Anzeige
Branchenmeldungen 09.10.2020

Das 1 x 1 des Datenschutzes für das Gesundheitswesen

Das 1 x 1 des Datenschutzes für das Gesundheitswesen

Mit der Einführung der Datenschutz-Grundverordnung, kurz DSGVO, im Mai 2018 rückte der Datenschutz noch einmal verstärkt in den Fokus von Unternehmen, Behörden und Institutionen. Vor allem die Sicherheit personenbezogener Daten wird in erhöhtem Maße gestärkt – Gesundheitsdaten stuft die DSGVO als besonders schützenswert ein. Die zunehmende Digitalisierung des Gesundheitswesens – ab dem 1. Januar 2021 soll das gesamte Gesundheitssystem in Deutschland digitalisiert sein – bietet viele Vorteile, aber auch datenschutzrechtliche Risiken.

Vor- und Nachteile der Digitalisierung

Auf der einen Seite können sich die beteiligten Arztpraxen, Krankenhäuser, Krankenkassen, Versicherungen und Apotheken über den Anschluss an die Telematik besser miteinander vernetzen und leichter Patientendaten austauschen. Auf der anderen Seite haben durch den regen Austausch auch Hacker vermehrt Chancen, auf diese Daten zugreifen zu können. Beim Jahreskongress des Chaos Computer Clubs Ende Dezember 2019 präsentierte der CCC-Sicherheitsexperte Martin Tschirisch beispielsweise Sicherheitslücken im Gesundheitsnetzwerk. Für IT-Sicherheitsexperten und Reporter war es laut Tschirisch relativ einfach, im Namen Dritter Gesundheitskarten, elektronische Arztausweise und Praxisausweise zu bestellen und an eine Lieferadresse ihrer Wahl schicken zu lassen. Und mit den Identitäten konnte ohne Probleme auf Anwendungen der Telematikinfrastruktur sowie Gesundheitsdaten von Versicher-ten zugegriffen werden. Um die sensiblen Informationen zu schützen, gilt es deshalb, als Beteiligter des Gesundheitssystems dem Datenschutz besondere Aufmerksamkeit zu schenken.

Grundlage: Artikel 9 der DSGVO

Die Entwicklung und der Einsatz neuer Technologien wie ärztlicher Untersuchungen im Videochat, Atteste über das Internet oder unterschiedlicher Health-Apps sorgen heutzutage für einen regen Austausch von Gesundheitsdaten. Informationen verbleiben also nicht mehr als Papierakte oder digitale Version im Krankenhaus oder in einer Arztpraxis, sondern gelangen auch auf private Endgeräte oder Server. Damit die personenbezogenen Daten nicht ungewollt an die Öffentlichkeit gelangen oder Ärzte beispielsweise auf Basis von gefälschten Patientendaten operieren, steht der Datenschutz in der Branche im Fokus. Gemäß Artikel 6 der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich nur dann erlaubt, wenn Betroffene einwilligen. Für Gesundheitsdaten gibt es außerdem noch Spezialregelungen, da sie nach Maßgabe des Artikels 9 als besonders schützenswert gelten. Ihre Verarbeitung ist aufgrund der Sensibilität der Informationen nur nach den engen Maßgaben des Artikels 9 in Verbindung mit Artikel 6 der DSGVO zulässig. Betroffene müssen jederzeit wissen, was mit ihren Daten passiert, und ohne die Einwilligung dürfen die Angaben nicht an Dritte, zum Beispiel externe Abrechnungsstellen, weitergegeben werden.

Kontrolle über die DSFA  

Um die Sicherheit der personenbezogenen Daten zu gewährleisten, gibt es beispielsweise die Datenschutz-Folgeabschätzung, kurz DSFA. Im Grunde handelt es sich bei diesem Instrument um eine Erweiterung der früheren Vorabkontrolle. Die Vorabkontrolle war nach dem deutschen Bundesdatenschutzgesetz, kurz BDSG, immer dann durchzuführen, wenn besonders sensible Daten verarbeitet wurden.

Im Vergleich zum BDSG umfasst die DSFA einen größeren Anwendungsbereich: Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien, wie zum Beispiel Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten, geht. Die Gesundheitsdaten definiert das Gesetz als „Informationen, die sich auf den geistigen und körperlichen Gesundheitszustand der betroffenen Person oder auf eine Erbringung von Gesundheitsleistungen für diese beziehen“. Neben Krankenhäusern, Arztpraxen oder Forschungseinrichtungen müssen deshalb auch Anbieter von Health-Apps oder Wearables eine DSFA leisten, da auch die Aufzeichnung oder Übermittlung von Vitalwerten oder die Verwaltung von Arztterminen als besonders schützenswert gilt. Im Rahmen der DSFA gilt es zunächst, eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung vorzunehmen. Außerdem müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung – also die Zwecke der beabsichtigten Verarbeitung gegenüber den möglichen Gefahren – überprüft werden. Da die Speicherung und Nutzung von Gesundheitsdaten der Steigerung des Wohlbefindens beziehungsweise der Genesung der betroffenen Personen dienen, liegen nachvollziehbare Notwendigkeiten vor. Jedoch sollte stets eine kritische Überprüfung stattfinden, ob sich dieselben Ziele nicht auch mit weniger datenintensiven Verarbeitungen erreichen lassen. Anschließend erfolgt die Bewertung der Risiken für die betroffene Person. Einzelne Schritte der Verarbeitung gilt es, daraufhin zu untersuchen, welche Gefahren drohen. Zudem müssen Faktoren wie Transparenz und Möglichkeiten zur Intervenierbarkeit bewertet werden. Nach der Risikobewertung erfolgt schließlich die Klärung von spezifischen Gegenmaßnahmen, also dem Einsatz von technisch-organisatorischen Maßnahmen, kurz TOM.

Schutzmaßnahmen ergreifen und planen

Die technischen und organisatorischen Maßnahmen müssen Pharmaunternehmen, Krankenhäuser, Arztpraxen, Labore und Forschungseinrichtungen zum Schutz personenbezogener Daten ergreifen. Es gilt, diese festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie das Abschließen von Schränken, die Patientenakten enthalten. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin mit einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Artikel 32 Abs. 1b „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch sichern Unternehmen die Prüfung durch einen Dritten, haben also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber der Aufsichtsbehörde einen besseren Eindruck.

Vorsicht bei der Weitergabe von Daten an Dritte

Grundsätzlich gilt es, streng darauf zu achten, dass jeder Mitarbeiter nur Zugriff auf Daten hat, die er für die Ausübung der jeweiligen Aufgaben benötigt. Auch im Fall der Weitergabe von Patientendaten an Dritte, also Hausärzte, sonstige nachbehandelnde Ärzte, Krankenversicherungen, Behörden, Krankenkassen oder Angehörige, muss geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe der Infor- mationen erfolgen darf. Vor allem gilt es zu prüfen, ob für diesen Schritt die Einwilligung des betroffenen Patienten erforderlich ist. Angehörige über den Gesundheitszustand oder den Genesungszustand zu informieren, ist zum Beispiel grundsätzlich nicht erlaubt – außer der Patient hat der Weitergabe zugestimmt.

Kontakt

Haye Hösel
HUBIT Datenschutz GmbH & Co. KG
Rudolf-Diesel-Straße 6
28816 Stuhr
Tel.: +49 421 33114300
info@hubit.de 
www.hubit.de 

Dieser Beitrag ist in ZT Zahntechnik Zeitung erschienen.

Foto Teaserbild: Panchenko Vladimir - Shutterstock.com

Mehr News aus Branchenmeldungen

ePaper

Anzeige