Datenschutz und Informationssicherheit im Gesundheitswesen

Da tenschut z im Gesundheit swesen Jäschk e (Hr sg.)

Datenschutz und Informationssicherheit

im Gesundheitswesen

T. Jäschke (Hrsg.)

Grundlagen

Konzepte

Umsetzung

2., aktualisierte

und erweiterte Auflage

Medizinisch Wissenschaftliche Verlagsgesellschaft

Thomas Jäschke (Hrsg.)

Datenschutz und Informationssicherheit

im Gesundheitswesen

Medizinisch Wissenschaftliche Verlagsgesellschaft

Thomas Jäschke (Hrsg.)

D atenschutz und Informationssicherheit im Gesundh eitswesen

Grundlagen, Konzepte, Umsetzung

2., aktualisierte und erweiterte Auflage

mit Beiträgen von

U.-V. Albrecht | M. Aschhoff | T. Beer | S. Czech | J. Domnik | S. Große

H. Haaz | M. Henke | T. Jäschke | M. Koch | A. Lingen | P.-M. Meier | O. Methner

F.-M. Przytulla | J. Reiter | N. Richard | F.W. Rüter | B. Sandrock | M. Staemmler

B. Stöferle | C. Thieme | A. Vogel | S. Zorbach

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG Unterbaumstraße 4

10117 Berlin www.mwv-berlin.de

ISBN 978-3-95466-390-3 (eBook: PDF)

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie;

detaillierte bibliografische Informationen sind im Internet über http://dnb.d-nb.de abrufbar.

© MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG 2018

Dieses Werk ist einschließlich aller seiner Teile urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten.

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz- Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Im vorliegenden Werk wird nur die männliche Form verwendet, gemeint sind immer beide Geschlechter, sofern nicht anders angegeben.

Die Verfasser haben große Mühe darauf verwandt, die fachlichen Inhalte auf den Stand der Wissenschaft bei Drucklegung zu bringen. Dennoch sind Irrtümer oder Druckfehler nie auszuschließen. Daher kann der Verlag für Angaben zum diagnostischen oder therapeutischen Vorgehen (zum Beispiel Dosierungsanweisungen oder Applikationsformen) keine Gewähr übernehmen.

Derartige Angaben müssen vom Leser im Einzelfall anhand der Produktinformation der jeweiligen Hersteller und anderer Literaturstellen auf ihre Richtigkeit überprüft werden. Eventuelle Errata zum Download finden Sie jederzeit aktuell auf der Verlags-Website.

Produkt-/Projektmanagement: Bernadette Schultze-Jena, Berlin Lektorat: Monika Laut-Zimmermann, Berlin

Layout, Satz, Herstellung: zweiband.media, Agentur für Mediengestaltung und -produktion GmbH, Berlin Zuschriften und Kritik an:

MWV Medizinisch Wissenschaftliche Verlagsgesellschaft mbH & Co. KG, Unterbaumstr. 4, 10117 Berlin, lektorat@mwv-berlin.de

Der Herausgeber

Prof. Dr. rer. medic. Thomas Jäschke

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) Ein Dienstleistungsbereich der DATATREE AG

Heubesstraße 10 40597 Düsseldorf

v

Vorwort

Die Europäische Datenschutz-Grundverordnung stellt alle Unternehmen vor neue Herausforderungen. Der vereinheitlichte Umgang mit personenbezogenen Daten auf europäischer Ebene betrifft alle Unternehmen, die personenbezogene Daten verarbei- ten. Insbesondere Institutionen im Gesundheitswesen sind durch die Verarbeitung besonders sensibler Informationen gefordert, die Anforderungen in wirksamer Wei- se umzusetzen und nachzuweisen. Die Heterogenität des Gesundheitswesens stellt die Verantwortlichen vor unzählige Herausforderungen, die durch die Vernetzung, miteinander agierende Akteure, verschiedene Trägerschaften und nicht zuletzt die voranschreitende Digitalisierung zu bewältigen sind.

Auch nach dem Ende der Übergangsfrist im Mai 2018 werden nicht alle Unklarheiten ausgeräumt sein. Vieles wird zukünftig durch Urteile, Interpretationen oder Emp- fehlungen der Aufsichtsbehörden nach und nach weiter gefestigt werden.

In der neuen, 2. Auflage des Buches „Datenschutz im Gesundheitswesen“ haben ver- schiedene Experten die Inhalte nach aktuellem Stand für Sie angepasst. Darüber hi- naus wurde der elementare Bereich der Informationssicherheit ausgestaltet sowie spannende Exkurse für Sie ergänzt.

Prof. Dr. Thomas Jäschke im März 2018

vii

Vorwort zur 1. Auflage

Die Wichtigkeit des Themas Datenschutz im Gesundheitswesen ist heute wie auch schon seit Jahrzehnten für das Gesundheitswesen von großer Bedeutung. Techno- logische Innovationen, wie der Ausbau der Telematikinfrastruktur oder die Durch- dringung des Marktes mit mHealth-Anwendungen, führen zunehmend zu einer stärkeren Vernetzung der Akteure des Gesundheitswesens und zu immer komplexe- ren und häufig auch intransparenten Strukturen und Prozessen, was sich auf die ordnungsgemäße Datenerhebung und -verarbeitung sowie Nutzung auswirkt. Dies sind Entwicklungen, die speziell im Bereich des Datenschutzes eine enorme Ge- schwindigkeit vorlegen und die Branche inhaltlich immer mehr abhängen. Mitten- drin steht der Datenschutzbeauftrage, der wird es schon richten. Datenschutzbeauf- tragte haben alles andere als einen simplen Job, denn viele der internen Datenschutz- beauftragten üben ihre Tätigkeit nur nebenbei aus. Für eigene Fort- und Weiterbil- dung fehlen Ressourcen in Zeit und Geld, ebenso, wie Studien zeigen, auch für Umsetzung der Anforderungen in der täglichen Arbeit. So kommt es vor, dass Daten- schutzbeauftragte in Gesundheitseinrichtungen sich nicht ausreichend gewappnet für ihre Tätigkeit fühlen. Meine langjährige Praxis als Datenschutzbeauftragter zeigt mir immer wieder, wie wichtig praxisorientierter Datenschutz ist und wie selten dieser tatsächlich gelebt wird. Auch dieses Buch kann nicht den allumfassenden Leitfaden für Ihre Institution geben – dafür ist das Gesundheitswesen in seinem Facettenreichtum ein zu komplexes Thema. Dennoch wird es Ihnen ein hilfreicher Begleiter sein, um vor allem die kritischen Hürden zu identifizieren und anzugehen.

