Datenschutz am Arbeitsplatz: Clean Desk Prinzip / Clean Desk Policy
“Ein unaufgeräumter Schreibtisch ist Datenschutz pur — nichts mehr zu finden”, so ein Teilnehmer in einer der jüngsten Datenschutz-Schulungen. Nach einem ersten Schmunzeln in der Runde wurde die Aussage im Kreis der Teilnehmer diskutiert. Schnell kristallisierte sich heraus, dass das sog. Clean Desk Prinzip — also das genaue Gegenteil dieser Aussage — einen hilfreichen Beitrag zur Datensicherheit und
Vertraulichkeit leistet. Personenbezogene Daten und Firmengeheimnisse sind geschützt und gelangen nicht in die Hände Unbefugter. Die zwei Grundregeln des Clean Desk Prinzips:
- Aufräumen: So lapidar es klingt, aber die ehrliche Antwort auf die einfache Frage “Muss das hier rumliegen?” in Verbindung mit dem anschließenden Wegräumen ist bereits der erste große Schritt
- Abschließen: Bei längerer Abwesenheit nicht nur Aufräumen, sondern die verwahrten Gegenstände wie Unterlagen, USB-Sticks, Datenträger etc. auch im Schrank oder Rollcontainer einschließen. Achja, Schlüssel nicht stecken lassen, sonst kann man sich die Mühe gänzlich sparen
Bei diesen Handgriffen geht es nicht um das Befriedigen der typisch deutschen Ordnungsnatur um ihrer Selbst willen. Mit ganz einfachen Mitteln ist der Verlust von personenbezogenen Daten und Firmeninternas am eigenen Arbeitsplatz ausgeschlossen. Zumindest, wenn man diese nicht selbst oder mutwillig entwendet.
In amerikanischen Unternehmen findet man die sog. clean desk policy in schriftlicher Form als Bestandteil des Arbeitsvertrages mit allen Konsequenzen, die für Verstösse gegen Unternehmensrichtlinien vorgesehen sind. Diese Anwendung der sog. “reinen Lehre” erweist sich im Alltag als nicht sehr praxisnah. Das heutige Arbeitsleben fordert Multitasking und lässt selten Spielraum für ein Abarbeiten von Projekten nacheinander. Aber jeder Schritt hin zu “Aufräumen & Abschließen” ist ein Schritt in die richtige Richtung. Selbst wenn der Idealzustand in der Praxis nie erreicht werden kann.
Beitrags-Navigation
Das Wichtigste zum Datenschutz im Gesundheitswesen in Kürze
- Ab 2021 können Versichert ihre Gesundheitsdaten freiwillig in einer elektronischen Patientenakte hinterlegen.
- Da Gesundheitsinformationen zu den besonderen Arten personenbezogener Daten gehören, muss dem Datenschutz im Gesundheitswesen besonders hohe Aufmerksamkeit geschenkt werden. Es drüfen grundsätzlich nur Daten erhoben werden, die für die Behandlung vonnöten sind.
- Die Erhebung darüber hinausgehender Informationen und die Weitergabe der Informationen an Dritte (auch Angehörige des Betroffenen) ist weitgehend nur mit ausdrücklicher Einwilligung zulässig.
- Die von Patienten erhaltenen Informationen unterliegen nicht nur dem Datenschutz, sondern auch der Verschwiegenheitspflicht der Behandelnden und Pfleger. Eine Zuwiderhandlung kann hier somit auch strafrechtlich verfolgt werden.
Warum der Datenschutz in Krankenhaus & Arztpraxis so wichtig ist!
- Warum der Datenschutz in Krankenhaus & Arztpraxis so wichtig ist!
- Wann dürfen Gesundheitsdaten gespeichert werden?
- Dürfen gemäß Datenschutz in der Medizin Informationen weitergegeben werden?
- Besonderer Datenschutz: Ist die Auskunft im Krankenhaus an Angehörige gestattet?
- Datenschutz im Krankenhaus – Checkliste
Informationen über den gesundheitlichen Zustand einer Person gehören zu den besonderen Arten personenbezogener Daten. Als solche unterliegen sie in besonderem Maße dem Datenschutz. Im Gesundheitswesen ist der korrekte und sichere Umgang mit derlei sensiblen Informationen somit unerlässlich, denn die hier gespeicherten und verarbeiteten Patientendaten wecken Begehrlichkeiten.
Ob nun Pharmafirmen, Versicherungen, die Arbeitgeber der Betroffenen oder aber Hacker, die bares Geld mit in Geiselhaft genommenen Daten erpressen können: Im Gesundheitswesen ist ein geeignetes Datenschutzkonzept für jedes Krankenhaus und jede Arztpraxis unerlässlich, um den Missbrauch der sensiblen Infos zu unterbinden. Und auch die Schulung des Personals wird umso bedeutsamer. Was genau aber gilt es zu beachten?
Wann dürfen Gesundheitsdaten gespeichert werden?
