DATENSCHUTZ

Lernziele
 Sie kennen die Grundprinzipien des Datenschutzes.
 Sie kennen die grundlegenden Rechte der Patienten und Bewohner und
Betroffenen.
 Sie wissen um die Neuerungen, welche die DS-GVO für Krankenhäuser
ergibt.

Personenbezogene Daten
Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person beziehen. Das sind alle
Identitätsmerkmale, die man einer bestimmten Person zuordnen kann. Dies betrifft
nicht nur Angaben im medizinischen oder pflegerischen Bereich, sondern in allen
Bereichen des täglichen Lebens, in dem Daten erhoben werden. Wenn eine oder
mehrere Angaben dazu führen, dass man Rückschlüsse zur jeweiligen Person
ziehen könnte, ist der Datenschutz zu beachten.


Zu den personenbezogenen Daten gehören:

 Name und Identifikationsmerkmale 

 Kontaktdaten
 Körperliche Merkmale (besondere personenbezogene Daten)
 geistige Zustände (besondere personenbezogene Daten)
 Verbindungen und Beziehungen
 weitere Daten

In Bereichen, in denen hauptsächlich besondere personenbezogene Daten

verwendet werden, wie beispielsweise im Gesundheitswesen, werden an den
Datenschutz höhere Anforderungen gestellt. Um in diesen Fällen die Daten zu
verarbeiten, ohne dass ein Bezug zu der jeweiligen Person hergestellt werden kann,
nutzt man die Möglichkeit der Anonymisierung oder Pseudonymisierung.

Besondere personenbezogene Daten

Zu den besonderen personenbezogenen Daten gehören laut Art. 9 Abs. 1 DSGVO:
  rassische und ethnische Herkunft

 politische Meinungen

 religiöse oder weltanschauliche Überzeugungen

 Gewerkschaftszugehörigkeit

 genetische und biometrische Daten zur eindeutigen Identifizierung

 Daten über Gesundheit

 Daten über das Sexualleben und sexuelle Ausrichtung

Anonymisierung oder Pseudonymisierung

 Bei der Anonymisierung werden personenbezogene Daten derart verändert,
dass sie einer Person nicht mehr zugeordnet werden können.
 Bei der Pseudonymisierung werden lediglich Daten durch beispielsweise
eine ID ersetzt. Die ID wird mit den weggelassenen Daten in einer
Referenzdatei gespeichert. Durch die Referenzdatei ist es möglich, die
Daten wieder einer bestimmten Person zuzuordnen. Im Gesundheitswesen
wird häufig der Patientenname und das Geburtsdatum durch eine
Patientennummer ersetzt, um die Zuordnung der Patientendaten für
Außenstehende zu verhindern.

Informationelle Selbstbestimmung
Das Bundesverfassungsgericht hat im berühmten Volkszählungsurteil von 1983
festgelegt, dass jede Person grundsätzlich „selbst über die Preisgabe und
Verwendung seiner persönlichen Daten zu bestimmen“ hat. Dabei definierten die
Richter das Recht auf informationelle Selbstbestimmung als Grundrecht.

Nach diesem Urteil darf das Recht auf informationelle Selbstbestimmung nur in
einem eng gesteckten gesetzlichen Rahmen eingeschränkt werden. Die
Verarbeitung von patienten- oder bewohnerbezogenen Daten ist daher nur möglich,
wenn die Grundprinzipien des Datenschutzes eingehalten werden. Die
Grundprinzipien des Datenschutzes (DSGVO) sind:
Verbot mit Erlaubnisvorbehalt
Zweckbindung
Richtigkeit
Rechenschaftspflicht
Transparenz
Datenminimierung
Integrität und Vertraulichkeit
Speicherbegrenzung
Grundlegende Rechte von Patienten, Bewohnern,
Bewerbern und Mitarbeitern
Bei jeder Behandlung, Pflege oder einem stationären bzw. teilstationären
Aufenthalt von Bewohnern und Patienten ist es für eine gute und professionelle
Pflege und Betreuung unerlässlich, Informationen zu erheben und diese auch zu
nutzen. Das gleiche gilt im Bewerbungsverfahren und bei dem Abschluss eines
Arbeitsvertrages. Der sichere und verantwortungsvolle Umgang mit diesen
Informationen ist eine der Grundvoraussetzungen für das Vertrauen innerhalb aller
am Prozess beteiligten Personen.
Um die Rechte von Betroffenen zu schützen, wurden diverse gesetzliche
Regelungen festgelegt, die es den Betroffenen ermöglichen, eine größtmögliche
Kontrolle über ihre Daten zu erlangen.

Verbot mit Erlaubnisvorbehalt

Personenbezogene Daten dürfen nur bei Einwilligung des Patienten/Bewohners
oder seines gesetzlichen Vertreters oder Betreuers oder wenn ein Gesetz dieses
erlaubt, erhoben werden.

Zweckbindung
Personenbezogene Daten von Patienten und Bewohnern dürfen nur dann erhoben
werden, wenn sie für die Behandlung, die Pflege oder den Aufenthalt notwendig
sind. Eine Weitergabe oder Weiterverwendung für andere Zwecke ist nicht
gestattet.
Richtigkeit
Personenbezogene Daten von Patienten und Bewohnern müssen sachlich richtig
und auf dem neuesten Stand sein. Nicht korrekte Daten sind unverzüglich zu
löschen.
Rechenschaftspflicht
Der für die Datenverarbeitung Verantwortliche (in Krankenhäusern in der Regel
der Geschäftsführer) ist für die Einhaltung der Datenschutzvorschriften
verantwortlich und muss die Einhaltung aller Vorschriften nachweisen können.

Transparenz
Dabei sind die Betroffenen, über das, was mit ihren Daten passiert, zu informieren.
Datenminimierung
Die Erhebung von personenbezogenen Daten von Patienten und Bewohnern muss
dabei auf ein notwendiges Maß beschränkt werden.
Integrität und Vertraulichkeit
Personenbezogene Daten von Patienten und Bewohnern müssen vor dem Zugriff
von Unberechtigten geschützt werden. Die Weitergabe an unberechtigte Dritte –
das betrifft auch häufig Angehörige – ist ebenfalls nicht zulässig.
Speicherbegrenzung
Personenbezogene Daten von Patienten und Bewohnern müssen gelöscht werden,
wenn sie für den Zweck der Verarbeitung (Behandlung, Pflege, Aufenthalt etc.)
nicht mehr benötigt werden. Im Gesundheitswesen endet der Zweck der
Verarbeitung in der Regel nach dem Ende der jeweiligen Aufbewahrungsfrist.

Grundlegende Rechte von Patienten, Bewohnern,

Bewerbern und Mitarbeitern
Bei jeder Behandlung, Pflege oder einem stationären bzw. teilstationären
Aufenthalt von Bewohnern und Patienten ist es für eine gute und professionelle
Pflege und Betreuung unerlässlich, Informationen zu erheben und diese auch zu
nutzen. Das gleiche gilt im Bewerbungsverfahren und bei dem Abschluss eines
Arbeitsvertrages. Der sichere und verantwortungsvolle Umgang mit diesen
Informationen ist eine der Grundvoraussetzungen für das Vertrauen innerhalb aller
am Prozess beteiligten Personen.
Um die Rechte von Betroffenen zu schützen, wurden diverse gesetzliche
Regelungen festgelegt, die es den Betroffenen ermöglichen, eine größtmögliche
Kontrolle über ihre Daten zu erlangen.
Informationsrecht (Art. 13 DS-GVO)
Auskunftsrecht (Art. 15 DS-GVO)
Recht auf Berichtigung (Art. 16 DS-GVO), Recht auf Löschung bzw. "Recht
auf Vergessenwerden" (Art. 17 DS-GVO), Recht auf Einschränkung der
Verarbeitung (Art. 18 DS-GVO)
Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Widerspruchsrecht (Art. 21 DS-GVO)

Informationsrecht (Art. 13 DS-GVO)

Wenn personenbezogene Daten eingeholt werden, ist der datenschutzverarbeitende
Verantwortliche gemäß Art. 13 DSGVO dazu verpflichtet, die Betroffenen vorab
zu informieren, insbesondere über

 Name, Kontakt des Verantwortlichen

 Kontaktdaten DSB

 Zweck und Rechtsgrundlage für die Verarbeitung der pbz Daten

 Kategorien von Empfängern pbz Daten

 Rechte des Betroffenen auf Auskunft, Berichtigung, Löschung etc.

