Tanja Altmaier
Datenschutzbeauftragte
Datenschutz in der Praxis setzt sich aus vielen kleinen ToDos zusammen. Und es ist wichtig, dass alle zusammen, also Verantwortlicher und Mitarbeiter, daran arbeiten, den Schutz der erhobenen personenbezogenen Daten zu wahren.
Aber lässt sich eine „Hitlist“ aufstellen, welche Punkte vorrangig und zwingend notwendig sind?
Setzt man diese ersten und wichtigen Schritte in einer Pflegeeinrichtung um, so ist schon ein guter Weg eingeschlagen. Wobei das längst nicht alles ist. 100% Datenschutz gibt es zwar nicht. Doch sollte versucht werden, ein dem Risiko angemessenes Schutzniveau zu erreichen, unter der Berücksichtigung der Verhältnismäßigkeit der Maßnahmen.
Nicht vergessen – Datenschutz in der Pflege gilt nicht nur direkt für Patienten, Pflegepersonen, Betreute – sondern selbstverständlich auch für die erhobenen personenbezogenen Daten von Betreuern, Angehörigen, Bezugspersonen. Und logischerweise gehören auch die personenbezogenen Daten von Mitarbeitern oder Bewerbern zu den schützenswerten Daten.
Datenschutz ist immer dynamisch und muss deshalb stets im Auge behalten werden. „Einmal save – immer save“ gibt es im Datenschutz leider nicht. Deshalb heißt es regelmäßig evaluieren und gegebenenfalls anpassen.
Unsere Empfehlung – spätestens nach einem Jahr sollten bestehende Dokumente, Verträge und Vereinbarungen überprüft werden. Außerdem muss immer dann, wenn es z. B. neue Prozesse, oder neue Technologien gibt, geklärt werden, ob die vorhandenen Schutzmechanismen aus den TOM´s weiter adäquat greifen.
Grundsätzlich stellt die DSGVO keine Regelung auf, ob der Datenschutzbeauftragte innerbetrieblich oder extern sein muss. Viel wichtiger ist, dass die Qualifikation vorhanden ist, um die Aufgabe als Berater der Geschäftsführung oder Heimleitung zu übernehmen. Und es ist darauf zu achten, dass es zu keinem Interessenskonflikt kommt.
So darf beispielsweise kein Mitglied der Geschäftsführung gleichzeitig auch Datenschutzbeauftragter sein. Ebenso scheiden Mitarbeiter aus dem Bereich der IT oder der Personalabteilung aus. In all diesen Fällen würde es zwangsläufig zum Interessenskonflikt kommen.
Wofür sich eine Pflegeeinrichtung entscheidet, obliegt immer dem Verantwortlichen.
Betriebliche Datenschutzbeauftragte haben den Vorteil, dass sie den „laufenden Betrieb“ bereits gut kennen, und keine lange Einarbeitung in Prozesse brauchen.
Doch oftmals fehlt es ihnen an der nötigen Zeit, sich ausreichend um datenschutzrelevante Themen zu kümmern. Denn „schnell mal nebenbei“ ist Datenschutz nicht erledigt. Bekommt der ausgewählte Mitarbeiter nicht entsprechend Zeit eingeräumt, um seiner Tätigkeit als betrieblicher Datenschutzbeauftragter nachzukommen, wird wenig bis nichts in dieser Richtung passieren.
Oftmals scheuen sich Verantwortliche auch, die Stelle intern zu besetzen, da der betriebliche Datenschutzbeauftrage einem besonderen Kündigungsschutz unterliegt und nicht einfach wieder abberufen werden kann.
Auch die Möglichkeit zur Fortbildung, die einem Datenschutzbeauftragen gestellt werden muss, lässt sich bei interner Besetzung oft nur schwer realisieren.
Darum entscheiden viele Einrichtungen, für den Datenschutz einen externen Berater zu bestellen. Dieser braucht zwar ein bisschen Zeit und Unterstützung, um sich mit Abläufen vertraut zu machen. Hat aber auch einen objektiven Blick von außen und tut sich somit oftmals leichter, die Verantwortlichen zu beraten, wenn es um die Umsetzung von DSGVO, BDSG, KDG, DSG-EKD geht.
Nachfolgend finden Sie ein paar Tipps und Überlegungen aus der Praxis – aus unterschiedlichen Bereichen der Pflegebranche.
Bedeutet also – selbst für die Anbringung des Namens an der Zimmertür bedarf es einer separaten Einwilligung der betroffenen Person.
