Datenschutzaufwand in Krankenhäusern reduzieren
06.03.2025 - Daten zu erfassen, zu verarbeiten und zu speichern ist eine essenzielle Aufgabe eines jeden modernen Krankenhausbetriebs.
Um dabei Rechtsverstöße zu vermeiden, ist ein rechtskonformer Datenschutz unabdingbar - eine Herausforderung, die nach Meinung vieler Praxen und Krankenhäuser heutzutage einen großen Aufwand bedeutet. Doch mit der passenden Compliance-Strategie und Expertenwissen, das auch juristische Fragestellungen einschließt, gelingt es, aktuelle und kommende Datenschutzaufgaben reibungslos zu meistern.
Krankenhäuser Datenschutz-konform richtig aufzustellen, bedeutet einen immer größeren Aufwand, was für die betroffenen Betriebe nicht nur Grund zum Ärgernis ist, sondern teilweise sogar dazu führt, dass Fortschritt oder Entwicklungen im Bereich der Digitalisierung gehemmt werden. Dies wäre aber vermeidbar, denn wird die Datenschutzthematik professionell angegangen, sparen sich Krankenhäuser nicht nur internen Aufwand, sondern sorgen bei ihren Mitarbeitenden sogar für zusätzliches Vertrauen in ihre eigenen rechtssicheren Prozesse. Zusätzlich vermeiden sie eventuelle Bußgelder, Sanktionen oder Rechtsverstöße.
Datenschutz im Krankenhaus – welcher Weg ist der richtige?
Sei es bei der Verarbeitung von Personendaten, bei der Speicherung sensibler Gesundheitsdaten oder beim Erfassen von Patientendaten per Telefon oder im Empfangsbereich – da der Umgang mit personenbezogenen Daten gesetzlich durch die Datenschutz-Grundverordnung (DSGVO) streng normiert ist, erfordert es spezifische Kenntnisse, um die Umsetzung in Krankenhäusern zu gewährleisten. Hierfür gibt es zwei Möglichkeiten: Intern kann eine Person als Datenschutzbeauftragter bestimmt werden, die mittels geeigneter Weiterbildungsmaßnahmen, beispielsweise beim TÜV, im benötigten Fachwissen geschult wird. Betriebe müssen dann darauf vertrauen, dass sie alle Prozesse überblickt, anpasst und alle notwendigen Maßnahmen ergreift. Oder sie suchen sich externe Unterstützung, bestenfalls durch einen Rechtsanwalt, der auch als Datenschutzbeauftragter tätig ist. Dieser hat allein schon durch seine juristische Ausbildung und Tätigkeit die nötige fachliche Expertise, hat den Überblick über unterschiedliche juristische Fachgebiete, hält sich bezüglich Neuerungen oder gesetzlicher Änderungen permanent auf dem Laufenden und kann bei eventuellen Rechtsverstößen direkt juristisch beraten und eingreifen. Zudem wirft er quasi von außen einen Blick auf interne Prozesse, hinterfragt Arbeitsweisen auf ihre datenschutzsichere Herangehensweise, optimiert so mithilfe von Mitarbeiter-Workshops oder Leitfäden bisherige Verfahren und sensibilisiert möglichst alle Beschäftigten des Krankenhausbetriebs – Mitarbeitende sowie Führungskräfte – für die Datenschutzthematik. Sollten Patienten oder das Personal Fragen bezüglich des Umgangs mit ihren Daten haben, übernimmt er auch diese Kommunikation und verringert somit den internen Aufwand erheblich.
Mit der richtigen Strategie zu mehr Professionalität
Neben der Sensibilisierung der eigenen Mitarbeitenden und dem Vertrauen auf die Unterstützung eines geschulten Profis empfiehlt es sich zusätzlich, eine Datenschutzstrategie für das Krankenhaus zu erarbeiten, um den gesetzlichen Rahmen aller DSGVO- und Bundesdatenschutzgesetzanforderungen gerecht zu werden. Wichtig bei ihrer Ausarbeitung sind folgende Aspekte:
- Umsetzung eines strengen Zugriffsmanagements, das sicherstellt, dass Mitarbeiter nur auf die Daten zugreifen können, die für ihre Arbeit erforderlich sind.
- Verschlüsselung sensibler Daten auf allen Speicherplätzen (internen Servern, Cloud oder mobilen Geräten)
- Implementierung eines Datenschutz-Management-Systems, um Datenschutz-prozesse systematisch zu steuern und zu dokumentieren.