Dabei müssen ihm die Informationen in „transparenter, verständlicher und leicht

zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden.

Auskunftsrecht (Art. 15 DS-GVO)

Der Betroffene hat die Möglichkeit, im Rahmen des Auskunftsrechts Auskunft
über die zu seiner Person verarbeiteten Daten zu bekommen. Das beinhaltet vor
allem:

 die Datenherkunft, 

 den Zweck der Verarbeitung (Behandlung im Krankenhaus, Überleitung

in den Pflegedienst, Abschluss Arbeitsvertrag etc.), 

 Art der verarbeiteten Daten und 

 den Empfänger (Krankenkasse, Pflegeeinrichtung etc.), an welchen die

Daten übermittelt wurden (das beinhaltet auch die Dauer der Speicherung
seiner Daten).
Macht ein Betroffener vom Auskunftsrecht gemäß Art. 15 DS-GVO Gebrauch,
sind ihm die Informationen innerhalb eines Monats kostenlos zur Verfügung zu
stellen. Nicht zu verwechseln ist dieses Auskunftsrecht mit dem "Recht auf
Einsicht in die Patientenakte", das in § 630g BGB reguliert ist und einen
erweiterten Auskunftsanspruch umfasst, aber auch hinsichtlich der Kostenfreiheit
Unterschiede aufweist. 

Recht auf Berichtigung (Art. 16 DS-GVO), Recht auf Löschung bzw. "Recht
auf Vergessenwerden" (Art. 17 DS-GVO), Recht auf Einschränkung der
Verarbeitung (Art. 18 DS-GVO)
Jeder Betroffenene hat das Recht, unverzüglich die Berichtigung nicht korrekter
personenbezogener Daten bzw. die Vervollständigung seiner Daten zu verlangen,
sofern diese unvollständig sind. Darüber hinaus haben Betroffene unter
bestimmten Umständen das Recht auf Löschung oder das Recht auf
Einschränkung der Verarbeitung ihrer personenbezogenen Daten. 
Das ist beispielweise der Fall, wenn ihre Daten für die Zwecke, für die sie erhoben
wurden, nicht mehr notwendig sind (z. B. nach Abschluss der Behandlung;
Beendigung des Arbeitsverhältnisses) oder wenn Daten unrechtmäßig erhoben
wurden. 
Allerdings muss immer auf die jeweiligen gesetzlichen Aufbewahrungspflichten
Rücksicht genommen werden. Diese sind vorrangig zu beachten.

Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)

Der Betroffene hat ein bisher unbekanntes Recht im Falle eines
Unternehmenswechsels seine personenbezogenen Daten, die er dem Unternehmen
bereitgestellt hat, an ein neues Unternehmen übertragen zu lassen. In der Praxis
würde dieses bedeuten, dass der Patient beim Wechsel vom Krankenhaus in eine
neue Pflegeeinrichtung oder ein anderes Krankenhaus seine Daten direkt an diese
übertragen lassen kann. Das Recht auf Datenportabilität gilt auch im
Arbeitsverhältnis.
Widerspruchsrecht (Art. 21 DS-GVO)
Der Betroffene hat das Recht, gegen die Verarbeitung seiner Daten, welche im
berechtigten Interesse des Verantwortlichen oder im öffentlichen Interesse liegt,
einen Widerspruch zu erheben.
Allerdings müssen dafür besondere Gründe vorliegen. Dies wäre beispielsweise
der Fall, wenn ein Patient zum Amtsarzt vorgeladen wird, er diesen Amtsarzt
privat kennt und eine voreingenommene Begutachtung befürchten muss.

Anforderungen der EU-

Datenschutzgrundverordnung
Für den Datenschutz in deutschen Krankenhäusern hat die DS-GVO im Vergleich
zum alten Bundesdatenschutzgesetz nur wenige Neuerungen ergeben, da die EU-
Kommission sich gerade den Datenschutz der Bundesrepublik Deutschland zum
Vorbild genommen hat.

Einwilligung des Betroffenen

Krankenhäuser müssen beweispflichtig dokumentieren, dass der Patient der
Nutzung seiner Daten zugestimmt hat.

 Verpflichtung zum IT-Sicherheitskonzept

Krankenhäuser müssen geeignete technische und organisatorische
Schutzmaßnahmen („Stand der Technik“) zur Datensicherheit umsetzen. Gruppen-
Accounts von mehreren Mitarbeitern sind nach der DS-GVO nicht zulässig und bei
jeder Dokumentation muss klar nachvollzogen werden können, wer die Daten
wann eingetragen hat.

 Meldepflicht bei Datenpannen

Mitarbeiter sind verpflichtet, bei der Kenntnisnahme von Datenschutzverletzungen
diese umgehend an den zuständigen Verantwortlichen und den
Datenschutzbeauftragten zu melden. Datenpannen müssen innerhalb von max. 72
Stunden an die Aufsichtsbehörde gemeldet werden, es sei denn, dass die
Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der
betroffenen Person führt .
Beispiele dafür sind:

 verlorene Postmappe

 unbefugter Datenzugriff

 Faxfehler
  verschwundene Ausdrucke

 Transparenz der Datenspeicherung

 Betroffenen soll es zukünftig erleichtert werden, eine Einsicht in die
gesammelten personenbezogenen Daten zu erhalten sowie in die Dauer der
Datenspeicherung.

 Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung löst die aus dem alten BDSG bekannte
Vorabkontrolle ab. Sie dient der Bewertung von Risiken und deren möglichen
Folgen für die Freiheit und persönlichen Rechte der Betroffenen.

Datenschutz im Krankenhaus
Datenschutz
Bei jedem Aufenthalt eines Patienten im Krankenhaus werden unzählige Daten
und Informationen erhoben und verarbeitet. Der Datenschutz hat die Aufgabe,
diese Informationen vor dem Zugriff „Fremder“ oder „Unberechtigter“ zu
schützen. Jede Verletzung des Datenschutzes stellt eine Verletzung des
Persönlichkeitsrechts Ihrer Ihnen anvertrauten Patienten dar.

Lernziele
 Sie kennen die besonderen Anforderungen an den Datenschutz in Ihrer
Berufsgruppe und anderen Leistungserbringern.

 Sie kennen die Funktion des Datenschutzbeauftragten und seine

Aufgaben.

 Sie kennen die Rechtsvorschriften, die im Rahmen des Datenschutzes im

Krankenhaus relevant sind.

Die Verantwortung im Krankenhaus

Der Verantwortliche für die Datenverarbeitung im Krankenhaus oder in einer
Pflegeeinrichtung ist in der Regel die Geschäftsleitung/Geschäftsführung. Sie trägt
die Verantwortung dafür, dass die Datenschutzgesetze umgesetzt und eingehalten
werden und muss die entsprechenden Rahmenbedingungen für die Umsetzung
schaffen.


Datenschutz ist aber nicht nur Chefsache!

 Die Anordnungsverantwortung trägt die

Geschäftsführung/Direktorium/Betriebsleitung.

 Die Hinwirkungs- und Überwachungsverantwortung obliegt der/dem

Datenschutzbeauftragten.

 Die Mitwirkungsverantwortung tragen alle, inkl. Betriebsrat.

 Die Durchführungs- mit der Eigenverantwortung obliegt ebenfalls allen

Mitarbeiter/innen.

 Die Ergebnis-, bzw. Erfolgsverantwortung tragen insbesondere alle

Führungskräfte.

