Datenschutz in der Pflege - Was zu beachten ist
Ob in einer Klinik, einer Arztpraxis oder einer Pflegeeinrichtung, der Datenschutz ist gerade im Gesundheitswesen von enormer Bedeutung. Patientendaten sind besonders sensibel, da sie tief in die Privatsphäre jedes Einzelnen eingreifen und ein Missbrauch schwerwiegende Folgen haben kann. Der sorgfältige Umgang mit diesen Informationen ist daher unerlässlich, um das Vertrauen der Patienten und deren Würde zu wahren.
Wir unterstützen Sie dabei, diesen hohen Schutz rechtssicher zu umzusetzen.
Warum ist der Datenschutz in der Pflege so wichtig?
Wie auch in vielen anderen Branchen, werden in der Pflege sehr viele personenbezogene Daten verarbeitet. In der Pflege spielt die Verarbeitung von besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO eine entscheidende Rolle. Hierunter fallen insbesondere sensible Gesundheitsdaten, welche in Patientenakten der pflegebedürftigen Personen gespeichert werden.
Diagnosedaten
Wund- und Pflegedokumentation (inkl. Fotos)
Beschreibung des Gesundheitszustandes von Patienten
Sowohl in physisch strukturierten Dateiablagen, wie auch digital, kommt dem Datenschutz hierbei eine besondere Bedeutung zu. Sensible Patientendaten sind vertraulich zu behandeln und durch spezielle technische und organisatorische Maßnahmen unter anderem vor unbefugtem Zugriff, unbefugter Einsicht, sowie vor Verlust zu schützen. Erfolgt dies nicht, stellt dies einen meldepflichtigen Datenschutzverstoß gem. Art. 33, 34 DSGVO dar. Zusätzlich zu der Meldung dieses Verstoßes bei der zuständigen Aufsichtsbehörde sind dann in den meisten Fällen auch die betroffenen Personen zu informieren. Neben einem Bußgeld oder Auflagen der Aufsichtsbehörde kann dies einen Imageschaden für Ihr Pflegeunternehmen zur Folge haben.
Ferner greift der Datenschutz nicht nur für die personenbezogenen Daten der pflegebedürftigen Personen, sondern auch für Angehörige, sowie Beschäftigte der Pflegeeinrichtung.
Beschäftigte im Gesundheitswesen unterliegen der beruflichen Schweigepflicht. Dies betrifft somit auch Beschäftigte Ihrer Pflegeeinrichtungen. Auch aus Datenschutzsicht ist es wichtig, dass diese Schweigepflicht nicht gebrochen wird. Das Teilen von Informationen über Patienten mit nicht autorisierten Personen, beispielsweise im privaten Bereich, ist daher nicht rechtmäßig. Hier ist eine besondere Sensibilisierung der Beschäftigten erforderlich, welche in speziellen Datenschutzschulungen abgebildet werden kann.
Gesetze & Rechtsgrundlagen für den Datenschutz in der Pflege
Die datenschutzrechtlichen Regelungen in der Pflege ergeben sich je nachdem, wie Ihre Pflegeeinrichtung bzw. Träger organisiert ist, aus verschiedenen Gesetzen. Für privat-rechtliche Träger gilt primär die Datenschutz-Grundverordnung (DSGVO), sowie das Bundesdatenschutzgesetz (BDSG). Für öffentlich-rechtliche Träger greift zusätzlich das Landesdatenschutzgesetz des jeweiligen Bundeslandes. Handelt es sich um einen kirchlichen oder diakonischen Träger, so kommen kirchliche Datenschutzgesetze hinzu.
Zusätzlich lassen sich Reglungen in verschiedenen Sozialen Gesetzbüchern (SGB) finden. Diese besonderen sozialrechtlichen Anforderungen für den Datenschutz legen beispielsweise fest, welche Daten an Krankenkassen übermittelt werden müssen. Konkrete Vorgaben finden Sie unter anderem in §§294ff. SGB V und §§104ff. SGB XI.
In den meisten Fällen werden Patientendaten nach folgenden Grundsätzen verarbeitet:
Behandlungsvertrag:
Die Verarbeitung ist erforderlich, um einen Behandlungsvertrag durchzuführen (Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO).
Rechtliche Verpflichtungen:
Wenn eine Verarbeitung zur Erfüllung gesetzlicher Pflichten notwendig ist, greift Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 9 Abs. 2 lit. h DSGVO.
Notfälle:
In lebenswichtigen Notfällen kann die Verarbeitung auf Art. 6 Abs. 1 lit. d DSGVO i.V.m. Art. 9 Abs. 2 lit. c DSGVO beruhen.
Eine weitere Möglichkeit ist die Einwilligung des Patienten oder eines rechtlichen Vertreters. In diesem Fall ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO.
Unterschiede zu anderen Branchen
Einer der auffälligsten Unterschiede zu anderen Branchen sind zahlreiche Verarbeitungsvorgänge von Gesundheitsdaten. Dies kann bei Nicht-Einhaltung des Datenschutzes sowohl für die Patienten, als auch für Ihre Pflegeeinrichtung zu einem Risiko führen. Außerdem besonders hervorstechend ist die Anwendbarkeit von weiteren sozialrechtlichen Vorschriften aus dem SGB, sowie ggf. von kirchlichen Datenschutzgesetzen.
