Auswirkungen der DSGVO für Krankenhausträger und Chefärzte

Bereits am 27. April 2018 wiesen wir darauf hin, dass die EU-Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 ihre volle Wirkung entfaltet. Zu diesem Stichtag trat auch das (neue) Bundesdatenschutzgesetz (BDSG) in Kraft. Für die Einhaltung des Regelwerks ist in erster Linie der Krankenhausträger verantwortlich. Dennoch kann die DSGVO auch Chefärzte betreffen.

Inhalte der DSGVO und neue Aufgaben für den Krankenhausträger

Verzeichnis über Verarbeitungsvorgänge: Krankenhäuser müssen ein aktuelles detailliertes Verzeichnis anlegen und pflegen, in dem alle Datenverarbeitungsvorgänge mit vorgegebenen Mindestinhalten dezidiert beschrieben werden.
Datenschutz-Folgenabschätzung: Es hat eine systematische Analyse der Verarbeitungsvorgänge mit dem Ziel zu erfolgen, das Gefährdungspotential zu beziffern und gegebenenfalls zu minimieren.
Erweiterte Betroffenenrechte: Das Recht des Patienten auf Herausgabe einer Kopie der Patientendokumentation wird durch die DSGVO erweitert. Anfragen sind künftig i.d.R. binnen eines Monats zu beantworten, wofür keine Kosten erhoben werden dürfen. Die Daten in systematischer und „transportabler“ Form aufzuarbeiten. Zu beachten sind die Rechte auf (teilweise) Löschung von Daten und deren Sperrung.
Erweiterte Informationspflichten: Dem Patienten sind Informationen im Zusammenhang mit der Datenverarbeitung in transparenter und verständlicher Form zur Verfügung zu stellen. Dazu zählen z. B. die Kontaktdaten des Verantwortlichen i.S. der DSGVO, mögliche Empfänger der verarbeitenden Daten und der Hinweis auf Beschwerderechte sowie die jederzeit mögliche Widerrufbarkeit einer gegebenenfalls abgegebenen datenschutzrechtlichen Einwilligung.
Datenpannen: Datenpannen sind möglichst innerhalb von 72 Stunden an die Überwachungsbehörde und gegebenenfalls auch an den Betroffenen zu melden. Die rechtzeitige Meldung ist zu dokumentieren.

Mögliche Auswirkungen auf den Chefarzt

Verantwortlicher im Sinne der DSGVO und damit Adressat der entsprechenden Pflichten ist i.d.R. der Krankenhausträger. Eine Delegation an den Chefarzt ist unzulässig. Soweit ein Chefarzt jedoch die Verarbeitung von Patientendaten selbst verantwortet (z. B. in bestimmten Chefarztambulanzen), ist er auch allein Verantwortlicher nach der DSGVO. In dieser Konstellation stellt die Klinik zwar die Infrastruktur und bestimmte Dienstleistungen zur Verfügung. Sie ist aber nicht verantwortlich für die Einhaltung des Datenschutzes.

Voraussichtliche Prozessänderungen

Bei bestimmten Arbeitsabläufen wird es jedoch zukünftig nicht verbleiben können. So wird der gemeinsame Zugriff auf Patientendaten im Rahmen einer sektorenübergreifenden Behandlung weitaus kritischer zu bewerten sein, als dies ohnehin schon der Fall ist. Die Datensätze von Patienten, die sowohl stationär als auch ambulant in einem dem Krankenhaus angegliederten MVZ behandelt werden, sind strikt zu trennen. Wird eine gemeinsame IT-Infrastruktur genutzt, kommt den Zugriffsrechten künftig eine noch höhere Bedeutung zu. Die erweiterten Betroffenenrechte und vor allem das Recht der Patienten auf Datenportabilität (mit einer relativ kurzen Frist von einem Monat) werden eine neue Form der Datenaufbereitung erfordern. Die Daten müssen systematisch und ohne großen Aufwand an den Patienten übermittelt werden können. Der Krankenhausträger wird neue Datenschutzrichtlinien schaffen bzw. die aktuellen Richtlinien anpassen müssen. Neben den Bußgeldern ist hier vor allem das Erfordernis der Meldung von „Datenpannen“ virulent, da dies zu einem erheblichen Imageschaden führen kann, wie die öffentliche Debatte zeigt.