 Die Sicherungsverantwortung obliegt wieder der Geschäftsleitung/-

führung/Direktorium/Betriebsleitung.

In diesem Zusammenhang hat die „verantwortliche Stelle“ Pflichten:

Rechenschaftspflicht
Adressat der Rechte der betroffenen Personen
Angemessene und geeignete technische und organisatorische Maßnahmen
umsetzen
Führen eines Verzeichnisses aller Verarbeitungstätigkeiten
Meldepflicht von Datenschutzverletzungen
Durchführung der Datenschutz-Folgenabschätzung
Benennung eines Datenschutz-Beauftragten

Rechenschaftspflicht
Die "verantwortliche Stelle" muss die Einhaltung der Grundsätze des
Datenschutzes für die Verarbeitung von personenbezogenen Daten nachweisen
können und trägt hierfür die Verantwortung.

Adressat der Rechte der betroffenen Personen

Bei Datenschutzverletzungen wird sie sich verantworten müssen und kann dafür
haftbar gemacht werden.

Angemessene und geeignete technische und organisatorische Maßnahmen

umsetzen
Sie muss die Voraussetzungen schaffen, dass die Datenschutzbestimmungen mit
den vorhandenen Mitteln umsetzbar sind und ggf. nachbessern.

Führen eines Verzeichnisses aller Verarbeitungstätigkeiten

Hier müssen die wesentlichen Angaben zur Datenverarbeitung angegeben werden:

 Datenkategorie (um welche Art von Daten es sich handelt)

 der Kreis der betroffenen Personen (in der Regel die Patienten, Mitarbeiter,
Vertragspartner)

 der Zweck der Verarbeitung (Behandlung, Abrechnung etc.)

 die Datenempfänger (Krankenkasse, Sozialhilfeträger, Abrechnungsstelle

etc.)

Das Fehlen eines solchen Verzeichnisses kann empfindliche Bußgelder nach sich
ziehen.

Meldepflicht von Datenschutzverletzungen

Kommt es zu einer „Datenpanne“ ist der "Verantwortliche" verpflichtet, dieses
innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
Außerdem ist er unter Umständen verpflichtet, auch die betroffenen Personen
darüber zu informieren.

Durchführung der Datenschutz-Folgenabschätzung

Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten der Patienten und Mitarbeiter in der Gesundheitseinrichtung zur
Folge haben, hat die Geschäftsleitung vorab eine Datenschutz-Folgeabschätzung
durchzuführen. Hierbei wird sie durch den Datenschutzbeauftragten beraten.

Benennung eines Datenschutz-Beauftragten

Die Geschäftsleitung in Einrichtungen des Gesundheitswesens hat in jedem Fall
einen Datenschutzbeauftragten zu benennen.

Der Datenschutzbeauftragte
Alle Einrichtungen des Gesundheitswesens werden mit der neuen
Datenschutzgrundverordnung verpflichtet sein, einen Datenschutzbeauftragten für
ihre Einrichtung zu benennen.
Dies sollten die Einrichtungen nicht als bürokratisches Hindernis, sondern als
Bereicherung sehen. Schließlich hat er die Aufgabe, auf die Einhaltung der
datenschutzrechtlichen Gesetze hinzuwirken und sie zu überwachen und somit den
Datenschutz zu gewährleisten und gleichzeitig die Datensicherheit, für die die IT-
Abteilung verantwortlich ist, zu unterstützen.
Der Datenschutzbeauftragte ist in seiner Funktion direkt der Geschäftsleitung
unterstellt und weisungsfrei. Hierbei ist es zwingend erforderlich, dass die
Geschäftsleitung ihn in alle Prozesse, die den Datenschutz betreffen, einbindet.

Funktionen und Aufgaben eines Datenschutzbeauftragten

 Aufbau einer Datenschutzorganisation und regelmäßige

Informationsweitergabe an das gesamte Personal

 Kontrolle und Überwachung, dass die datenschutzrechtlichen

Bestimmungen im Umgang mit personenbezogener Daten eingehalten
werden

 Ansprechpartner bei Bedenken und Fragen zum Datenschutz

 Beratung im Zusammenhang mit der Datenschutz-Folgeabschätzung

 Zusammenarbeit mit der Aufsichtsbehörde

Persönliche Anforderungen an einen Datenschutzbeauftragten

 nachgewiesenen Kenntnisse im Datenschutzrecht

  angesichts der voranschreitenden Digitalisierung sind IT-Kenntnisse
sinnvoll

 nachgewiesene Kenntnisse über sonstige Rechtsvorschriften, die den

Datenschutz betreffen

 Zuverlässigkeit und Neutralität (keinen Interessenskonflikt mit seinem

Tätigkeitsbereich)

Schweigepflicht und Datengeheimnis

Alle Mitarbeiter oder externen Dienstleister, die Zugriff auf personenbezogene
Daten haben, müssen eine Verpflichtung zum Datengeheimnis bzw.
Verschwiegenheit abgeben. Das Unternehmen muss sicherstellen, dass alle
Beteiligten die Vertraulichkeit im Umgang mit diesen Daten gewährleisten.
Alle Personen, die im medizinischen und pflegerischen Bereich arbeiten und mit
sensiblen Patientendaten umgehen, unterliegen einer besonderen Schweigepflicht.
Diese ergibt sich nicht nur aus den Bestimmungen des Datenschutzes (§ 53
BDSG), sondern aus dem Strafgesetzbuch, § 203 StGB, den Berufspflichten
Pflegender (§3 Abs.1 Rahmen-Berufsordnung für professionell Pflegende), der
Berufsordnung der Ärzte und nicht zuletzt dem hippokratischen Eid.
Ärztliches Berufsrecht
Die ärztliche Schweigepflicht war schon lange vor unserer Zeitrechnung als
berufsständischer Kodex in Indien und Ägypten bekannt. Sie ist auch im
europäischen Rechtskreis als Hippokratischer Eid von ca. 400 vor Christus die
älteste bekannte Datenschutzregelung, die wir kennen:
 „Was immer ich sehe und höre bei der Behandlung oder außerhalb der
Behandlung im Leben der Menschen, so werde ich von dem, das niemals nach
draußen ausgeplaudert werden soll, schweigen, indem ich alles Derartige als
solches betrachte, das nicht ausgesprochen werden darf.“
Beachten Sie die Grenzen der Schweigepflicht: Die Schweigepflicht endet nicht
mit dem Tod des Patienten, sondern bleibt auch darüber hinaus bestehen. Genauso
verhält es sich mit der Verpflichtung zur Einhaltung des Datenschutzes, wenn Sie
aus der Einrichtung als Arbeitnehmer ausscheiden. Die DS-GVO schützt allerdings
nur die Daten natürlicher Personen und gilt damit nicht über den Tod hinaus.

Tod: die Schweigepflicht endet nicht mit dem Tod, sondern bleibt darüber hinaus bestehen.
Es sei denn der Patient hat etwas anderes verfügt oder der mutmaßliche Wille des Patienten
wäre entsprechend vorhanden.
 Entbindung von der Schweigepflicht: der Patient kann schweigepflichtige Personen von
der Schweigepflicht entbinden.
 Einschränkung wegen besonderer Aufgaben des Arztes: unter Umständen müssen
Ärzte Patienteninformationen weitergeben, da dieses der Grund ihrer Untersuchung ist.
Dieses kann bei medizinischen Sachverständigen vor Gericht, Amtsärzten oder
Betriebsärzten der Fall sein.
 Seuchengefahr: Der Arzt und auch anderes medizinisches oder ärztliches Personal hat
eine Mitwirkungspflicht übertragbaren Krankheiten vorzubeugen, Infektionen frühzeitig zu
erkennen und ihre Weiterverbreitung zu verhindern. Bestimmte Erkrankungen sind
namentlich meldepflichtig.
 Höhere Rechtsgüter: der Arzt darf Informationen an Dritte weitergeben, wenn die
Rechtsgüter Dritter gefährdet sind, die höher zu bewerten sind, als das Recht auf Datenschutz
und Privatsphäre. Dieses wäre der Fall wenn jemand an AIDS erkrankt ist, dieses aber seinem
Ehepartner oder Blutspendedienst nicht mitteilen möchte. (§ 34 StGB – Rechtfertigender
Notstand).

