Ihre Vorteile
-
Spezialwissen im Gesundheitsdatenschutz
Im Umgang mit besonders schützenswerten Daten verfügen wir über tiefe Rechtskenntnis der hohen gesetzlichen Anforderungen.
-
Langjährige Branchenkenntnis
Wir haben Erfahrung in der Beratung von Krankenhäuser, Arztpraxen, medizinische Versorgungszentren, Pharmaunternehmen, Forschungsinstitute, Apotheken, Krankenkassen.
-
Bundesweit tätig
Wir sind ganz in Ihrer Nähe mit unseren Standorten in Hamburg, Berlin, Köln, Frankfurt, Stuttgart und München.
Rechtssicherer Umgang mit Patientendaten
Unabhängig ob Krankenhäuser, Arztpraxen, medizinische Versorgungszentren, Pharmaunternehmen, Forschungsinstitute, Apotheken oder Krankenkassen: Im Gesundheitswesen liegt es in der Natur der Sache, dass eine umfangreiche Menge an Gesundheitsdaten verarbeitet werden. Da Gesundheitsdaten zudem äußerst sensible Informationen darstellen, genießen sie beim Datenschutz im Gesundheitswesen ein höheres Schutzniveau. Sie werden daher durch den Gesetzgeber als besondere Kategorien personenbezogener Daten eingestuft, deren Verarbeitung im Vergleich zu gewöhnlichen personenbezogenen Daten weitaus strengeren Regeln unterliegt. Durch die EU-Datenschutz-Grundverordnung (DSGVO) sind die gesetzlichen Anforderungen im Gesundheitswesen an die Verarbeitung von Patienten- bzw. Gesundheitsdaten auch über Ländergrenzen hinaus angestiegen.
Beim Datenschutz im Gesundheitswesen sind neben der Datenschutz-Grundverordnung zahlreiche Spezialregelungen zu beachten. Die Öffnungsklauseln der DSGVO erfordern die Beachtung zusätzlicher bundes- und landesspezifischer Gesetze. Dies können zum Beispiel die Vorschriften aus den Sozialgesetzbüchern, dem Strafgesetzbuch oder auf Landesebene die zahlreichen Gesundheitsdatenschutzgesetze sowie diversen Gesetze für kirchliche Krankenhäuser und Verordnungen sein.
Aufgrund dieser vielstufigen und hohen Anforderungen sind alle an der Gesundheitsversorgung beteiligten Unternehmen und Institutionen angehalten, ihren Status im Datenschutz stetig zu analysieren und weiter zu verbessern. Ihre Mitglieder, Kunden oder Patienten erwarten im Gesundheitswesen Sicherheit und Seriosität im Umgang mit ihren Gesundheitsdaten. Wir helfen Ihnen mit unserer Datenschutzberatung dabei, mit gutem Beispiel voranzugehen.
Wir können Ihnen eine spezialisierte Beratung im Datenschutz zugeschnitten auf Ihre Fragen im Umgang mit Patientendaten bieten, die Ihren internen Datenschutzbeauftragten in der täglichen Arbeit zielführend unterstützt. Wir beraten Sie im Gesundheitswesen im Umgang mit (elektronischen) Akten, behördlichen Anfragen oder bei Auskunfts- oder Akteneinsichtnahme-Ersuchen und schärfen Ihren Blick für die Auswahl geeigneter Dienstleister, die mit der Verarbeitung Ihrer vertraulichen Daten betraut werden sollen. Natürlich besteht auch die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.
So können wir Sie unterstützen
- Einhaltung spezieller Datenschutzvorschriften im Gesundheitswesen
- Aufbau einer Datenschutzorganisation
- Umgang mit behördlichen Anfragen und Auskunfts- oder Akteneinsichtnahme-Ersuchen
- Datenübermittlungen an Dritte wie Abrechnungsstellen, Sozialversicherungsträger, Krankenkassen oder den Medizinischen Dienst der Krankenversicherung (MDK)
- Spezielle Fragestellungen zur Forschung mit Patientendaten oder zur ärztlichen Schweigepflicht und Erstellung notwendiger Dokumente wie z. B. Schweigepflichtentbindungserklärungen
- Einhaltung der besonderen gesetzlichen Bestimmungen bei der Einschaltung von Dienstleistern
- Beratung zur Dokumentation, Archivierung oder Vernichtung von Gesundheitsdaten
Weitere Infos zu Einrichtungen des Gesundheitswesens
Wir sagen Ihnen, was beim Datenschutz im Gesundheitswesen zu beachten ist.
Der Arbeitsalltag in einem Krankenhaus gestaltet sich in vielerlei Hinsicht stressig. Viele Patienten, ernsthafte Krankheiten und lange Schichten, da bleibt wenig Zeit, um sich Gedanken über den Datenschutz im Gesundheitswesen zu machen. Dabei stellt der Gesetzgeber jedoch gerade an den datenschutzkonformen Umgang mit sensiblen Daten hohe Anforderungen. Da diese auf vielfältige Weise in einem Krankenhaus anfallen, genutzt und weiterverarbeitet werden müssen, entstehen dementsprechend viele Problemfelder mit Blick auf die Einhaltung der datenschutzrechtlichen Aspekte. Und, das Thema Datenschutz im Gesundheitswesen rückt auch bei den Patienten und ihren Angehörigen durch die erhöhte mediale Aufmerksamkeit in den Mittelpunkt. Die ärztliche Schweigepflicht hingegen spielt im Datenschutz schon seit jeher eine große Rolle. Etwa bei der Frage, ob es zulässig ist, Informationen im Rahmen der Auskunfts- oder Akteneinsichtsrechte an Patienten oder Angehörige herauszugeben. Oder es kommt zu Problemen, wenn im Rahmen der ärztlichen Schweigepflicht Dienstleister eingeschaltet werden, die Zugriff auf Gesundheitsdaten haben.
Eine zentrale Rolle beim Datenschutz im Krankenhaus nimmt der organisatorische und technische Teil ein. Für häufige Schlagzeilen sorgte in der Vergangenheit der sorglos praktizierte Umgang mit Patientenakten (z. B. bei der Entsorgung dieser), der letztlich in einem Bußgeld der Datenschutzaufsichtsbehörde endete. So wurde in Portugal das erste größere DSGVO-Bußgeld in Höhe 400.000 € gegen ein Krankenhaus verhängt, weil dieses kein ausreichendes Berechtigungskonzept für Patientendaten implementiert hatte und somit doppelt so viele Personen wie berechtigte Mitarbeiter inklusive Nutzer mit dem Profil „Techniker“ Zugriff auf alle Patientendaten hatten.
Auch in einer Arztpraxis fallen im Geschäftsbetrieb eine Vielzahl sensibler personenbezogener Daten an. Dabei stellt sich für kleinere Arztpraxen häufig die Frage, ob für ihre Praxis die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Die Datenschutz-Grundverordnung (DSGVO) verlangt für eine Bestellpflicht in Art. 37 Abs. 1 lit. c) eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten als Kerntätigkeit. Zwar werden in einer Arztpraxis eine Menge sensibler Daten verarbeitet, jedoch ist dieser Vorgang keinesfalls die Kerntätigkeit der Arztpraxis. In Deutschland muss nach dem BDSG aber ein Datenschutzbeauftragter für eine Arztpraxis bestellt werden, wenn zwanzig oder mehr Mitarbeiter (entgegen des Wortlauts inklusive des Inhabers der Arztpraxis) regelmäßig personenbezogene Daten verarbeiten. In der Regel ist ein Einzelarzt nicht gesetzlich verpflichtet, für seine Praxis einen Datenschutzbeauftragten zu bestellen.
Doch Vorsicht, wer der Bestellpflicht im Datenschutz nicht unterfällt, muss dennoch die Vorgaben der DSGVO umsetzen. Dafür ist dann der Inhaber der Arztpraxis persönlich verantwortlich. Ein Umstand, der rund um den Anwendbarkeitstermin der DSGVO für die eine oder andere kuriose Nachricht sorgte. Der Mythos, dass Patienten im Wartezimmer nur noch mit einer Nummer, nicht aber dem Namen ausgerufen werden dürfen, sorgte bei der einen oder anderen Datenschutzbehörde für Stirnrunzeln. Der Empfangsbereich in der Arztpraxis stellt zwar einen Schwerpunktbereich für den Datenschutz dar, da hier Unbefugte ohne die richtigen Vorkehrungen oftmals Zugriff auf sensible Daten wie z.B. Patientenakten oder andere Informationen erhalten können. Es sollte jedoch bei der Umsetzung darauf geachtet werden, dass diese praxisorientiert und nicht am Patienten vorbei erfolgt.
Der Datenschutz im Gesundheitswesen spielt auch bei Krankenkassen eine wichtige Rolle. Hier werden allerhand sensible Daten wie Einkommensnachweise, aber auch Sozialdaten (Bescheide zu Sozialleistungen der Versicherten) verarbeitet, die dem Sozialgeheimnis unterliegen. Darüber hinaus wird oft eine Vielzahl von Gesundheitsdaten im Rahmen einer Krankenhausbehandlung auf elektronischem Wege mit den Krankenhäusern ausgetauscht. Der Gesetzgeber hat in den Sozialgesetzbüchern abschließend geregelt, wann und zu welchem Zweck gesetzliche Krankenkassen Sozialdaten verarbeiten dürfen. Die Datenerhebungsbefugnisse der Krankenkassen unterliegen dem Erforderlichkeitsgrundsatz und müssen demzufolge also direkt für die Aufgabenerfüllung der Krankenkassen notwendig sein. Die erhobenen Sozialdaten sind zu löschen, sobald sie für diesen Zweck nicht mehr gebraucht werden.
Ein Drittel der Deutschen können sich laut einer Studie grundsätzlich vorstellen, gesundheits- und fitnessbezogene Daten mit ihrer Krankenkasse zu teilen, um Vorteile zu erhalten. Für Krankenkassen rückt damit zunehmend die Frage in den Fokus, ob und wie sie sich die durch Fitness‑Apps- oder Gadgets gesammelten Gesundheitsdaten ihrer Mitglieder für neue Dienstleistungen oder präventive Gesundheitsprogramme datenschutzkonform zunutze machen können.
Kompetenz von mehr als 70 Consultants
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
- GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Master of Science Informationsmanagement
- Bachelor of Science Informatik
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download