ArchivDeutsches Ärzteblatt24/2018Datenschutz: Neuerungen für Kliniken

MANAGEMENT

Datenschutz: Neuerungen für Kliniken

Dtsch Arztebl 2018; 115(24): A-1184 / B-994 / C-990

Halbe, Bernd

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Das Krankenhauswesen nimmt aufgrund der umfassenden Verarbeitung personenbezogener Daten eine Sonderrolle im Bereich Datenschutz ein. Wesentlich ist, dass Patienten umfassend über den Zweck der Datenverarbeitung informiert werden.

Nur der vollinformierte Patient kann eine freiwillige Einwilligungsentscheidung treffen – und muss diese auch widerrufen können. Foto: Science Photo Library
Nur der vollinformierte Patient kann eine freiwillige Einwilligungsentscheidung treffen – und muss diese auch widerrufen können. Foto: Science Photo Library

Mit dem Wirksamwerden des neuen Datenschutzrechts am 25. Mai 2018 gelten nunmehr die – seit geraumer Zeit in einem nicht mehr zu fassenden Umfang publizierten – Vorgaben der Datenschutz-Grundverordnung (DSGVO) und der bundesdeutschen Regelung durch das Bundesdatenschutzgesetz (BDSG). Das Krankenhauswesen ist seit jeher ein Bereich, welcher nicht zuletzt durch bereichsspezifische gesetzliche Regelungen gleichsam eine Sonderstellung eingenommen hat, da eine besondere Notwendigkeit für datenschutzrechtliche Vorgaben gesehen wird. Der vorliegende Beitrag soll den ersten von drei Themenbeiträgen darstellen, welche relevante datenschutzrechtliche Aspekte im Bereich des Krankenhauswesens zum Gegenstand haben.

Anzeige

Im Bereich des Krankenhauswesens findet eine umfassende automatisierte Datenverarbeitung statt. Hierbei werden in einem wesentlichen Umfang personenbezogene Daten und medizinische Daten (Gesundheitsdaten) verarbeitet.

Datenerhebung nur nach Einwilligung zulässig

Wenn man nun von dem Grundsatz ausgehen will, dass einer zulässigen Datenverarbeitung eine – freiwillige – Einwilligung der betroffenen Patienten vorausgehen muss und diese Patienten zudem vorher umfassend hinsichtlich des beabsichtigten Zweckes der Datenverarbeitung informiert wurden, so dürften aufgrund der Vielfalt der Verarbeitungstätigkeiten Umfang und Zweck der Verarbeitung für den einzelnen Patienten zwischenzeitlich nahezu unüberschaubar geworden sein. Gleichwohl muss auch künftig sichergestellt sein, die Persönlichkeitsrechte der Patienten wie auch das Patientengeheimnis, als wesentliche Grundlage des Vertrauensverhältnisses zwischen Arzt und Patienten, zu wahren.

Neben den datenschutzrechtlichen Vorgaben der DSGVO und des BDSG haben die Landesgesetzgeber in der Vergangenheit verschiedene bereichsspezifische Datenschutzregelungen erlassen, welche sich mit dem Datenschutz im Bereich des Krankenhaus- beziehungsweise Gesundheitswesens befassen. Gleiches gilt für allgemeine datenschutzrechtliche Regelungen auf Länderebene, welche auch auf die Krankenhäuser und Kliniken der entsprechenden Länder anwendbar sind. Es wird abzuwarten bleiben, ob die Landesgesetzgeber nach Wirksamwerden der neuen datenschutzrechtlichen Vorgaben gegebenenfalls mittelfristig Anlass für Änderungen der Landesdatenschutzgesetze sehen. Bis dahin wird man sich die Frage stellen müssen, ob die neuen – insbesondere europäischen – Datenschutzregelungen den bereichsspezifischen Regelungen im Zweifelsfalle vorgehen. Die Vorgaben der DSGVO gelten in jedem Falle aufgrund der Umsetzung als sogenannte Verordnung in den Mitgliedstaaten der Europäischen Union unmittelbar, ohne dass es einer gesetzgeberischen Umsetzung durch den deutschen Gesetzgeber – sei es auf Bundes- oder Landesebene – bedürfte.

Neben den bereichsspezifischen datenschutzrechtlichen Regelungen stehen zudem besondere datenschutzrechtliche Regelungen für jene Krankenhäuser, die in einer kirchlichen Trägerschaft stehen. Hier finden sich zumeist den übrigen Vorgaben entsprechende Regelungen, wobei das spezifische konfessionelle Selbstverständnis Berücksichtigung findet. In datenschutzrechtlicher Hinsicht erstrecken sich diese Regelungen insbesondere auf den Bereich der konfessionell getragenen Krankenhäuser.