In manchen Pflegeeinrichtungen ist es sogar an der Tagesordnung, bereits im Eingangsbereich, oder im Fahrstuhl einen Aushang zu veröffentlichen, aus dem ersichtlich ist, welcher Bewohner in welchem Stockwerk in welcher Zimmernummer vorzufinden ist. Hierüber muss der Betreute im Voraus in Kenntnis gesetzt werden, und es bedarf seiner ausdrücklichen Einwilligung hierzu.
Und es gilt stets zu bedenken, dass es für einen zu Pflegenden keine nachteiligen Auswirkungen haben darf, wenn er seine Zustimmung zur Veröffentlichung verweigert, oder eine einmal erteilte Einwilligung widerruft.
Diese Pflichtdokumente werden häufig noch durch Bedarfsformulare ergänzt, wie z. B.:
Neben dem Stammblatt, auf dem Daten wie Name, Geburtsdatum, Krankenkasse etc. vermerkt sind, finden sich also auch deutlich sensiblere personenbezogene Daten.
Ganz oft sind Gesundheitsdaten (also besondere Kategorien von Daten nach Art. 9 DSGVO) vorhanden.
Dazu zählen Entlassbriefe aus Krankenhäusern oder Reha-Einrichtungen, ärztliche Verordnung von Medikamenten, aktuelle Diagnosen, sowie eine Übersicht über den Verlauf sämtlicher Vorerkrankungen, u. s. w.
Und selbstverständlich werden im Pflegebericht und der Leistungsbeschreibung Besonderheiten, Auffälligkeiten, Veränderungen im Gesundheitszustand, Wesensveränderungen und durchgeführte Maßnahmen vollständig und aussagekräftig dokumentiert. Schließlich gehört Dokumentation zur Pflicht einer guten Pflegefachkraft.
Da die Dokumentationsmappe jedoch zwingend beim Betreuten verbleiben muss, hat somit jeder Zugriff, der ins häusliche Umfeld des Betroffenen kommt. Egal ob Angehörige, Nachbarn, die Haushaltshilfe – liegt die Mappe offen auf dem Wohnzimmertisch, haben sehr schnell Unbefugte Zugang zu personenbezogenen Daten.
Das gilt es aber zu verhindern, da im Vordergrund immer das Wohl des Betroffenen und ein Schutz für die Rechte und Freiheiten desjenigen stehen sollte.
Doch wie lässt sich das in der Praxis lösen? Nun, natürlich kann man an der Stelle keine allgemein gültige Aussage treffen. Aber vielleicht lässt sich eine Lösung etablieren, die für alle Beteiligten akzeptabel ist. Gibt es eine Schublade oder ein Schrankfach, in das man die Mappe legen kann – wovon nur „Eingeweihte“, sprich die verantwortlichen Mitarbeiter, der Hausarzt, der Patient oder der Betreuer wissen. So könnte verhindert werden, dass Unbefugte ganz einfach Zugang zur gesamten Pflegedokumentation haben.
Wichtig ist, dass alle, die an der Betreuung und Versorgung beteiligt sind, darüber in Kenntnis gesetzt sind. Vielleicht nur eine einfache Maßnahme – dennoch ein Bestandteil der technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Der Hausnotruf als Ergänzung zur Versorgung durch einen ambulanten Pflegedienst ist sicher eine sinnvolle Einrichtung. Für die Nutzung eines solchen Dienstes ist meist ein eigener Vertrag – zusätzlich zum Behandlungsvertrag mit dem Pflegedienst – notwendig.
Meist sind es separate Betreiber, die einen solchen Dienst anbieten, und dem Betroffenen die dazugehörige Ausstattung zur Verfügung stellen (Notrufknopf fürs Handgelenk oder zum Umhängen, incl. der festen Station, über die der Sprachkontakt erfolgt).
In jedem Fall ist der Betroffene ausreichend zu informieren, was durch die Nutzung eines Hausnotrufsystems mit seinen erhobenen Daten passiert, wer diese erhält, und wie lange die Speicherdauer für die jeweiligen Daten aussieht.
Wie in vielen anderen Bereichen, so hält auch in der Pflegebranche Neues Einzug. Während in Pflegeheimen zum Teil noch „klassisch“ gearbeitet wird, sind es häufig ambulante Pflegedienste, die auf neue, smarte Technologien umsteigen.
Was so „super praktisch“ und bequem aussieht, muss aus datenschutzrechtlicher Sicht aber durchaus auch sorgfältig beurteilt und sauber dokumentiert sein.
