Tanja Altmaier
Datenschutzbeauftragte
Das Grundprinzip im Datenschutz lautet: Ist eine Verarbeitung nicht ausdrücklich erlaubt, so ist sie verboten! (Art. 6 DSGVO). Beim Lesen von Fachliteratur stößt man unter Umständen auf den Begriff „Verbot mit Erlaubnisvorbehalt“.
Die eben genannten Punkte beschreiben Vorgänge, die gewährleistet sein müssen, dass eine Verarbeitung von personenbezogenen Daten grundsätzlich datenschutzkonform ist.
Doch schon der erste Punkt, die Rechtmäßigkeit, wirft eine weitere Frage auf, nämlich was es damit auf sich hat.
Ein Blick in Art. 6 DSGVO gibt 6 Kriterien an die Hand, um personenbezogene Daten rechtmäßig zu verarbeiten:
Auf einige Teile aus dieser Aufzählung wird im Verlauf konkreter eingegangen, um die Notwendigkeit herauszustellen.
Nun noch einmal die Frage, auf welcher Rechtsgrundlage Daten von Patienten oder Betreuten in der Pflege verarbeitet werden dürfen:
Grundsätzlich wird bei Aufnahme der Pflege zu Hause oder stationär in einer Pflegeeinrichtung ein sogenannter Behandlungsvertrag zwischen dem zu Betreuenden oder Patienten und der Einrichtung geschlossen.
Die Verarbeitung von Daten erfolgt dann gemäß Art. 6 Abs. 1 b DSGVO zur Erfüllung eines Vertrages. Daten, die z. B. im Aufnahmegespräch erhoben wurden, würden dann unter die Rubrik „vorvertragliche Maßnahme“ fallen.
Zu den Daten, die zwingend in einen Behandlungsvertrag gehören, zählen im Einzelnen selbstverständlich die Stammdaten wie Name, Geburtsdatum, oder auch die Angabe des Kostenträgers/der Kranken- oder Pflegeversicherung. Art. 9 Abs. 2 h DSGVO greift ebenfalls den Vertrag als Rechtsgrundlage zur Verarbeitung von besonderen Kategorien von Daten auf. Dazu aber später mehr.
Doch auch das lebenswichtige Interesse gemäß Art. 6 Abs. 1 d DSGVO kommt im Bereich der Pflege schnell mal ins Spiel. Geht es beispielsweise um einen medizinischen Notfall, dann kann es sein, dass eine Datenverarbeitung zum Schutz lebenswichtiger Interessen der Person erforderlich ist. (siehe auch Art. 9 Abs. 2 c DSGVO).
Erhebt eine Pflegeeinrichtung personenbezogene Daten, die über die eben genannten lebenswichtigen, rechtlichen oder vertraglichen Verpflichtungen hinaus gehen, so muss daran gedacht werden, von der betroffenen Person eine Einwilligung einzuholen.
Welche Daten sind hier gemeint? Eine aussagekräftige Dokumentation in der Pflege bedingt häufig, dass Informationen verarbeitet werden, die die Qualität der Versorgung eines Patienten steigern sollen. Oder auch biografische Daten spielen eine wesentliche Rolle in der Betreuung. Solche Daten sind definitiv hilfreich. Doch aus datenschutzrechtlicher Sicht nicht erforderlich. Sollen sie dennoch verarbeitet werden, muss die betroffene Person darauf hingewiesen werden und einwilligen. Wie konkret eine Einwilligung aussehen soll, wird in der Rubrik „Notwendige Dokumentation“ detailliert erklärt.
Um die Frage beantworten zu können, muss man sich zuerst darüber im Klaren sein, was grundsätzlich unter dem Begriff personenbezogene Daten zu verstehen ist. Ein Blick in Art. 4 Abs. 1 DSGVO gibt die entsprechende Erklärung.
Demnach sind personenbezogene Daten Informationen über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Somit muss es sich grundsätzlich um eine natürliche Person handeln.
Liest man Art. 4 der DSGVO weiter, so folgt bei Abs. 15 die Definition für Gesundheitsdaten (ergänzend dazu ErwGr. 35). Dabei handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Außerdem gehört auch die Erbringung von Gesundheitsdienstleistungen dazu, sowie Informationen die Rückschlüsse auf den Gesundheitszustand einer Person zulassen.
Art. 9 DSGVO spricht ebenfalls von Gesundheitsdaten und gruppiert diese in die besonderen Kategorien personenbezogener Daten ein. Was bedeutet das im Klartext?
Der Begriff Gesundheitsdaten umfasst also Informationen, die direkt oder indirekt einer natürlichen Person zugeordnet werden können – und Rückschlüsse auf ihren Gesundheitszustand zulassen. Dabei ist es irrelevant, ob es sich um Vorerkrankungen handelt, die jemand in der Vergangenheit hatte, um aktuelle Symptomatik, oder eventuell eine mögliche künftige Entwicklung des körperlichen oder geistigen Gesundheitszustandes.