Besondere Arten personenbezogener Daten dürfen nur in wenigen Ausnahmefällen überhaupt gespeichert, verarbeitet und genutzt werden. Der Kreis der Befugten ist wesentlich kleiner als bei anderen Informationen (etwa den Konto- oder Adressdaten einer natürlichen Person). Grundsätzlich dürfen Gesundheitsdaten nur dann erhoben werden, wenn der Betroffene hierin einstimmt oder dies gesetzlich gestattet ist.
Letzteres träfe etwa dann zu, wenn das überlebenswichtige Interesse des Betroffenen dadurch gewahrt würde, bezogen zum Beispiel auf Behandlung, Vorsorge und Diagnostik. Der Datenschutz gewährt im Gesundheitswesen also grundsätzlich die Erhebung derlei sensiblen Daten, sofern sie bezüglich der Zweckbindung entsprechende Ziele verfolgt. Und sie müssen diesem Ziel auch genügen können.
Achtung: Allein die Aushändigung der neuen elektronischen Gesundheitskarte kann allein nicht als eindeutiges Einverständnis des Patienten wirken.
Dürfen gemäß Datenschutz in der Medizin Informationen weitergegeben werden?
Da medizinische Daten dem Datenschutz in besonderem Maße unterliegen, ist die Weitergabe an Dritte in der Regel nicht zulässig. Dies jedoch nicht nur aus datenschutzrechtlichen Gründen.
Informationen, die Ärzte und Krankenhauspersonal erhalten, unterliegen dem Arztgeheimnis bzw. dem besonderen Berufsgeheimnis. Neben dem Datenschutz ist im Gesundheitswesen also vor allem auch immer die Verschwiegenheitspflicht zu wahren. Ein Verstoß gegen das Verbot der Preisgabe von Patientendaten ist sogar strafrechtlich relevant.
Gemäß § 203 Strafgesetzbuch kann die unberechtigte Preisgabe von Daten, die einem besonderen Berufsgeheimnis unterliegen, mit einer Freiheitsstrafe bis zu einem Jahr oder einer Geldstrafe geahndet werden.
Der Datenschutz im Krankenhaus muss diesen Aspekt also in doppelter Hinsicht besonders berücksichtigen. Angestellte und Ärzte dürfen die Gesundheitsdaten nur dann weitergeben, wenn dies ausnahmsweise zulässig ist.
Dies beträfe etwa die Weitergabe von Informationen an die Krankenkasse des Betroffenen, den Medizinischen Dienst, die Berufsgenossenschaft, Standesämter (bei Geburten und Sterbefällen), der Datenschutzbehörde. Der zulässige Umfang der übermittelten Informationen unterliegt hier unterschiedlichen Beschränkungen.
Darüber hinaus sind auch Polizei und Staatsanwaltschaft berechtigt, die Daten zu fordern, wenn dies etwa der Gefahrenabwehr dienen soll.
Im Falle von einigen übertragbaren Krankheiten ist die Meldung sogar verpflichtend – ggf. jedoch anonymisiert oder pseudonymisiert. Dies gilt ebenfalls und in besonderem Maße bei der Weitergabe von Gesundheitsdaten zu Forschungszwecken.
Willigt der Patient aktiv in die Weitergabe der Gesundheitsdaten ein, so ist dies auch unabhängig von dem Empfänger zulässig. Dies kann im Rahmen einer Einwilligungserklärung erfolgen oder aber durch die Schweigepflichtentbindungserklärung. Dabei muss der Betroffene aber eindeutige Kenntnis davon haben, an wen und zu welchem Zweck die Daten übermittelt werden.
Besonderer Datenschutz: Ist die Auskunft im Krankenhaus an Angehörige gestattet?
In Sachen Datenschutz ist im Krankenhaus vor allem auch eine Fallkonstellation zu betrachten: Wem dürfen Informationen über den Gesundheitszustand eines Patienten erteilt werden? Häufig herrscht der Irrglaube bei Betroffenen, dass Ärzte immer jedem Angehörigen Informationen zukommen lassen dürfen.
Das ist jedoch aufgrund der beruflichen Schweigepflicht nicht möglich. Nur wenn der Patient eindeutig eingewilligt oder den Arzt diesbezüglich von seiner Schweigepflicht entbunden hat, ist es mit dem Strafrecht und dem Datenschutz im Gesundheitswesen vereinbar, Auskunft an Angehörige zu erteilen.
Eine Ausnahmesituation ergibt sich unweigerlich, wenn der Patient selbst nicht mehr in der Lage ist, Entscheidungen zu treffen oder eine Willenserklärung abzugeben (etwa wenn er im Koma liegt). In diesem Falle wenden sich Ärzte regelmäßig an den Ehegatten oder enge Familienangehörige des Patienten, um im gemeinsamen Gespräch den vermuteten Willen des Patienten zu ergründen. Sicherheit in diesen Situationen kann für alle Seiten am ehesten eine Patientenverfügung bieten.