So vermeiden Sie Datenschutzverstöße in Pflegeeinrichtungen
Generell ist Ihre Pflegeeinrichtung verpflichtet, sämtliche datenschutzrechtlichen Vorgaben einzuhalten. Dazu gehört unter anderem auch, dass Patienten von Ihrem Recht aus Auskunft Gebrauch machen dürfen und grundsätzlich ein Recht haben, die sie betreffende Pflegedokumentation einzusehen. Verwehren Sie den Patienten dieses Recht oder kommen Sie dem Ersuchen nicht innerhalb der gesetzlichen Frist nach, so stellt dies eine Datenschutzverletzung dar. Diese kann gem. Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeld von bis zu 20 000 000 € oder 4% des globalen Vorjahresumsatzes Ihrer privat-rechtlichen Pflegeeinrichtung sanktioniert werden.
Gängige Datenschutz-Irrtümer
Klarstellung: Ohne ausdrückliche Einwilligung des Patienten dürfen Informationen über den Gesundheitszustand nicht automatisch an Angehörige weitergegeben werden. Der Schutz der Privatsphäre des Patienten hat oberste Priorität.
Klarstellung: Pflegekräfte haben eine aktive Rolle im Datenschutz. Sie sind verpflichtet, sicherzustellen, dass personenbezogene Daten, wie Gesundheitsinformationen, vertraulich behandelt werden und nur befugten Personen zugänglich sind. Datenschutz ist eine gemeinsame Pflicht des gesamten Teams.
Klarstellung: Auch in Notfällen gelten die Datenschutzregeln. Allerdings gibt es Ausnahmen, wenn lebenswichtige Interessen des Patienten auf dem Spiel stehen.
Datenschutz in der Pflege FAQ
Gibt es Unterschiede zwischen ambulanter und stationärer Pflege?
Grundsätzlich gelten für beide Arten von Pflegeeinrichtungen gleiche gesetzliche Anforderungen. Da bei ambulanten Pflegediensten in der Praxis meist häufiger personenbezogene Daten durch die Pflegekräfte transportiert werden (z.B. Patientenakten im Auto) ist hier besondere Vorsicht beim Umgang mit diesen Daten geboten. So dürfen Unterlagen nicht für unbefugte Personen einsehbar sein. Insbesondere, wenn mehrere Patienten durch die gleiche Pflegekraft am gleichen Tag betreut werden, ist in der ambulanten Pflege darauf zu achten, dass Patient A nicht die Daten von Patient B einsehen darf. Dies bezieht sich insbesondere auf die jeweiligen Patientenakten, welche die Pflegekraft immer in Reichweite und sichtgeschützt führen sollte.
Braucht meine Pflegeeinrichtung einen DSB?
In der Regel ist davon auszugehen, dass ein Datenschutzbeauftragter für privat-rechtliche Pflegeeinrichtungen zu benennen ist, da eine umfangreiche Verarbeitung von Gesundheitsdaten stattfindet (siehe hierzu Art. 37 Abs. 1 lit c DSGVO). Die Baden-Württembergische Datenschutzbehörde schreibt in einem FAQ allerdings Folgendes:
„Bei sehr kleinen ambulanten Pflegediensten mit weniger als 10 Personen und einem kleinen Klientenkreis, der nicht größer ist als der einer durchschnittlichen Arztpraxis, besteht unter Umständen keine Pflicht zur Benennung eines Datenschutzbeauftragten.“
(siehe https://www.baden-wuerttemberg.datenschutz.de/faq-datenschutz-in-der-pflege/).
Aktuell liegt die erwähnte Personengrenze bei 20 anstatt 10 Personen.
Vor allem aufgrund der Verarbeitung sehr sensibler Daten empfehlen wir Pflegeeinrichtungen immer, einen Datenschutzbeauftragten zu benennen.
Wer ist berechtigt, die Pflegedokumentation einzusehen?
Grundsätzlich darf die Pflegedokumentation von den jeweiligen Patienten, sowie von befugten Personen der betreuenden Pflegeeinrichtung eingesehen werden. Pflegekassen dürfen Sie lediglich Einsicht in die Abrechnungsunterlagen, bzw. Leistungsnachweise gewähren (siehe hierzu auch §§ 104, 105 SGB XI). Darüber hinaus darf eine Einsicht durch den Medizinischen Dienst der Krankenversicherung (MDK) nur nach vorheriger Einwilligung der Patienten erfolgen.
Darf die Pflegeeinrichtung Fotos von den Bewohnern machen?
Ja, sofern dies für die Behandlung im Rahmen des Behandlungsvertrages erforderlich ist. Dies ist in der Regel bei Wunddokumentation der Fall. Hier ist keine separate Einwilligung der Patienten erforderlich. Eine Veröffentlichung von Fotos ohne Einwilligung ist allerdings nicht erlaubt.