·

Technologieadoption

Gesundheitswesen

Kliniker

DSGVO (GDPR)-Konformität im Gesundheitswesen: ein praktischer Leitfaden für Behandler

DSGVO (GDPR)-Pflichten für Behandler verstehen: Rechtsgrundlagen, Patientenrechte, Datenaustausch, KI-Tools und praktische Schritte zur Einhaltung im klinischen Alltag

Gesundheitsfachkraft gewährleistet Patientendatenschutz und Sicherheit

Die Pflichten aus der Datenschutz-Grundverordnung (DSGVO) betreffen jede Person, die mit Patientendaten arbeitet – nicht nur Information-Governance-Teams oder Rechtsabteilungen. Für Behandler in der hausärztlichen Versorgung, der stationären Versorgung und der privatärztlichen Behandlung bringen Routinetätigkeiten wie das Verfassen klinischer Notizen, das Versenden von Überweisungen oder die Nutzung eines KI-Medizinassistenten von Drittanbietern jeweils spezifische rechtliche Verantwortlichkeiten mit sich. Diese Verantwortlichkeiten in der Praxis zu verstehen, ist wichtig, insbesondere da digitale Gesundheitstools, Videosprechstunden und grenzüberschreitende Datenflüsse zu Standardmerkmalen der klinischen Arbeit werden.

Warum Gesundheitsdaten unter der DSGVO besonderen Schutz genießen

Nach Artikel 9 der DSGVO werden Gesundheitsdaten als „besondere Kategorie“ personenbezogener Daten eingestuft und genießen ein höheres rechtliches Schutzniveau als normale personenbezogene Informationen wie Name oder Adresse. Diese Einstufung spiegelt die besondere Sensibilität medizinischer Informationen und das Potenzial für schwerwiegende Schäden wider, einschließlich Diskriminierung, Stigmatisierung oder finanzieller Nachteile, wenn sie ohne Genehmigung offengelegt werden.

In der Praxis bedeutet dies, dass die Verarbeitung von Gesundheitsdaten nicht nur eine Rechtsgrundlage nach Artikel 6 erfordert (die für alle personenbezogenen Daten gilt), sondern auch eine separate, zusätzliche Voraussetzung nach Artikel 9 Absatz 2. Für Behandler sind die wichtigsten dieser Voraussetzungen die medizinische Behandlung und der Bereich der öffentlichen Gesundheit.

Der Europäische Datenschutzbeauftragte hat wiederholt betont, dass der Status als besondere Kategorie auch erfordert, dass Organisationen Privacy-by-Design-Prinzipien und robuste Schutzmaßnahmen umsetzen. Dies gilt nicht nur, um aktiven Missbrauch zu verhindern, sondern auch, um diskriminierende Profilbildung zu vermeiden und Daten während ihres gesamten Lebenszyklus zu schützen – auch in innovationsgetriebenen Prozessen wie klinischen Studien und mobilen Gesundheitsanwendungen.

Eine peer-reviewte vergleichende Analyse aus dem Jahr 2025 bestätigte, dass die DSGVO umfassende Rechenschaftsmaßnahmen für medizinische Daten vorschreibt und dass Gesundheitsinformationen zusätzlichen ethischen und beruflichen Schutzmaßnahmen unterliegen, die über die für normale personenbezogene Daten unter vergleichbaren Rahmenwerken wie HIPAA (Health Insurance Portability and Accountability Act) hinausgehen.

Die Rechtsgrundlagen, die Behandler tatsächlich nutzen

Die meiste klinische Datenverarbeitung in direkten Versorgungssituationen stützt sich auf eine von zwei primären Rechtsgrundlagen:

  • Artikel 9 Absatz 2 Buchstabe h DSGVO – Verarbeitung, die für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist. Dies ist die Hauptgrundlage für routinemäßige klinische Dokumentation, Überweisungen und multidisziplinäre Teambesprechungen.

  • Artikel 6 Absatz 1 Buchstabe c – Verarbeitung, die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (zum Beispiel die Meldepflicht für meldepflichtige Krankheiten).

  • Artikel 6 Absatz 1 Buchstabe e – Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Dies gilt hauptsächlich für das öffentliche Gesundheitswesen und öffentlich finanzierte Gesundheitseinrichtungen.

Wie heyDatas Compliance-Leitfaden für Arztpraxen anmerkt, ist eine ausdrückliche Einwilligung nicht immer erforderlich. Medizinische Notwendigkeit und rechtliche Verpflichtung sind in den meisten direkten Versorgungsszenarien gültige und angemessene Alternativen. Behandler müssen von einem Patienten kein separates DSGVO-Einwilligungsformular einholen, bevor sie eine klinische Notiz verfassen oder einen Entlassbrief an einen anderen behandelnden Arzt senden.