Es gibt inzwischen eine Vielzahl von Apps für verschiedene Betriebssysteme, die den Alltag in der ambulanten Pflege erleichtern sollen. So kann der Mitarbeiter vor Ort erfassen, welche Pflegetätigkeit er beim Patienten ausgeführt hat. Per Klick bestätigt die Pflegefachkraft, dass der Betroffene bei der Morgentoilette unterstützt wurde, dass es Unterstützung bei der Nahrungsaufnahme gab, und eine Wundversorgung war ebenfalls mit dabei. Nun schnell noch ein Bild von der Wunde (zu Dokumentationszwecken), und ab damit in die Pflegedokumentation des entsprechenden Patienten. Ach, und dann noch eine Notiz für denjenigen, der am Abend noch einmal kommt: „Heute war Frau XY total schusselig.“
Am Smartphone erfasst, und an den Server übermittelt – fertig.
Eine tolle Sache. Wäre da nicht noch die Herausforderung, smarte Technik, Datenschutz und Datensicherheit auf einen gemeinsamen Nenner bringen zu müssen.
Natürlich müssen pflegerische Leistungen dokumentiert werden. Auch Unterlagen für die Abrechnung gehören zweifelsfrei dazu. Das kann gerne unter zu Hilfenahme neuer Technologien passieren. Doch gilt es zu bedenken, dass viele der verarbeiteten Daten einen besonders hohen Schutzbedarf aufweisen.
Die Anpassung der IT-Struktur, sowie der damit verbundenen technischen-organisatorischen Maßnahmen ist elementar.
Ebenso wie die Sensibilisierung der Mitarbeiter, wie mit personenbezogenen Daten auf mobilen Geräten umzugehen ist.
Und neben der Verarbeitung personenbezogener Daten von Patienten, bieten eine Reihe Apps auch die Möglichkeit, Dienstpläne für Pflegekräfte, Urlaubsplanung oder die Tourenplanung zu gestalten (zum Teil sogar incl. Standortbestimmung einzelner Mitarbeiter), sowie Messenger-Dienste.
Sicher alles kein Problem – wenn die Dokumentation hierfür an die Vorgaben der DSGVO angepasst ist. Die technischen-organisatorischen Maßnahmen müssen an den Stand der Technik, die Art, den Umfang und den Zweck der Verarbeitung angepasst und ständig evaluiert werden. Es sollten unbedingt Prozesse in der Pflegeeinrichtung etabliert werden, die zu den jeweiligen Verarbeitungsabläufen passen, die mobil betrieben werden.
Vertraulichkeit und Schutz von personenbezogenen Daten ist in jedem Fall zu wahren.
Details zur Schweigepflicht wurden schon in einem der vorangegangenen Unterthemen behandelt. Hier geht es noch einmal um den Praxisbezug und die Sensibilisierung.
An welche Personen Auskünfte erteilt werden, liegt grundsätzlich in der Entscheidung des Betroffenen selbst. Er bestimmt den Umfang, in dem Auskünfte erteilt werden dürfen. Somit ist klar, dass Angehörige nicht einfach über alles, was den Patienten betrifft informiert werden dürfen.
Und auch ein Betreuer, der vielleicht für den Bereich Vermögenssorge bestellt wurde, hat nicht automatisch das Recht, Auskünfte über seinen Schützling einzuholen, die den Bereich Gesundheit, Aufenthalt oder Ähnliches betreffen.
Deshalb ist es enorm wichtig, sich genau rückzuversichern, für welche Bereiche eine Betreuung gerichtlich bestellt worden ist.
Beim Arztbesuch oder Aufenthalt im Krankenhaus, wird oftmals ein Dokument zur Entbindung von der ärztlichen Schweigepflicht vorgelegt. Mit der Unterschrift willigt der Patient ein, dass seine Daten an einen mit- oder weiterbehandelnden Arzt übermittelt werden. Doch wie sieht es im Notfall aus?
Bei medizinischen Notfällen spielt die Weitergabe von personenbezogenen Daten (incl. Gesundheitsdaten) eine wichtige Rolle. Egal ob Verlegungsbericht, Überleitungsbogen, Notfallblatt – dem eintreffenden Rettungsmittel wird immer ein Dokument mit wichtigen Angaben zum Patienten übergeben. Hier eine separate Einwilligung einzuholen, ist meist zeitlich gar nicht machbar, zudem in der Praxis so auch nicht umsetzbar.
Doch ist für jede Verarbeitung und Weitergabe von personenbezogenen Daten eine rechtliche Grundlage erforderlich. Im Fall eines medizinischen Notfalls, wo das Wohl des Patienten in Gefahr ist, greift meist der Schutz der lebenswichtigen Interessen von betroffenen Personen. (Art. 6 Abs. 1 d DSGVO i. V. m. Art. 9 Abs. 2 c DSGVO)
Wenn Sie nicht sicher sind, ob Ihre Pflegeeinrichtung alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!