Haben die Datenschutzpannen die Kliniken wachgerüttelt? In der Praxis gibt es jedenfalls weiterhin große Lücken. Doch Vorsicht: In diesem Jahr fährt das neue Datenschutzrecht mit spürbaren Sanktionen auf.
Mein Interesse für die Medizin praktiziere ich als Rettungssanitäter nebenbei. Was ich dabei in den Notaufnahmen erlebe, widerspricht oft den datenschutzrechtlichen Bestimmungen: In vielen Krankenhäusern fehlen ausreichende Diskretionszonen. Monitore kündigen das Eintreffen der Rettungsmittel an, zeigen die Verfügbarkeit der Räume und die Diagnosen der darin liegenden Patienten. Besucher können die Informationen einsehen. Sie können meist auch das Gespräch zwischen Arzt und Patient belauschen, erhalten Auskunft über Beschwerden, Diagnosen und Verordnungen. Vermeintliche Angehörige erhalten uneingeschränkt telefonische Auskünfte über den Zustand des Patienten. Schwesternzimmer sind, ebenso wie die darin befindlichen Patientenakten, meist unverschlossen.
Zugriffe auf Patientendaten? Kein Thema!
Auch ist der Zugriff auf die EDV mangels Zugriffssperre ungehindert möglich. Überhaupt sind Nutzungsbeschränkungen nur spärlich vorgesehen, schließlich sollen Arbeitsabläufe nicht behindert werden. Zugriffe auf Jahre alte Patientendaten? Kein Thema! Daher sind auch Datenübermittlungen an einweisende und kooperierende Ärzte kein Tabu, ob mit oder ohne Einwilligung des Patienten, teils versandt mit unverschlüsselter E-Mail. Ärzte schicken unerklärliche oder interessante Befunde per WhatsApp an Kollegen. Dienste werden zwischen Mitarbeitern in vergleichbaren Gruppen getauscht. Ein reger Austausch findet auch über die Kollegen, deren Gewohnheiten und Verhaltensweisen oder die der Chefs statt.
Im Jahr 2014 kam eine Lehramtsstudentin ums Leben, sie erlitt nach einer Schlägerei schwere Schädelverletzungen. Der Fall weckte nicht nur das Interesse der Bevölkerung und der in- und ausländischen Presse. Man diskutierte über die Zivilcourage und das Ausmaß der Schuld. Etwas weniger Beachtung fanden die weiteren juristischen in der Öffentlichkeit weniger beachteten Schauplätze. Denn es waren Details über den klinischen Krankheitsverlauf der Studentin an die Öffentlichkeit gelangt. Insgesamt 94 Personen (Pflegepersonal, ärztliches Personal und Verwaltungspersonal) hatten auf die Krankenakte zugegriffen, einige davon vermutlich unberechtigt. Der zuständige Landesdatenschutzbeauftragte sah sich veranlasst, die Nutzungskonzepte der Klinik zu prüfen. Arbeitsrechtliche Schritte gegen die Mitarbeiter, die unberechtigt Zugriff auf die Patientenakte der jungen Patientin genommen hatten, sind in solchen Fällen nicht ausgeschlossen.
Neues Datenschutzrecht sorgt für Spannung
Den Datenschutz haben sowohl die Klinikbetreiber als auch die Mitarbeiter zu beachten. Datenschutzrechtliche Sachverhalte sind zwar meist schon aus strafrechtlicher Sicht bekannt, in der Praxis wird das Antragsdelikt der „Verletzung von Privatgeheimnissen“ in § 203 Strafgesetzbuch (StGB) allerdings nur selten verfolgt. Das bedeutet aber nicht, dass man sich vor dem Datenschutz verschließen oder ihn unbeachtet lassen kann. Spätestens in diesem Jahr wird das neue Datenschutzrecht für Spannung sorgen. Denn es fährt mit Sanktionen auf, die nach der zugrunde liegenden europäischen Verordnung wirksam, verhältnismäßig und abschreckend sein sollen.