Patienteneinwilligung in klinischen Situationen: Wann Sie sie brauchen und wann nicht

Eines der hartnäckigsten Missverständnisse in klinischen Situationen ist, dass die DSGVO für jede Datenverarbeitung eine ausdrückliche Patienteneinwilligung erfordert. In der direkten Versorgung ist dies nicht der Fall. Dratas Healthcare-Compliance-Leitfaden macht deutlich, dass die Einwilligung nur eine von mehreren gültigen Rechtsgrundlagen ist und dass sie in vielen klinischen Kontexten nicht die angemessenste ist.

Die Einwilligung nach der DSGVO muss freiwillig, spezifisch, informiert und unmissverständlich sein. In einer klinischen Beziehung, in der ein inhärentes Machtungleichgewicht zwischen Patient und Behandler besteht, kann es problematisch sein, sich bei routinemäßigen Behandlungsdaten auf die Einwilligung als primäre Rechtsgrundlage zu stützen. Patienten könnten das Gefühl haben, nicht ablehnen zu können, ohne ihre Versorgung zu gefährden.

Die Einwilligung ist die angemessene Rechtsgrundlage, wenn:

  • Daten für Forschungszwecke verarbeitet werden, die nicht von einem separaten Forschungsethik-Rahmen abgedeckt sind

  • Patientendaten für Marketing oder kommerzielle Kommunikation verwendet werden

  • Identifizierbare Daten mit Dritten außerhalb des direkten Versorgungsteams für Zwecke geteilt werden, die nicht mit der Behandlung zusammenhängen

  • Optionale digitale Gesundheitstools eingesetzt werden, die personenbezogene Daten über das klinisch Notwendige hinaus verarbeiten

Für routinemäßige klinische Dokumentation, Überweisungen, Entlassbriefe und multidisziplinäre Kommunikation bietet Artikel 9 Absatz 2 Buchstabe h die Rechtsgrundlage ohne separate Einwilligung, sofern die Verarbeitung für den klinischen Zweck notwendig und verhältnismäßig ist.

Was in einem klinischen Kontext als DSGVO-Verstoß gilt

Eine Verletzung des Schutzes personenbezogener Daten wird unter der DSGVO definiert als jede versehentliche oder unrechtmäßige Vernichtung, jeder Verlust, jede Veränderung, jede unbefugte Offenlegung von oder jeder unbefugte Zugang zu personenbezogenen Daten. Im Gesundheitswesen resultieren Verstöße oft nicht aus externen Cyberangriffen, sondern entstehen aus alltäglichen klinischen Arbeitsabläufen.

Häufige Beispiele, die in der klinischen Praxis auftreten, sind:

  • Fehlgeleitete Patientenbriefe – das Versenden eines Briefes mit klinischen Informationen an die falsche Adresse oder das Anhängen der Unterlagen des falschen Patienten an eine E-Mail

  • Ungesicherter Zugang zum Praxisverwaltungssystem – das Verlassen einer klinischen Workstation im angemeldeten Zustand in einer gemeinsam genutzten Umgebung

  • Mündliche Offenlegungen in öffentlichen Räumen – das Besprechen identifizierbarer Patienteninformationen in Fluren, Wartebereichen oder am Telefon, wo andere mithören können

  • Weitergabe von Unterlagen ohne Genehmigung – das Weiterleiten von Patientendaten an Dritte (einschließlich Familienangehörige) ohne dokumentierte Rechtsgrundlage

  • Nutzung nicht konformer KommunikationstoolsVerbraucherplattformen wie Zoom oder WhatsApp sind nicht geeignet für die Übermittlung identifizierbarer klinischer Informationen, da sie die Sicherheits- und Datenverarbeitungsanforderungen der DSGVO nicht erfüllen

Nach der DSGVO müssen Verstöße, die wahrscheinlich zu einem Risiko für Einzelpersonen führen, innerhalb von 72 Stunden, nachdem die Organisation davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde gemeldet werden. Verstöße, die ein hohes Risiko für Einzelpersonen darstellen, müssen auch direkt den Betroffenen mitgeteilt werden. GDPR Registers Healthcare-Leitfaden weist darauf hin, dass diese 72-Stunden-Frist beginnt, wenn die Organisation (nicht unbedingt der einzelne Behandler) erstmals Kenntnis erlangt, was eine umgehende interne Meldung unerlässlich macht.

Weitergabe von Patientendaten: Überweisungen, Entlassbriefe und Dritte

Die Weitergabe von Patientendaten innerhalb eines direkten Versorgungsteams, einschließlich zwischen Hausärzten, Fachärzten, Pflegefachkräften und anderen Gesundheitsberufen, die an der Behandlung eines Patienten beteiligt sind, ist im Allgemeinen nach Artikel 9 Absatz 2 Buchstabe h rechtmäßig, sofern die Weitergabe für den klinischen Zweck notwendig und verhältnismäßig ist. Das operative Prinzip lautet „Need-to-know“: Nur die Informationen, die für die Rolle des empfangenden Behandlers in der Patientenversorgung relevant sind, sollten weitergegeben werden.

