Persönliche Patientendaten dürfen nach der neuen Datenschutzgrundverordnung (DSGVO) nur nach deren Zustimmung verarbeitet werden. Künftig aber auch dann, wenn ein Patient körperlich oder rechtlich nicht (mehr) in der Lage ist, sein Okay zu geben.
Gastbeitrag von Axel Keller, Rechtsanwalt bei Ecovis in Rostock
Die Verarbeitung besonderer personenbezogener Daten wie genetische oder biometrische Daten und Gesundheitsdaten ist nach der Datenschutzgrundverordnung (DSGVO) untersagt, wenn dort keine ausdrücklich genannte Ausnahme vorliegt. Diese Daten dürfen jedoch dann verarbeitet werden, wenn eine wirksame Einwilligung der betroffenen Person vorliegt. Erstmals gesetzlich geregelt ist, dass die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person auch dann erfolgen darf, wenn die Zustimmung aus körperlichen oder rechtlichen Gründen nicht erteilt werden kann. „Damit hat beispielsweise die Datenerhebung bei der Erstversorgung bewusstloser Patienten endlich eine gesetzliche Grundlage“, betont Axel Keller, Rechtsanwalt bei Ecovis in Rostock und externer Datenschutzbeauftragter.
Geheimhaltungspflicht besteht
Die neue DSGVO sowie das neue Bundesdatenschutzgesetz (BDSG) enthalten zudem gesetzliche Erlaubnisse für die Datenverarbeitung in der Gesundheitsvorsorge und Arbeitsmedizin, bei der Beurteilung der Arbeitsfähigkeit von Beschäftigten, der medizinischen Diagnostik und der Behandlung im Gesundheits- oder Sozialbereich. Die Verarbeitung hat dabei stets durch ärztliches Personal oder sonstige Personen zu erfolgen, die einer entsprechenden Geheimhaltungspflicht unterliegen.
Pflichten bei der Datenverarbeitung
Ab jetzt sind auch externe Dienstleister (Auftragsverarbeiter) in den Kreis der Geheimnisträger aufgenommen und die entsprechenden Regelungen ergänzt worden, beispielsweise im Strafgesetzbuch. Die Erlaubnis, solche Daten verarbeiten zu dürfen, zieht die gesetzliche Pflicht nach sich, Maßnahmen einzusetzen, die die Interessen der betroffenen Person wahren (siehe Tabelle). Zudem ist ein Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen einzurichten. „Unabhängig von ihrer Größe müssen Arztpraxen, Krankenhäuser und Labore künftig ein Datenschutz- Managementsystem einrichten und vorhalten“, macht Susann Harder, Rechtsanwältin bei Ecovis in Rostock und externe Datenschutzbeauftragte, deutlich. „Unserer Einschätzung nach drohen auch und gerade in der Gesundheitswirtschaft erhebliche Bußgelder“, warnt Keller. Welche Maßnahmen zum Schutz von Personendaten angemessen und spezifisch sind, hat der Verantwortliche unter Berücksichtigung einer Vielzahl von Aspekten zu entscheiden.
Das Beratungsunternehmen Ecovis beschäftigt etwa 5.000 Mitarbeiter in mehr als 100 deutschen Büros sowie weltweit in Partnerkanzleien in über 60 Ländern.