Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.
 
Jede Gesundheitseinrichtung
ist verpflichtet!
 
Jede Gesundheitseinrichtung muss die Vorgaben des Datenschutzgesetzes einhalten, unabhängig davon, ob sie ambulante, stationäre oder teilststaionäre Leistungen anbietet und auch unabhängig davon, ob ärztliche, pflegerische oder therapeutische Leistungen erbracht werden. Neben der Schweigepflicht für einige Gesundheitsberufe ist der Datenschutz ein eigener Themenbereich, der sich auf die Organisation an sich bezieht.
 
Viele Leiter von Gesundheitseinrichtungen denken, dass der Datenschutz nur etwas für große Unternehmen ist; dies stimmt nicht - alle Einrichtungen, ob groß oder klein, müssen die Vorgaben der Datenschutzgesetze einhalten.
 
In Deutschland sind sogenannte personenbezogene Daten geschützt. Was sind das für Daten? Laut § 3 Abs. 1 BDSG handelt es sich bei personenbezogenen Daten um "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person". Dazu gehören beispielsweise der Name, die Telefonnummer, Kreditkarten- oder Personalnummern, Kontodaten oder Kfz-Kennzeichen.
 
Für Einrichtungen des Gesundheitswesens gelten nach dem Bundes-datenschutzgesetz seit 2009 sogar erhöhte Anforderungen bei der Einhaltung des  Datenschutzes, da die Gesundheitsdaten der Einrichtungen als überdurchschnittlich sensibel anzusehen sind.  Was sind nun Gesundheitsdaten?
 
Gesundheitsdaten sind Informationen über Krankheiten, Beschwerden oder Störungen und aus solchen Anlässen erfolgte Behandlungen, Untersuchungen und Beratungen – einschließlich ihres Ablaufs und ihres Ergebnisses. Konkret gehören Anamnesen, Diagnosen, Therapien, Arztbriefe, Medikamentenanordnungen genauso dazu wie analoge oder digitale Bilder und natürlich auch jede pflegerische Dokumentation, die Feststellung von Pflegegraden oder Inhalte der Biographiearbeit - schon der Aufenthalt in einer Gesundheitseinrichtung gehört zu den personenbezogenen Gesundheitsdaten! Das verwendete Medium (Papier, USB-Stick, Bildschirm, gesprochenes Wort o.a.) spielt dabei keine Rolle.  Durch die zunehmende Digitalisierung verlieren "klassische" Speichermedien wie Papier zwar an Bedeutung - in unserer Branche werden sie aber noch lange wichtig sein.
 
 
 
 
Jede Gesundheisteinrichtung gilt nach dem Gesetz als "datenführende Stelle"; sie hat dafür zu sorgen, dass keine unberechtigten Dritten  personenbezogenen Daten ihrer MitarbeiterInnen und Patienten / Bewohner zur Kenntnis nehmen und eventuell mißbrauchen oder weitergeben können.
 
Datenschutz schützt nicht Daten, sondern Menschen!
 
Der Gesetzgeber spricht von sog. technisch-organisatorischen Maßahmen, d. h. jede Einrichtung hat alles erforderliche zu tun, um den Mißbrauch von pbDaten zu verhindern. Schon heute gibt es eine Reihe von Grund-Anforderungen, die Gesundheitseinrichtungen erfüllen müssen:
 

1. Verfahrensverzeichnis
(Weiterführung in der GVO als
Verzeichnis für die Aufsichtsbehörden)

Das Bundesdatenschutzgesetz (BDSG) schreibt vor, dass jedes Unternehmen ein sog. Verfahrensverzeichnis führen muss. Darin wird der Umgang des Unternehmens mit personenbezogenen Daten dokumentiert. Es enthält u.a. Informationen über das Unternehmen selbst, die Art der Datenerhebung sowie deren Zweck, eine Auflistung der von der Datenerhebung Betroffenen sowie Regelfristen für die Löschung dieser Daten.

 

2. Auftragsdatenverarbeitungs-Verträge
(Weiterführung in der GVO als Auftragsverarbeitung)

Die meisten Gesundheitsunternehmen bedienen sich externer Dienstleister, um personenbezogene Daten zu verarbeiten. Die Auftragsbreite reicht von der Entsorgung von Papierabfällen bis zur Wartung der IT-Systeme oder auch der Zurverfügungstellung von Rechenkapazität.

In all diesen Fällen bleibt jedoch das auftraggebende Unternehmen für die Einhaltung des Datenschutzes verantwortlich. Deshalb sieht das Gesetz vor, dass jeweils ein Auftragsdatenverarbeitungsvertrag zwischen den Parteien geschlossen wird, der bestimmte Mindestanforderungen erfüllen muss.