In der Praxis bedeutet dies:

  • Ein Überweisungsschreiben sollte die klinischen Informationen enthalten, die der empfangende Facharzt benötigt, nicht die gesamte Krankengeschichte des Patienten

  • Ein Entlassbrief sollte an den Hausarzt und relevante Mitglieder des Versorgungsteams gesendet werden, nicht ohne klinische Rechtfertigung breiter verteilt werden

  • Die Weitergabe von Unterlagen an den Arbeitgeber, Versicherer oder Anwalt eines Patienten erfordert eine ausdrückliche Patienteneinwilligung oder eine separate Rechtsgrundlage

Bei der Weitergabe von Daten an Drittsysteme, einschließlich Praxisverwaltungssystemen, Diagnoselaboren oder Telemedizindiensten, muss eine Auftragsverarbeitungsvereinbarung vorliegen, bevor Daten übertragen werden. Dies ist eine vertragliche Anforderung nach Artikel 28 DSGVO, und das Fehlen einer solchen Vereinbarung stellt einen Compliance-Verstoß dar, unabhängig davon, ob ein Datenschutzverstoß eintritt.

Eine Benachrichtigung des Patienten ist im Allgemeinen nicht erforderlich für die Weitergabe innerhalb des direkten Versorgungsteams, sofern die Datenschutzerklärung der Organisation, die Patienten bei der Registrierung oder beim ersten Kontakt erhalten, genau beschreibt, wie ihre Daten für Behandlungszwecke verwendet werden.

DSGVO und klinische KI-Tools: Was Behandler fragen sollten, bevor sie sie nutzen

Der Einsatz von KI-Medizinassistenten, Ambient Voice Technology und anderer klinischer Software von Drittanbietern bringt spezifische DSGVO-Verpflichtungen mit sich, die Behandler und ihre Organisationen vor der Einführung (nicht erst danach) berücksichtigen müssen.

Jedes Tool, das Patientendaten im Auftrag einer Gesundheitseinrichtung verarbeitet, ist ein Auftragsverarbeiter nach der DSGVO. Das bedeutet, dass die Gesundheitseinrichtung (als Verantwortlicher) sicherstellen muss, dass:

  • Eine Auftragsverarbeitungsvereinbarung mit dem Anbieter besteht

  • Der Anbieter Daten nur auf dokumentierte Anweisungen des Verantwortlichen verarbeitet

  • Angemessene technische und organisatorische Sicherheitsmaßnahmen vorhanden sind, einschließlich Verschlüsselung, Zugriffskontrollen und Audit-Protokollierung

  • Die Datenhaltung in der EU klar geregelt ist, was besonders relevant ist für EU-basierte Organisationen, bei denen Patientendaten, die von einem Anbieter mit Servern außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, zusätzliche Übermittlungsschutzmaßnahmen erfordern können

Eine peer-reviewte Überprüfung von KI-gestützten Gesundheitsgeräten ergab, dass Governance-Rahmenwerke für klinische KI Datenminimierung, Zweckbindung und Rechenschaftsmechanismen als Kernanforderungen adressieren müssen.

Forschung zum datenschutzwahrenden KI-Einsatz in klinischen Umgebungen hat gezeigt, dass lokale, offline arbeitende KI-Systeme strenge Datenschutzanforderungen einhalten und gleichzeitig klinischen Nutzen bieten können. Dieser Ansatz kann grenzüberschreitende Übermittlungsrisiken im Zusammenhang mit cloudbasierter Verarbeitung reduzieren, abhängig von der spezifischen Architektur und dem Bereitstellungsmodell des jeweiligen Tools.

Vor der Einführung eines klinischen KI-Tools sollten Behandler und ihre Organisationen folgende Fragen stellen:

  • Wo werden Patientendaten verarbeitet und gespeichert? Innerhalb des EWR oder umfasst die Verarbeitung Drittlandübermittlungen?

  • Verfügt der Anbieter über eine ISO 27001-Zertifizierung oder einen gleichwertigen anerkannten Sicherheitsstandard? ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagement.

  • Wurde eine Datenschutz-Folgenabschätzung durchgeführt? Die DSGVO verlangt eine Datenschutz-Folgenabschätzung (eine strukturierte Bewertung von Datenschutzrisiken) für jede Verarbeitung, die wahrscheinlich zu einem hohen Risiko führt, was die großflächige Verarbeitung von Gesundheitsdaten durch KI-Systeme einschließt.

