Herausforderungen und Anforderungen an Softwarelösungen im Gesundheitswesen: Datenschutz im Fokus
In kaum einem Bereich bietet die Digitalisierung so viele Chancen, alte analoge Strukturen aufzubrechen und durch digitale Dokumentationsformen zu ersetzen, wie im Gesundheitswesen. Solche digitalen Lösungen in Form von Software-as-a-Service sind insbesondere das Medikationsmanagement, die interne Dokumentation und die Implementierung von sogenannten Patientenportalen. Diese Software-as-a-Service-Lösungen können dazu beitragen, Prozesse im Gesundheitswesen zu optimieren.
Datenschutz im Gesundheitswesen: Herausforderungen und Anforderungen an softwarebasierte Lösungen
Die neuen technischen Möglichkeiten bringen aber auch besondere Herausforderungen mit sich. Grund dafür sind die hohen datenschutzrechtlichen Anforderungen an den Umgang mit den sensiblen Patientendaten, die im Rahmen des Aufenthalts in einem Krankenhaus oder einer Pflegeeinrichtung erhoben, verarbeitet und gespeichert werden. Neben der Gewährleistung der Vertraulichkeit spielen im Gesundheitswesen zur Vermeidung von Gefahren für Leib und Leben auch die Sicherstellung der Datenintegrität und der Datenverfügbarkeit eine wichtige Rolle. Über diese datenschutzrechtlichen Anforderungen an den Einsatz softwarebasierter Lösungen möchten wir in diesem Beitrag einen kurzen Überblick geben.
Anwendungsbereiche von Software-Tools im Gesundheitsbereich
Digitalisierung im Gesundheitswesen: Automatisiertes Medikationsmanagement durch Softwaretools
Das Medikationsmanagement umfasst die kontinuierliche Sicherstellung einer umfassenden pharmazeutischen Versorgung der Patienten. Diese kann digital durch Verordnungen über das Krankenhausinformationssystem (KIS) sichergestellt werden. Durch den Einsatz von Softwaretools kann die Prüfung auf Wechselwirkungen, Allergien und Warnhinweise automatisiert erfolgen. Diese konkrete Form des digitalen Behandlungsmanagements ermöglicht auch, dass alle an der Behandlung Beteiligten intern Zugriff auf Informationen zur Medikamentenbehandlung der Patient:innen haben. Dadurch haben etwa klinische Pharmazeut:innen jederzeit die Möglichkeit, erforderliche Informationen abzurufen.
Bezüglich des Medikationsmanagements schreibt die Förderungsrichtlinie nach § 21 Abs. 2 KHSFV daher u.a. vor, dass die Pharmazeut:innen jederzeit Zugriff auf die relevanten Daten haben und eine systematische Überprüfung von Allergien oder Kontraindikationen gewährleistet ist.
Effiziente interne Dokumentation durch einheitliche digitale Lösungen im Gesundheitswesen
Durch die Implementierung einer einheitlichen, übergreifenden internen syntaktischen Dokumentation für alle am Behandlungsprozess beteiligten Personen gewährleisten Softwaretools eine effizientere interne Dokumentation.
Der Förderungsrichtlinie nach § 21 Abs. 2 KHSFV entsprechend muss die interne digitale Dokumentation u.a den gesetzlichen Anforderungen an die Pflegedokumentation nach § 630f BGB genügen. Damit soll die parallele Führung physischer Akten vermieden werden. Darüber hinaus muss nach § 21 Abs. 2 KHSFV die Möglichkeit bestehen, alle relevanten Dokumente digital und lückenlos in einer einrichtungsinternen Akte abzulegen.
