Gesundheitswesen-Datenverarbeitung

Gesundheitswesen: Anforderungen an die Datenverarbeitung

Die Anforderungen, die das Datenschutzrecht an die Verarbeitung von Gesundheitsdaten stellt, sind komplex und werden durch das fünfte Sozialgesetzbuch (SGB V), das Strafrecht, die ärztliche Schweigepflicht und zahlreiche Spezialgesetze (AMG, MPG etc.) zusätzlich verschärft. Von Krankenhäusern und Versicherungen bis hin zu Pharma- und E-Health-Unternehmen: sämtliche Akteure müssen sich – trotz hektischem Alltag – an die strengen Vorgaben halten und diese auch im Rahmen der Gestaltung von IT-Verträgen berücksichtigen. Dies gilt in besonderem Maße für die Weitergabe und das Outsourcing von Patientendaten. Hinzu kommt, dass auch der Gesundheitssektor zunehmend digitalisiert wird: Lernplattformen für Patienten, Health-Apps, 3D-Scans, Künstliche Intelligenz, etc. Neben den rechtlichen Anforderungen nimmt auch die technische Umsetzung an Komplexität zu.

Die Anwälteder Kanzlei Schürmann Rosenthal Dreyerverfügen über die erforderlicheExpertise und Spezialisierung, um die datenschutz- und IT-rechtlichen Anforderungenim Gesundheitssektor gleichermaßen mit Ihnen umzusetzen.

Wir beraten

  • Pharma-Unternehmen
  • Krankenhäuser& Kliniken
  • eHealth-Unternehmen
  • Versicherungen
  • Krankenkassen
  • IT-Dienstleister
  • Forschungseinrichtungen

Welche rechtlichen Herausforderungen ergeben sich für unsere Mandanten und wie können wir sie erfolgreich lösen?

Im Fokus stehen die erforderlichen Schritte, die unsere Mandantengehen müssen, um den datenschutzkonformen Umgang mit Patientendaten sicherstellen zu können, ohne auf die Möglichkeiten, die die Digitalisierungauch im Sektor Gesundheitmit sich bringt, verzichten zu müssen.

Wir unterstützen Sie bei der Ausgestaltung eines Datenschutzkonzeptes und der notwendigen IT-Verträge und sorgen für rechtssichereund nachhaltige Lösungen, damit Sie sich um Ihre Kerntätigkeit kümmern können.

Die Kernfrage: Welche Vorschriften sind für wen einschlägig und wie sind diese umzusetzen?

Im Gesundheitswesen finden sich die unterschiedlichsten Akteure: Krankenhäuser, Pharma-Unternehmen, Krankenkassen, Forschungseinrichtungen, aber auch Start-Ups, die auf den Gesundheitsmarkt zugeschnittene Produkte und Dienstleistungen entwickeln. Neben der DSGVO und dem BDSG sind daher diverseSpezialgesetze zu beachten, die die Vorgaben der DSGVO und des BDSGmodifizierenbzw. verschärfen. Hinzu kommt, dass einige Gesetzgebungskompetenzen bei den Bundesländern verblieben sind, so dass auch länderspezifische Vorschriften berücksichtigt werden müssen (zum Beispiel Landeskrankenhausgesetze).

Zentrale Herausforderung, insbesondere für neue Akteure, ist daher die Identifizierung der einschlägigen Gesetze und das Wissen, in welchem Verhältnis diese zueinanderstehen.

Outsourcing zwischenBerufsgeheimnis und Kostendruck

Wer im Gesundheitsbereich einzelne Verarbeitungstätigkeiten auslagern möchte, über den schwebt stetigdas Damoklesschwert der Strafbarkeit. Grund hierfür ist § 203 Strafgesetzbuch, der die unbefugte Offenbarung von Patientengeheimnissen unter Strafe stelltund die Tatsache, dass Mitarbeiter des jeweiligen Dienstleisters regelmäßig die Möglichkeit haben, Einsicht in die übermittelten Daten zu nehmen.

Eine kosteneffiziente Versorgung von Patienten ist ohne das sog. Outsourcing jedochkaum mehr denkbar:

  • Serverhosting
  • IT-gestützte Abrechnungsdurchführung
  • Archivierung sowieVernichtung von Akten und Datenträgern
  • Fernwartung der EDV und der Medizintechnik

Im Übrigen ergeben sich nicht nur für den Auftraggeber, sondern auch für den Dienstleister oftmals Schwierigkeiten im Umgang mit der differenzierten Gesetzgebung. IT-Dienstleister, die sich etwa auf Krankenhäuser spezialisiert haben, müssen beachten, dass je nach Sitz oder Rechtsform unterschiedliche Vorschriften gelten können.Gleiches gilt, wenn Forschungseinrichtungen bedient werden sollen.

