datenschutz@adverit.de +49 40 271 44 940

Sensibler Umgang mit Patientendaten

Datenschutz für medizinische Einrichtungen

Ärzte, Therapeuten, Krankenhäuser & Co.
Wir schützen Ihre Patientendaten

Keine Frage, in medizinischen Einrichtungen wie Arztpraxen, Physiopraxen oder Krankenhäusern werden täglich Patientendaten verarbeitet. Informationen, die vertraulich sind und zu den personenbezogenen Daten besonderer Kategorien gehören. Also den Kategorien, die nach dem Bundesdatenschutzgesetz (BDSG) und der Datenschutzgrundverordnung (DSGVO) der Geheimhaltungspflicht unterliegen – und besonders geschützt werden müssen. Doch wie gelingt das so, dass Sie Fehler und deren Konsequenzen vermeiden können? Wir unterstützen Sie gern dabei.

Ob mündliche Auskünfte, Akten aus Papier oder in elektronischer Form – alles, was mit Patientendaten zu tun hat, ist vor unbefugtem Zugriff zu schützen. Das ist keine leichte Aufgabe. Im Gegenteil. Es kann, insbesondere durch die zunehmende Digitalisierung, die elektronische Gesundheitskarte und vieles mehr, zu einer großen Herausforderung für Sie und Ihr medizinisches Personal werden.

Wie stellen Sie sicher, dass nur berechtigte Personen Zugang zu den Patientendaten haben? Und was ist zu tun, wenn doch einmal eine Datenpanne auftritt? Diese und viele weitere Fragen rund um den Schutz sensibler Daten gilt es zu klären und umzusetzen. Da empfiehlt es sich, den Datenschutz in professionelle Hände zu legen.

Spezielle Anforderungen beim Umgang mit Patientendaten
Fachwissen und Fingerspitzengefühl

In Deutschland regeln das BDSG und die DSGVO den Schutz personenbezogener Daten von Patienten und natürlichen Personen im Allgemeinen, insbesondere, wenn es um hochsensible Informationen wie Gesundheitsdaten geht. Denn diese dürfen nur dann verarbeitet werden, wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat.

Darüber hinaus gelten in Gesundheitseinrichtungen weitere Gesetze wie das IT-Sicherheitsgesetz, das ärztliche Berufsrecht, die Schweigepflicht für z. B. Ärzte (§ 203 StGB) oder Physiotherapeuten (§ 2 Berufsordnung). In Summe ist es eine lange Liste an Anforderungen, die einzuhalten sind.

Das sollten Sie beachten
Besonderheiten im Gesundheitswesen

Schweigepflicht vs. Auskunftspflicht

Obwohl die Verschwiegenheitspflicht im Gesundheitswesen von großer Bedeutung ist, gibt es Ausnahmen, die im Einklang mit dem Gesetz stehen und die Offenlegung von Patientendaten erfordern können. Zuallererst können Patienten Sie natürlich selbst von der Schweigepflicht entbinden. Ganz einfach dadurch, dass sie schriftlich in die Weitergabe bestimmter Daten an bestimmte Dritte einwilligen. Verlangt ein gesetzlich bestellter Vormund oder Betreuer Einsicht in eine Krankenakte, hat auch er ein (eingeschränktes) Recht darauf. Allerdings nur, wenn die Auskunft für seine spezifischen Aufgaben erforderlich ist – und vom Patienten erlaubt wurde.

Schwieriger wird es bei Anfragen von Ermittlungsbehörden oder Gerichten. Obwohl Sie und Ihr Personal ein Zeugnisverweigerungsrecht haben, gibt es auch Fälle, in denen Sie auf Anfrage bestimmte Daten von Patienten an Behörden weitergeben dürfen oder sogar müssen. Dazu gehören allerdings keine gesundheitsrelevanten Daten, sondern nur weniger sensible Informationen wie Vor- und Familienname, Geburtsdatum und -ort, Staatsangehörigkeit und Anschrift. Bei einem Krankenhausaufenthalt kommen noch das Datum der Aufnahme und der Entlassung hinzu.