Datenschutz Patient – Mitarbeiter

Die Geschäftsleitung trägt die Verantwortung für die Umsetzung des
Datenschutzes. Jedoch tragen auch Sie als Mitarbeiter die Eigenverantwortung
dafür, dass Sie in Ihrem Bereich die Datenschutzvorschriften einhalten.
Wichtige Punkte, auf die Sie achten müssen:
Auskunft an Angehörige persönlich oder telefonisch
Umgang mit Patientenakten
Informationserhalt und Informationsweitergabe
Umgang mit IT-Geräten

Auskunft an Angehörige persönlich oder telefonisch

Häufig kommt es vor, dass Angehörige telefonisch oder persönlich Auskunft über
ihre Verwandten bekommen möchten. Beachten Sie, dass auch gegenüber der
Besucher oder Anrufer der Datenschutz greift und sie nur Auskunft geben dürfen,
wenn diese eine Vollmacht haben oder die Einwilligung des Patienten vorliegt.
Eine Auskunft am Telefon birgt immer das Risiko, dass derjenige am anderen
Ende sich nicht eindeutig identifizieren lässt. Deshalb sollte man unter keinen
Umständen eine Auskunft über den Gesundheitszustand am Telefon erteilen.

Umgang mit Patientenakten

Die Patientenakten müssen zu jeder Zeit vor dem Zugriff Unbefugter geschützt
sein. Bereiche wie das Stationszimmer, in dem sich Patientenakten oder andere
Informationen von Patienten befinden, müssen bei Nichtanwesenheit immer
verschlossen und die Patientendaten vor den Augen „Fremder“ geschützt sein.
Dieses gilt insbesondere für herumliegende Befunde oder ähnliches.

Rechtsvorschriften im Krankenhaus
Datenschutz
Im Leben ist erst einmal alles erlaubt. Nicht so im Datenschutz: Hier ist erst einmal
alles verboten, wenn es nicht durch die Einwilligung des Betroffenen oder durch
ein Gesetz erlaubt ist.
Grundlage des Datenschutzes bilden die DS-GVO und das BDSG, das die DS-
GVO auf Bundesebene weiter ausgestaltet bzw. ergänzt. Die einzelnen
Bundesländer haben Ihre Landesdatenschutzgesetze ebenfalls an die Vorgaben des
DS-GVO angepasst.
Jedoch kommen sie nur zur Anwendung, wenn keine anderen Rechtsvorschriften
für den jeweiligen Fall vorliegen oder die DS-GVO eine Öffnungsklausel enthält.

Lernziele
 Sie kennen die Rechtsvorschriften, die im Krankenhaus Anwendung
finden.

 Sie kennen die relevanten Verordnungen und die Vorgaben des

Meldewesens.

 Sie kennen die grundlegende Bedeutung der „Orientierungshilfe

Krankenhausinformationssysteme“ (OH-KIS).

Gesetze mit datenschutzrelevanten Inhalten

Neben den Datenschutzgesetzen der DS-GVO und des BDSG gibt es weitere
Rechtsvorschriften, die einen Einfluss auf den Umgang mit dem Datenschutz im
Krankenhaus haben. Hierbei geht es jedoch nicht nur um die Daten der Patienten,
sondern auch um die Daten der Mitarbeiter, Kooperationspartner und Lieferanten.

Verstöße gegen den Datenschutz oder die Schweigepflicht können im Rahmen des
Strafgesetzbuchs (StGB) schwerwiegende Konsequenzen haben. Daher sollten alle
Mitarbeiter wissen, wie sie sich bei Verstößen gegen den Datenschutz und die
Schweigepflicht verhalten müssen.
Insbesondere für den Behandlungsvertrag zwischen der Einrichtung und dem
Patienten hat das Patientenrechtegesetz im Bürgerlichen Gesetzbuch (BGB) eine
große Relevanz.
Um einen reibungslosen Datenaustausch zwischen den Krankenkassen und den
Pflege- und Gesundheitseinrichtungen zu gewährleisten, wurden entsprechende
gesetzliche Regelungen in den Sozialgesetzbüchern (SGB) festgeschrieben.
In fast allen Bundesländern gelten zusätzlich die Regelungen eines
Krankenhausgesetzes. Hierbei ist das Krankenhausgesetz des jeweiligen
Bundeslandes zu beachten. Darüber hinaus gibt es einige weitere spezielle Gesetze,
die bezüglich des Datenschutzes und der Schweigepflicht im Krankenhaus, eine
Rolle spielen.

DS-GVO und BDSG

DSGVO (Datenschutz-Grundverordnung) Die Ziele der DSGVO sind unter anderem (Art.1): BDSG
Dieses löst das alte Datenschutzgesetz (BDSG) ab und tritt gemeinsam mit dem DSGVO am 25. Mai 2018
in Kraft. Es soll die durch die DSGVO bestehenden Lücken mit nationalem Recht schließen.

 „[…]Schutz, natürlicher Personen bei der Verarbeitung personenbezogener Daten[…].“

 Schutz der „Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht
auf Schutz personenbezogener Daten.“

 Strafgesetzbuch (StGB)
 Hier spielt insbesondere die Schweigepflicht nach §203 StGB eine große Rolle. Jeder Mitarbeiter
ist selbstständig für die Einhaltung der Schweigepflicht verantwortlich. Jeder Verstoß kann mit
einer Geldstrafe oder sogar einer Freiheitsstrafe mit bis zu einem Jahr bestraft werden. Im Jahr
2017 wurde der § 203 StGB geändert. Mit der fortschreitenden Digitalisierung wurde es
unumgänglich, dass Berufsgeheimnisträger wie Ärzte, Therapeuten, Anwälte usw. unter
 bestimmten Umständen IT-Dienstleistungen und Cloud-Computing-Dienste nutzen können, ohne
ein Risiko von strafrechtlicher oder berufsrechtlicher Sanktionen einzugehen.

Verstöße gegen den Datenschutz und die Schweigepflicht

Nicht nur die aktive Weitergabe und Preisgabe von Informationen Dritter stellt einen Verstoß gegen den
Datenschutz und die Schweigepflicht dar. Dazu zählen auch herumliegende Patientenakten und
-dokumente, fehlerhaft entsorgte Informationen über den normalen Papiermüll, Telefongespräche vor
Unbeteiligten, Telefongespräche über Lautsprecher ohne dass derjenige am anderen Ende darüber
informiert wurde, der Versand von Informationen an Exterme über das unverschlüsselte Internet oder an
den falschen Empfänger. Kommt es zu einem Verstoß gegen den Datenschutz oder Schweigepflicht
müssen folgende Punkte durchgeführt werden:

 unverzügliche Information an die verantwortliche Stelle

 Hinzuziehung des Datenschutzbeauftragten

 die verantwortliche Stelle muss innerhalb von 72 Stunden den Verstoß an die zuständige
Aufsichtsbehörde melden und ggf. den Betroffenen darüber in Kenntnis setzen

Strafgesetzbuch (StGB)
 Hier spielt insbesondere die Schweigepflicht nach §203 StGB eine große Rolle. Jeder Mitarbeiter
ist selbstständig für die Einhaltung der Schweigepflicht verantwortlich. Jeder Verstoß kann mit
einer Geldstrafe oder sogar einer Freiheitsstrafe mit bis zu einem Jahr bestraft werden. Im Jahr
2017 wurde der § 203 StGB geändert. Mit der fortschreitenden Digitalisierung wurde es
unumgänglich, dass Berufsgeheimnisträger wie Ärzte, Therapeuten, Anwälte usw. unter
bestimmten Umständen IT-Dienstleistungen und Cloud-Computing-Dienste nutzen können, ohne
ein Risiko von strafrechtlicher oder berufsrechtlicher Sanktionen einzugehen.
Bürgerliches Gesetzbuch (BGB)
Das Bürgerliche Gesetzbuch ist insbesondere aufgrund des Patientenrechtegesetzes für den Datenschutz im
Krankenhaus von Bedeutung. In diesem wurden die Rechte des Patienten deutlich gestärkt. Besonders
relevant sind:

 Informationspflichten (§ 630c BGB)

 Einwilligung (§ 630d BGB)

 Patientenakte (§ 630f BGB)

 Recht auf Einsicht (§ 630g BGB)

Sozialgesetzbücher (SGB)
In den Sozialgesetzbüchern wurden gesetzliche Regelungen festgehalten, um die Datenübertragung
zwischen den einzelnen Leistungserbringern und Leistungsträgern unter datenschutzrechtlichen Aspekten
sicherzustellen:

 SGB I: Allgemeine Vorschriften zum Sozialgeheimnis

 SGB V: Regelung des Datenaustausches zwischen den Krankenhausträgern und den

Krankenkassen, sowie zwischen dem MDK (Medizinischen Dienst der Krankenversicherung) und
der Krankenkasse.

 SGB X: Regelung der Auskunftspflicht des Arztes bzw. von Leistungsträgern untereinander

SGB XI: Regelung Krankenhausgesetze

Fast alle Bundesländer haben ergänzend zum Datenschutzgesetz spezifische Regelungen für den Umgang
mit Patientendaten erlassen. Hierbei ist es wichtig, sich die gültigen Regelungen des jeweiligen
Bundeslandes anzuschauen.

 des Datenaustausches zwischen den Leistungserbringern und den Pflegekassen

Weitere spezielle Gesetze

Immer, wenn besondere personenbezogene Daten erhoben und verarbeitet werden, bedarf es besonderer
Maßnahmen, um diese zu schützen. Weitere spezielle Gesetze im Gesundheitswesen beinhalten ebenfalls
Regelungen zum Umgang mit Patientendaten:

 Krankenhausfinanzierungsgesetz

 Bundespflegesatzverordnung

 Krankenhausstatistikverordnung

 Röntgenverordnung

 Strahlenschutzverordnung

 Infektionsschutzgesetz

 Transfusionsgesetz

 Transplantationsgesetz
  Krebsregistergesetz

 Psychisch-Kranken-Gesetz (Psych-KG)

 u.a.

Verordnungen mit datenschutzrelevanten

Bestimmungen
Rahmen-Berufsordnungen für professionell Pflegende
 Berufsordnung der Ärzte

!!!Die ärztliche Schweigepflicht und der § 203 StGB „Verletzung von

Privatgeheimnissen“ sind nicht das gleiche. Die ärztliche Schweigepflicht
(beinhaltet unter anderem auch anvertraute Geheimnisse) unterliegt der
Berufsordnung der Ärzte und anderer Berufe im Gesundheitswesen. Ein
Verstoß gegen die ärztliche Schweigepflicht kann sowohl strafrechtliche als
auch berufsrechtliche Konsequenzen nach sich ziehen.

Rahmen-Berufsordnungen für professionell Pflegende

Die im Mai 2004 vom Deutschen Pflegerat e.V. (DPR) erstellte und von deren
Mitgliederversammlung verabschiedete Rahmen-Berufsordnung gilt für alle
professionell Pflegenden, die ihren Beruf in Deutschland ausüben. Sie regelt neben
den Aufgaben Pflegender auch deren Berufspflichten. Zu diesen gehören unter
anderem:

 Schweigepflicht

 Auskunftspflicht

 Beratungspflicht

 Dokumentationspflicht
Berufsordnung der Ärzte
 Die Berufsordnung der Ärzte wird von den einzelnen Landesärztekammern
beschlossen. Sie enthalten neben den Grundsätzen der Berufsausübung
ebenfalls die zu beachtenden Berufspflichten.

Vorgaben des Meldewesens

Verschiedene Krankheiten bzw. der Nachweis von Krankheitserregern sind
meldepflichtig. Die Bestimmungen in welcher Form, ob die Daten namentlich oder
nicht namentlich an das Gesundheitsamt weitergegeben werden müssen, sind im
Infektionsschutzgesetz (IfSG) geregelt. Zusätzlich haben einige Bundesländer per
Rechtsverordnung die Liste der meldepflichtigen Krankheiten für ihr Bundesland
noch ergänzt bzw. erweitert.
Darüber hinaus besteht die Pflicht zur Datenweitergabe bei:
Straftaten, Vernachlässigung, Misshandlung
Geburts- und Todesfälle

Meldepflichtige Krankheiten
Namentlich zu melden sind:

 Cholera

 Diphterie

 aktute Virushepatits

 Keuchhusten

 Masern

 Meningokokken-Meningitis oder –Sepsis

 Mumps

 Pest

 Röteln

 Typhus abdominalis oder Paratyphus

 Windpocken

Nachweis von meldepflichtigen Krankheitserregern

Namentlich zu melden sind: Nicht namentlich zu melden sind:

 Clostridien

 Hepatitis A bis E

 Influenzaviren

 Legionellen

 Masernvirus

 Mumpsvirus

 Norovirus

 Salmonellen

 u.a.

 HIV

 Treponema pallidum

 Echinococcus sp.

 Plasmodium sp.

 Toxoplasmose

 Infektionsschutzgesetz (IfSG)
 Das Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen hat den
Zweck „[…]übertragbare Krankheiten beim Menschen vorzubeugen, Infektionen frühzeitig zu
erkennen und ihre Weiterverbreitung zu verhindern.[…]“ Die meldepflichtigen Krankheiten sind
im § 6 und der Nachweis von Krankheitserregern ist im § 7 festgelegt. Häufig sind der
behandelnde Arzt bzw. das zuständige Labor diejenigen, die der Meldepflicht unterliegen. Unter
bestimmten Voraussetzungen kommen jedoch auch andere Berufsgruppen wie z.B. Pflegende (in
 stationären Einrichtungen), Heilpraktiker, Leiter von Gemeinschaftseinrichtungen etc.) in
Betracht.

Straftaten, Vernachlässigung, Misshandlung

 Es besteht eine Anzeigepflicht nach § 138 StGB und § 139 StGB für alle
Angehörigen der Heilberufe Straftaten, sofern diese noch zu verhindern
sind, anzuzeigen.

 Darüber hinaus besteht eine Meldepflicht bei einem konkreten Verdacht auf
schwere Körperverletzung, Vernachlässigung und/oder Missbrauch von
Schutzbefohlenen. Die Entscheidung obliegt dem Arzt, kann in
Ausnahmefällen aber auch durch die Pflegenden erfolgen.

 Ausnahme: Es wurde bereits eine Wohlfahrtsorganisation (Jugendamt o.ä.)

mit einbezogen. Dann kann die Anzeige aufgeschoben werden, falls der
mutmaßliche Täter aus dem direkten Umfeld des Kindes kommt.

Geburts- und Todesfälle

 „Bei Geburten in Krankenhäusern und sonstigen Einrichtungen, in denen

Geburtshilfe geleistet wird, ist der Träger der Einrichtung zur Anzeige
verpflichtet.“ (§20 Personenstandsgesetz (PStG) – Anzeige durch
Einrichtungen).

 Das Gleiche gilt für Sterbefälle in Krankenhäusern, Alten- und

Pflegeheimen sowie sonstigen Einrichtungen (§ 30 Personenstandsgesetz
(PStG) – Anzeige durch Einrichtungen und Behörden).

 Die Anzeige erfolgt bei dem zuständigen Standesamt.