Wir begleiten unsere Mandanten insbesondere bei der rechtssicheren Ausgestaltung von Auftragsverarbeitungsverträgen (AVV) und Vertraulichkeitsverpflichtungen.

Weitergabe von Patientendaten an Dritte nur unter strengen Voraussetzungen möglich

Schon die bloße Einsichtnahmemöglichkeitdurch beschäftigte Personen innerhalb einer Organisation ist an strenge Voraussetzungen geknüpft. Wollen oder müssen Krankenhäuser und KlinikenPatientendaten an Dritte wie Staatsanwaltschaft und Polizei, dem Medizinischen Dienst der Krankenkassen (MDK) oder Forschungseinrichtungen übermitteln, müssen diese die Anforderungen kennen, die an eine solche Übermittlung geknüpft werden. Grundsätzlich ist die Weitergabe von sensiblen Gesundheitsdaten an Dritte nur zulässig, wenn der Patient ausdrücklich eingewilligt hat oder eine gesetzliche Grundlage die Übermittlung gestattet. Besonders relevant ist hier dasfünfteSozialgesetzbuch (SGB V).

Sie sind sich nicht sicher, ob die Voraussetzungen einer gesetzlichen Rechtsgrundlage für eine Datenübermittlung erfüllt sind? Sie wissen nicht, wie Sieim Einzelnen mit den Daten Ihrer Patienten umgehen müssen? Was muss bei der Übermittlung von Patientendaten zwischen Hausarzt und Krankenhaus oder Klinik und Forschungsinstitut berücksichtigt werden?

Wir kennen die Fallstricke und sorgen für juristisch saubere Lösungen im Sinne unserer Mandanten.

IT-Verträge besonders präzise ausgestalten

SolleneinzelneVerarbeitungstätigkeiten, die Gesundheitsdaten umfassen, ausgelagert werden oder ist eine regelmäßige Wartung der Systeme erforderlich, so ist vor allem auch auf Service-Level-Ebene für eine präzise Ausgestaltung der Verträge zu sorgen. Im Gesundheitswesen kommt der Integrität, der Vertraulichkeit und der Verfügbarkeit der Daten eine besonders große Bedeutung zu. Schnelle Reaktionszeiten, geringe Ausfallraten und korrekte Informationen können in diesem Zusammenhang über den Erfolg einer Behandlung entscheiden oder sogar lebenswichtig sein. Nur, wenn adäquate Vereinbarungen getroffen und eingehalten werden, können richtige Diagnosengestellt und bedarfsgerechte Therapien durchgeführt werden.

Wir stellen für unsere Mandanten und im Sinne betroffener Personen die Grundprinzipien sicherer und vor allem zuverlässiger Datenverarbeitung auch auf Service-Level-Ebene vertraglich sicher.

Der Zweckbindungsgrundsatz vor dem Hintergrund des Forschungsprivilegs

Grundsätzlich dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden (sog. Zweckbindungsgrundsatz). Auch im Bereich der Datenverarbeitung für Forschungszweckegelten daher trotz sog. Forschungsprivilegsehr strenge, gesetzlicheVorgaben, die sich in Spezialgesetzenund einigenbereichsspezifischenLandesregelungen wiederfinden.

Aus dem Bundesdatenschutzgesetz ergibt sich etwa, dass Gesundheitsdaten, diefür wissenschaftliche Forschungszwecke verarbeitet werden sollen, nach Möglichkeit anonymisiert werden müssen. Eine Studie aus dem Jahr 2013 hat jedoch gezeigt, dass 4 bis 5 Blutzucker- oder Cholesterinwerte von rund 60 000 Patienten ausreichen, um eine eindeutige Identifizierung betroffener Personen zu ermöglichen.

Wie ist also damit umzugehen, wenneine Anonymisierung nicht oder nur mitenormen Qualitätseinbußen möglich istund das Forschungsvorhaben dennoch durchgeführt werden soll?Unter welchen Bedingungen dürfen Forschungseinrichtungen die erhaltenen Daten mit anderen Wissenschaftlern teilen? Was gilt es bei Drittmittel-Studien zu beachten? Dürfen Krankenhäusermit den Daten eigener Patienten Forschung betreiben?Wie gelingt die Erstellung rechtssicherer und transparenter Einwilligungserklärungen?