Dabei betrifft der Datenschutz nicht nur die Patientendaten, sondern sämtliche personenbezogenen Daten, also beispielsweise auch die der Angehörigen, etwaiger Schädiger, der Mitarbeiter, der einweisenden oder anderweitig beteiligten Ärzte und nicht ärztlichen Mitarbeiter. Die Daten der Angehörigen und deren Beziehung zum Patienten, der Name eines etwaigen Schädigers, die Daten der Kollegen in einer WhatsApp-Gruppe: All dies sind personenbezogene Daten. Versendet ein Arzt mit Einwilligung des Patienten dessen Befunde per E-Mail, so können selbst diese personenbezogene Daten Dritter enthalten, deren Einwilligung der Arzt nicht hat. Auf den Namen kommt es bei der Bewertung eines personenbezogenen Datums nicht an. Ein Personenbezug lässt sich nahezu immer ohne einen vollen oder abgekürzten Name herstellen.
Künftig droht ein höheres Strafmaß
Spätestens Ende Mai dieses Jahres ist die Europäische Datenschutz-Grundordnung (DSGVO) in der gesamten Union umzusetzen. Deutschland ist dem durch Anpassung des Bundesdatenschutzgesetzes sowie weiterer spezialgesetzlicher Bestimmungen weitestgehend nachgekommen. Zahlreiche bereits im deutschen Datenschutz verankerte Grundsätze sind erhalten geblieben, einige weitere sind hinzugekommen. Wesentlich ist, dass künftig mit höheren Sanktionen bei der Ahndung zu rechnen sein wird. Auf folgende Regelungen und Notwendigkeiten sollten Krankenhäuser daher besonders achten:
- Die Häuser sollten bereits über einen betrieblichen Datenschutzbeauftragten verfügen, er wird künftig verstärkt einzubinden sein.
- Auch über ein Verfahrensverzeichnis (künftig: Verzeichnis der Verarbeitungstätigkeiten) sollten die Häuser schon verfügen.
- Darüber hinaus besteht nunmehr eine Pflicht zur Datenschutz-Folgenabschätzung über die besonderen Risiken für erhobene Daten.
- Neu sind Meldepflichten bei Datenpannen. In diesem Zusammenhang sollten Kliniken, sofern sie das noch nicht getan haben, ihre Prozesse prüfen und an die neuen gesetzlichen Gegebenheiten anpassen. Das gilt beispielsweise für Auftragsdatenverarbeitungsverträge. Falsch wäre, über das Wecken schlafender Hunde nachzudenken. Krankenhäuser sollten proaktiv selbstständig Lösungen suchen.
- Auch die Mitarbeiter sind gut beraten, sich für datenschutzrechtliche Themen zu sensibilisieren. So sind sie weiterhin auch von § 203 StGB betroffen. Regelmäßige Schulungen und Begehungen der Mitarbeiter sind auf jeden Fall sinnvoll. Teils sind darüber hinaus spezielle Fragen rechtlich zu klären.
- Neben den spezifischen Grundlagen zum Datenschutz im Krankenhaus sind künftig weitere organisatorische und technische Standards zu beachten. Der zweite Korb der Verordnung zur Bestimmung kritischer Infrastrukturen (BSI-KritisV) ergänzt nunmehr Angaben zu Anlagenkategorien, Bemessungskriterien und Schwellenwerten kritischer Infrastrukturen im Sektor Gesundheit. Doch auch kleinere Häuser, die nicht unter die Verordnung fallen, sollten sich mit dem Thema IT-Sicherheit auseinandersetzen.
Dr. jur. Andreas Staufer
Partner, Rechtsanwalt, Fachanwalt für Medizinrecht,
Fachanwalt für Informationstechnologierecht
FASP Finck Sigl & Partner
80336 München
Kommentare
Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.