Patientendaten – Verarbeitung und

Übermittlung
Datenschutz
Rund um die Behandlung, Versorgung und Betreuung der Patienten haben eine
Vielzahl an Personen und Berufsgruppen Interesse an Informationen über den
Patienten. Jedoch dürfen Mitarbeiter nur Zugriff zu den Informationen des
Patienten haben, die für die Erfüllung ihrer Tätigkeiten erforderlich sind. Wird
dagegen verstoßen, sind die Persönlichkeitsrechte des Patienten gefährdet.
Der richtige Umgang mit der ärztlichen und pflegerischen Dokumentation
gewährleistet die Dokumentationspflicht und den Schutz der sensiblen Daten Ihrer
Patienten.

Lernziele
 Sie kennen die Voraussetzungen für die Erhebung, Speicherung und
Weitergabe von Patientendaten.

 Sie kennen die verschiedenen Möglichkeiten der Offenbarungsbefugnis

und Offenbarungspflicht.

 Sie kennen die Grundsätze der Dokumentation sowie die Aufbewahrungs-

und Löschpflichten.

Zugriff auf Patientendaten

zugriffsrechte
Patientendaten werden in der Verantwortung der erhebenden
Fachabteilung des Krankenhauses gespeichert und verarbeitet und sind
vor dem Zugriff durch nicht autorisierte Mitarbeiter zu schützen. Deshalb
sind alle Mitarbeiter/Innen zu Beginn ihrer Tätigkeit auf die Einhaltung der
Vorschriften der DS-GVO und des BDSG (früher auf das Datengeheimnis)
sowie auf die ärztliche Schweigepflicht schriftlich zu verpflichten.

Datenschutzrechtliche Belehrung zum Zugriff auf Patientendaten

Das Recht zur Einsicht und Verarbeitung der Patientendaten ist grundsätzlich an
den Behandlungszusammenhang gebunden. Der zugriffsberechtigte Personenkreis
sowie dessen Rechte sind stets nach dem Grundsatz der Erforderlichkeit zu
minimieren. Die Mitarbeiter der Krankenhausverwaltung (z.B. Codierer) dürfen
nur zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind.
  Unverzichtbare Grundlagen dafür sind die Zustimmung durch den Patienten
(auch konkludent durch sein Erscheinen angenommen).
 Der Patient hat den Zugriff auf die Patientendaten erlaubt.
 Der Arzt muss an der Behandlung beteiligt sein (auch konsiliarärztlich).

Datenschutzrechtliche und arbeitsrechtliche Belehrung

Jede unberechtigte Einsichtnahme in die Patientendaten verstößt gegen

die ärztliche oder gesetzliche Schweigepflicht und gegen DS-GVO/BDSG.
Dieses arbeitsrechtlich pflichtwidrige Verhalten kann im Einzelfall
zur Kündigung des Arbeitsverhältnisses führen.

Kündigung des Arbeitsverhältnisses

In der Praxis eines Krankenhauses gab es schon schwerwiegende Konsequenzen wegen unberechtigten
Zugriffs auf Patientendaten. Der Zugriff auf Patientendaten wird edv-technisch stets protokolliert.
Nachdem ein Chefarzt verstorben war, waren über 300 Zugriffe auf seine Krankengeschichte registriert.
Die EDV-Abteilung ermittelte auf Anordnung der Krankenhausleitung unter Einbeziehung des
Betriebsrats und des Datenschutzbeauftragten wer, wann auf die Behandlungsdaten zugegriffen hatte. Sie
können sich vorstellen, dass über 300 Mitarbeiter nicht an der Behandlung beteiligt waren.

Datenerfassung und Datenspeicherung

Patientendaten dürfen nur erhoben werden, wenn der Patient dem zustimmt (z. B.
Einwilligung im Rahmen eines Behandlungsvertrages) oder eine gesetzliche
Bestimmung es gestattet (z. B. das SGB). Werden während des Aufenthalts, der
Behandlung oder Betreuung andere Informationen des Patienten benötigt, die nicht
dem eigentlichen Krankenhausaufenthalt dienen, bedarf es der schriftlichen
Einwilligung. Dieses gilt z. B. für die Speicherung von KFZ-Kennzeichen bei
Parkplatznutzung oder Konfession für seelsorgerische Betreuung.
Die Erfassung und Speicherung der Angehörigendaten bedarf ebenfalls der
Einwilligung der Angehörigen. Besonderheiten der Einwilligung betreffen:
Kinder und Jugendliche
Patienten mit einer gesetzlichen Betreuung
Nicht einwilligungsfähige Patienten
Patientenverfügung

Kinder und Jugendliche

Hier wird die Einwilligung der Erziehungsberechtigten benötigt. Sind beide
Elternteile oder andere Personen erziehungsberechtigt, haben alle
Erziehungsberechtigten einzuwilligen.
Sonderfall nach Vollendung des 16. Lebensjahres: Diese gelten mit der neuen DS-
GVO als einwilligungsfähig und dürfen eigenständig einwilligen.

Patienten mit einer gesetzlichen Betreuung

Hier wird die Einwilligung des gesetzlichen Betreuers benötigt, sofern dieser für
den Aufgabenbereich die gesetzliche Betreuung innehat.

Nicht einwilligungsfähige Patienten

Sollte der Patient nicht in der Lage sein, seine Einwilligung zu erteilen (z. B. bei
Bewusstlosigkeit oder Koma) und keine entsprechende Patientenverfügung
bestehen, kann auch eine mutmaßliche (schlüssigen konkludenten) Einwilligung
des Patienten genügen. Hierbei wird angenommen, dass die Behandlung dem
Willen des Patienten entspricht (z. B. bei einem medizinischen Notfall oder
während einer OP, wenn sich herausstellt, dass ein zusätzlicher Eingriff notwendig
ist.)

Patientenverfügung
Für den Fall, dass man seine Einwilligung selbst nicht mehr geben kann (z.B. bei
Bewusstlosigkeit oder Koma) hat jede Person die Möglichkeit, im Vorfeld eine
Patientenverfügung zu erstellen, in der er seine Einwilligung für medizinische
Maßnahmen bei definierten Krankheitszuständen festlegen kann.

Geltungsdauer des Datenschutzes

Personenbezogene Daten sind auch nach dem Tod des Trägers geschützt. Jedoch
kann sich eine Pflicht zum Offenbaren ergeben, wenn z.B. vermögensrechtliche
Interessen der Erben bestehen. Jedoch gilt auch hier der Grundsatz, dass es dem
Willen bzw. dem mutmaßlichen Willen des Verstorbenen entsprochen haben muss.
§ 630g Abs.3 (BGB) "Einsichtnahme in die Patientenakte" regelt die
Einsichtsrechte in die Unterlagen eines Verstorbenen durch Angehörige und Erben.
Ein Erbschein gibt als amtliches Zeugnis Auskunft über das Erbrecht, diesen
sollten Erben als Nachweis vorlegen können. 
Datenweitergabe
Das Gesetz schützt fremde Geheimnisse. Werden diese Geheimnisse anderen
Personen mitgeteilt, spricht man von Offenbarung. Rechtlich erlaubt ist dieses nur
bei Vorliegen einer Offenbarungsbefugnis oder einer Offenbarungspflicht.
Offenbarungsbefugnis – Rechtfertigungsgründe:
Einverständnis des Patienten
Behandlung
Rechtfertigender Notstand

Fremde Geheimnisse
Darunter versteht man alle Tatsachen, die nur einem begrenzten Personenkreis bekannt sind. Dazu zählen
Befunde, Korrespondenz des Patienten oder sonstige Informationen, die nicht öffentlich bekannt sind.

Einverständnis des Patienten

Eine Einwilligung des Patienten ist nur dann wirksam, wenn er weiß, welche
Informationen an wen übermittelt werden. Diese Informationen müssen präzise,
transparent, verständlich und leicht zugänglich sein. Die Einwilligung muss
freiwillig erfolgen und er muss über mögliche Folgen bei Nichteinwilligung
informiert werden. Darüber hinaus ist die Einwilligung des Patienten jederzeit
widerrufbar. Verschiedene Formen der Einwilligung sind möglich:
 Schriftliches Einverständnis, hierbei bedarf es

 der persönlichen Angaben des Patienten (kein Ankreuzen für den Patienten),
 dem Zweck der Datenweitergabe (konkrete Beschreibung) und den
vorgesehenen Empfänger,
 Art der Daten, die übermittelt werden,
 der Möglichkeit der Nichteinwilligung und Information über mögliche
Folgen,
 einem Widerrufsrecht und Angabe der Stelle an die man sich bei Widerruf
wenden kann.