Neben der allgemeinen Heranführung an das Thema haben wir eine umfassende Er- läuterung und Herleitung von Begrifflichkeiten und notwendigen Grundlagen ge- wählt. Darüber hinaus haben die Autoren die Besonderheiten für die einzelnen Ak- teure des Gesundheitswesens in einem separaten Kapitel herausgearbeitet, um der Praxisorientierung gerecht zu werden. Natürlich gilt es zu beachten, dass Daten- schutz immer eine Einzelfallbetrachtung darstellt, eine Abwägung und die Berück- sichtigung der Verhältnismäßigkeit, sodass die aufgeführten Beispiele sich an all- gemeinen Regelfällen orientieren, um den Einstieg in die Thematik zu erleichtern.

In einem weiteren großen Themenblock steht die Rolle des Datenschutzbeauftragten im Fokus. Die mitwirkenden Autoren und ich erhoffen uns, hiermit die Akzeptanz und Durchsetzungskraft des Datenschutzbeauftragten zu stärken. Thematische Ex- kursionen von Fachanwälten, Beratern sowie die Perspektive der gematik runden das Werk ab. In den Institutionen finden sich aktuell überwiegend zwei Lager, die sich gegenüberstehen. Zum einen die Datenschutzverfechter, die relativ schnell ein Pro- jekt als nicht möglich verifizieren, und auf der anderen Seite die Partei, die dem Datenschutz am liebsten keinerlei Beachtung schenken möchte. Vergessen wird aber häufig, dass es ohne Datenschutz nicht geht und Lösungen auch praktikabel sein müssen. Um auch zukünftig Hand in Hand effektiv zusammenarbeiten zu können, müssen Standards geschaffen werden. Die Angst vor Datenschutz und IT-Sicherheit rührt vor allem daher, dass diese als Störfaktoren gesehen werden. Das halte ich für falsch und hoffe, dass zukünftig ein Umdenken stattfinden kann, um Datenschutz als Vorteil zu nutzen, ihn als Teil der Qualitätssicherung zu sehen und den Kunden und Patienten im Gesundheitswesen die informationelle Selbstbestimmung und so Transparenz im Umgang mit Daten zu ermöglichen. Ich bedanke mich bei allen Mit- und Co-Autoren für ihren unermüdlichen Einsatz während der gesamten Schreib-

viii

Vorwort zur 1. Auflage

und Korrekturzeit, den konstruktiven Diskussionen, die schlussendlich zum vorlie- genden Buch geführt haben, und freue mich, dass Sie dieses Werk nun nutzen kön- nen, um Ihren beruflichen Alltag als Datenschützer, Betroffener, Lösungsanbieter und Interessierter datenschutzkonform zu gestalten. Über Anmerkungen und Kritik freuen wir Mitwirkenden uns sehr und hoffen, dass das Buch Ihnen gefällt.

Prof. Dr. Thomas Jäschke im Februar 2016

ix

Die Autorinnen und Autoren

Priv.-Doz. Dr. med. Urs-Vito Albrecht, MPH Peter L. Reichertz Institut für Medizinische Informatik der Technischen Universität Braunschweig und der Medizinischen Hochschule Hannover

Medizinische Hochschule Hannover (MHH) Carl-Neuberg-Straße 1

30625 Hannover Mathias Aschhoff

Projektleiter Interoperabilität & Standardisierung ZTG Zentrum für Telematik und Telemedizin GmbH Universitätsstraße 142

44799 Bochum Thorben Beer, M.Sc.

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf

Sascha Czech, Dipl.-Informatiker (FH) Asklepios Kliniken GmbH & Co. KGaA Konzernbereich IT – 12B

Paul-Ehrlich-Straße 1 22763 Hamburg Jan Domnik, M.A.

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Sandra Große Rechtsanwältin HARTMANN Rechtsanwälte Am Brambusch 24 44536 Lünen Dr. Heiko Haaz

UIMC Dr. Vossbein GmbH & Co. KG

Unternehmens- und Informations-Management Consultants

Nützenberger Straße 119 42115 Wuppertal

Dr. Michael Henke gematik

Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH

Friedrichstraße 136 10117 Berlin

Prof. Dr. rer. medic. Thomas Jäschke Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Dr. Manuel Koch gematik

Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH

Friedrichstraße 136 10117 Berlin Adrian Lingen

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Dr. Pierre-Michael Meier

Gründer und stv. Sprecher, IuiG-Initiativ-Rat der fördernden Verbände der ENTSCHEIDERFABRIK, Vorsitzender, Subcommittee IT, EVKM, Honorarprofessor Universität Duisburg-Essen, Vorstand, März Internetwork Services Rochusweg 8

41516 Grevenbroich Dr. Olaf Methner

Rechtsanwälte Baum Reiter & Collegen Benrather Schlossallee 101

40597 Düsseldorf Fritz-Martin Przytulla, LL.M.

Rechtsanwalt und Notar, Fachanwalt für Arbeitsrecht

PRZYTULLA & KOLLEGEN Westfalendamm 265 44141 Dortmund

Die Autorinnen und Autoren

x

Prof. Dr. jur. Julius Reiter

Rechtsanwälte Baum Reiter & Collegen Benrather Schlossallee 101

40597 Düsseldorf Nina Richard, M.Sc.

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf

Dipl.-Kfm. Fabian Wilhelm Rüter Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Bettina Sandrock SprachRaum!

Mühlstraße 25 86911 Dießen

www.sprachraum-ammersee.de Prof. Dr.-Ing. Martin Staemmler Medizininformatik

Fakultät ETI Hochschule Stralsund Zur Schwedenschanze 15 18435 Stralsund

Barbara Stöferle, Dipl.-Ing. (FH) bs@dsm-s.de

Christine Thieme

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Alexander Vogel, M.Sc.

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf Susann Zorbach, B.A.

Institut für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG)

Ein Dienstleistungsbereich der DATATREE AG Heubesstraße 10

40597 Düsseldorf

xi

Inhalt

I Einführung Datenschutz im Gesundheitswesen ___________________________ 1 1 Stellenwert und Aktualität des Datenschutzes __________________________________ 3

Thomas Jäschke und Nina Richard

2 Besonderheiten des Datenschutzes im Gesundheitswesen ________________________ 7 Thomas Jäschke und Nina Richard

3 Interessenten an Gesundheitsdaten __________________________________________ 11 Thomas Jäschke und Alexander Vogel

4 Der Nutzen von Datenschutz im Gesundheitswesen ______________________________ 15 Thomas Jäschke und Nina Richard

5 Datenschutz – ein Alleinstellungsmerkmal? ____________________________________ 19 Thomas Jäschke und Nina Richard

II Grundlagen Datenschutz und Datensicherheit ____________________________ 25 1 Datenschutz-Grundverordnung, Gesetze, Empfehlungen und Richtlinien _____________ 27

Thomas Jäschke und Thorben Beer

2 Begriffsbestimmungen und Grundsätze für die Verarbeitung

personenbezogener Daten __________________________________________________ 33 Thomas Jäschke und Thorben Beer

3 Rechte der betroffenen Person ______________________________________________ 49 Thomas Jäschke und Thorben Beer

4 Datenschutz vs. Datensicherheit _____________________________________________ 55 Thomas Jäschke und Fabian Wilhelm Rüter

5 Pflichten des Datenschutzes _________________________________________________ 59 Sandra Große

6 Schweigepflicht ___________________________________________________________ 65 Thomas Jäschke und Susann Zorbach

Auflistung der gängigsten datenschutzrechtlichen Regelungen _______________________ 72 Weiterführende Gesetze _______________________________________________________ 76 Weiterführende Literatur zu der Sektion II

„Grundlagen Datenschutz und Datensicherheit“ ____________________________________ 82

III Der Datenschutzbeauftragte _____________________________________________ 85 1 Profil des Datenschutzbeauftragten ___________________________________________ 87

Barbara Stöferle

2 Aufgaben des Datenschutzbeauftragten _______________________________________ 95 Thomas Jäschke und Christine Thieme

3 Der Datenschutzbeauftragte – interne Schnittstellen _____________________________ 103 Thomas Jäschke und Christine Thieme

4 Der Datenschutzbeauftragte – externe Schnittstellen ____________________________ 113

Thomas Jäschke und Christine Thieme

xii

Inhalt

IV Informationssicherheit __________________________________________________ 121 1 Der Informationssicherheitsbeauftragte _______________________________________ 123

Thomas Jäschke und Jan Domnik

2 Das IT-Sicherheitsgesetz ____________________________________________________ 131 Sascha Czech

3 Die aktuelle Lage der Informationssicherheit im Gesundheitswesen ________________ 139 Thomas Jäschke und Nina Richard

4 Bedrohungsszenarien im Gesundheitswesen ___________________________________ 145 Thomas Jäschke und Adrian Lingen

5 Einführung eines Managementsystems für Informationssicherheit _________________ 153 Thomas Jäschke und Jan Domnik

Exkurs: Social Engineering – Schwachstelle Mensch ________________________________ 159 Thomas Jäschke und Nina Richard

Exkurs: Herausforderung Interoperabilität –

Standards für die digitale Gesundheitsversorgung __________________________________ 163 Mathias Aschhoff

V Akteure im Gesundheitswesen __________________________________________ 167 1 Personenbezogene Daten im Gesundheitswesen ________________________________ 169

Thomas Jäschke und Alexander Vogel

2 Kooperations- und Kommunikationspartner aus Anwendersicht ____________________ 173 Thomas Jäschke und Susann Zorbach

3 (Zahn-)Arztpraxis __________________________________________________________ 197 Thomas Jäschke und Alexander Vogel

4 Krankenhaus _____________________________________________________________ 205 Thomas Jäschke und Alexander Vogel

5 Rehabilitation ____________________________________________________________ 213 Thomas Jäschke und Alexander Vogel

6 Senioreneinrichtungen _____________________________________________________ 217 Thomas Jäschke und Alexander Vogel

7 Pflege ___________________________________________________________________ 221 Thomas Jäschke und Alexander Vogel

8 Kostenträger/Krankenkassen ________________________________________________ 225 Bettina Sandrock und Thomas Jäschke

9 Externe Dienstleister und Zulieferer __________________________________________ 231 Thomas Jäschke und Alexander Vogel

10 Apotheken _______________________________________________________________ 237 Thomas Jäschke und Alexander Vogel

11 Sanitätshäuser ___________________________________________________________ 245 Thomas Jäschke und Susann Zorbach

12 Physiotherapeuten ________________________________________________________ 251 Thomas Jäschke und Susann Zorbach

13 Heilpraktiker _____________________________________________________________ 257

Thomas Jäschke und Alexander Vogel

xiii

Inhalt

14 Fitnessstudios ____________________________________________________________ 263 Thomas Jäschke und Susann Zorbach

15 Psychologen und psychologische Psychotherapeuten ____________________________ 269 Thomas Jäschke und Susann Zorbach

16 Übergreifende Datenschutzorganisation _______________________________________ 275 Thomas Jäschke und Alexander Vogel

Exkurs: Gesundheits-Apps und Datenschutz _______________________________________ 279 Urs-Vito Albrecht

VI Praxisbeispiele _________________________________________________________ 283 1 Outsourcing ______________________________________________________________ 285

Thomas Jäschke und Christine Thieme

2 Fremdwartung ___________________________________________________________ 295 Thomas Jäschke und Alexander Vogel

3 Löschanfragen von Patienten ________________________________________________ 301 Heiko Haaz

4 Datenschutz-Folgenabschätzung _____________________________________________ 311 Thomas Jäschke und Alexander Vogel

5 Verzeichnis von Verarbeitungstätigkeiten ______________________________________ 319 Thomas Jäschke und Susann Zorbach

6 Einbruch in die Geschäftsräume ______________________________________________ 329 Thomas Jäschke und Christine Thieme

7 Vorgehen Videoüberwachung _______________________________________________ 337 Barbara Stöferle

8 Auskunftsersuchen ________________________________________________________ 347 Alexander Vogel

VII Blick über den Tellerrand ________________________________________________ 355 1 Datenschutz in der Telematikinfrastruktur _____________________________________ 357

Manuel Koch und Michael Henke

2 Gesundheitsdatenschutz – Ein internationaler Überblick __________________________ 371 Heiko Haaz

3 Datenschutz und Arbeitnehmer im Krankenhaus – Beschäftigtenschutz _____________ 405 Fritz-Martin Przytulla

4 Compliance ______________________________________________________________ 423 Julius Reiter und Olaf Methner

Exkurs: Übermittlung von Patientendaten mit Social Media Apps – wieso nicht? _________ 435 Martin Staemmler

Exkurs: Von der Dekonstruktion von Geschäftsfeldern bis zur Disruption

von Geschäftsmodellen ________________________________________________________ 439 Pierre-Michael Meier

Sachwortverzeichnis __________________________________________________________ 442

Autorenporträts ______________________________________________________________ 446

I

Einführung Datenschutz

im Gesundheitswesen

3 Das Thema Datenschutz hat bereits 2013 durch die Veröffentlichungen im Zusam- menhang mit der weltweiten Überwachung der NSA und ihrer Partnerdienste einen erheblichen Aufschwung im öffentlichen Interesse erhalten. Aber nicht erst seit die- sen Veröffentlichungen spielt der Datenschutz in Deutschland eine große Rolle. So wurde im Jahr 1970 in Hessen das erste Datenschutzgesetz weltweit beschlossen. Nach und nach zogen die anderen Bundesländer und der Bund nach. Insbesondere durch die immer weiter voranschreitenden Möglichkeiten der automatisierten Verarbeitung von Daten in dieser Zeit wurde ein Korrektiv benötigt, um insbesondere den Möglich- keiten der sogenannten Rasterfahndung im Zusammenhang mit der Roten Armee Fraktion (RAF) entgegenzutreten, bzw. diese in einen geordneten Rahmen einzubet- ten. Den Höhepunkt der Regulierung fand der Datenschutz im Volkszählungsurteil von 1983, bei dem das Bundesverfassungsgericht das Bürgerrecht der informationel- len Selbstbestimmung aus Art. 2 i.V.m. Art. 1 Grundgesetz ableitete.

Dieses Recht findet sich mittlerweile in ähnlicher Weise in der Magna Charta der Europäischen Union wieder und wird regelmäßig gegen die Bestrebungen einzelner Staaten und der EU Kommission durch die höchsten Gerichte verteidigt. Die Wich- tigkeit des Datenschutzes in Europa spiegelt sich auch in den Bemühungen wider, den Datenschutz in der EU in einem europäischen Gesetz zu verankern. Die Verhand- lungen hierzu gestalteten sich, begründet durch die unterschiedlichen Interessen- lagen, allerdings schwierig. Und so trat die neue Europäische Grundverordnung am 24.05.2016 in Kraft und ist ab dem 25.05.2018 anzuwenden.

1 Stellenwert und Aktualität des Datenschutzes

Thomas Jäschke und Nina Richard

I Einführung Datenschutz im Gesundheitswesen

4

Die Datenschutzgrundverordnung gilt unmittelbar für alle EU-Mitgliedsstaaten und fordert vielzählige Anpassungen der Gesetze auf Bund und Länderebene, ebenso wie bei speziellen Datenschutzgesetzen.

Das Konzept des Datenschutzes ist allerdings keine Erfindung der jüngeren Geschich- te, auch wenn es der Begriff und die weite Ausdehnung des Zuständigkeitsbereichs sind. So gaben sich schon in der Antike Berufsgruppen wie Ärzte, Juristen oder Pries- ter einen Berufskodex, der ihnen eine Verschwiegenheitspflicht, der ihnen anver- trauten Tatsachen, auferlegte. Diese erstreckt sich auch auf die Pflicht, diese Geheim- nisse gegen den Eingriff des Staates und seiner Institutionen zu verteidigen. Der deutsche Gesetzgeber hat dieses berufliche Ethos auch schon in der ersten Version des Strafgesetzbuches von 1871, das ein Zuwiderhandeln unter Strafe stellt, sowie in der Strafprozessordnung mit dem Zeugnisverweigerungsrecht berücksichtigt.

Wie bereits beschrieben erhielt der Datenschutz seinen ersten Antrieb durch die neu- en technischen Möglichkeiten in den 70er-Jahren des vergangenen Jahrhunderts. Ein solcher Schub ist derzeit ebenfalls erkennbar. So bietet sich in den letzten Jahren nicht mehr nur für Organisationen mit großen IT-Budgets die Möglichkeit, ihre Daten immer besser zu analysieren, um daraus Maßnahmen für die strategische Unternehmenssteuerung abzuleiten. Die Techniken dafür werden immer ausgereif- ter und die Speicherung von großen Datenmengen, die immer mehr auf Verdacht erzeugt werden, wird immer günstiger. Das Prinzip Hoffnung führt zu den Gedan- ken, zu einem späteren Zeitpunkt Mittel und Wege zu finden, diese Daten gewinn- bringend auszuwerten. So soll die NSA jegliche verschlüsselte Kommunikation im Internet speichern, weil sie davon ausgeht, dass die eingesetzten Verschlüsselungs- verfahren zu entschlüsseln sind und es zukünftig neue technische Möglichkeiten gibt, mit denen die eingesetzten Sicherheitsmechanismen wesentlich schneller aus- gehebelt werden können.

An dieser Stelle setzt der Datenschutz an. Dieser kann zwar das Voranschreiten der Technik nicht verhindern und will es auch nicht. Der hierbei verfolgte Ansatz geht in die Richtung, dass die Institutionen nur die Daten erheben und speichern dürfen, die sie wirklich benötigen, und diese Daten zu löschen sind, sobald sie für den ur- sprünglichen Zweck nicht mehr benötigt werden. Außerdem wird auf einen infor- mierten Bürger gesetzt, der auf Grundlage aller Informationen selbst entscheiden kann, was mit seinen Daten geschehen soll und darf. Klingt dieses Grundprinzip auch so einfach, umso schwerer gelingt die Umsetzung dieser Anforderung. Das hat verschiedene Ursachen. Im Vordergrund steht der Gedanke einer Selbstregulierung, bei der die Unternehmen durch Hinzunahme der betrieblichen Datenschutzbeauf- tragte die Rechtmäßigkeit der Datenverarbeitung und -speicherung grundsätzlich prüfen und bewerten sowie die dazu notwendigen technischen und organisatorischen Maßnahmen umsetzen. In der Realität werden die Datenschutzbeauftragten jedoch oft nicht in Entscheidungsprozesse eingebunden und können nicht regulierend oder unterstützend eingreifen. Die Datenschutzbehörden sind nicht mit genügend Per- sonal ausgestattet, sodass diese ihre Aufgaben proaktiv wahrnehmen könnten.

Ein anderer Grund, der in der Öffentlichkeit oft genannt wird, ist das mangelnde Interesse der Bevölkerung am Thema Datenschutz. Datenschutz wird dabei oft als sehr sperrig oder behindernd empfunden, was sich insbesondere in den umfangrei- chen und verklausulierten Datenschutzerklärungen von Diensten und Internetseiten begründet. Andererseits sind für viele Bürger der Preis und Komfort die entscheiden-

1 Stellenwert und Aktualität des Datenschutzes

5 den Kriterien für die Entscheidungsfindung bei Dienstleistungen oder Angeboten im Internet. Der letzte Punkt bezieht sich auf die Handhabbarkeit technischer Lösungen, mit denen die Nutzer sich selbst schützen können. So ist es sicherheitsaffinen Tech- nikern in den letzten 20 Jahren nicht gelungen eine Lösung zu entwerfen, die zum einen sicher ist und zum anderen ergonomisch so gestaltet sind, dass sie in der brei- ten Masse Anklang finden.