Digitales Gesundheitswesen: Der Einsatz von Patientenportalen zur Verbesserung der Versorgungsqualität
Sogenannte Patientenportale stellen den letzten und wichtigsten Bereich dar, der durch Softwaretools digitalisiert werden kann. Diese umfassen den direkten digitalen Informationsaustausch zwischen Ärzt:innen und Patient:innen. Patientenportale werden in drei Bereichen eingesetzt, welche die Behandlung der Patient:innen von Anfang bis Ende abdecken. Vom digitalen Aufnahmemanagement über das digitale Behandlungs- bis hin zum digitalen Entlassungs- und Überleitungsmanagement. Ziel ist es hierbei, den dabei entstehenden erheblichen Kommunikationsaufwand zu reduzieren, die Kommunikation und den Informationsaustausch zu beschleunigen und die Versorgungsqualität der Patient:innen zu verbessern.
Effiziente digitale Koordination durch Patientenportale und Anforderungen der Förderungsrichtlinie
Durch diese Bündelung mehrerer Aufgabenbereiche ermöglichen Patientenportale eine zentrale und digitale Koordination der abzudeckenden Bereiche. Beispielsweise muss das digitale Einweisungsmanagement entsprechend der Förderrichtlinie nach § 21 Abs. 2 KHSFV gewährleisten, dass Termine für ambulante Versorgungsleistungen online vereinbart oder Anamnesegespräche von zu Hause aus geführt werden können. Auch muss es möglich sein, dass bereits vorab notwendige Behandlungsunterlagen durch die Patient:innen hochgeladen werden können.
Hinsichtlich des digitalen Behandlungsmanagements muss entsprechend der Förderungsrichtlinie als funktionale Anforderung eine Möglichkeit bestehen, dass sich die Patient:innen während ihres Aufenthaltes auf ihrem eigenen Endgerät über ihre Behandlung informieren können. Auch schreibt die Förderungsrichtlinie nach § 21 Abs. 2 KHSFV u.a. vor, dass Patient:innen Erinnerungen an Untersuchungstermine online erhalten. Um den Anforderungen der Förderungsrichtlinie nach § 21 Abs. 2 KHSFV hinsichtlich des Entlassungs- und Überleitungsmanagements gerecht zu werden, muss u.a. gewährleistet sein, dass Mitarbeiter:innen den Versorgungsbedarf der Patient:innen über eine digitale Plattform melden können.
Datenschutzrechtliche Anforderungen an die Verarbeitung von Patientendaten (insbesondere bei Patientenportalen)
Aufgrund der Zusammenführung von besonders sensiblen Gesundheitsdaten werden besondere Anforderungen an die Zugangs- und Zugriffskontrolle bei der Datenverarbeitung gestellt. Dies gilt in besonderem Maße für Patientenportale. Um unberechtigte Zugriffe Dritter zu verhindern, ist für Patientenportale eine 2-Faktor-Authentifizierung erforderlich. Diese ermöglicht eine sichere Identifizierung und Authentisierung sowie die Sicherstellung einer Zugriffskontrolle. Seitens der Patient:innen erfolgt diese unter Verwendung der eGK entsprechend Anlage 4b des Bundesmantelvertrages. Bezüglich der Ärzt:innen durch eine entsprechende Registrierung.
Sicherstellung der Zugriffskontrolle und Datenverschlüsselung: Schutzmaßnahmen für den Datenschutz und die Datensicherheit in der medizinischen Softwarenutzung
Hinsichtlich der Zugriffskontrolle ist sicherzustellen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Darüber hinaus muss die Zugriffskontrolle gewährleisten, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Im Zweifelsfall sind aufgrund der Sensibilität nicht erforderliche Daten zu schwärzen. Darüber hinaus sollten Verschlüsselungen und Containerlösungen auf Patientenseite implementiert werden, um weitere Schutzmaßnahmen zu installieren. Dies gilt jedenfalls dann, wenn patientenseitig Tools eingesetzt werden. Soweit krankenhausinterne Softwarelösungen für die interne Dokumentation und das Medikationsmanagement genutzt werden, besteht insoweit keine Notwendigkeit für Verschlüsselungen oder Containerlösungen.