  • Was ist die Datenaufbewahrungs- und Löschrichtlinie des Anbieters? Können Daten auf Anfrage gelöscht werden, und ist dies dokumentiert?

  • Ist das Tool als Medizinprodukt registriert, sofern dies nach der EU-Medizinprodukteverordnung erforderlich ist?

Dratas Leitfaden weist darauf hin, dass eine Datenschutz-Folgenabschätzung als lebendes Dokument behandelt werden sollte, das überprüft und aktualisiert wird, wann immer sich die Verarbeitungstätigkeit wesentlich ändert (und nicht nur einmal bei der Beschaffung ausgefüllt und dann abgelegt wird).

Viele klinische Umgebungen arbeiten unter Zeit- und Ressourcendruck, der eine gründliche Anbieterprüfung erschwert. In diesen Kontexten müssen Organisationen möglicherweise einen risikobasierten Ansatz priorisieren und die strengste Prüfung auf Tools anwenden, die die sensibelsten Daten im größten Umfang verarbeiten.

Patientenrechte, denen Behandler wahrscheinlich begegnen

Patienten haben nach der DSGVO eine definierte Reihe von Rechten, die Gesundheitseinrichtungen rechtlich verpflichtet sind zu ermöglichen. Die Rechte, denen in der klinischen Praxis am häufigsten begegnet wird, sind:

Auskunftsrecht (Auskunftsersuchen der betroffenen Person): Patienten haben Anspruch darauf, innerhalb eines Monats nach Antragstellung eine Kopie ihrer personenbezogenen Daten, einschließlich klinischer Unterlagen, zu erhalten. Diese Frist kann bei komplexen oder zahlreichen Anträgen um weitere zwei Monate verlängert werden, mit Benachrichtigung des Patienten. Behandler sollten sich bewusst sein, dass Auskunftsersuchen auch dann erfüllt werden müssen, wenn die Informationen klinisch sensibel sind, wobei Informationen Dritter (wie Details über andere Patienten) geschwärzt werden sollten.

Recht auf Berichtigung: Patienten können die Korrektur unrichtiger personenbezogener Daten verlangen. In einem klinischen Kontext könnte dies bedeuten, einen sachlichen Fehler in einer Akte zu korrigieren, berechtigt einen Patienten aber nicht dazu, die berufliche Meinung oder das klinische Urteil eines Behandlers ändern zu lassen.

Recht auf Löschung („Recht auf Vergessenwerden“): Dieses Recht ist im Gesundheitswesen erheblich eingeschränkt. GDPR Registers Branchenleitfaden bestätigt, dass das Recht auf Löschung nicht gilt, wenn die Verarbeitung für die Bereitstellung von Gesundheitsversorgung notwendig ist oder wenn die Aufbewahrung gesetzlich vorgeschrieben ist, was bei klinischen Unterlagen fast immer der Fall ist. Patienten können nicht die Löschung ihrer Krankenakten während der geltenden Aufbewahrungsfrist verlangen.

Recht auf Datenübertragbarkeit: Patienten haben das Recht, ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten. Dies ist in digitalen Gesundheitskontexten relevant und wird zunehmend wichtiger, da patientenzentrierte Portale und Apps häufiger werden.

Datenminimierung in der klinischen Dokumentation

Das Prinzip der Datenminimierung, festgelegt in Artikel 5 Absatz 1 Buchstabe c DSGVO, erfordert, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Für Behandler hat dies direkte Auswirkungen darauf, wie klinische Notizen verfasst und strukturiert werden.

In der Praxis bedeutet Datenminimierung:

  • Die Aufzeichnung der klinischen Informationen, die notwendig sind, um eine sichere, kontinuierliche Versorgung zu gewährleisten, nicht umfassende biografische oder soziale Details, die klinisch nicht relevant sind

  • Die Vermeidung der routinemäßigen Aufnahme von Informationen Dritter (wie Details über Familienangehörige), es sei denn, sie sind direkt für das klinische Bild relevant

  • Die Verwendung strukturierter Vorlagen, die zu relevanten Feldern auffordern, anstatt Freitexteinträge, die überflüssige persönliche Informationen erfassen könnten

  • Die Überprüfung, welche Daten von Praxisverwaltungssystemen vorab ausgefüllt oder automatisch erfasst werden, und die Sicherstellung, dass sie einen echten klinischen Bedarf widerspiegeln

DPO Consultings Healthcare-Leitfaden 2025 identifiziert Datenminimierung neben Zweckbindung als zwei der am häufigsten übersehenen Prinzipien in klinischen Umgebungen, insbesondere in Organisationen, die von papierbasierter zu digitaler Dokumentation übergehen, wo die Leichtigkeit der Erfassung zusätzlicher Daten die klinische Rechtfertigung dafür überholen kann.

Aufbewahrungsfristen für klinische Unterlagen in Europa

Die DSGVO schreibt keine spezifischen Aufbewahrungsfristen für klinische Unterlagen vor. Diese werden durch nationales Gesundheitsrecht bestimmt, das in diesem Bereich Vorrang hat. Die DSGVO verlangt jedoch, dass Daten nicht länger aufbewahrt werden als für ihren Zweck notwendig und dass Aufbewahrungsfristen im Verzeichnis von Verarbeitungstätigkeiten der Organisation dokumentiert werden.

Beispielhafte nationale Aufbewahrungsanforderungen umfassen:

  • England (NHS): Patientenakten von Erwachsenen müssen im Allgemeinen mindestens acht Jahre nach dem letzten Eintrag aufbewahrt werden. Unterlagen zu Kindern müssen bis zum 25. Geburtstag des Patienten oder acht Jahre nach dem Tod aufbewahrt werden, je nachdem, was später eintritt.

  • Deutschland: Klinische Unterlagen unterliegen Aufbewahrungspflichten nach § 630f BGB (zehn Jahre für Krankenakten) und zusätzlichen sektoralen Vorschriften. Kiteworks' Analyse 2026 weist darauf hin, dass Deutschland auch strafrechtliche Haftung nach § 203 StGB für unrechtmäßige Offenlegung von Patientendaten durch Angehörige der Heilberufe vorsieht.

  • Frankreich: Unterlagen werden nach dem Code de la Santé Publique aufbewahrt, mit einem allgemeinen Minimum von zwanzig Jahren ab der letzten Versorgungsepisode.

  • Niederlande: Die WGBO (Wet op de geneeskundige behandelingsovereenkomst) erfordert eine Aufbewahrung von mindestens zwanzig Jahren ab dem Datum der Aufzeichnung.

Die praktische Konsequenz für Behandler ist, dass das Recht auf Löschung, selbst wenn es von einem Patienten gültig geltend gemacht wird, gesetzliche Aufbewahrungspflichten nicht außer Kraft setzen kann. Ein Patient, der die Löschung seiner Krankenakten während der geltenden Aufbewahrungsfrist verlangt, kann auf dieser Grundlage rechtmäßig abgelehnt werden, sofern die Ablehnung klar und innerhalb der erforderlichen Frist mitgeteilt wird.

Kiteworks' Forschung hat in den letzten Jahren Korrekturmaßnahmen nationaler Gesundheitsaufsichtsbehörden in ganz Europa dokumentiert, die aus Compliance-Lücken resultieren, welche die DSGVO allein nicht adressiert. Dies ist eine Erinnerung daran, dass nationales Recht neben der Verordnung selbst verstanden werden muss.

Wer ist verantwortlich: Verantwortlicher vs. Auftragsverarbeiter im Gesundheitswesen

Das Verständnis der Unterscheidung zwischen einem Verantwortlichen und einem Auftragsverarbeiter ist wesentlich für die Rechenschaftspflicht und für fundierte Entscheidungen über Anbieterauswahl und Einführung klinischer Tools.

Verantwortlicher: Die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Im Gesundheitswesen ist dies typischerweise der NHS Trust, die Hausarztpraxis, das Krankenhaus oder die Privatklinik, nicht der einzelne Behandler. Der Verantwortliche trägt die primäre rechtliche Verantwortung für die DSGVO-Compliance.

Auftragsverarbeiter: Jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies umfasst Anbieter von Praxisverwaltungssystemen, Diagnoselabore, Cloud-Speicheranbieter, KI-Tool-Anbieter und Telemedizinplattformen. Auftragsverarbeiter dürfen nur auf dokumentierte Anweisungen des Verantwortlichen handeln und unterliegen bindenden vertraglichen Verpflichtungen nach Artikel 28 DSGVO.

Die Unterscheidung ist aus mehreren praktischen Gründen wichtig:

  • Rechenschaftspflicht: Wenn ein Auftragsverarbeiter einen Verstoß erleidet, kann der Verantwortliche dennoch haftbar gemacht werden, wenn er keine angemessene Due Diligence durchgeführt oder sichergestellt hat, dass angemessene vertragliche Schutzmaßnahmen vorhanden waren.

  • Anbieterauswahl: Die Wahl eines Auftragsverarbeiters, der über eine ISO 27001-Zertifizierung verfügt, eine klare Datenhaltungsrichtlinie hat und die Einhaltung der Auftragsverarbeiterpflichten der DSGVO nachweisen kann, ist eine Verantwortung auf Seiten des Verantwortlichen.

  • Unterauftragsverarbeiter: Auftragsverarbeiter können Unterauftragsverarbeiter einsetzen (zum Beispiel einen Cloud-Infrastrukturanbieter, der von einem KI-Anbieter genutzt wird), aber nur mit Genehmigung des Verantwortlichen, und der Auftragsverarbeiter bleibt für die Compliance des Unterauftragsverarbeiters haftbar.