- Durchführung einer regelmäßigen Datenschutzfolgenabschätzung (Privacy Impact Assessment), um potenzielle Risiken für die Rechte und Freiheiten betroffener Personen frühzeitig zu identifizieren und entsprechende Maßnahmen zu ergreifen.
- Datenminimierung und Zweckbindung, um das Risiko von Datenschutzverletzungen zu reduzieren und die Einhaltung von Datenschutzvorschriften zu erleichtern.
- Implementierung und regelmäßige Überprüfung von Sicherheitsmaßnahmen zur Abwehr von Cyber-Bedrohungen, beispielsweise Firewalls und/oder Intrusion Detection-Systeme.
- Einhaltung von Meldepflichten bei Datenschutzverletzungen: Hier empfiehlt sich ein Notfallplan, der Zuständigkeiten klar definiert, sodass ein schnelles und effizientes Agieren möglich ist.
- Regelmäßige Überprüfung und Aktualisierung der Datenschutzrichtlinien, um neue gesetzliche Anforderungen und technische Entwicklungen zu berücksichtigen (z. B. § 393 SGB V, Gesundheitsdatennutzungsgesetz (GDNG), NIS2).
Gelingt es, all diese Aspekte in einer Compliance-Strategie zu erfassen und umzusetzen, werden im Krankenhausbetrieb einheitliche geschäftliche und ethische Standards definiert und gleichzeitig eventuelle Rechtsverstöße und mögliche negative Folgen durch Sanktionen der Behörden vermieden.
Datenschutz und Künstliche Intelligenz
Gerade technologische Entwicklungen erfordern heutzutage ein schnelles Eingreifen bzw. Anpassen betrieblicher Datenschutzmaßnahmen. Das gilt auch für den Einsatz von künstlicher Intelligenz, von dem sich viele eine Verbesserung für ihre Abläufe versprechen. Andererseits befürchten einige auch, dass der Einsatz von Künstlicher Intelligenz (KI) in Krankenhäusern den Datenschutz vor ganz neue Herausforderungen stellt und der Aufwand noch weiter steigen wird. Doch aufgrund des permanenten Fortschritts im Bereich KI sollte man sich nicht abschrecken lassen. Denn geht man mit der entsprechenden Vorsicht und Expertise an eine KI-Einführung heran, können die Bedenken in einen Invest in die Zukunft umgewandelt werden. Dabei gilt es, einige Punkte zu beachten: Bei der Datenerhebung und -verarbeitung im Rahmen von KI-Anwendungen sollte strikt darauf geachtet werden, dass nur jene Informationen erfasst werden, die für den jeweiligen Zweck absolut notwendig sind. Dabei sollte, wenn möglich, auf Anonymisierung und Pseudonymisierung zurückgegriffen werden, um die Identität von Einzelpersonen zu schützen. Auch der ethische Aspekt ist wichtig: Die Technologie muss so genutzt werden, dass sie transparent und verantwortungsbewusst ist. Entscheidungen, die von KI-Systemen getroffen werden, müssen nachvollziehbar und gerecht gestaltet werden.
Um die Sicherheit der Daten zu gewährleisten, müssen außerdem umfassende technische und organisatorische Schutzmaßnahmen zum Einsatz kommen, wie z.B. Verschlüsselungstechnologien, strikte Zugriffskontrollen und regelmäßige Sicherheitsprüfungen, um unbefugten Zugriff, Datenverlust oder Missbrauch zu verhindern.
Schafft man es, den Datenschutz zu beachten, ethische Grundsätze zu wahren und Sicherheitsmaßnahmen einzuhalten, haben Krankenhausbetriebe die Basis für die Arbeit mit KI geschaffen. Fördern sie zudem die Transparenz, übernehmen Verantwortung, geben Feedback und bilden ihre Belegschaft weiter, profitieren sowohl die Mitarbeiter als auch die Patienten von der zukunftsorientierten Arbeitsweise.
Ob bei der Erarbeitung einer Compliance-Strategie, beim Eingang von Bußgeldbescheiden oder bei der Einführung einer KI-Technologie – ein Datenschutzbeauftragter sollte in der Lage sein, auf die Erfahrung aus unterschiedlichen Projekten zurückzugreifen und sein Wissen weiterzugeben. Durch seine Expertise steht und fällt der interne Aufwand deutlich. Ist der Experte zudem juristisch versiert, können Strategien gemeinsam erarbeitet, Fachwissen ausgetauscht und Sicherheit in jedweder juristischen Fragestellung gewonnen werden.
Autor: Rechtsanwalt Michael F. Ochsenfeld, OCHSENFELD+COLL Rechtsanwälte, Experte für Datenschutz, Hildesheim