Wahrung von Datenschutz und Nutzerrechten bei Patientenportalen
Auch bei der Beauftragung von Dienstleistern sollte auf eine Zertifizierung gem. Art. 42 DSGVO geachtet werden. Daten, die dem Berufsgeheimnis unterliegen, müssen vor dem Zugriff nachgelagerter (Wartungs-)Dienstleister geschützt werden.
Darüber hinaus sollten Patientenportale den betroffenen Nutzern auch die Möglichkeit bieten, die Betroffenenrechte (Recht auf Auskunft, Löschung oder Berichtigung der Daten) unmittelbar selbst wahrnehmen zu können.
Zudem müssen im Hinblick auf die über die jeweiligen Softwareanwendungen erfolgende Datenverarbeitung die datenschutzrechtlichen Informationspflichten gegenüber den betroffenen Patient:innen erfüllt werden. Dies bedeutet, dass diese Datenverarbeitungen in den jeweiligen Datenschutzhinweisen für die Patient:innen korrekt abgebildet werden müssen. Darüber hinaus müssen eindeutige Verweise auf die jeweiligen Datenschutzhinweise vorhanden sein.
Allgemeine Anforderungen an die Datenverarbeitung im Gesundheitsbereich
Neben den spezifischen Anforderungen, die insbesondere für die Nutzung digitaler Patientenportale gelten, sind auch allgemeine datenschutzrechtliche Anforderungen im Gesundheitswesen zu beachten. Zunächst sind die datenschutzrechtlichen Grundprinzipien (insbesondere Art. 5 und 25 DSGVO) zu beachten. Danach muss jede Datenverarbeitung insbesondere einen legitimen Zweck verfolgen und transparent ausgestaltet sein.
Die Bedeutung eines Auftragsverarbeitungsvertrages (AVV) gemäß DSGVO und § 203 IV StGB für Softwarelösungen
Auch der Einsatz von Softwarelösungen erfordert regelmäßig den Abschluss eines Auftragsverarbeitungsvertrages (AVV). Der Vertrag muss im Sinne der DSGVO elektronisch geschlossen werden, was nach herrschender Meinung in Literatur und Rechtsprechung die Textform im Sinne des Bürgerlichen Gesetzbuches (BGB) bedeutet. Gegenstand eines solchen Vertrages müssen die umfassenden Anforderungen des Art. 28 DSGVO sein (u.a. Gegenstand, Umfang, Zweck und Dauer der Verarbeitung). Hinzu kommen bei Gesundheitsdaten die Anforderungen des § 203 IV Strafgesetzbuch (StGB). Dieser sieht eine ausdrückliche Schweigepflicht vor. In Bezug auf die Nutzung von Softwaretools verarbeitet der Anbieter dieser digitalen Lösungen personenbezogene Daten von Patient:innen. Er nimmt dabei die Rolle des Auftragsverarbeiters ein. Das jeweilige Gesundheitsunternehmen hingegen ist der Auftraggeber.
Berufsgeheimnisträger und IT-Dienstleister: Sorgfältige Überprüfung der Datenweitergabe erforderlich
Im Zuge der Digitalisierung wird auch nicht-ärztliches Personal in die Datenverarbeitung im Gesundheitswesen einbezogen. Diesbezüglich regelt § 203 Abs. 3 S. 2 StGB, dass Personen, die als Berufsgeheimnisträger zur Verschwiegenheit verpflichtet sind, Daten an externe IT-Dienstleister weitergeben dürfen. Voraussetzung ist, dass die Weitergabe für die Inanspruchnahme der Tätigkeit der anderen mitwirkenden Personen erforderlich ist. In der Praxis bedeutet dies, dass hinsichtlich der Weitergabe von personenbezogenen Daten durch Berufsgeheimnisträger eine sorgfältige Überprüfung der Erforderlichkeit erfolgen muss. Diese sollte durch die verantwortliche Person dokumentiert werden, um die Prüfung transparent darlegen zu können.