Dies ist nur eine Auswahl der Fragen, die sich unsere Mandanten regelmäßig stellenund bei denen wir sie mit rechtssicheren Lösungen unterstützen.

Die Datenschutz-Folgenabschätzung als kontinuierlicher Prozess

Aufgrund der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Gesundheitswesen sind Datenschutzvorfälle in der Regel meldepflichtig. Datenschutz-Folgenabschätzungen (DSFA) bieten die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit umzusetzen.

Zudem handelt es sich nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess. Ändern sich Details einesentsprechenden Datenverarbeitungsvorgangs, kann eine erneute Prüfung erforderlich sein.

Welche Pflichten gilt es im Falle von Datenpannen zu erfüllen? Wie kann das Risiko eines Datenschutzvorfalls wirksam eingedämmt werden? Wir führen für unsere MandantenDatenschutz-Folgenabschätzungen durch, dokumentieren dieseund entwickeln interne Meldeverfahren und formulieren Templates, damit Sie auch im Ernstfall wissen, was zu tun ist.

Aufklärungs-Plattformen und mHealth als Herausforderung

Das Angebot an E-Learning-Plattformen wird stetig größer. Der Gesundheitssektor nimmt sich daran ein Beispiel und sieht hier die Chance, Patienten und Angehörigeumfassend und auf einfachem Wege (z. B. via App) über diagnostizierte Krankheitenaufklären zu können.

Auch zahlreiche Krankenkassenfördern mit Prämiendie Nutzung eigenerApps und den Kauf von Fitnessarmbändern, ohne sich oftmals den datenschutzrechtlichen Anforderungen im Detail bewusst zu sein.

Neben den bereits angesprochenen,müssen Mandanten sich daher weitereFragen stellen: Welche technischen und organisatorischen Maßnahmen (TOM) sind zu treffen? Wie verschlüssele ich Kommunikationskanäle rechtskonform?Wie müssen entsprechende IT-Verträge mit Dienstleistern ausgestaltet sein?

Unsere Datenschutz- und IT-Rechtsexpertenverfügen über langjährige Erfahrungin diesem Bereich und helfen Ihnen gern.

Patientenanfragen sind Betroffenenanfragen

Im Gesundheitswesen handelt es sich bei dem Großteil der datenschutzrechtlichen Anfragen Betroffenenanfragen um Anfragen von Patienten. Die im Rahmen von Behandlungen gebotene Sorgfalt sollte bei der Beantwortung von Betroffenenanfragen vor dem Hintergrund hoher Bußgeldandrohungen unbedingt fortgeführt werden.

Wie verhält es sich mit Anfragen der Eltern oder Familienangehörigen des Patienten? Welche Informationen dürfen, welche müssen erteilt werden?Welche gesetzliche Regelung ist einschlägig?

Wir beantworten Ihre Fragen und helfen Ihnen bei der rechtskonformen Implementierung von Prozessen zur Beantwortung von Betroffenenanfragen.

Weitere rechtliche Problemfelder

  • KI-Einsatz im Gesundheitssektor, insb. Krankenhäusern(z. B. Amazons Sprachassistent Alexa)
  • Telemedizinische Betreuung von Patienten
  • Recht auf Datenportabilität

Handlungsempfehlungen

Datenschutz und IT-Sicherheit beginnenbereits im Wartesaal mit scheinbar simplen Fragen:  Dürfen Patienten überhaupt namentlich aufgerufen werden? Wie stelle ich sicher, dass Patienten eines Krankenhauses nicht versehentlich verwechselt werden, ohne ein Namensschild am Bett anbringen zu müssen? Scheinbar simple Fragen können sich jedoch zu ernsten Konsequenzen entwickeln. Dies gilt erst recht für komplexere Sachverhalte.

Folgende erste Handlungsempfehlungen lassen sich formulieren

  • Weitergabe von Patientendaten kritisch überprüfen
  • Vorgaben für das Outsourcing ernst nehmen
  • Entwicklung neuer Anonymisierungstechniken beobachten
  • Detaillierte, leicht verständliche Prozesse implementieren und Mitarbeiter entsprechend schulen

Anwälte der Kanzlei empfohlen durch: