Störfaktor Datenschutz?

Datenschutz als Recht zur informationellen Selbstbestimmung gilt im Behandlungsalltag häufig als prozessstörend. Warum der Datenschutz aber alles andere als ein Störfaktor für Unternehmensprozesse ist und sich damit sogar Kosten einsparen lassen.

Durch die sich immer weiter entwickelnden technischen Möglichkeiten und die stärkere Vernetzung unserer heutigen Zeit bekommt der Datenschutz einen besonderen Stellenwert. Vor allem Patienten müssen davor geschützt werden, zu gläsernen Menschen zu werden.

Das Thema „Datenschutz im Gesundheitswesen“ kann bis in die Zeit 460 bis 370 v. Chr. zurückverfolgt werden. Der „Eid des Hippokrates“ formulierte zum ersten Mal die ärztliche Verschwiegenheit im Rahmen der medizinischen Behandlung. Auf gesetzlicher Ebene finden sich die Grundlagen des Datenschutzes im Jahr 1871 mit der Einführung der beruflichen Schweigepflicht nach § 300 StGB des Norddeutschen Bundes. Eine Weiterentwicklung der Gesetzeslage resultierte aus einer amerikanischen Debatte um den Datenschutz der US-Regierung um John F. Kennedy Anfang der 1960er-Jahre, der ein nationales Datenzentrum einrichten wollte, um das Informationswesen zu verbessern. Diese Debatte weitete sich aus und führte dazu, dass Hessen das erste Datenschutzgesetz weltweit im Jahr 1970 verabschiedete.

Das Bundesdatenschutzgesetz (BDSG) folgte 1977 mit den Schwerpunkten bei der Einführung einer Aufsichtsbehörde und der Vorrangstellung des Schutzes personenbezogener Daten. Im Zusammenhang mit dem Volkszählungsurteil 1983 wurde der Begriff der „informationellen Selbstbestimmung“ geprägt, welche besagt, dass die Preisgabe und Verwendung persönlicher Daten dem jeweils Einzelnen obliegen. Die letzte Überarbeitung stammt vom 3. Juli 2009.

Dies führt uns in das heutige Zeitalter, in dem der Datenschutz zunehmend ein Thema der Öffentlichkeit geworden ist. Aufgrund der zunehmenden Digitalisierung schwindet auch die Selbstbestimmung immer mehr. Häufig bleibt das Gefühl, dass es vielen Personen gleichgültig ist, was mit ihren Daten geschieht und deshalb unbedacht persönliche Daten weitergegeben werden. Studien belegen allerdings, dass es andere Faktoren sind, die zu einem vermeintlich unbedachten Umgang mit persönlichen Daten führen. Zum einen ist häufig nicht bewusst, welche Konsequenzen die Sammlung persönlicher Daten haben kann. Zum anderen ist der Großteil von technischen Schutzmaß- nahmen häufig so komplex, dass deren Umsetzung ein hohes technisches Know- how voraussetzt.

Ab einem bestimmten Punkt kann die Weitergabe persönlicher Daten für alle Beteiligten spürbar unangenehm wer- den. Gesundheitsdaten verraten viel über den Einzelnen, was spätestens dann bewusst wird, wenn nach einem Kranken- hausaufenthalt fremde Befunde ausgehändigt werden, diese bei dem Postversand bei der falschen Person ankommen oder sensible Gesundheitsdaten nicht anonymisiert veröffentlicht werden, wie zuletzt bei einer namhaften Krankenkasse geschehen.

Durch solche Vorfälle wird die Bedeutung der rechtlichen Regelungen wieder deutlich. Für Krankenhäuser öffentlicher und privater Trägerschaften gelten das BDSG sowie das SGB. Krankenhäuser in kirchlicher Trägerschaft haben eine eigene Gesetzesgrundlage.

Für viele ist das Thema Datenschutz noch immer ein Bereich, der im Widerspruch zu den eigentlichen Unternehmenszielen steht. Anstatt als Unterstützung wird der Datenschutz eher als prozessbehindernd gesehen. Zudem fallen zunehmend Kosten an. So werden beispielsweise Daten- schutzbeauftragte berufen, die nicht die gesetzlichen Anforderungen erfüllen, aber kostengünstig sind. Problematisch wird es, wenn es tatsächlich zu einem Zwischenfall kommt und sensible Daten unbefugten Dritten verfügbar gemacht werden.

Auf den ersten Blick verursacht Datenschutz also Kosten, weil zeitliche, monetäre und personelle Ressourcen zur Verfügung gestellt werden müssen.

Der zweite Blick zeigt aber, dass letzt- endlich Kosteneinsparungen durch die Datensparsamkeit, also die Verringerung der Datenmenge, sowie systematische und effizientere EDV-Systeme erzielt wer- den. Wobei hier immer eine Abwägung zwischen den eingesparten Kosten und dem zu erbringenden Aufwand zu treffen ist.

Besonders im Gesundheitswesen ist das Konfliktpotenzial sehr groß. Auf der einen Seite bedarf es einer möglichst barrierefreien Kommunikation und des Austauschs von Daten zwischen Krankenhäusern, Zuweisern und Krankenkassen, um eine bestmögliche medizinische Versorgung von Patienten zu ermöglichen. Auf der anderen Seite steht der Datenschutz, der für die Ärzte und anderen Verantwortlichen im Krankenhaus häufig als Hemmschuh gesehen wird. Doch ist es nicht vielleicht sogar möglich, eine erstklassige Versorgung unter Berücksichtigung der datenschutzrechtlichen Aspekte, explizit der informationellen Selbstbestimmung der Patienten, durchzuführen? Bereits kleine Änderungen der Prozesse können zu einer erheblichen Verbesserung des Datenschutzniveaus führen.

Diskretion

Während der Aufnahme innerhalb eines Krankenhauses geht es vor allem um schnelles Handeln, um das Patientenwohl gewährleisten zu können. Für die Best-Practise bedeutet dies, dass Patientennamen bei der Anmeldung nicht laut genannt werden sollten. Alternativ lässt sich die Versichertenkarte übergeben, um die Privatsphäre zu wahren. Auch die Patientenakten sollten nicht einsehbar auf dem Anmeldetresen liegen.

Um die schnelle und einfache Verfügbarkeit der Patientendaten zu gewährleisten, müssen diese allerdings griffbereit für die behandelnden Ärzte sein. Dies kann erreicht werden, indem Patientenakten verdeckt werden, um so die vertraulichen Daten der Patienten zu schützen. Bestenfalls sollte gewährleistet werden, dass diese nie unbeaufsichtigt sind oder von anderen Patienten eingesehen werden können.

Auch wenn es im Krankenhausalltag schwierig ist, sich komplett zurückzuziehen, sollten vertrauliche Gespräche über Patienten nicht dort stattfinden, wo sie von unbeteiligten Dritten mitgehört wer- den können, wie auf dem Flur. Eine Alternative stellt beispielsweise der Aufenthaltsraum des Pflegepersonals dar.

Das Stationszimmer

Das Stationszimmer des Pflegepersonals sollte nicht unbeaufsichtigt sein. Da dies in der Regel nicht umsetzbar ist, ist hier darauf zu achten, dass Aktenschränke stets verschlossen sind, Hardware gesichert oder weggeschlossen ist und PCs durch Passwörter geschützt sind. Besonders wichtig ist, dass es sich bei den Ac-counts des Pflegepersonals für die Dokumentation etc. nicht um Sammelaccounts handelt, sondern jeder Mitarbeiter seinen eigenen Benutzer hat. Sammelaccounts sind auf den ersten Blick sehr praktisch, da Ein-, Aus- und erneutes Einloggen nicht erforderlich sind. Eine Ausnahme für solche Sammelaccounts wird häufig z.B. im OP oder in der Notaufnahme gesehen, wo zum einen strikte Zugangsbeschränkungen gelten und zum anderen die Zeit einen extrem kritischen Faktor darstellt. Allerdings bieten Sammelaccounts darüber hinaus auch potenzielle Angriffsstellen, da ein unbeaufsichtigter PC dazu führen kann, dass sich Patienten oder jede beliebige andere Person Zugriff zu vertraulichen Patientendaten verschaffen kann, ohne dass eine sinnvolle und nachvollziehbare Protokollierung stattfindet. Der Schweregrad von nicht vorhandenen Zugriffsbeschränkungen wird dann deutlich, wenn z.B. an der Pforte bereits die komplette Patientenakte eingesehen werden kann und nicht nur, wie es eigentlich ausreichend wäre, die eingeschränkten Stammdaten, wie Vor- und Nachname, das Geburtsdatum und die Zimmernummer des Patienten.

Auftragsdatenverarbeitung

Unter die Auftragsdatenverarbeitung fallen jegliche ausgelagerte Arbeiten, wie die Beauftragung externer Abrechnungsgesellschaften, Wartungsfirmen oder die Auslagerung medizinischer Dienstleistungen, wie beispielsweise Labore, bei denen der Auftragnehmer im Rahmen der Anweisungen des Auftraggebers die personenbezogenen Daten verarbeitet. Durch die Beauftragung externer Personen kommt es zu einer Offenbarung von Patientendaten, welche nach § 203 StGB nicht zulässig ist. Unproblematisch ist die Auftragsdatenverarbeitung, wenn eine Einwilligung des Patienten vorliegt oder die Daten anonymisiert oder pseudonymisiert verarbeitet werden. Andernfalls macht der Arzt sich, auch bei einer bestehenden Auftragsdatenverarbeitung, strafbar.

Versenden von Unterlagen

Um eine nahtlose Kommunikation mit Zuweisern und Laboren zu ermöglichen, ist es notwendig, moderne Kommunikations- mittel zu nutzen.

Das Faxgerät

Faxgeräte sind für die Übermittlung von vertraulichen Daten nicht geeignet, da es sich hierbei um einen offenen Kommunikationskanal handelt. Trotzdem werden diese regelmäßig genutzt. Wenn auf die Nutzung eines Faxgerätes nicht verzichtet werden kann, sollte zumindest die manuelle Nummerneingabe vermieden werden, da hier die Praxis zeigt, dass es häufig zu Tippfehlern kommt und so Dokumente den falschen Empfänger erreichen. Deshalb sollte der Nummernspeicher genutzt werden. Des Weiteren sollte der Empfänger vorher telefonisch kontaktiert werden, sodass die Korrektheit der Nummer sichergestellt werden kann und der Empfänger nach Erhalt des Faxes, selbiges sofort aus dem Druckerschacht entfernen kann.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) empfiehlt außerdem, den eigentlichen Daten ein Deckblatt vorauszuschicken, das den Empfänger und den Absender klassifiziert und darauf hinweist, dass bei einem abweichenden Empfänger der Empfang des Faxes sofort abzubrechen und der Absender zu informieren ist.

E-Mail

Die Kommunikation per E-Mail ist mit einer Postkarte vergleichbar, die von jedem gelesen werden kann, bei dem sie vorbeikommt. Um die Sicherheit von E-Mails zu erhöhen, bedarf es einem größeren technischen Verständnis. Die bisher vor- herrschenden Losungen sind nicht wirklich praxistauglich. Aber auch hier wird zunehmend an verbraucherfreundlichen Lösungen gearbeitet. In Zusammenarbeit zwischen der Uniscon GmbH und dem Bundesministerium für Wirtschaft ist hier beispielsweise ein Web-Service entstanden, der den sicheren Austausch von Dokumenten als Ergänzung zum E-Mail-Versand ermöglicht.

Das Aushändigen von Unterlagen

Das Aushändigen von Untersuchungs- befunden direkt an den Patienten ist die einfachste Möglichkeit, Unterlagen sicher zu übermitteln. Wichtig ist, sich zu vergewissern, dass es sich tatsächlich um den Patienten selbst handelt oder der Patient eine Einverständniserklärung abgegeben hat, dass die Unterlagen einem Dritten, z.B. Familienangehörigen, ausgehändigt werden dürfen.