Das könnte Sie auch interessieren:
- Fokus-Thema Health & Medicine
- KI im Gesundheitswesen
- Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen
- Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen
- Die Telematikinfrastruktur – der Grundstein für die Digitalisierung im Gesundheitswesen
- Die Digitalisierung der Krankenhäuser – das Krankenhauszukunftsgesetz
Sicherheitsanforderungen an den Datenschutz im Gesundheitssektor: TOM, Subunternehmer und Verzeichnis der Verarbeitungstätigkeiten
Außerdem müssen hinsichtlich der Datenverarbeitung Subunternehmer genannt und konkrete technisch-organisatorische Maßnahmen (sogenannte TOM) nach Art. 32 DSGVO dargestellt werden. Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist ebenfalls zu erstellen und zu verwalten. Insbesondere an die Sicherheit der Verarbeitung durch geeignete technische und organisatorische Maßnahmen (TOM) werden im Gesundheitssektor besondere Anforderungen gestellt. Diese werden durch explizit spezialgesetzliche Regelungen konkretisiert. Darunter fallen unter anderem spezifische Regeln zur Informationssicherheit nach § 75b SGB V. Dazu stellen branchenspezifische Sicherheitsstandards an Krankenhäuser weitere konkrete Anforderungen an einen umfassenden Datenschutz.
Erforderlichkeit von Einwilligungserklärungen bei digitaler Dokumentation von Gesundheitsdaten
Des Weiteren ist in Bezug auf die digitale Dokumentation von Gesundheitsdaten die Erforderlichkeit von Einwilligungserklärungen zu beachten. Soweit die Verarbeitung über die eigentliche Behandlung hinaus geht, ist eine Einwilligungserklärung erforderlich. Dasselbe gilt soweit eine Form der Einwilligung gesetzlich vorgeschrieben ist. Die Einwilligung muss insbesondere im Hinblick auf die Kategorien der betroffenen Patientendaten, den Zweck der Datenverarbeitung und die (potenziellen) Empfänger der Daten hinreichend transparent, informiert und konkret ausgestaltet sein. Zudem muss ein Hinweis auf die jederzeitige Widerrufbarkeit der Einwilligung enthalten sein. Im Gegensatz dazu ist bei der Weitergabe an weiter- bzw. mitbehandelnde Ärzt:innen grundsätzlich keine Einwilligung erforderlich. Aufgrund der Regelung des § 73Ib SGB V ist nur bei Austausch von Patientendaten mit Hausärzten eine Einwilligung erforderlich.
Die Bedeutung von Datenschutz-Folgenabschätzungen (DSFA) im Gesundheitssektor
Aufgrund der Sensibilität von Gesundheitsdaten muss in Bezug auf ein angemessenes Datenschutzmanagement die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) geprüft werden. Dass eine DSFA durchgeführt werden muss, ist bei Daten im Gesundheitssektor keine absolut feststehende Regel, jedoch in vielen Fällen erforderlich. Insbesondere sind mögliche Ausnahmen von der Erforderlich der Durchführung von DSFA bei der umfangsreichen Verarbeitung von Patientendaten äußerst marginal.
Die Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) im Gesundheitssektor
Eine DSFA besteht in der Regel aus einer Vorprüfung, mit der ermittelt wird, ob eine solche überhaupt notwendig ist. Grundsätzlich ist dies immer dann der Fall, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlichen Personen zur Folge hat. Soweit bei Verarbeitung von Patientendaten sensible Gesundheitsdaten verwendet werden, wird die Durchführung einer DSFA nach Art. 35 Abs.3 lit b. DSGVO regelmäßig erforderlich sein. Insbesondere im Gesundheitsbereich wird bei Verarbeitung von Daten gewöhnlich eine DSFA durchzuführen sein, da die Verarbeitung von Gesundheitsdaten typischerweise in umfangsreichem Maße erfolgt. Inwiefern eine DSFA durchgeführt werden muss, ist stets am konkreten Einzelfall zu prüfen. Die pauschale Pflicht zur Durchführung einer DSFA besteht nicht. In Bezug auf die Verwendung von Software-Tools muss beachtet werden, dass sich die DSFA auf das Verarbeitungsverfahren und nicht auf die (Software-)Tools bezieht.