Zum besseren Verständnis lohnt es sich, das Kurzpapier Nr. 17 der Datenschutzkonferenz heranzuziehen. Hier werden einige Beispiele angeführt, um deutlich zu machen, in welche Richtungen man denken muss, wenn es um Gesundheitsdaten und somit patientenbezogene Daten geht. Genannt wird unter anderem die Einnahme von Medikamenten, eine Beurteilung der geistigen oder körperlichen Verfassung oder auch eine Alkoholabhängigkeit. Solche Informationen über eine Person zählen zu den besonderen Kategorien nach Art. 9 DSGVO und sich somit besonders schutzbedürftig.
Werden solche Daten verarbeitet, ist noch mehr als sonst, auf den Schutz dieser Daten zu achten.
Die rechtliche Grundlage baut hier im Wesentlichen auf zwei große Säulen, ergänzt durch eine ganze Reihe zusätzlicher Bausteine. Hier ein kurzer Überblick:
Wie aus den Definitionen schon hervorgeht, ist ein maßgebliches Instrument zum Schutz von Gesundheitsdaten die Datenschutzgrundverordnung (kurz DSGVO). Deren Hauptziel besteht darin, die Grundrechte und Grundfreiheiten von natürlichen Personen zu schützen, insbesondere das Recht auf den Schutz von personenbezogenen Daten.
Neben der DSGVO spielt bei den Gesundheitsdaten jedoch auch der Sozialdatenschutz eine wesentliche Rolle. Sozialdatenschutz bezeichnet ebenfalls den Schutz von personenbezogenen Daten Einzelner. Grundlage hierfür ist das Sozialgesetzbuch (SGB).
Theoretisch wären Pflegeeinrichtungen nicht unmittelbar an das Sozialgeheimnis und den Sozialdatenschutz gebunden. Schließlich gehören sie nicht zu den in §35 SGB I aufgeführten Stellen, für die diese Regelungen bindend sind (das wären gesetzliche Sozialleistungsträger der Kranken-, Pflege- und Unfallversicherung, sowie deren Verbände).
Dennoch treffen die Vorgaben des Sozialgesetzbuch auch Einrichtungen aus der Pflegebranche, weil sie als Leistungserbringer schließlich eng mit den Kostenträgern zusammenarbeiten. Darum gelten die gleichen Standards in puncto Datenschutz. Vorrangig greifen Rechtsvorschriften aus dem SGB I (§35 Abs. 1), sowie dem SGB X.
Erweitert wird der Datenschutz im Pflegebereich durch zusätzliche datenschutzrechtliche Regelungen.
Darüber hinaus greifen auch Gesetze aus anderen Bereichen, die dennoch eng mit dem Datenschutz verbunden sind:
All diese Vorgaben gilt es grundsätzlich zu beachten und umzusetzen. An der Stelle soll es aber primär um den Datenschutz von personenbezogenen Daten gehen. Maßgeblich geht es also in der Folge um DSGVO und das SGB.
So, wie in jedem anderen Unternehmen, ist auch im Bereich der Pflege der Verantwortliche für den Datenschutz immer die Geschäftsführung oder Heimleitung einer Pflegeeinrichtung.
Aber natürlich trägt auch jeder Mitarbeiter – egal ob Pflegedienstleitung oder Pflegefachkraft – Verantwortung beim Umgang mit personenbezogenen Daten (Stichwort Arbeitnehmerhaftung).
Wie bereits erwähnt, ist das Grundprinzip im Datenschutz klar definiert: Ist eine Verarbeitung nicht ausdrücklich erlaubt, so ist sie verboten! (Art. 6 DSGVO)
Handelt es sich um die besonderen Kategorien von personenbezogenen Daten, wie beispielsweise Gesundheitsdaten, liest man in Art. 9 Abs. 1 DSGVO ebenfalls, dass die Verarbeitung grundsätzlich untersagt ist. Jedoch gibt es Ausnahmen.
Die Befugnis zur Verarbeitung kommt beispielsweise durch die Einwilligung des Betroffenen, durch eine rechtliche Verpflichtung, einen Behandlungsvertrag oder zum Schutz lebenswichtiger Interessen von betroffenen Personen (Art. 9 Abs. 2 DSGVO).
Zwar ist es gängige Praxis, gerade in der Pflege möglichst viele Informationen über einen Betroffenen (Patienten, Heimbewohner, Betreuten) zu sammeln. Dennoch sollten grundsätzlich nur Daten erhoben und verarbeitet werden, die wirklich nötig sind, um denjenigen adäquat versorgen zu können und natürlich gesetzlichen Vorgaben gerecht zu werden.
Zwingend erforderlich sind Stammdaten (Name, Adresse, Geburtsdatum). Häufig ergänzt wird die Dokumentation über einen Betroffenen, durch die sensiblen Daten nach Art. 9 DSGVO (Arztbriefe, Arzneimittelverordnungen, Entlassungsberichte aus Krankenhäusern, sowie die Kranken- und Pflegedokumentation).
Immer im Fokus bleiben muss aber, dass die besonderen Kategorien von personenbezogenen Daten, also die Gesundheitsdaten, nur dann für gesundheitsbezogene Zwecke verarbeitet werden dürfen, wenn dies für das Erreichen dieser (gesundheitsbezogenen) Zwecke im Interesse einer natürlichen Person erforderlich ist. (ErwGr. 53)
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!