magazine

Der Patient als Datenwächter

Ein Patient muss jederzeit entscheiden können, wer seine Gesundheitsdaten sehen darf und wer nicht. Wie das funktioniert und was Krankenhäuser in punkto Datenschutz leisten müssen, erklärt Datenschutz-Experte Helwig Opel.

 

Welche Datenschutz-Vorgaben gibt es hierzulande für Krankenhäuser bei einrichtungsübergreifenden  Patientenakten?
Maßgeblich für die Krankenhäuser sind neben den Regelungen der Sozialgesetzbücher vor allem die jeweiligen Landeskrankenhausgesetze. Allerdings unterscheiden sich die Vorgaben von Bundesland zu Bundesland. Sollte das Landeskrankenhausgesetz keine datenschutzrechtlichen Regelungen enthalten, wie etwa das niedersächsische, wird je nach Rechtsform des Krankenhauses das Landes- oder Bundesdatenschutzgesetz angewendet. Für konfessionelle Krankenhäuser gilt dagegen ein separates Datenschutzrecht.  Die Krankenhäuser müssen daher prüfen, ob ihre Organisation und Prozesse gesetzeskonform sind. Die Datenschutzanforderungen werden zukünftig noch deutlich verschärft. Im Mai 2016 wurde die EU-Datenschutzgrundverordnung (EU-DSGVO), das neue europäische Datenschutzgesetz, beschlossen. Dessen Bestimmungen sind ab Mai 2018 bindend. Bis dahin haben die Krankenhäuser Zeit, das rechtskonforme Handling ihrer Daten sicherzustellen.

Was ändert sich mit der flächendeckenden Einführung der elektronischen Patientenakte?
Analoge Prozesse werden digitalisiert. Die Papierdokumentation wird immer mehr die Ausnahme sein. Eine elektronische Patientenakte muss die Abläufe und das persönliche Arbeitsverhalten mindestens genauso gut unterstützen wie die Papierakte. Die vom Datenschutz geforderten Sicherungsmaßnahmen sind natürlich auch für das digitale Medium umzusetzen und anzuwenden – besonders der Schutz vor unbefugter Kenntnisnahme und Weitergabe von Informationen.

Auf welche Änderungen müssen sich die Krankenhäuser beim Thema Datenschutz einstellen?
Mit Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 haben die Krankenhäuser unter anderem umfassendere Transparenz- und Informationspflichten gegenüber den Patienten. Für die gesamte Datenverarbeitung gilt dann eine sogenannte Rechenschaftspflicht des Unternehmens. Die Krankenhäuser müssen dokumentieren und nachweisen, dass die Datenverarbeitung
zulässig ist, auf das erforderliche Ausmaß begrenzt und dass sie nach dem Stand der Technik abgesichert ist. Wer gegen die Bestimmungen verstößt, muss mit deftigen Sanktionen rechnen. Es drohen Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Vorjahresumsatzes.

Wie sollte die Patientenakte aus Datenschutzsicht aufgebaut sein?
Architektur und Design der Akte sind neben der fachlichen Ausrichtung auf die Berufsgruppen (Ärzte, Pflege, Verwaltung) konsequent auf den Datenschutz auszurichten. Dafür steht der Begriff Privacy by design“. Im Einzelnen heißt das: Es müssen Funktionalitäten vorhanden sein, die den Datenzugriff und die Berechtigung regeln. Der Patient muss wissen und jederzeit entscheiden können, welcher Arzt oder welche Pflegekraft in welcher Klinik welche Dokumente sehen darf. Und das Übermitteln der Daten ist durch Verschlüsselung abzusichern. Natürlich müssen auch
die grundsätzlichen Anforderungen an eine Benutzerverwaltung sowie an eine persönliche Benutzerkennung und an ein Passwort umgesetzt werden. Kurz: Es sollte ein benutzerfreundliches
System sein, das nicht zu viele Ressourcen bindet. Und die Patienten sollten die Zugriffsmöglichkeiten steuern und jederzeit nachvollziehen können, wer Zugriff auf ihre Daten hat oder genommen hat.

„Der Patient sollte immer nachvollziehen können, wer Zugriff auf seine Daten hat.“

Eine wesentliche Hilfestellung bezüglich der Einhaltung des Datenschutzes bietet die gemeinsam durch die Datenschutzaufsichtsbehörden veröffentlichte Orientierungshilfe Krankenhausinformationssysteme (OH KIS). Diese definiert Sollanforderungen anhand derer das Krankenhaus seinen Handlungsbedarf ermitteln und planen kann.

Welche Chancen und Risiken bietet die elektronische Patientenakte?
Der Patient hat sämtliche Daten schnell verfügbar. Und der Arzt hat alle relevanten Informationen im Blick, die er für eine gesicherte Diagnose und passgenaue Therapie benötigt. Damit werden auch die Abläufe im Krankenhaus effizienter. Risiken bestehen, wenn Daten einrichtungsübergreifend zu verwalten sind. Als datenbereitstellendes Krankenhaus weiß ich zwar, dass mein eigenes IT-System sicher und datenschutzkonform ist, aber es stellt sich die Frage: Wie sieht das beim Partnerkrankenhaus aus? Zu einer gemeinsamen Basis kann hier die OH KIS beitragen, sozusagen als gemeinsamer Nenner für die Ausgestaltung von Datenschutz. Daran orientieren sich auch die Aufsichtsbehörden im Hinblick auf ihre Prüfungstätigkeit.

Besteht für mich als Klinikbetreiber eine Meldepflicht bei der Einrichtung einer einrichtungsübergreifenden Patientenakte oder werden regelmäßige Kontrollen durchgeführt?
Eine Meldepflicht in dem Sinn, dass durch das Krankenhaus eine Meldung an die Datenschutzaufsichtsbehörde erfolgen muss, besteht nur in besonderen Fällen, etwa wenn kein Datenschutzbeauftragter bestellt ist oder ein Datenabrufverfahren eingerichtet werden soll. Ich empfehle aber den Krankenhaus-Verantwortlichen, sich bei wesentlichen Veränderungen bereits in der Planungsphase immer mit der Behörde abzustimmen. Die Behörden prüfen ja nicht nur, sondern sie beraten die Häuser auch in Umsetzungsfragen. Ansprechpartner sind die jeweiligen
Landesdatenschutzbeauftragten. Auch wird zukünftig der Einsatz von datenschutzzertifizierten Produkten eine wichtigere Rolle spielen.

Welchen Regelungsbedarf sehen Sie für die Zukunft und welche ,Rolle spielt die Politik?
Wir haben in Deutschland aufgrund des Föderalismus unterschiedliche landesrechtliche Regelungen und somit eine sehr heterogene Gesetzeslage. Da ist es schwierig, einheitliche Vorgaben zu definieren. Ein sehr guter und übergeordneter Ansatz ist die OH KIS, auch wenn es sich hierbei nicht um ein Gesetz handelt. Aber das Dokument führt die wesentlichen Anforderungen zusammen und stellt letztlich eine nützliche Checkliste dar. Allerdings werden deren Inhalte meines Erachtens noch zu wenig beachtet.