Am Ende ist das Thema für den Einzelnen tatsächlich nicht uninteressant, sondern nicht überschaubar. Umso wichtiger ist es für Unternehmen, und Institutionen im Gesundheitswesen ganz besonders, das Vertrauen der Bürger, Patienten, Versicher- ten, Bewohner, Gäste und Kunden, nicht zu enttäuschen, sondern durch geeignete und angemessene Maßnahmen umzusetzen. Neben der fachlichen Kompetenz sind dies die Grundlage für eine hohe Reputation und auch ein Erfolgsfaktor für den wirt- schaftlichen Erfolg.

I

7 Das Gesundheitswesen hat, im Vergleich zu anderen Wirtschaftssektoren, einige Besonderheiten. So sind Krankenkassen als auch die Kassenärztlichen Vereinigungen sogenannte Körperschaften des öffentlichen Rechts. Sie sind damit nicht unmittel- bar Teil der staatlichen Verwaltung. Der Staat gibt den Körperschaften lediglich den Rahmen vor und führt die Aufsicht.

Die Selbstverwaltung der Krankenkassen wird durch deren Organe Vorstand und Ver- waltungsrat ausgeübt. In den kassenärztlichen und kassenzahnärztlichen Vereini- gungen wird die Selbstverwaltung von der Vertreterversammlung und dem Vorstand ausgeübt. Im Wesentlichen setzt sich das deutsche Gesundheitswesen aus drei Arten von Akteuren zusammen:

„

„ den Leistungsempfängern,

„

„ den Leistungserbringern und

„

„ den Leistungsträgern.

Die Leistungsempfänger und -träger gaben im Jahr 2015 circa 344 Milliarden Euro für Leistungen der Leistungserbringer aus (Destatis 2015). Das Gesundheitswesen be- schäftigte 2015 rund 5,3 Millionen Menschen, was ungefähr jedem achten Angestell- ten in Deutschland entspricht (Statistisches Bundesamt 2017). Im Jahr 2013 wurden in fast 1.948 Krankenhäusern mit gut 498.666 Betten etwa 19,2 Millionen Patienten vollstationär behandelt. Die Krankenhäuser in Deutschland werden zunehmend pri- vatisiert. Nach aktuellem Stand befinden sich rund 568 in öffentlichem, 674 in frei- gemeinnützigem 706 in privatwirtschaftlichem Betrieb (Destatis 2014a). Neben den Krankenhäusern gibt es 1.151 Vorsorge- und Rehabilitationseinrichtungen mit rund 164.500 Betten, in denen 2 Millionen Patienten behandelt wurden (Destatis 2014b).

2 Besonderheiten des Datenschutzes im Gesundheitswesen

Thomas Jäschke und Nina Richard

I Einführung Datenschutz im Gesundheitswesen

8

Ergänzt wird das Feld der Leistungserbringer durch 13.000 Pflegeheime und etwas weniger ambulante Pflegedienste. 2015 gab es 2,86 Millionen Pflegebedürftige, Ten- denz steigend, von denen rund 783.000 in Pflegeheimen und 692.000 durch ambu- lante Dienste betreut wurden (Destatis 2017).

Die Seite der Leistungsträger ist in Deutschland von dualer Natur. So gibt es die Gesetz- lichen Krankenversicherungen (kurz GKV), denen 72,30% (GKV-Spitzenverband 2015, S. 23) aller Versicherten angehören und deren Aufgaben in der Sozialgesetzgebung, insbesondere im Sozialgesetzbuch Fünftes Buch (SGB V), festgelegt sind, und die pri- vaten Krankenversicherungen (PKV), deren Leistungen individualvertraglich zwischen dem Versicherten und dem Versichernden geregelt werden (Nagel u. Braasch 2007, S. 118). Hinzu kommen die Leistungen wie beispielsweise Individuelle Gesundheits- leistungen (kurz: IGeL-Leistungen) oder rezeptfreie Medikamente, die von den Versi- cherten selber getragen und somit nicht durch die Kostenträger übernommen werden.

Eine wesentliche Besonderheit des Gesundheitswesens stellen die stark differenzier- ten Träger der einzelnen Akteure dar, was zu unterschiedlich zu beachtenden Gesetzen führt. Auf der einen Seite sind die privatwirtschaftlichen Teilnehmer zu finden. Zu diesen gehören die nicht-angestellten Ärzte und Apotheker sowie die Versicherer der PKV. Für diese Gruppe ist das Bundesdatenschutzgesetz einschlägig und spielt somit die wichtigste Rolle für Datenschutzregelungen (vgl. § 1 Abs. 2 Punkt 3 BDSG). Zusätz- lich gibt es Einrichtungen, für die das Bundesdatenschutzgesetz in Teilen gilt, da die Einrichtungen sich in Trägerschaft eines Bundeslandes befinden und das jeweilige Landesdatenschutzgesetz wettbewerbsrelevante Teile an das Bundesdatenschutzgesetz

„delegiert“. Diese Regelungen wurden in die Landesdatenschutzgesetze aufgenom- men, um den jeweiligen Einrichtungen eine Teilnahme am Wettbewerb zu ermögli- chen, ohne zusätzliche Auflagen erfüllen zu müssen, die für ihre Konkurrenz nicht besteht (vgl. z.B. § 2 Abs. 3 NDSG oder § 2 Abs. 2 DSG NRW). Hiervon sind in der Regel kommunale Krankenhäuser und ähnliche Einrichtungen betroffen. Für Unikliniken, die in der Trägerschaft der Länder stehen, gilt dies nicht, da bei diesen nicht von einem Wettbewerb ausgegangen wird. Des Weiteren gibt es im Gesundheitswesen Einrich- tungen, die durch religiöse Gemeinschaften betrieben werden. Diese fallen aufgrund des Selbstbestimmungsrechtes der Kirchen in Deutschland (vgl. z.B. BVerfG, 2 BvR 661/12 vom 22.10.2014, Rn. [1–183]) unter die jeweiligen Gesetze der Kirche beziehungs- weise der regionalzuständigen Organisationseinheit (beispielsweise einem Bistum in der katholischen Kirche). Neben den entsprechenden primären Datenschutzgesetzen besteht weiterhin die Möglichkeit, dass auf Bundeslandebene noch Gesundheits- oder Krankenhaus(datenschutz)gesetze verabschiedet wurden, die zu berücksichtigen sind.

