|

Datenschutzprüfung von Krankenhäusern – Fragebogen einer Aufsichtsbehörde

Aufsichtsbehörden, Datenschutz

Noch im Jahr 2020 hat eine Datenschutz-Aufsichtsbehörde einen „Fragebogen zur datenschutzrechtlichen Überprüfung der Umsetzung und Einhaltung der DSGVO“ an Krankenhäuser versendet. Der Fragebogen liegt mir in Kopie vor.

Ich sehe mal davon ab, die Kopie hier direkt zu veröffentlichen und gebe stattdessen die Fragen im Wortlaut wieder und kommentiere die Passagen ein wenig. Der Fragebogen hat insgesamt 15 Fragen bei drei Seiten.

Der Fragebogen beginnt mit allgemeinen Fragen zum Krankenhaus:

Verantwortliche/r:

Ansprechpartner/in mit Kontaktdaten für eventuelle Rückfragen:

Datenschutzbeauftragte/r (DSB) mit Kontaktdaten:

Die weiteren Fragen gliedern sich dann in diese Rubriken:

  1. Allgemeines
  2. Rechte der Betroffenen
  3. Orientierungshilfe Krankenhausinformationssvsteme (KIS)

In der Rubrik „Allgemeines“ sind acht Fragen aufgeführt:

Allgemeines

1.) Wie viele Patienten werden in Ihrem Haus im Durchschnitt pro Jahr behandelt?

Anzahl: _____________________

Die Beantwortung dieser Frage sollte für ein Krankenhaus unproblematisch möglich sein.

2.) Wie viele Beschäftigte sind bei Ihnen im Bereich Datenschutz hauptberuflich tätig und wie wird die Vertretung der oder des DSB sichergestellt?

Das ist eine im Datenschutzbereich eher unübliche Frage. Besser gesagt ist der zweite Teil der Frage unüblich. Und sie erklärt sich mir mit Blick auf die DSGVO auch nicht. Denn die Umsetzung von Datenschutz ist nach der Struktur der DSGVO nicht primär in der Hand von Datenschutzbeauftragten (DSB), sondern liegt vielmehr beim Verantwortlichen selbst. Natürlich hat eine oder ein DSB auch die Aufgabe der Anlaufstelle für die Aufsichtsbehörden. Und so kann natürlich auch die Frage der Vertretung des DSB relevant werden. Nur praktisch wird sich eine Aufsichtsbehörde primär immer direkt an den Verantwortlichen und nicht an die oder den DSB wenden.

Hinzu kommt, dass die „Vertretung“ von DSB rechtlich gar nicht richtig geregelt ist und fraglich ist, inwieweit hier eine Stellvertretung überhaupt in Betracht kommen kann.

3.) Wie und in welchen Intervallen werden Ihre Beschäftigten über den Datenschutz informiert und sensibilisiert?

Auch auf diese Frage sollten eine Antwort zu finden sein. Eine Aufsichtsbehörde würde sich hier sicher mit der Angabe zufriedengeben, dass eine Sensibilisierung in jährlichen Turnussen erfolgt. Eine unmittelbare Vorgabe zur Erforderlichkeit von regelmäßigen Sensibilisierungen ergibt sich übrigens nicht aus der DSGVO. Aber die Maßnahmen von Verantwortlichen zur Einhaltung der DSGVO sind immer am Schutzbedarf der personenbezogenen Daten und am Risiko für die betroffenen Daten zu messen. Und der Schutzbedarf von Gesundheitsdaten kann als sehr hoch klassifiziert werden. Und hieraus ergibt sich nach Art. 24 Abs. 1 DSGVO meines Erachtens schon das Erfordernis einer regelmäßigen Sensibilisierung (und nicht nur einer einmaligen). Einen jährlichen Turnus würde ich hier auch für sinnvoll halten.

Die Umsetzung muss dabei nicht zwingend in Form eines Präsenzunterrichts erfolgen. Hier kann auch „E-Learning“ zum Einsatz kommen, um die Abläufe im Krankenhaus nicht unverhältnismäßig hoch zu stören.

4.) Ist ein vollständiges Verzeichnis über die Verarbeitungstätigkeiten (VVT) vorhan­den, welches den Anforderungen aus Art. 30 DS-GVO entspricht?
□ Ja. Anzahl der Verarbeitungstätigkeiten: ___________

□ Nein. Grund: ___________________

Wer hier „Nein“ ankreuzt, würde automatisch einen Verstoß gegen die DSGVO einräumen. Hier ist also schon fraglich, ob es sich um eine Frage handelt, auf die ich antworten müsste. Besser wäre, wenn die Aufsichtsbehörde nach der Anzahl der Verarbeitungen im Verarbeitungsverzeichnis gefragt hätte.

Bei der Beantwortung ist hier auf jeden Fall schon einmal „Vorsicht“ geboten.

5.) In welchem Zeitraum erfolgt eine Überprüfung des VVT auf Aktualität und wer ist mit der Prüfung beauftragt?

Die Frage zielt in Richtung „Datenschutzmanagement“ und die kontinuierliche Überprüfung und Anpassung von Maßnahmen. Die richtige Antwort wäre bzgl. der „Prüfung“ übrigens, dass es der DSB macht. Im Hinblick auf die Aktualität wäre wünschenswert, dass es im Krankenhaus ein „Datenschutzteam“ (DST) gibt, die die Umsetzung der datenschutzrechtlichen Vorschriften im Krankenhaus plant, umsetzt, regelmäßig im Hinblick auf ihre Wirksamkeit überprüft und dann entsprechend anpasst. Klassisches Qualitätsmanagement – nur eben bezogen auf „Datenschutz“.

6.) Bitte übersenden Sie mir den Auszug aus dem VVT welcher die Aufbewahrung und Löschung von Patientenakten betrifft.

Die Fragestellung ist eindeutig. Worauf die Aufsichtsbehörde hier hinaus will, dürfte auf der Hand liegen. Es geht darum, dass überhaupt Aufbewahrung- und Löschfristen festgelegt sind. Dies muss übrigens nicht zwingen allein im Verarbeitungsverzeichnis erfolgen. Im Verarbeitungsverzeichnis sollte aber etwas zu vorgesehenen Fristen für die Löschung von Daten der jeweiligen Verarbeitung zu finden sein. Ist das nicht der Fall, dann sollten die Ärmel hochgekrempelt und das Verarbeitungsverzeichnis überarbeitet werden.

7.) Bitte übersenden Sie die Arbeitsanweisung hinsichtlich einer Meldung einer Datenschutzverletzung nach Art. 33 DSGVO. Sofern nicht in der Arbeitsanweisung enthalten, schildern Sie bitte den internen Ablauf der Meldewege, der Prüfung der Risikoeinschätzung nach Art. 33 und Art. 34 DSGVO. Benennen Sie die für die je­weiligen Schritte verantwortlichen Personengruppen.

Und die zweite Frage, die sich auf das „Datenschutzmanagement“ bezieht. Freuen können sich hier die Krankenhäuser, die eine Richtlinie für ein „Incident Management“ haben, die auch Datenschutzverletzungen nach Art. 33, 34 DSGVO beinhaltet.

8.) Wie stellen Sie sicher, dass die Versendung von Patientendaten an die richtigen Adressaten erfolgt und jedem Patienten nur die eigenen Unterlagen übermittelt wer­den? In welchem Abstand finden diesbezüglich Stichprobenprüfungen oder Schulun­gen statt?

Idealerweise wird der Versand von Daten über das Krankenhausinformationssystem „angetriggert“, in dem die korrekten Patientendaten hinterlegt sein sollten. So kann ein Fehlversand minimiert werden. Konkrete Stichproben bzgl. des Versands sind meiner Meinung nach aus der DSGVO heraus nicht gefordert. Eine Sensibilisierung der Beschäftigten würde ich insoweit aber auch erwarten.

Rechte der Betroffenen

Für die Rechte der Betroffenen hat sich die Aufsichtsbehörde zwei Fragen überlegt:

9.) Wie erfüllen Sie die Informationspflichten nach Art. 13 und Art. 14 DSGVO ge­genüber den Patientinnen und Patienten bei der stationären Aufnahme ins Kranken­haus? Fügen Sie bitte ein Muster der ausführlichen Information bei.

Aus meiner Erfahrung mit Krankenhäusern kann ich nur dringend empfehlen, den Aufnahmebogen und die Informationen vorab noch einmal kritisch zu sichten. Häufig werden hier Einwilligungen mit zur Patientenbehandlung erforderlichen Gesundheitsdaten vermengt. Auch die Erhebung von Patientendaten über Begleitpersonen (z.B. Ehegatten) kann ein Problem darstellen.

