Datenschutz im Gesundheitswesen - ein Überblick für Arztpraxen
23.06.2022 13:11

Datenschutz im Gesundheitswesen - ein Überblick für Arztpraxen

Erst unlängst veröffentlichte der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) eine Meldung: “Hackerangriffe auf Arztpraxen in der Romandie”. Die Daten wurden von den Angreifern laut mehreren Medienberichten im Dark Web veröffentlicht - ein Schaden, der sich nur schwer beziffern lässt. Ein zentrales Thema, mit dem sich Arztpraxen - nicht zuletzt auch angesichts dieses aktuellen Vorfalls  (s.o.) - befassen müssen, ist der Schutz sensibler medizinischer Daten.

Welche Daten als besonders sensibel gelten, welche datenschutzrechtlichen Vorgaben es einzuhalten gilt und welche Faktoren das Risiko minimieren, solchen Verbrechen zum Opfer zu fallen, darüber möchten wir im Folgenden einen Überblick geben, damit Sie sich und Ihre Patienten bestmöglich schützen können.

Warum Datenschutz im Gesundheitswesen essenziell ist?

Es wirkt bereits nahezu selbstverständlich, dass wir über den Schutz von Daten diskutieren, doch vor wem und warum müssen sie geschützt werden? Gesundheitsdaten können für unterschiedliche Parteien aus verschiedenen Gründen interessante Informationen enthalten. Sei es, da sie daraus Schlüsse ziehen können, die zum Nachteil der betroffenen Person sein können oder einfach um Profit mit diesen Daten zu erzielen. Folgende Szenarien umreißen den Wert der Daten für unterschiedliche Akteure im Gesundheitswesen:

  • Versicherungen nutzen medizinische Daten, um Prämien für Versicherungsleistungen noch individueller zu kalkulieren oder Personen sogar gänzlich als Kunden abzulehnen. 
  • Hacker verschaffen sich Zugang zu Patientendaten über Sicherheitslücken bei medizinischen Einrichtungen, um von diesen dann mittels Androhung der Veröffentlichung der Daten, Geld zu erpressen.
  • Potenzielle Arbeitgeber ziehen Schlüsse aus  Arztbesuchen möglicher Kandidat:innen und verweigern eine Anstellung aufgrund der Überlegung, dass der Mitarbeiter zukünftig “wohl häufig im Krankenstand sein könnte”. 

Die Interessen sind vielfältig und finanziell oft sehr lukrativ für die Interessenten, doch bergen sie stets den Nachteil für den Einzelnen. Angesichts dessen  gelten sensible Daten - und dazu zählen insbesondere auch medizinische - als besonders schützenswert.

Sensible medizinische Daten - welche sind das? 

Schild “Privacy Please” Privatsphäre gilt auch im digitalen Bereich

Beim Datenschutz wird grundsätzlich zwischen einfachen Personendaten einerseits und besonders schützenswerten, sogenannten sensiblen Personendaten andererseits unterschieden. Eine klare Abgrenzung für verschiedene Datentypen gibt es dabei zwar nicht, jedoch eine Einteilung, die als Basis zur Einordnung gelten soll. Hier ist für jeden Datensatz gesondert zu bewerten, wie dieser zu qualifizieren ist. Dabei gelten besonders sensible Daten gemäß Artikel 3 des DSG (Datenschutzgesetz) als Informationen über: 

  1. die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen An­­sichten oder Tätigkeiten,
  2. die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
  3. Massnahmen der sozialen Hilfe,
  4. administrative oder strafrechtliche Verfolgungen und Sanktionen.

Die Gesundheit betreffend sind sämtliche Daten, aus denen sich der vergangene, gegenwärtige oder zukünftige Gesundheitszustand einer betroffenen Person ableiten lassen. Dazu zählen ferner auch Daten zur Anmeldung medizinischer Behandlungen und auch die Arzt-Patienten-Beziehung als solche gilt schon als schützenswert.

Ein Beispiel verdeutlicht, dass die Qualifizierung, ob es sich bei einer Information um sensible Daten handelt oder nicht, häufig vom Kontext abhängig ist. 

Beispiel: Wird der Name im Zuge der Anmeldung zu einer Gesundheitsuntersuchung von einer Arztpraxis gespeichert, ist der Patientenname im Zusammenhang mit der geplanten medizinischen Untersuchung ein sensibler und besonders schützenswerter Datensatz hinsichtlich des Gesundheitszustandes der betroffenen Person. Wichtig dabei: der Name alleine für sich betrachtet würde noch keine sensible medizinische Information darstellen - erst der Kontext schafft diese Voraussetzung. 1

Übernimmt die Verwaltung von Anmeldungen zu medizinischen Untersuchungen ein externer Anbieter, unterliegt dieser ebenfalls den strengen Vorschriften des Datenschutzes. Mit ein Grund, wieso auch wir bei medicosearch eine laufende Evaluierung unserer Konformität mit dem Datenschutz vornehmen. 


revDSG - wie sich der Datenschutz in der Schweiz ändert

Mit der im Jahr  2020 im Parlament verabschiedeten Revision des Datenschutzgesetzes treten ab 01. September 2023 neue Gesetze in Kraft. Diese schaffen auch eine Veränderung in der Qualifizierung von medizinischen Daten hinsichtlich ihres Status der Sensibilität.