In diesen Fällen wurde auf der kirchlichen Ebene die entsprechende Gesetzesstruktur nachgebildet. Zusätzlich müssen die Sozialdaten von Betroffenen, die Leistungen der Sozialversicherungen beziehen, nach den Regelungen der Sozialgesetzgebung ver- arbeitet werden. Dies gilt nicht nur für die Gesundheitsdaten der gesetzlichen Versi- cherten, sondern auch für Daten, die in der Pflege oder der Jugendhilfe erhoben wer- den. Diese Regeln sind dementsprechend für die GKV auf die von ihr verarbeiteten Daten anzuwenden. Detaillierter wird das Thema in Kapitel II.1 aufbereitet.

In Deutschland gibt es darüber hinaus das Berufsgeheimnis, das sich unter anderem auf Ärzte und Apotheker erstreckt. Dies hat zur Folge, dass eine Auslagerung der Ver- arbeitung personenbezogener Daten, insofern diese unter das Berufsgeheimnis fal- len, nach dem heutigen Stand schwer umsetzbar ist. Die Fragestellungen dazu sind nicht abschließend geklärt. Weiterhin haben die einzelnen Berufsgruppen im Ge-

2 Besonderheiten des Datenschutzes im Gesundheitswesen

9 sundheitswesen eigene Berufsordnungen, die ebenfalls Datenschutzaspekte enthal- ten, die für den Einzelnen zu berücksichtigen sind.

Im Vergleich zum Datenschutz werden mit den Dokumentationspflichten andere Ziele verfolgt. So ist eines der Grundprinzipien des Datenschutzes die Datenminimie- rung sowie die Speicherbegrenzung (vgl. Art. 5, 1. (b) und (e)), die verlangt, dass die Verarbeitung von Daten auf ein notwendiges Maß beschränkt wird und personen- bezogene Daten nur so lange gespeichert werden dürfen, wie es notwendig ist und diese ggf. gelöscht werden. Diese Vorschrift ist allerdings subsidiär, weshalb die Auf- bewahrungsfristen der Löschung vorzuziehen sind. Aus dem technischen Blickwin- kel stellt es für viele IT-Systeme ein Problem dar, zum Ende der Aufbewahrungsfrist entsprechende Daten zu löschen. Dies liegt insbesondere darin begründet, dass für viele Datenkategorien unterschiedlichste Aufbewahrungsfristen bestehen, sodass keine generelle technische Regel gefunden werden kann, die besagt, dass alle Daten nach n Jahren gelöscht werden können. Hinzu kommt, dass immer mehr dieser Daten zur Qualitätssicherung ausgewertet werden und in entsprechender Form vorliegen müssen. Außerdem können sich aus dem BGB Schadensersatzansprüche ergeben, die erst nach 30 Jahre verjährt sind (§ 199 Abs. 2 BGB). Eine genaue Aufschlüsselung dieser Problematik findet sich in Kapitel II.3 .

Dokumentationspflichten, Erhebung von Daten zur Abrechnung und der Wunsch nach Forschung und kontinuierlicher Verbesserung der Qualität bei den Leistungs- erbringern führen zu einer immer umfangreicheren Menge an Daten und das Ver- langen diese auszuwerten. Solange diese Daten im Bezug zu einer Person stehen sind die datenschutzrelevanten Gesetze und Regelungen zu beachten. Aktuelle Trends, wie Cloud Computing und Big Data, die in der Industrie einen hohen Stellenwert einnehmen und im Gesundheitswesen verursacht durch den zunehmenden Kosten- druck auch großes Interesse wecken, stoßen auf die Herausforderungen personen- bezogene Daten zu verarbeiten, die zu anderen Zwecken erhoben wurden und daher gar nicht verwendet werden dürften. Hier ist meistens eine Einzelbewertung unter Berücksichtigung der Verhältnismäßigkeit erforderlich.

Literatur

Destatis (2017) Pressemitteilung. URL: https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/

2017/01/PD17_017_224.html (abgerufen am 03.04.18)

Destatis (2015) Gesundheitsausgaben nach Ausgabenträgern. Statistisches Bundesamt. URL: https://www.

destatis.de/DE/ZahlenFakten/GesellschaftStaat/Gesundheit/Gesundheitsausgaben/Tabellen/Ausgabentraeger.

html (abgerufen am 04.09.17)

Destatis (2014a) Gesundheit – Grunddaten der Krankenhäuser. Stand: 02.12.2014. Statistisches Bundesamt. URL:

https://www.destatis.de/DE/PresseService/Presse/Pressemitteilungen/2017/08/PD17_276_231.html (ab- gerufen am 03.04.18)

Destatis (2014b) Gesundheit  – Grunddaten der Vorsorge- oder Rehabilitationseinrichtungen. Stand: 02.12.2014.

Statistisches Bundesamt. URL: https://www.destatis.de/DE/Publikationen/Thematisch/Gesundheit/Vorsorge Rehabilitation/GrunddatenVorsorgeReha2120612157004.pdf?__blob=publicationFile (abgerufen am 03.04.18) GKV-Spitzenverband (2015) https://www.gkv-spitzenverband.de/media/grafiken/gkv_kennzahlen/kennzahlen_gkv_

2017_q1/300dpi_6/GKV-Kennzahlen_MitgliederVersicherte_2017.jpg. Hrsg. von GKV-Spitzenverband Berlin Nagel E, Braasch P (2007) Das Gesundheitswesen in Deutschland: Struktur, Leistungen, Weiterentwicklung. 4.,

völlig überarb. und erw. Aufl. Deutscher Ärzte-Verlag Köln

Statistisches Bundesamt (2017) URL: https://www.awo.org/statistisches-bundesamt-beschaeftigte-im-gesundheits wesen-0 (abgerufen am 03.04.18)

I

11

Der Begriff Gesundheitsdaten fasst, neben den Behandlungsdaten einer Person, alle Daten über die Ge- sundheit und den Gesundheitszustandes einer Person zusammen (s. Kap. II.2). So zählen beispielsweise auch Daten, die von einer Pulsuhr gemessen wurden oder Tracking-Daten, die beim Workout aufgezeich- net werden, als Gesundheitsdaten, da sich hieraus Informationen über den Gesundheitszustand der be- treffenden Person ableiten lassen. Interessenten an Gesundheitsdaten gibt es viele, jedoch aus den unterschiedlichsten Gründen.