Accountable HQs Checkliste 2026 empfiehlt, dass Organisationen ein aktuelles Anbieterregister führen und regelmäßige Überprüfungen aller aktiven Auftragsverarbeitungsvereinbarungen durchführen, einschließlich Verfahren zum Offboarding von Anbietern, um sicherzustellen, dass Daten gelöscht oder zurückgegeben werden, wenn ein Vertrag endet.

Praktische Schritte, die Behandler unternehmen können, um täglich konform zu bleiben

DSGVO-Compliance in der klinischen Praxis erfordert keine Rechtsexpertise. Sie erfordert konsistente Gewohnheiten und Bewusstsein dafür, wo Risiken entstehen. Die folgenden Schritte spiegeln die Verpflichtungen wider, die für einzelne Behandler am direktesten relevant sind.

Sicherer Zugang und Authentifizierung

  • Melden Sie sich immer von klinischen Workstations ab oder sperren Sie diese, wenn Sie den Arbeitsplatz verlassen, auch nur kurz

  • Teilen Sie niemals Anmeldedaten mit Kolleginnen und Kollegen, auch nicht in Stresssituationen

  • Verwenden Sie nur von der Organisation genehmigte Geräte und Netzwerke, um auf Patientenakten zuzugreifen

Datenweitergabe und Kommunikation

  • Geben Sie nur die minimal notwendigen Informationen weiter, wenn Sie überweisen, eskalieren oder mit Kolleginnen und Kollegen kommunizieren

  • Verwenden Sie keine privaten E-Mail-Konten, Verbraucher-Messaging-Apps oder nicht genehmigte Plattformen zur Übermittlung von Patientendaten

  • Überprüfen Sie den Empfänger, bevor Sie eine Patientenkommunikation senden, da fehlgeleitete Korrespondenz eine der häufigsten Verstoßarten im Gesundheitswesen ist

Umgang mit Patientenrechtsanfragen

  • Seien Sie sich bewusst, dass Patienten Auskunftsersuchen mündlich oder schriftlich stellen können, und protokollieren sowie eskalieren Sie diese umgehend an den zuständigen Information-Governance-Kontakt

  • Ignorieren oder verzögern Sie Auskunftsersuchen nicht. Die einmonatige Antwortfrist beginnt sofort

  • Verstehen Sie, dass Löschanträge für klinische Unterlagen während der gesetzlichen Aufbewahrungsfrist im Allgemeinen abgelehnt werden können, aber formell beantwortet werden müssen

Bewertung neuer klinischer Tools

  • Bestätigen Sie vor der Einführung jeder Drittsoftware, die Patientendaten verarbeitet, dass eine Auftragsverarbeitungsvereinbarung vorliegt und eine Datenschutz-Folgenabschätzung durchgeführt wurde

  • Fragen Sie Anbieter direkt nach Datenhaltung, Unterauftragsverarbeitern und Sicherheitszertifizierungen

  • Eskalieren Sie an Ihren Information-Governance- oder Datenschutzbeauftragten, wenn diese Fragen nicht klar beantwortet werden können

Dokumentation und Schulung

  • Machen Sie sich mit der Datenschutzerklärung und der Datenaufbewahrungsrichtlinie Ihrer Organisation vertraut, da diese die Grenzen der rechtmäßigen Verarbeitung in Ihrer Umgebung definieren

  • Nehmen Sie an Datenschutzschulungen teil, einschließlich szenariobasierter Übungen zur Identifizierung und Reaktion auf Verstöße

  • Wenn Sie unsicher sind, ob eine bestimmte Datenweitergabe oder Verarbeitungstätigkeit rechtmäßig ist, holen Sie vor dem Fortfahren Rat beim Datenschutzbeauftragten Ihrer Organisation ein

Die regulatorische Landschaft für Gesundheitsdaten entwickelt sich weiter, wobei der Europäische Gesundheitsdatenraum-Rahmen neue Instrumente für Datenaustausch und Governance einführt, die mit bestehenden DSGVO-Verpflichtungen auf Weisen interagieren werden, die nationale Aufsichtsbehörden und Gerichte noch interpretieren. Über Entwicklungen sowohl auf EU- als auch auf nationaler Ebene informiert zu bleiben, ist zunehmend Teil verantwortungsvoller klinischer Praxis – keine Aufgabe, die vollständig an Compliance-Teams delegiert werden kann.

Häufig gestellte Fragen

▶ Warum erhalten Gesundheitsdaten unter der DSGVO einen stärkeren Schutz als andere personenbezogene Daten?

