheres IT-Technik-System etabliert wird. Dafür sind neben regelmäßigen Sicherheitsupdates auch Backup-Strategien etc. einzuführen. Jedenfalls ist anzuraten, diese Aufgaben an externe Experten zu übertragen.
Nicht zuletzt gehört es zu den Aufgaben der Krankenanstaltenrechtsträger, ein System einzuführen, das die Rechte der Patient:innen sicherstellt, deren Anspruch auf Berichtigung der Daten umgehend umsetzt, Löschung vornimmt (sofern keine gesetzlichen Aufbewahrungsfristen dem entgegenstehen) etc.
Über die Autorinnen:
Go2Legal Med,
RA Dr. Monika Ploier (li.) und
RA Mag. Ulrike Pöchinger
E-Mail: ploier@hlmk.at und
office@poechinger.at