Datenschutz im Krankenhaus – Checkliste
Im Folgenden wollen wir Ihnen eine verkürzte Checkliste zur Verfügung stellen, anhand derer sich exemplarisch ablesen lässt, wie umfangreich die Regelungen sind, die in Sachen Datenschutz im Gesundheitswesen zu berücksichtigen sind.
Diese Checkliste zum Gesundheitsdatenschutz erhebt keinerlei Anspruch auf Vollständigkeit. Wollen Sie in Ihrer Arztpraxis oder einem Krankenhaus ein optimales Datenschutzkonzept gewährleisten, sollten Sie sehr eng mit einem erfahrenen Datenschutzbeauftragten zusammenarbeiten.
| Ja | Nein | |
| Wurden bei der Aufnahme nur Daten erhoben, die für die Erbringung der Krankenhausleistung und der Abrechnung vonnöten sind? Nicht benötigt werden etwa Angaben zu Familienstand, Kinderzahl, Beruf, Nationalität, Passnummer usf. (derlei Daten dürfen ohne Einiwilligung nicht erhoben werden, da die Zweckbindung fehlte). | ❍ | ❍ |
| Werden in dem Aufnahmeformular freiwillige Angaben eindeutig als solche gekennzeichnet? Dies betrifft vor allem solche, die für die Leistungserbringung nicht von Bedeutung sind und nur mit Einwilligung des Patienten erhoben werden dürfen (s. o.). | ❍ | ❍ |
| Erhält der Patient neben der Kopie des Behandlungsvertrages auch ein Hinweisblatt mit Informationen zum Datenschutz im Gesundheitswesen (Umgang mit Patientendaten)? | ❍ | ❍ |
| Wurde von dem Patienten ggf. die Einwilligung zur Übermittlung der Patientendaten an einzelne Personen (Hausarzt, Angehörige, Krankenhausgeistlicher) oder Instituationen (Krankenkasse bei privat Versicherten) eingeholt? Ohne entsprechende Einwilligung verstieße die Weitergabe gegen den Datenschutz in Krankenhaus oder Arztpraxis und darüber hinaus auch gegen das Berufsgeheimnis. | ❍ | ❍ |
| Werden bei der Anamnese nur Informationen erfragt und erhoben, die für die Diagnostik, Behandlung und Vorsorge erforderlich sind? | ❍ | ❍ |
| Sind die erhobenen Daten so aufgenommen worden, dass Unbefugte hiervon keine Kenntnis erlangen können? Unbefugt ist in der Regel jeder, der grundsätzlich nicht direkt in die Pflege und Behandlung des Patienten eingebunden ist. | ❍ | ❍ |
| Werden die Patientenakten sicher aufbewahrt? | ❍ | ❍ |
| Sind digitalisierte Patientendaten vor dem unbefugten Zugriff ausreichend geschützt (Datensicherheit bei Computerarbeitsplätzen)? | ❍ | ❍ |
| Erfolgen Telefonate von Behandelnden und Pflegenden so, dass kein Unbefugter von Patientendaten Kenntnis erlangt? | ❍ | ❍ |
| Können Untersuchungsergebnisse und Faxe nicht von Unbefugten eingesehen werden? | ❍ | ❍ |
| Gelten Zugriffsbeschränkungen in einzelnen Abteilungen des Krankenhauses? | ❍ | ❍ |
| Sind Patientenzimmer und Patientenbetten mit dem Namen des jeweils Betroffenen versehen? So soll verhindert werden, dass Patienten durch Verwechslung fälschlicherweise Informationen zu den Daten anderer Patienten erhalten können. | ❍ | ❍ |
| Gibt es die Möglichkeit, Patientengespräche so zu führen, dass kein Unbefugter Kenntnis von deren Inhalt erhält? Grundsätzlich haben Patienten das Recht auf Geheimhaltung der eigenen Daten und müssen nicht vor Zimmernachbarn darüber sprechen, wenn sie dem nicht zustimmen wollen. Es bedarf hierüber einer Aufklärung des Betroffenen. | ❍ | ❍ |
| Werden bei der Abrechnung gegenüber gesetzlichen Krankenkassen ausschließlich zulässige Informationen übersandt (gemäß § 301 SGB V)? | ❍ | ❍ |
| Erfolgt die Abrechnung gegenüber der privaten Krankenkasse unter ausdrücklicher Zustimmung und Einwilligung des Patienten? | ❍ | ❍ |
| Werden in der Poststelle Brief-, Berufs- und Patientengeheimnis gewahrt (Zugangs-, Zugriffsbeschränkung usf.)? | ❍ | ❍ |
| Erhalten die Patienten auf Anfrage umfassende Mitteilung, wenn diese von Ihrem Auskunftsrecht Gebrauch machen? | ❍ | ❍ |
Checkliste als .PDF
Neben diesen spezifischen Grundlagen zum Datenschutz im Gesundheitswesen ist hier natürlich auch für einen ausreichenden organisatorischen und technischen Standard zu sorgen. Sowohl EDV-Systeme als auch der Ablauf von einzelnen Verfahren müssen umfangreich gegen unbefugten Zugriff und Missbrauch geschützt werden.