Der Aufnahmebogen sollte einfach noch einmal selbst gelesen und hinterfragt werden. Ich persönlich habe in der Praxis noch keinen Aufnahmebogen eines Krankenhauses gesehen, der einer strikten datenschutzrechtlichen Prüfung fehlerfrei standgehalten hätte.

10.) Beschreiben Sie den Prozess / den Ablauf des Verfahrens des Auskunftsrechts nach Art. 15 Absätze 1 bis 3 i.V.m. Art. 12 Absätze 3, 5 und 6 DSGVO gegenüber einer Patientin / einem Patienten.

Gut ist natürlich, wenn es überhaupt einen entsprechenden Prozess gibt. Idealerweise sind auch hier die Zuständigkeiten und Abläufe in einer Richtlinie geregelt. Auskunftsersuchen gehören zu den Bereichen, in denen es regelmäßig Ärger bzgl. der Einhaltung der DSGVO gibt. Und sehr häufig wenden sich unzufriedene Betroffene in diesen Verfahren dann auch an Aufsichtsbehörden. Krankenhäuser sollten den internen Aufwand, der durch eine Kommunikation mit einer Aufsichtsbehörde entstehen kann, nicht unterschätzen.

Orientierungshilfe Krankenhausinformationssvsteme (KIS)

Die Benennung der Überschrift dieses Abschnitts durch die Aufsichtsbehörde ist etwas verwirrend. Soll hier etwas Bezug genommen werden auf die veraltete „Orientierungshilfe Krankenhausinformationssysteme“ (PDF), die kurz „OH-KIS“ genannt wird und immer noch in der 2. Version aus dem Jahr 2014 (also vor DSGVO) vorliegt? Soll die nachfolgenden Fragen ggf. für ein Update der OH-KIS verwendet werden?

Vielleicht verraten uns die Aufsichtsbehörden das später einmal.

Für den KIS-Bereich gibt es jedenfalls diese Fragen:

11.) Welches KIS (Hersteller und Version) wird zur Patientenverwaltung eingesetzt?

12.) Wie erfolgt die Benutzeranmeldung, der Zugang zum KIS am PC? Bitte schil­dern Sie das Verfahren am Beispiel der Authentifizierung der Ärztinnen und Ärzte im Stationsbereich. Erfolgt eine automatische Sperrung der Bildschirme und wenn ja, nach welcher Zeit?

13.) Stellen Sie die Abgrenzungskriterien des „Rechte- und Rollenkonzepts“ im KIS dar. Beschreiben Sie die praktische Umsetzung für einen Bereich des Krankenhau­ ses, zum Beispiel bei der Patientenaufnahme (ohne Notfallaufnahme).

14.) Ist im KIS ein Sonderzugriff im Notfall für alle Ärztinnen und Ärzte möglich? Wenn ja, wie wird auf die Nutzung des Sonderzugriffs hingewiesen, wie erfolgt die Protokollierung und in welchen Abständen erfolgt eine Kontrolle? Ist aufgrund der Pandemie eine Häufung der Nutzung des Sonderzugriffs festzustellen?

15.) Nach Abschluss des Behandlungsfalles (incl. Abrechnung) ist die Verarbeitung der Patientenakten einzuschränken. Stellen Sie dar, wie die Einschränkung der Ver­arbeitung erfolgt und nach Ablauf welcher Frist.

Ich denke, dass die „Stoßrichtung“ dieser Fragen den IT-lerinnen und IT-lern im Krankenhaus einigermaßen klar sein sollte. Die Beantwortung dürfte daher kein „Hexenwerk“ sein.

Fazit

Die Krankenhäuser, die so einen Fragebogen erhalten haben oder erhalten, werden diese mit einem überschaubaren Aufwand beantworten können, wenn sie im Datenschutzbereich ein Datenschutzmanagementsystem (DSMS) eingeführt haben. Dabei muss dieses DSMS keine bestimmten Standards entsprechen. Für den Fragebogen wäre primär entscheidend, dass es Richtlinien oder zumindest festgelegte Prozesse gibt, die die Umsetzung der datenschutzrechtlichen Vorschriften bewirken oder zumindest begleiten.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.