Nach Artikel 9 der Datenschutz-Grundverordnung werden Gesundheitsdaten als „besondere Kategorie“ personenbezogener Daten eingestuft. Dies spiegelt die besondere Sensibilität medizinischer Informationen und das Potenzial für schwerwiegende Schäden wider, einschließlich Diskriminierung, Stigmatisierung oder finanzieller Nachteile, wenn sie ohne Genehmigung offengelegt werden. Die Verarbeitung von Gesundheitsdaten erfordert die Erfüllung einer Rechtsgrundlage nach Artikel 6 und einer separaten zusätzlichen Voraussetzung nach Artikel 9 Absatz 2. Normale personenbezogene Daten wie Name oder Adresse erfordern nur die Rechtsgrundlage nach Artikel 6.

▶ Benötigen Behandler eine Patienteneinwilligung, bevor sie klinische Notizen verfassen oder eine Überweisung senden?

Nein. Für routinemäßige klinische Dokumentation, Überweisungen, Entlassbriefe und multidisziplinäre Kommunikation bietet Artikel 9 Absatz 2 Buchstabe h der DSGVO eine Rechtsgrundlage ohne separate Patienteneinwilligung. Die Einwilligung nach der DSGVO muss freiwillig, spezifisch, informiert und unmissverständlich sein. In einer klinischen Beziehung, in der ein inhärentes Machtungleichgewicht besteht, kann es problematisch sein, sich bei routinemäßigen Behandlungsdaten auf die Einwilligung als primäre Grundlage zu stützen. Die Einwilligung ist angemessener für Forschung, Marketing oder die Weitergabe von Daten an Dritte außerhalb des direkten Versorgungsteams für Zwecke, die nicht mit der Behandlung zusammenhängen.

▶ Was gilt in einer klinischen Umgebung als DSGVO-Verstoß?

Eine Verletzung des Schutzes personenbezogener Daten umfasst jede versehentliche oder unrechtmäßige Vernichtung, jeden Verlust, jede Veränderung, jede unbefugte Offenlegung von oder jeden unbefugten Zugang zu personenbezogenen Daten. Im Gesundheitswesen umfassen häufige Beispiele das Versenden eines Patientenbriefs an die falsche Adresse, das Verlassen einer klinischen Workstation im angemeldeten Zustand, das Besprechen identifizierbarer Patienteninformationen in einem Flur oder Wartebereich und die Verwendung von Verbraucherplattformen wie Zoom oder WhatsApp zur Übermittlung klinischer Informationen. Verstöße, die wahrscheinlich zu einem Risiko für Einzelpersonen führen, müssen innerhalb von 72 Stunden, nachdem die Organisation davon Kenntnis erlangt hat, der zuständigen Aufsichtsbehörde gemeldet werden.

▶ Welche DSGVO-Verpflichtungen gelten bei der Weitergabe von Patientendaten an andere Behandler?

Die Weitergabe von Patientendaten innerhalb eines direkten Versorgungsteams ist im Allgemeinen nach Artikel 9 Absatz 2 Buchstabe h rechtmäßig, sofern die Weitergabe für den klinischen Zweck notwendig und verhältnismäßig ist. Das operative Prinzip lautet „Need-to-know“: Nur die Informationen, die für die Rolle des empfangenden Behandlers relevant sind, sollten weitergegeben werden. Ein Überweisungsschreiben sollte enthalten, was der empfangende Facharzt benötigt, nicht die gesamte Krankengeschichte des Patienten. Die Weitergabe von Unterlagen an den Arbeitgeber, Versicherer oder Anwalt eines Patienten erfordert eine ausdrückliche Patienteneinwilligung oder eine separate Rechtsgrundlage.

▶ Welche DSGVO-Prüfungen sollten Behandler durchführen, bevor sie einen KI-Medizinassistenten einführen?

Jedes Tool, das Patientendaten im Auftrag einer Gesundheitseinrichtung verarbeitet, ist ein Auftragsverarbeiter nach der DSGVO. Vor der Einführung sollten Behandler und ihre Organisationen bestätigen, dass eine Auftragsverarbeitungsvereinbarung mit dem Anbieter vorliegt, dass Patientendaten nur auf dokumentierte Anweisungen verarbeitet werden und dass angemessene Sicherheitsmaßnahmen einschließlich Verschlüsselung und Zugriffskontrollen vorhanden sind. Es lohnt sich auch festzustellen, wo Patientendaten verarbeitet und gespeichert werden, ob der Anbieter über eine ISO 27001-Zertifizierung verfügt, ob eine Datenschutz-Folgenabschätzung durchgeführt wurde und ob das Tool als Medizinprodukt registriert ist, sofern dies nach der EU-Medizinprodukteverordnung erforderlich ist.

▶ Kann ein Patient die Löschung seiner Krankenakten nach der DSGVO verlangen?