Primärer Verwendungszweck – Dokumentation der Behandlung

Gesundheitsdaten sind für unterschiedliche medizinische Berufsgruppen zur medizini- schen Dokumentation von Interesse. So ist dies ursprünglich auch der eigentliche, pri- märe Verwendungszweck von Gesundheitsdaten. Die Ärzte sind nach § 630f BGB ver- pflichtet, eine Patientenakte elektronisch oder in Papierform zur Dokumentation der Behandlung zu führen. Demnach sind sämtliche Anamnesen, Diagnosen, Untersuchun- gen, Untersuchungsergebnisse, Befunde, Therapien, Eingriffe, Einwilligungen und Aufklärungen in die Akte aufzunehmen (vgl. § 630f Abs. 2 BGB). Weiterhin verpflichtet auch § 10 MBO-Ä Aufzeichnungen über die Behandlung zu führen.

§ 630f BGB verpflichtet nicht nur Ärzte zur Dokumentation der Behandlung. Dem- nach sind alle Behandler, so beispielsweise Physiotherapeuten, Heilpraktiker, Ge- sundheitspfleger oder auch Psychotherapeuten u.v.a.m., zur Führung einer Doku- mentation verpflichtet. Ergänzend zum obengenannten Paragraphen ist die Pflicht zur Dokumentation auch in vielen Berufsordnungen verankert, so in § 1 Abs. 5 der Berufsordnung der Physiotherapeuten oder § 9 Abs. 1 der Muster-Berufsordnung der Psychotherapeuten.

3 Interessenten an Gesundheitsdaten

Thomas Jäschke und Alexander Vogel

I Einführung Datenschutz im Gesundheitswesen

12

Die medizinische Dokumentation der Behandlung ist nicht nur als Gedankenstütze für den Arzt bzw. den Behandler gedacht, sondern stellt weiterhin eine Informations- quelle für den Patienten dar. Des Weiteren kann sie als Nachweis für den Patienten oder Behandelnden bei möglichen straf- oder zivilrechtlichen Angelegenheiten die- nen.

Sekundäre Verwendungszwecke

Neben den genannten primären Zwecken werden Gesundheitsdaten auch noch für se- kundäre Zwecke verwendet. Die gesetzliche und private Abrechnung der erbrachten medizinischen Leistungen mit den Krankenkassen oder dem Patienten ist wohl der bekannteste sekundäre Zweck. Im Bereich der stationären Abrechnung erfolgt dies ver- pflichtend seit 2004 über das G-DRG-System, wohingegen die Abrechnung im ambu- lanten und belegärztlichen Bereich über den einheitlichen Bewertungsmaßstab (EBM) mit der gesetzlichen Krankenversicherung abgerechnet wird (vgl. § 87 Abs. 2 SGB V).

Die Abrechnung stellt jedoch nicht den einzigen sekundären Verarbeitungszweck von Gesundheitsdaten dar, so werden Gesundheitsdaten auch zu Forschungszwecken verwendet. In diesem Zusammenhang werden häufig die klinische Forschung und die Versorgungsforschung genannt. Bei der klinischen Forschung beschäftigten sich Wissenschaftler mit der Verbesserung der Behandlung bestimmter Erkrankungen.

So werden neue Medikamente oder Therapien direkt am Patienten in klinischen Stu- dien evaluiert (vgl. BMBF 2015). Hierfür werden Patienten mit entsprechender Er- krankung zur Durchführung der Studien benötigt, die durch die vorliegenden Infor- mationen der Gesundheitsdaten für Studien ausgewählt werden können. Dadurch entfällt eine oft mühsame Akquise mittels Zeitungsannoncen o.ä. Die Versorgungs- forschung dagegen beschäftigt sich mit der Optimierung der Bürgerversorgung. So werden beispielsweise Routinedaten (s. Kap. V.1 ) nach eventuellen Defiziten in der Behandlung von Krankheiten in unterschiedlichen Regionen der Republik analysiert und mittels eines Versorgungskonzepts behoben.

Auch pharmazeutische Unternehmen gehören zur Interessentengruppe und zwar in zweierlei Hinsicht. So werden zum einen für die Zulassung von neuen Medikamen- ten Testpersonen für die klinische Prüfung am Menschen benötigt (vgl. §§ 40 und 41 AMG). Zum anderen werden die Abrechnungsdaten aus Apothekenrechenzentren dazu benutzt, um das Verschreibungsverhalten der Ärzte zu analysieren. Mit Hilfe dieser Analysedaten erfolgt die Entwicklung und Umsetzung von Werbemaßnahmen zur Steigerung der Verschreibungen von Medikamenten der entsprechenden Phar- maunternehmen.

Neben dem weitestgehend medizinischen Interesse an Gesundheitsdaten existieren noch andere Interessengruppen, welche die Daten für unterschiedliche Zwecke nut- zen. Die Versicherungsbranche besitzt auch großes Interesse an den Gesundheits- daten ihrer Versicherten. Für den Abschluss und die Berechnung der Versicherungs- beiträge für eine Lebens-, Berufsunfähigkeits- oder private Krankenzusatzversiche- rung ist die Angabe von Gesundheitsdaten notwendig. Die meisten Angaben macht der Versicherungsnehmer selbstständig, jedoch verlangen viele Versicherungen eine Einwilligung und Schweigepflichtsentbindung von den Patienten zum Austausch von Gesundheitsdaten mit den behandelnden Ärzten. So ist die Erhebung nur dann zulässig, wenn dies der Beurteilung des versichernden Risikos oder der Leistungs- pflicht dient (vgl. § 213 Abs. 1 VVG). Zudem ist der Versicherte nach der Erteilung der

3 Interessenten an Gesundheitsdaten

13 Einwilligung vor jeder Erhebung zu informieren und kann dieser ggf. widersprechen (vgl. § 213 Abs. 2 VVG).

Das Interesse an Gesundheitsdaten haben auch Banken und Kreditinstitute. So kann der Gesundheitszustand die Kreditwürdigkeit eines Antragstellers beeinflussen.

Das Statistische Bundesamt veröffentlicht in regelmäßigen Intervallen unterschied- lichste Statistiken über Erkrankungen, Krankenhäuser, Operationen und die Gesund- heit der Bürger. Dazu werden verschiedene Gesundheitsdaten, wie beispielsweise DRG oder EBM-Daten, ausgewertet und aufbereitet (eine Übersicht bietet Destatis 2015).

Big Data

Wenn über Daten gesprochen wird, egal ob über Gesundheits-, Finanz- oder Firmen- daten, fällt unweigerlich der Begriff Big Data. Wörtlich übersetzt heißt er „große Daten(-mengen)“, im deutschsprachigen Raum auch als Massendaten bezeichnet.