 

3. Datenschutzbeauftragter
(für Gesundheitseinrichtungen ab 25.05.2018 meldepflichtig)

Für Gesundheitseinrichtungen besteht eine gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen. Dieser hat innerhalb des Unternehmens die Aufgabe, die Einhaltung des Datenschutzes zu überwachen. Diese Aufgabe ist nur mit einem hohen Maß an Fachkunde zu bewältigen; die Bestellung muss schriftlich erfolgen und nachvollziehbar sein.

 

4. Lösch- und Sperrkonzepte
(Weiterführung in der GVO)

Das Bundesdatenschutzgestz sieht strenge Regelungen für die Speicherung personenbezogener Daten vor. So dürfen diese stets nur so lange gespeichert werden, wie diese auch wirklich benötigt werden. Andererseits gibt es gesetzliche Aufbewahrungsfristen, so dass Daten über einen gewissen Zeitraum gespeichert bzw. gelagert werden müssen. Daher sollte jedes Unternehmen neben dem Datensicherungskonzept auch über ein Lösch- und Sperrkonzept verfügen.

 

5. Beachtung von Auskunftsrechten
(Verschärfung in der GVO)

Vielen Einrichtungen ist nicht bekannt, dass die von der Datenspeicherung Betroffenen von den entsprechenden Unternehmen jederzeit Auskunft über Art, Umfang und Zweck sowie eine mögliche Weitergabe an Dritte verlangen können.

 

6. Verpflichtung auf das Datengeheimnis
(Weiterführung in der GVO)

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, ohne Auftrag des Arbeitgebers personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung eines Mitarbeiters darauf zu achten, dass dieser gem. §5 BDSG auf das Datengeheimnis verpflichtet wird. Ist dies bei der Einstellung nicht geschehen, sollte dies unverzüglich nachgeholt werden.

 
Bedeutung für die tägliche Praxis
In der Praxis sind davon sehr viele betriebliche Funktionen und Tätigkeiten betroffen, hier einige wichtige Beispiele:
  • Sichere Aufbewahrung von Datenträgern,
    Ausdrucken und Dokumentationen.

  • Kein Transport von Unterlagen mit pbDaten außerhalb
    der Einrichtung bzw. nur auf Weisung des Arbeitgebers
    unter Beachtung besonderer Schutzmaßnahmen.
  • Sicherstellung einer datenschutzgerechten Vernichtung von Unterlagen mit pbDaten (auch andere Datenträger).
  • Größte Vorsicht bei externer Archivierung und externen Schreibdiensten (nach Möglichkeit gar nicht).
  • Verhinderung des Zugangs und Zutritts zu Unterlagen und IT-Anlagen mit pbDaten (betrifft u.a. Türen, Schlösser,
    Schränke Arbeitsanweisungen, Passworte)
  • Keine Auskunftsgewährung an Unbekannte (z. B. Telefon)
  • Keine Weitergabe persönlicher Daten (auch Bilder, Videos)
    im privaten Umfeld, insbesondere auch in sozialen Medien
    wie facebook.
  • Keine Übermitlung von pbDaten per FAX
    oder in ungesicherten eMails.
  • IT-Systeme müssen vor unberechtigtem Zugang /
    unberechtigter Nutzung
    geschützt sein.
  • Keine Weitergabe von Passworten an Dritte.
  • Vorgaben des Arbeitgebers zu Aufgabenstellungen
    aus dem Bereich Datenschutz (z. B. private Nutzung
    von Internet und Telefon, Verhalten am Telefon, Auskünfte u.a.).
    Ein wichtige Unterlage sind hier die internen IT-Nutzungbedingungen.
  • Durchführen von Schulungen zur Sensibilisierung von MitarbeiterInnen

 

 

 

 

 

 

Recht auf Datenschutz

Grundlage des gesamten Daten-schutzrechtes ist das Grundrecht auf Datenschutz. Im Grundgesetz wird es gemäß dem bekannt gewordenen Volkszählungsurteil des Bundesverfassungsgerichts aus dem Allgemeinen Persönlichkeitsrecht abgeleitet.

 

Das Gericht spricht insoweit vom “Grundrecht auf infomationelle Selbstbestimmung”, das sich auf  Art. 2 Abs. 1, Art. 1 Abs. 1 GG bezieht.

 

Die Europäische Union hat diesen Gedanken übernommen und in die Grundrechte-Charta der EU aufgenommen.

Das Datenschutz-Recht der EU wird ab dem 25. Mai 2018 angewandt.

 

 

 

 

Cookie-Regelung

Diese Website verwendet Cookies, zum Speichern von Informationen auf Ihrem Computer.

Stimmen Sie dem zu?