Der täglichen Beratungspraxis lässt sich entnehmen, dass eine gewisse Unsicherheit gerade auch im Zusammenhang mit der „Einwilligung der Patienten“ vorherrscht. Bedenkt man, dass im Vergleich zur Rechtslage vor Wirksamwerden der DSGVO teilweise von einer „Erleichterung“ aufgrund der gesetzlichen Erlaubnistatbestände einer Datenverarbeitung gesprochen werden kann, so scheint die am meisten gestellte Frage im Bereich der praktischen Anwendung der neuen datenschutzrechtlichen Regelungen dennoch zu sein, wie die Einwilligungserklärung der Patienten konkret auszugestalten ist. Bereits an dieser Fragestellung kann man erkennen, dass der neue Datenschutz – gleichsam willkürlich – durch Einholung aller erdenklich möglichen Einwilligungserklärungen versucht wird, sicherzustellen.

Richtig ist: Soweit es um die Verarbeitung von Gesundheitsdaten geht, ist ein grundsätzliches Verarbeitungsverbot normiert worden, welches jedoch als Verbot mit sogenanntem Erlaubnisvorbehalt ausgestaltet wurde. Dies bedeutet, dass aufgrund der Sensibilität der Daten eine Verarbeitung grundsätzlich nicht stattfinden soll, der Gesetzgeber gleichwohl erkannt hat, dass es Situationen geben muss, in denen die zweckgebundene Verarbeitung von beispielsweise Gesundheitsdaten unerlässlich ist.

Informationstransparenz sicherstellen

Die Verwendung von vorformulierten Einwilligungserklärungen, welche für eine Vielzahl von Patienten Verwendung finden soll, ist selbstverständlich weiterhin möglich. Mehr noch als vor Wirksamwerden der neuen datenschutzrechtlichen Regelungen sollte indes darauf geachtet werden, dass die Formulierungen in einfacher, klarer und für jedermann verständlicher Sprache abgefasst und formuliert sind. Dies entspringt dem Gedanken, dass jedem Patienten, der seine Einwilligung unter Verwendung dieser vorformulierten Einwilligungserklärungen erteilen soll, dies auf Grundlage einer vollumfänglichen Informationstransparenz ermöglicht wird. Leitgedanke ist dabei, dass lediglich der vollinformierte Patient eine „freiwillige“ Einwilligungsentscheidung treffen kann. Auch die vorformulierte Einwilligungserklärung muss in jedem Falle einen ausdrücklichen – wenn möglich drucktechnisch hervorgehobenen – Hinweis enthalten, dass ein Widerruf der erteilten Einwilligung in die Datenverarbeitung mit Wirkung für die Zukunft möglich ist. Zu diesem Hinweis gehört auch die Mitteilung, dass Verarbeitungsvorgänge, welche zeitlich vor dem Zugang der Widerrufserklärung der Patienten liegen, weiterhin zulässig bleiben. Hintergrund ist, dass der Widerruf lediglich Wirkung für die Zukunft entfaltet und mithin auch nur die Zulässigkeit von Verarbeitungsvorgängen betreffen kann, welche nach dem Widerruf der Einwilligung stattfinden. Prof. Dr. jur. Bernd Halbe

www.medizin-recht.com

Einwilligung

Von praktischer Relevanz ist die Frage, ob Einwilligungserklärungen, welche vor Wirksamwerden der DSGVO eingeholt worden sind, weitergelten. Eine Regelung, die sich mit der Fortgeltung eingeholter Einwilligungserklärungen beschäftigt, findet sich nicht. Jedoch ergibt sich aus dem Erwägungsgrund 171 (DSGVO), dass die Einholung einer erneuten Einwilligung dann wohl nicht erforderlich ist, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht. Aufgrund der bereits vor Geltung der DSGVO strengen Datenschutzpraxis wird es regelmäßig auf das Vorliegen von drei Merkmalen ankommen – „Informiertheit“, „Mündigkeit“ des Einwilligenden sowie „freie Widerruflichkeit“. Verschafft man sich einen Überblick über den derzeitigen Meinungsstand – auch und gerade unter den Datenschutzbehörden – so wird man von einer Altersgrenze von 16 Lebensjahren ausgehen müssen; mit Vollendung des 16. Lebensjahres kann die Einwilligung wirksam erteilt werden. Das Merkmal der „Informiertheit“ sollte in aller Regel auch bei „alten“ Einwilligungserklärungen vorliegen, da bereits früher umfassende Informationen zu Umfang und Zweck der Datenverarbeitung bestanden. Einzig der Hinweis auf die Widerrufsmöglichkeit der Einwilligung wird fehlen. Hier wird man jedoch sagen können, dass es im Falle einer Datenverarbeitung, die bereits vor dem 25. Mai 2018 begonnen hat und weitergeführt wird, eine Einwilligung jedenfalls fortgilt, wenn die zwei übrigen Merkmale gegeben sind. Der Aufwand, der mit der erneuten Einholung aller Einwilligungen für den Bereich bereits begonnener Verarbeitungsvorgänge einhergehen würde, steht außer jedem Verhältnis zu dem Nutzen, den ein solches proaktives Handeln für die Patienten mit sich bringen würde.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Themen:

Fachgebiet

Zum Artikel

Alle Leserbriefe zum Thema

Anzeige