Allgemein erfolgte durch das revDSG eine starke Annäherung an die DSGVO (Datenschutzgrundverordnung) der EU. Dieser Versuch der Vereinheitlichung betrifft natürlich eine Vielzahl an Punkten, besonders relevant ist jedoch auch, die nun in beiden Texten zu findende Qualifikation von genetischen Daten als besonders schützenswerte medizinische Information.

Es ergibt sich also eine Herausforderung für alle Akteure, die an der Erhebung, Verarbeitung und Speicherung von personenbezogenen, medizinischen Daten beteiligt sind. 

Die Herausforderung für Arztpraxen hinsichtlich des Datenschutzes

Für Arztpraxen ergibt sich auf den ersten Blick eine etwas kontroverse Situation. Einerseits liegt die Kernkompetenz im medizinischen Bereich, andererseits zählen die Daten, mit denen sie täglich hantieren, als äußerst sensibel und schützenswert. Die Ressourcen sich mit diesem Thema befassen zu können, sind zwar endlich und doch ist eine laufende Evaluierung in diesem Bereich unumgänglich. Digitale Kompetenzen innerhalb der Praxis aufzubauen, und die Mitarbeiter:innen zu fördern, die sich dieser Herausforderung annehmen, kann dabei sehr entlastend wirken. 

Wie gehen Sie als Einrichtung im Gesundheitswesen an diese speziellen Themen heran?

Die DSGVO enthält 5 wesentliche “Grundsätze”, die sich für eine erste Bewertung Ihrer Situation anbieten: 

  • Prinzip der Transparenz: Verarbeiten Sie Daten für Betroffene in einer für diese nachvollziehbare Art und Weise.
  • Prinzip der Zweckbindung: Erheben Sie Daten lediglich für festgelegte, eindeutige und begründbare Zwecke.
  • Prinzip der Datenminimierung: Daten müssen angemessen und hinsichtlich des Zweckes ihrer Verarbeitung auf ein Minimum beschränkt sein.
  • Prinzip der Speicherbegrenzung: Daten sollten nur so lange gespeichert werden, wie dies für den Zweck ihrer Verarbeitung erforderlich ist.
  • Prinzip der Richtigkeit: Personenbezogene Daten sind sachlich richtig abzuspeichern und sollten auf dem aktuellsten Stand sein. Es sind Maßnahmen zu treffen, Daten, die in ihrer Verarbeitung unrichtig sind, unverzüglich zu löschen.

Führen Sie ein eigenes Verzeichnis, in dem dokumentiert ist, welche Daten Sie in welchem System verarbeiten - von der E-Mail Ihrer Patient:innen bis hin zu den Rezepten, die Sie ausstellen. Legen Sie in Ihrer Datenschutzerklärung klar offen, welche Daten Sie warum erheben und in welcher Form sie verarbeitet werden. 

Auch die Auslagerung gewisser Prozesse kann von Vorteil sein, wenn die dabei erhobenen Daten und die Verantwortung über Ihren Schutz von Dritten gewährleistet werden muss. Ein Vorteil, den Gesundheitseinrichtungen, die beispielsweise die Patienten-Terminbuchungen über medicosearch nutzen, genießen.
Konsultieren Sie also im Zweigel erforderlichenfalls auch externe Experten, die eine Evaluierung Ihrer eigenen Situation hinsichtlich der Standards des Datenschutzes vornehmen und lassen Sie sich beraten - denn Verstöße gegen das geltende Recht können Betroffene teuer zu stehen kommen.

Gemeinsam mit dem Schweizer revDSG  für mehr Sicherheit und Vertrauen  

Handschlag zweier MenschenGemeinsam für mehr Schutz im Gesundheitsbereich

Oben angeführte Maßnahmen und Herangehensweisen helfen Ihnen dabei, einen Überblick über die Situation innerhalb Ihrer Praxis zu erlangen, aber auch die Komplexität des Themas nicht zu unterschätzen. Bedenken Sie, dass der transparente und sichere Umgang mit den Daten Ihrer Patienten ein hohes Vertrauensgefühl schafft und damit auch eine der Möglichkeiten, die Patientenbindung zu steigern, darstellt. Stellen Sie schon jetzt sicher, dass Ihre Arztpraxis den neuesten Vorgaben ab September 2023 entspricht, damit Sie Ihre wertvollen Ressourcen wieder der Gesundheit Ihrer Patienten widmen können.

Titelbild von Philipp Katzenberger. Weitere Bilder von Jason Dent und Cytonn Photography.

Datenschutz Gesundheitswesen
Datenschutz Medizinische Daten
revdsg
revdsg Schweiz
dsgvo Schweiz
Medizinische Daten
Datenschutz im Gesundheitswesen