Die Abfrage ist jedoch nur möglich, wenn eine erhebliche Gefahr abgewendet werden muss oder wenn es um die Suche nach vermissten Personen oder Unfallopfern geht. In keinem Fall weitergeben werden dürfen Patientendaten an die Polizei, Staatsanwaltschaft oder Gerichte. Es sei denn, es liegt ein Beschlagnahmebeschluss vor oder der Patient hat ausdrücklich zugestimmt.

Datenschutzfalle Empfangstresen

Ob Empfangstresen bei Ärzten, Physiotherapeuten und Heilpraktikern oder offene Stationszimmer in Krankenhäusern – genau hier ist die Gefahr, einen Fehler beim Umgang mit Patientendaten zu machen, besonders groß. Zum einen unterhalten sich nicht selten Behandler und Belegschaft genau dort über Untersuchungsergebnisse und Medikationen von Patienten, während weitere Patienten anwesend sind oder im Warteraum sitzen. Zum anderen werden Auskünfte über das Telefon (oder per E-Mail) erteilt. Nicht immer wird dabei sichergestellt, dass niemand zuhört. Oder geprüft, ob der Empfänger tatsächlich berechtigt ist, die angefragten Informationen zu erhalten.

Datenschutzverstöße sind auch dann möglich, wenn das Personal des Empfangstresens zum Behandler gerufen wird oder anderweitig beschäftigt ist – und den Empfangstresen unbeaufsichtigt lässt. So könnte sich theoretisch jeder Zugang zu den Computern, Patientenakten und Ablagen verschaffen.

Aber auch im Behandlungsraum kann es zu Datenschutzverstößen kommen. Und zwar immer dann, wenn sich Patienten alleine im Behandlungsraum aufhalten. Hat der Behandler in so einem Fall z. B. noch die digitale Akte des letzten Patienten auf dem Bildschirm oder mehrere Patientenakten auf dem Tisch liegen, sind sie ganz leicht von jedem einsehbar.

Unsere Leistungen
Schritt für Schritt zur Datenschutz-Konformität

Sensible Patientendaten unterliegen aus persönlichkeitsrechtlichen Gründen zu Recht dem besonderen Datenschutz. Ganz egal, ob es sich um die Datenerhebung, die Datenweitergabe oder die Datensicherung handelt. Im Umkehrschluss heißt das jedoch, dass Sie komplexe Anforderungen und Pflichten zu managen haben, die Zeit kosten und zum Teil diffizil sind.

Unsere Datenschutz-Experten sind gern für Sie da, wenn Sie beim Thema Datenschutz rundum auf der sicheren Seite sein möchten. Mit viel Erfahrung, Sachkenntnis und Fingerspitzengefühl.

Wir führen beispielsweise eine Bestandsaufnahme (Audit) durch und schauen uns genau an, wie weit Sie bei der Umsetzung und Einhaltung datenschutzrechtlicher Anforderungen sind. Wir erstellen ein Datenschutz-Konzept, mit dem die Einhaltung datenschutzrechtlicher Maßgaben sichergestellt wird. Wir implementieren die im Datenschutz-Konzept erarbeiteten Maßnahmen, kontrollieren die Einhaltung und erstellen einen Tätigkeitsbericht.

Darüber hinaus sind wir Ihr persönlicher Ansprechpartner bei allen offenen Fragen – und schulen Ihre Mitarbeiter, um sie für die Besonderheiten im Umgang mit Patientendaten zu sensibilisieren. Das entlastet Sie bei Ihren täglichen Arbeitsabläufen – und bietet Ihnen Sicherheit.

Nutzen Sie am besten gleich unsere kostenlose adverit-Erstberatung! Wir freuen uns darauf, Sie kennenzulernen!

Gern können Sie unsere Leistungen einzeln buchen wie z. B.

  • Status-Check zur Einhaltung der Datenschutz-Vorschriften

  • Erstellung Ihres individuellen Datenschutz-Konzeptes

  • Umfassende Datenschutz-Dokumentation

  • Individuelle Datenschutz-Beratung

  • Rechtssichere Datenschutzerklärung

  • Umsetzung erforderlicher Maßnahmen

  • Bestellung eines externen Datenschutzbeauftragten

  • Schulung Ihrer Angestellten zum Umgang mit sensiblen Patientendaten

  • Schulung von Datenschutzverantwortlichen und betrieblichen Datenschutzbeauftragten

Alternativ bieten wir Ihnen ein Rundum-sorglos-Paket, das exakt auf Sie zugeschnitten ist: Unsere Datenschutz-Pakete.

Ihr Datenschutz-Check

Wie sicher sind Sie, dass Sie sicher sind? Machen Sie jetzt den adverit-Datenschutz-Check – und verschaffen Sie sich einen ersten Überblick! In nur 2 Minuten. Ganz einfach. Und natürlich kostenfrei.

Zum Datenschutz-Check

Rechtssichere Datenschutz-Pakete
Optimaler Datenschutz auch bei sensiblen Patientendaten

In jeder Lage bestens beraten: Wählen Sie einfach das Datenschutz-Paket, das zu Ihrer Praxis- oder Krankenhausgröße passt, und profitieren Sie von unserem Datenschutz-Know-how. Wir unterstützen Sie bei der Umsetzung der DSGVO und des BDSG mit einem besonderen Augenmerk auf Ihre sensiblen Patientendaten. So sind Sie vor Fehlern jeglicher Art geschützt – und sicher vor empfindlichen Strafen.

Datenschutz-Paket
Business

250 €
monatlich

  • Unternehmen 20-50 Beschäftigte
  • inkl. 4 Std. Beratung/Jahr
Anfrage
Mehr Informationen

Datenschutz-Paket
Professional

350 €
monatlich

  • Unternehmen > 50 Beschäftigte
  • inkl. 6 Std. Beratung/Jahr
Anfrage
Mehr Informationen

Datenschutz-Paket
Enterprise

500 €
monatlich

  • Unternehmen > 100 Beschäftigte
  • inkl. 8 Std. Beratung/Jahr
Anfrage
Mehr Informationen
Details zu unseren Datenschutz-Paketen

Kostenfreie Datenschutz-Erstberatung

Sie würden gern mehr zu Ihren Datenschutz-Pflichten wissen? Oder möchten sich unsere Datenschutz-Pakete unverbindlich vorstellen lassen? Vereinbaren Sie einen kostenfreien Gesprächstermin mit uns! Wir stehen Ihnen bei all Ihren Fragen Rede und Antwort.

Jetzt Termin vereinbaren

FAQ
Ihre Fragen zum Datenschutz im Gesundheitswesen

  • Welche Patientendaten gelten als besonders sensibel?

    Zu den besonders schützenswerten Patientendaten gehören alle Gesundheitsinformationen, also z. B. ärztliche Befunde, Röntgenbilder und MRT-Bilder. Diese Informationen dürfen nur in bestimmten Fällen zur Vorsorge, Diagnostik oder Behandlung erhoben und genutzt sowie ausschließlich mit dem Einverständnis Ihrer Patienten weitergegeben werden.

  • Nein. Eine medizinische Behandlung darf aus diesem Grund auf keinen Fall verweigert werden. Sie wird aufgrund eines Behandlungsvertrages durchgeführt, der quasi die Befugnis für die Datenverarbeitung gemäß Artikel 9 Abs. 2 Buchstabe h) und Absatz 3 in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe b) der Datenschutz-Grundverordnung (DS-GVO) darstellt. Es muss deshalb keine weitere Einwilligung eingeholt werden.

  • Diese Frage ist nicht pauschal zu beantworten. In der Regel ist in Gesundheitspraxen aller Art ein interner oder externer Datenschutzbeauftragter in folgenden Fällen Pflicht:

    • Die Praxis beschäftigt mindestens 20 Mitarbeiter (inklusive aller Ärzte und Therapeuten) regelmäßig mit der automatischen Verarbeitung personenbezogener Daten.
    • Die Verarbeitung der personenbezogenen Daten unterliegt einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO.
    • Die umfangreiche Verarbeitung personenbezogener Daten besonderer Kategorien ist eine Kernaufgabe der jeweiligen Praxis.

    Für Krankenhäuser gestaltet sich die Situation anders. Sie haben durch ihr jeweiliges Landeskrankenhausgesetz die gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen.

  • Das ist möglich, aber nur dann, wenn es eine entsprechende Einwilligung Ihres Patienten dazu gibt.

  • Ja, Anfragen von Krankenkassen dürfen und müssen beantwortet werden, sofern sie auf einem vertragsärztlichen Formular stehen. Erhalten Sie eine Anfrage ohne den entsprechenden Vordruck, muss die Krankenkasse Ihnen genau erläutern, warum und auf welcher Rechtsgrundlage sie die Informationen einfordert.

  • Ja, das dürfen Sie. Allerdings nur, wenn ihr Patient nichts dagegen hat und nicht ausdrücklich der Aufrufung seines Namens widerspricht. Wünscht er, anonym zu bleiben, müssen Sie das berücksichtigen.

  • Ja, das dürfen Sie. Liegt das Programm auf Ihrer Website, müssen Sie allerdings mit Ihrem IT-Dienstleister einen Auftragsverarbeitungsvertrag abschließen und in Ihrer Datenschutzerklärung ein Hinweis über die Datenverarbeitung bei der Online-Terminvergabe aufzunehmen.

    Nutzen Sie eine Terminvergabe über einen externen Anbieter, ist das für Sie datenschutzrechtlich unbedenklich. Ihr Patient kann erkennen, dass er seine Daten an einen Dritten abgibt.

Infos
Das Wichtigste rund um den Datenschutz

Wissen schadet nur dem, der es nicht hat. Wir haben Ihnen deshalb viele nützliche Informationen, Tipps und Checklisten rund um den Datenschutz zusammengestellt. Suchen Sie sich gern genau die Informationen heraus, die für Sie und Ihr Unternehmen förderlich sind.

Whitepaper

Sie wüssten gern mehr über das Thema Datenschutz? Laden Sie sich gern eines unserer Whitepapers herunter. Sie sind informativ, übersichtlich und kompakt aufbereitet.

Weiter

Checklisten

Erfüllt Ihr Unternehmen die Mindestanforderungen der DSGVO? Bearbeiten Sie das Thema Datenschutz effizient? Diese und weitere Fragen können Sie sich mit unseren Checklisten ganz leicht selbst beantworten.

Weiter

Glossar

Was sind nochmal personenbezogene Daten besonderer Kategorien? Was bedeutet Pseudonymisierung? Worauf bezieht sich das Widerrufsrecht? Wir erklären Ihnen die wichtigsten Begriffe, die Sie kennen müssen.

Weiter

Kontakt
So erreichen Sie uns

Standort:

adverit compliance GmbH & Co. KG

Kajen 10, 20459 Hamburg

Telefon:

+49 40 271 44 940

Wählen Sie einen Betreff und senden Sie uns zu dem gewählten Thema eine Anfrage. Wir werden uns dann schnellstmöglich bei Ihnen melden. Alternativ können Sie uns auch anrufen unter +49 40 271 44 940 oder direkt einen Termin vereinbaren: Zur Terminvereinbarung

Loading
Ihre Nachricht wurde verschickt. Vielen Dank!