Das Recht auf Löschung ist im Gesundheitswesen erheblich eingeschränkt. Es gilt nicht, wenn die Verarbeitung für die Bereitstellung von Gesundheitsversorgung notwendig ist oder wenn die Aufbewahrung gesetzlich vorgeschrieben ist. Bei Krankenakten gelten fast immer gesetzliche Aufbewahrungspflichten. Ein Patient, der die Löschung während der geltenden Aufbewahrungsfrist verlangt, kann auf dieser Grundlage rechtmäßig abgelehnt werden, sofern die Ablehnung klar und innerhalb der erforderlichen Frist mitgeteilt wird. Aufbewahrungsfristen variieren nach Land: England erfordert mindestens acht Jahre nach dem letzten Eintrag für Erwachsenenakten, Frankreich erfordert zwanzig Jahre ab der letzten Versorgungsepisode, und die Niederlande erfordern zwanzig Jahre ab dem Datum der Aufzeichnung.

▶ Was ist der Unterschied zwischen einem Verantwortlichen und einem Auftragsverarbeiter im Gesundheitswesen?

Ein Verantwortlicher legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Im Gesundheitswesen ist dies typischerweise der NHS Trust, die Hausarztpraxis, das Krankenhaus oder die Privatklinik. Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies umfasst Anbieter von Praxisverwaltungssystemen, Diagnoselabore, KI-Tool-Anbieter und Telemedizinplattformen. Der Verantwortliche trägt die primäre rechtliche Verantwortung für die DSGVO-Compliance. Wenn ein Auftragsverarbeiter einen Verstoß erleidet, kann der Verantwortliche dennoch haftbar gemacht werden, wenn er keine angemessene Due Diligence durchgeführt oder sichergestellt hat, dass angemessene vertragliche Schutzmaßnahmen vorhanden waren.

▶ Was bedeutet Datenminimierung dafür, wie Behandler klinische Notizen verfassen?

Artikel 5 Absatz 1 Buchstabe c der DSGVO verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind. Für Behandler bedeutet dies, die Informationen aufzuzeichnen, die zur Unterstützung einer sicheren, kontinuierlichen Versorgung erforderlich sind, anstatt umfassende biografische oder soziale Details, die klinisch nicht relevant sind. Es bedeutet auch, die routinemäßige Aufnahme von Informationen Dritter, wie Details über Familienangehörige, zu vermeiden, es sei denn, sie sind direkt für das klinische Bild relevant. Die Verwendung strukturierter Vorlagen, die zu relevanten Feldern auffordern, kann helfen, die Erfassung überflüssiger persönlicher Informationen zu vermeiden.

▶ Welchen Patientenrechten nach der DSGVO begegnen Behandler am häufigsten?

Die Rechte, denen in der klinischen Praxis am häufigsten begegnet wird, sind das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung und das Recht auf Datenübertragbarkeit. Patienten, die ein Auskunftsersuchen stellen, haben Anspruch darauf, innerhalb eines Monats eine Kopie ihrer personenbezogenen Daten, einschließlich klinischer Unterlagen, zu erhalten. Das Recht auf Berichtigung ermöglicht es Patienten, die Korrektur sachlicher Ungenauigkeiten zu verlangen, berechtigt einen Patienten aber nicht dazu, die berufliche Meinung eines Behandlers ändern zu lassen. Das Recht auf Löschung ist in Gesundheitsumgebungen, in denen gesetzliche Aufbewahrungspflichten gelten, erheblich eingeschränkt.

▶ Welche praktischen Schritte können einzelne Behandler unternehmen, um täglich DSGVO-konform zu bleiben?

Konsistente Gewohnheiten reduzieren die meisten alltäglichen Compliance-Risiken. Melden Sie sich immer von klinischen Workstations ab oder sperren Sie diese, wenn Sie den Arbeitsplatz verlassen, auch nur kurz. Teilen Sie niemals Anmeldedaten mit Kolleginnen und Kollegen. Geben Sie nur die minimal notwendigen Informationen weiter, wenn Sie überweisen oder mit Kolleginnen und Kollegen kommunizieren. Verwenden Sie keine privaten E-Mail-Konten oder Verbraucher-Messaging-Apps zur Übermittlung von Patientendaten. Überprüfen Sie den Empfänger, bevor Sie eine Patientenkommunikation senden. Protokollieren und eskalieren Sie Auskunftsersuchen umgehend, da die einmonatige Antwortfrist sofort beginnt. Bestätigen Sie vor der Einführung jeder Drittsoftware, die Patientendaten verarbeitet, dass eine Auftragsverarbeitungsvereinbarung vorliegt und eine Datenschutz-Folgenabschätzung durchgeführt wurde.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.

Get started with Tandem today

Join thousands of clinicians enjoying stress-free documentation.