Stillschweigendes EinverständnisVon einem stillschweigenden Einverständnis

kann ausgegangen werden, wenn sich z.B. der Patient von einem Angehörigen zur
Untersuchung oder zum Arztgespräch begleiten lässt. Hierbei kann davon
ausgegangen werden, dass der Patient mit der Weitergabe von Daten an diesen
Angehörigen einverstanden ist. Die schlüssigen Handlungen des Patienten spielen
dabei eine Rolle. 

Behandlung
Die Datenweitergabe im Rahmen der Behandlung

 an Gehilfen ist erlaubt, erstreckt sich jedoch nur auf die jeweiligen
notwendigen Informationen (Zweckbindung).
 an mitbehandelnden Ärzte ist nur dann erlaubt, wenn von einem
stillschweigenden Einverständnis auszugehen ist (liegt im Interesse des
Patienten, dass seine behandelnden Ärzte sich austauschen).
 bei Weitergabe von Daten an externe Labore- und Konsiliarärzte bedarf es
immer der Einwilligung des Patienten.
 die Weitergabe an den behandelnden Hausarzt oder Facharzt bedarf
ebenfalls der Einwilligung des Patienten.

Rechtfertigender Notstand
§ 34 StGB (Strafgesetzbuch): "Wer in einer gegenwärtigen, nicht anders
abwendbaren Gefahr für Leben, Leib, Freiheit, Ehre, Eigentum oder ein anderes
Rechtsgut eine Tat begeht, um die Gefahr von sich oder einem anderen
abzuwenden, handelt nicht rechtswidrig, wenn bei Abwägung der widerstreitenden
Interessen, namentlich der betroffenen Rechtsgüter und des Grades der ihnen
drohenden Gefahren, das geschützte Interesse das beeinträchtigte wesentlich
überwiegt. Dies gilt jedoch nur, soweit die Tat ein angemessenes Mittel ist, die
Gefahr abzuwenden.“
Wichtig ist dabei, dass es keine andere Möglichkeit gegeben hat, die Gefahr
abzuwenden.
 Beispiele:

 Der Patient leidet an einer ansteckenden Krankheit und ist nicht gewillt, ihm
nahestehende Personen über die Ansteckungsgefahr zu informieren und sie
somit in Gefahr bringt.
 Der Patient ist aus medizinischer und körperlicher Sicht nicht mehr in der
Lage, verantwortungsbewusst als PKW-Fahrer am Straßenverkehr
teilzunehmen. Er setzt sich jedoch immer wieder hinter das Steuer und
gefährdet damit sich und andere Verkehrsteilnehmer.
Ermittlungen der Staatsanwaltschaft

 Zur Sicherung des Patientengeheimnisses hat der Arzt vor Gericht und
gegenüber der Staatsanwaltschaft ein Zeugnisverweigerungsrecht und
Anfragen dürfen nur mit der Einwilligung des Patienten beantwortet
werden.
 Ergeben sich für den Arzt Anhaltspunkte, dass sein Patient auf unnatürliche
Art und Weise verstorben ist, so hat er die Pflicht, der Polizei Auskunft über
die Todesumstände und die Erkrankung mitzuteilen. (Bestattungsgesetz der
jeweiligen Bundesländer)

Kostenübernahme und Abrechnung

 Zum Zweck der Abrechnung von Kosten im Gesundheitswesen müssen

gesetzlich genau definierte Daten an die zuständigen Krankenkassen
übermittelt werden. Darüber hinaus besteht kein Anspruch der
Krankenkassen auf weitere Daten.
 Bei nicht zahlenden „Selbstzahlern“ kann ein Antrag zur Kostenübernahme
beim Sozialamt gestellt werden, bei dem die zur Abrechnung relevanten
Daten übertragen werden.
 Bei der Finanzierung von Krankenhausleistungen über das Sozialsystem hat
der Patient eine Mitwirkungspflicht und er muss die Zustimmung zur
Datenübermittlung erteilen. Macht er dies nicht, ist es möglich, dass ihm die
Sozialleistung verweigert wird.

Gesetzliche Vertretung/Erziehungsberechtigung

 Die Einwilligung der Datenweitergabe obliegt der gesetzlichen Betreuung

bzw. den Erziehungsberechtigten. Gibt es mehr als eine Person, die
gesetzlicher Betreuer bzw. erziehungsberechtigt ist, so sind alle zu
informieren und einwilligungspflichtig.
 Einen Sonderfall stellen Jugendliche ab dem vollendeten 16. Lebensjahr dar.
Sie gelten nach der DS-GVO als einwilligungsfähig.

Offenbarungspflichten sind wie bereits im vorangegangenen Modul bei den

„Vorgaben des Meldewesens“ aufgezeigt:
  Übertragbare Infektionskrankheiten
 Geburts- und Todesfälle
 Straftat, Vernachlässigung und Misshandlung

Werden personenbezogene oder medizinische Daten unrechtmäßig an Dritte

weitergegeben, spricht man von einer unbefugten Offenbarung. Dabei ist es
unerheblich, ob diese absichtlich oder unbeabsichtigt geschehen ist.

!!!!Jegliche Form der Preisgabe von Daten (mündlich, schriftlich oder durch
Einsichtnahme) ist eine Datenweitergabe!

Verhalten bei Datenpannen

Kommt es zu einem Verstoß gegen die Datenschutzbestimmungen oder die
Schweigepflicht, müssen Sie folgende Punkte durchführen:

 Informieren Sie unverzüglich den Verantwortlichen und den

Datenschutzbeauftragten.
 Der Verantwortliche sollte den Datenschutzbeauftragten hinzuziehen.
 Der Verantwortliche ist verpflichtet innerhalb von max. 72 Stunden die
Datenpanne an die zuständige Aufsichtsbehörde zu melden, es sei denn,
dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte
und Freiheiten der betroffenen Person führt.
 Der Verantwortliche muss die Datenpanne ggf. an den Betroffenen melden.

Informieren Sie sich in Ihrer Einrichtung über die entsprechende

Verfahrensanweisung für den Umgang mit Datenpannen.
Die Meldung von Datenpannen ist nach der DS-GVO verpflichtend. Gemäß
Artikel 83 DS-GVO Abs. 4a droht dem Unternehmen bei Verstößen ein Bußgeld
von bis zu 10 Mio. Euro bzw. 2% des Konzernumsatzes.

Dokumentation, Aufbewahrung und Löschung

Die Dokumentation ist ein Arbeitsmittel und dient u.a. als Gedächtnisstütze. Als
Kommunikations- und Informationsmittel ermöglicht sie u.a. die
Rechenschaftspflicht gegenüber dem Patienten wahrzunehmen. Darüber hinaus hat
Dokumentation die Funktion der Beweissicherung.
Die Pflicht zur Dokumentation ergibt sich u.a. aus dem Behandlungsvertrag, dem
Patientenrechtegesetz und den Berufsordnungen für Ärzte und Pflegende. Um der
Dokumentationspflicht und dem gleichzeitigen Schutz der sensiblen Patientendaten
nachzukommen, sind die Grundsätze der Dokumentation zu beachten.

Kommunikation in Krankenhäusern
Datenschutz

Im Krankenhaus und anderen Einrichtungen des Gesundheitswesens ist

Kommunikation zwischen den einzelnen Bereichen ein unverzichtbares
Instrument für einen professionellen Umgang mit den Patienten,
Angehörigen und allen am Behandlungs- und Versorgungsprozess
beteiligten Personen. Jedoch bergen alle Kommunikationswege das Risiko
der Verletzung von Datenschutzbestimmungen oder der Schweigepflicht.