Risikobewertung als Kernstück der Datenschutz-Folgenabschätzung (DSFA)
Das Kernstück einer DSFA bildet die Risikobewertung, mit dem Ziel einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge. Dabei muss eine detaillierte Beschreibung der Verarbeitungsverfahren, verarbeiteten Daten und technisch-organisatorischen Maßnahmen erfolgen. Sinn der DSFA ist es, das jeweilige Risiko nach den Faktoren „Eintrittswahrscheinlichkeit“ und „mögliche Folgen für die betroffene Person“ zu klassifizieren. Dies kann bei den Verarbeitungen unterschiedlich zu bewerten sein. So führen Untersuchungsergebnisse im Zweifel zu besonders sensiblen Schlussfolgerungen im Hinblick auf die gesundheitliche Situation der behandelnden Person.
Anforderungen an technische und organisatorische Maßnahmen (TOM) im Gesundheitssektor
Dagegen kommt der Verarbeitung von Informationen zu Behandlungsterminen wohl geringere datenschutzrechtliche Bedeutung zu. Aufgabe ist es hier, die konkrete Form der Verarbeitung herauszuarbeiten und zu bewerten. Nach der Bewertung von Risiken können im Anschluss geeignete TOM definiert und implementiert werden, um das datenschutzrechtliche Risiko der Verarbeitungstätigkeit einzudämmen. Diesbezüglich gelten dann die besonderen Anforderungen an TOM im Gesundheitssektor.
Sofern die Durchführung einer DSFA erfolgen muss, ist es ratsam so früh wie möglich die Etablierung eines neuen Datenverarbeitungsprozesses zu etablieren. Denn so können bereits frühzeitig Datenschutz-Risiken identifiziert und im Folgenden vermieden bzw. reduziert werden.Dies spart im späteren Verlauf unnötigen Risiken und nachträgliche Umstellungen des Datenschutzmanagements. Umso früher ein solches vollumfänglich etabliert ist, desto besser können die rechtlichen Anforderungen eingehalten werden.
Verbesserte medizinische Versorgung durch strukturiertes Datenschutzmanagement
Insbesondere die Einrichtung von Patientenportalen erleichtert den Datentransfer zwischen den Leistungserbringern im Gesundheitswesen. Dadurch kann auch die medizinische Versorgung von Patient:innen erheblich verbessert werden. Diese Erleichterung von Arbeitsabläufen geht jedoch mit einer Vielzahl von datenschutzrechtlichen Anforderungen einher. Um diese korrekt umzusetzen und den Schutz sensibler Daten zu gewährleisten, ist ein strukturiertes Datenschutzmanagement von elementarer Bedeutung. Durch ein von Anfang an gut organisiertes und umfassendes Datenschutzmanagement können medizinische Einrichtungen die Einhaltung der DSGVO sicherstellen. Spätere aufwändige Änderungen oder Umsetzungen werden so vermieden. Ist ein solches erarbeitet, profitieren alle Seiten von den positiven Verbesserungen, die die Digitalisierung im Gesundheitswesen bietet.
Erfahren Sie, wie Sie datenschutzrechtliche Anforderungen korrekt umsetzen und den Schutz sensibler Daten gewährleisten können. Mit einem gut organisierten Datenschutzmanagement können Sie die Einhaltung der DSGVO sicherstellen und die Vorteile der Digitalisierung im Gesundheitswesen voll ausschöpfen. Kontaktieren Sie uns jetzt, um mehr zu erfahren!
Sie haben tiefergehenden Beratungsbedarf zur digitalen Dokumentation im Gesundheitsbereich?