Im Zusammenhang damit werden häufig die drei Vs genannt – Volume, Variety und Velocity.

Mit der Datenmenge, auch Volume genannt, ist die große Anzahl an Daten gemeint. Im Unterschied dazu bezieht sich die Datenvielfalt (Variety) auf die große Bandbreite an unter- schiedlichen Daten. Der Begriff Geschwindigkeit (Velocity) beschreibt die fortlaufende Pro- duktion von immer neuen Datenmengen.

Big Data beschreibt jedoch nicht nur das Speichern von großen Datenmengen, son- dern auch deren Verarbeitung und Analyse. Durch digitale Bildgebungsverfahren und die elektronische Erfassung von Vitalparametern werden im Gesundheitswesen riesige Datenmengen erhoben und verarbeitet. Somit spielt Big Data auch im Gesund- heitswesen eine immer größere Rolle. Die Anwendung von Big Data im Gesundheits- wesen bietet großes Potenzial, beispielsweise bei der Analyse von MRT-Aufnahmen oder der Berechnung von Epidemien.

Mit Hilfe von Big Data lassen sich auch Gesundheitsprofile für Deutschland, seine einzelnen Bundesländer aber auch Gemeinden und Landkreise erstellen. Das Baye- rische Landesamt für Gesundheit und Lebensmittelsicherheit bietet eine Web-An- wendung für das Gesundheitsprofil von Bayern an (Bayerisches Landesamt für Ge- sundheit und Lebensmittelsicherheit 2015). Dort werden die Daten über Sterbefälle, Krankenhausaufenthalte, Pflegebedürftigkeit und Krebsneuerkrankungen für Bay- ern und seine einzelnen Landkreise grafisch aufbereitet. Die Gesundheitsprofile die- nen zur Darstellung des Gesundheitszustandes der Bevölkerung eines Landes.

Neben den oben genannten positiven Beispielen bietet Big Data aber auch großes Potenzial für den Datenmissbrauch. Beispielsweise ist es möglich, personenspezi- fische (Gesundheits-)Profile zu erstellen und an andere Interessenten zu verkaufen.

Hauptinteressent: Der Patient

Das größte Interesse an Gesundheitsdaten dürfte der Patient selbst haben. In diesem Zusammenhang gibt es einige Projekte zum Thema der patientengeführten Gesund- heitsakte. Bei dieser Form von Gesundheitsakten pflegt der Patient neben den Ein- trägen zu seinen Behandlungen und Gesundheitsstatus auch die Berechtigungen für

I

I Einführung Datenschutz im Gesundheitswesen

14

den Zugriff auf die Akte. Projekte in diesem Rahmen sind beispielsweise Google Health ¹ oder Microsoft HealthVault ².

Literatur

Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit (2015) Gesundheitsprofile Bayern. URL:

http://www.lgl.bayern.de/gesundheit/gesundheitsberichterstattung/gesundheitsatlas/profile/atlas.html?

detectflash=false (abgerufen am 20.01.16)

Bundesministerium für Bildung und Forschung (2015) Gesundheit erhalten. Stand: 20. August 2015. URL: http://

www.gesundheitsforschung-bmbf.de/de/gesundheit-erhalten.php (abgerufen am 18.01.16)

Gesetz über den Verkehr mit Arzneimitteln (AMG) i.d.F. der Bekanntmachung vom 12. Dezember 2005 (BGBI. I S. 3394), zuletzt geändert durch Artikel 3 des Gesetzes vom 17. Dezember 2014 (BGBI. I S. 2222)

Gesetz über den Versicherungsvertrag (VVG) i.d.F. der Bekanntmachung vom 23. November 2007 (BGBI. I S. 2631), zuletzt geändert durch Artikel 8 des Gesetzes vom 17. Juli 2015 (BGBI. I S. 1245, 1262)

Statistisches Bundesamt (Destatis) (2015) Gesundheit. URL: https://www.destatis.de/DE/ZahlenFakten/Gesellschaft Staat/Gesundheit/Gesundheit.html;jsessionid=9AD4D68EEE751EF4281D2BA0EDAB9565.cae1 (abgerufen am 18.01.16)

1 Google Health wurde zum 02. Januar 2013 eingestellt. Siehe dazu “Google Health has been discontinued”.

URL: https://www.google.com/intl/en_us/health/about/

2 Microsoft HealthVault (URL: https://www.healthvault.com/de/de)

15 Datenschutz wird im Allgemeinen, speziell aber auch im Gesundheitswesen, als zu- sätzlicher und oft auch als störender Aufwand empfunden. Dies liegt in erster Linie daran, dass Datenschutz mit Sichteinschränkungen einhergeht, sodass auf notwen- dige Daten erst nach einer Prüfung dieser Notwendigkeit zugegriffen werden kann.

Richtig eingesetzt ist Datenschutz aber nicht mehr eine Belastung, sondern kann vielmehr in die Unternehmensorganisation übergehen und effektiv einen Mehrwert schaffen (Jäschke u. Richard 2014).

Schon Hippokrates erkannte die Notwendigkeit einer offenen Beziehung zwischen Arzt und Patient, weshalb er in seinen Hippokratischen Eid die Verschwiegenheits- pflicht des Arztes aufnahm (Körner 1921, S. 5f.). Nur wenn der Patient sich sicher sein kann, dass seine Offenbarung gegenüber dem Arzt nur seiner bestmöglichen Be- handlung dient und er nicht mit negativen Konsequenzen daraus rechnen muss, wird er bereit sein, sich dem Arzt anzuvertrauen. Gleiches gilt für die anderen Teil- nehmer des Gesundheitswesens, weshalb der Gesetzgeber das Berufsgeheimnis aus

§ 203 StGB auch auf diese Berufsgruppen ausgeweitet hat. Des Weiteren wurde die Verschwiegenheitspflicht in die entsprechenden Berufsordnungen mit aufgenom- men.

Die meisten Einrichtungen des Gesundheitswesens sind dazu verpflichtet ein Quali- tätsmanagement durchzuführen (§ 135a SGB V). Mit der EU-DS-GVO sind Unterneh- men im Gesundheitswesen verpflichtet ein Datenschutzmanagementsytem zu im- plementieren. Aber auch abseits der Verpflichtung bieten sich Synergieeffekte, zwi- schen Qualitätsmanagement und Datenschutzmanagement, die gehoben werden sollten. So verlangen beide eine Dokumentation der Prozesse (ISO 9000 und Art. 30

4 Der Nutzen von Datenschutz im Gesundheitswesen

Thomas Jäschke und Nina Richard