Lernziele
 Sie wissen um die Gefahren der Datenübermittlung per Telefon, Telefax,
E-Mail oder Internet.

 Sie wissen, wie Sie sich in Gesprächssituationen datenschutz- und

schweigepflichtskonform verhalten.

 Sie wissen, wie Sie sich datenschutz- und schweigepflichtskonform am

Arbeitsplatz verhalten.

Telefon
Die Herausgabe von Informationen am Telefon ist problematisch, da man die
Identität des Gesprächspartners nicht immer eindeutig feststellen kann. Jeder kann
sich am Telefon als Angehöriger oder Patient ausgeben und erhält im schlimmsten
Fall unberechtigt sensible personenbezogene Daten Ihres Patienten mit allen
möglichen daraus resultierenden Konsequenzen für Ihren Patienten, aber auch für
Sie.
!!!Eine telefonische Datenübermittlung sollte nur im äußersten Notfall unter allen
möglichen Sicherheitsvorkehrungen erfolgen. Die Gefahr einer unberechtigten
Auskunft ist zu groß!

Sollten Sie dennoch in Ausnahmefällen gezwungen sein,

personenbezogene Daten über das Telefon übermitteln zu müssen, so
beachten Sie die Grundsätze der telefonischen Datenübermittlung.

Grundsätze der telefonischen Datenübermittlung

 Sichern Sie die Identität des Anrufers so gut wie möglich ab, durch
Abfragen von Patientendaten (Geburtstag, Adresse etc.) oder durch Rückruf
der in der Patientenakte hinterlegten Telefonnummer.
 Vergewissern Sie sich, dass keine unberechtigten Dritten das Telefonat
mithören können!
 Die Datenweitergabe muss durch den behandelnden Arzt persönlich
geschehen. Pflegende sollten keine Auskunft am Telefon erteilen!
 Schalten Sie den Lautsprecher am Telefon nur ein, wenn Sie den
Gesprächspartner vorab darüber informiert haben!
 Sollten Sie Zweifel an der Identität des Gesprächspartners haben, bitte Sie
diesen um ein persönliches Gespräch in Ihrer Einrichtung bzw. auf Ihre
Station!

Telefax
Das Versenden von personenbezogenen Daten als Fax ist risikoreich. Verschiedene
Fehlerquellen können dazu führen, dass die sensiblen Informationen in die falschen
Hände gelangen. Bei Telefaxverfahren handelt es sich um einen Dienst, der über
das Telefonnetz erfolgt und beim Empfänger als offener Ausdruck ankommt. Eine
Datensicherheitsmaßnahme enthält es in der Regel nicht und kann deshalb mit dem
Versand einer offenen Postkarte verglichen werden. Sollten Sie dennoch ein Fax
versenden, beachten Sie die Grundsätze und Maßnahmen zum
datenschutzgerechten Umgang mit Telefaxen.

Fehlerquellen

 Der Telefaxverkehr ist wie beim Telefongespräch abhörbar.

  Gefahr der „Zahlendreher“ und damit die mögliche Gefahr, das Fax an einen unbeteiligten Dritten
zu senden.
 Telefaxgeräte können einen Fernwartungsfunktion beinhalten und somit ist es möglich, das
Unberechtigte auf die im Telefaxgerät gespeicherte Daten unbemerkt zugreifen können.
 Durch eine Rufumleitung können Telefaxgeräte zweitweise auf andere Anschlüsse geschaltet sein,
sodass das Fax zwar an die richtige Adresse, jedoch an einen anderen Empfänger versendet
werden.
 Das Empfängergerät ist möglicherweise nicht vor dem Blicken oder dem Zugriff von
Unberechtigten geschützt.

Grundsätze und Maßnahmen zum datenschutzgerechten Umgang mit Telefaxen

 Informationen, die Sie aus Gründen des Datenschutzes und der

Schweigepflicht nicht am Telefon sagen dürfen, dürfen Sie auch nicht ohne
besondere Sicherheitsvorkehrungen (z.B. Verschlüsselungsgeräte) faxen.
 Müssen Sie personenbezogene Daten faxen, treffen Sie besondere
Sicherheitsvorkehrungen: Vereinbaren Sie mit dem Empfänger einen
Sendezeitpunkt, damit dieser das Fax direkt in Empfang nehmen kann und
lassen Sie sich die erfolgreiche und fehlerfreie Übermittlung vom
Empfänger telefonisch bestätigen.
 Das Telefaxgerät muss so aufgestellt sein, dass unbefugte Dritte keine
Kenntnis vom Inhalt übertragener oder empfangener Faxe erhalten können.
 Bewahren Sie die Sende- und Empfangskontrolle sicher und vertraulich auf.
 Speichern Sie die Faxnummern ein, um Zahlendreher bei der Versendung
von Faxen zu vermeiden.
 Alle von Faxgerät angebotenen Sicherheitsmaßnahmen sollten genutzt
werden (u.a. Anzeige der störungsfreien Übertragung, Abruf nach Passwort,
Sperrung der Fernwartemöglichkeit etc.).

Telefonleitungen sind prinzipiell abhörbar, praktikable Verschlüsselungsverfahren

existieren hier noch nicht. Bei sehr sensiblen Daten sollte ggf. der Weg einer
persönlichen Zustellung oder SEPPMAil oder Postzustellung per Einschreiben
gewählt werden. Diese Richtlinien regeln die Nutzung der Telefax-Einrichtungen
im Hause und sind an die Hinweise des Bundesdatenschutzbeauftragten angelehnt.

Fax-Richtlinien
Diese Richtlinien regeln die Nutzung der Telefax-Einrichtungen im Hause und
sind an die Hinweise des Bundesdatenschutzbeauftragten angelehnt.

 Empfangen Sie in Räumen mit Publikumsverkehr unbeaufsichtigt keine

Telefaxe mit medizinischen Daten von Patienten.
 Benutzen Sie in der Regel keine Telefaxgeräte von anderen
Fachabteilungen. Eine Benutzung durch Mitarbeiter anderer Abteilungen ist
nur bei persönlicher Durchführung des Sendevorgangs und anschließender
Mitnahme des Originales und Sendeprotokolls im Einzelfall möglich.
 Erkundigen Sie sich vor erstmaligem Versand von Patientendaten an einen
bestimmten Empfänger telefonisch, ob der Empfänger Maßnahmen
getroffen hat, dass die Daten nur an die Empfangsberechtigten gelangen und
dass die Ihnen bekannte Telefaxnummer auch noch gültig ist. Speichern Sie
die Empfängernummer.
 Faxübertragungen sind “abhörbar". Was am Telefon nicht gesagt werden
darf, darf auch nicht gefaxt werden. Sie tragen die Verantwortung für die
durch Sie übermittelten personenbezogenen Daten; prüfen Sie daher genau
deren Sensibilität. Verständigen Sie sich vor dem Übertragen besonders
sensibler Daten mit dem Empfänger über den Zeitpunkt der Übermittlung.
 Gewährleisten Sie – möglichst durch persönliche Anwesenheit am Gerät,
dass kein Unbefugter bei der Übertragung in Dokumente Einsicht nehmen
kann und prüfen Sie die angewählte Anschlussnummer (bei falscher
Verbindung ggf. Sendung abbrechen!)
 Verständigen Sie sich nach Empfang einer Sendung mit dem Empfänger
über evtl. aufgetretene Mängel und deren Behebung.
 Verfahren Sie bei Eingang eines Telefaxes auf einem nicht dafür
bestimmten Gerät (z.B. Patientendaten auf Verwaltungsgerät) wie folgt:
Umgehende Verständigung des Adressaten und Aufforderung, das Fax von
einer befugten Person abholen zu lassen. Bis zur Abholung gesicherte
Aufbewahrung vor unbefugter Kenntnisnahme durch Dritte. Umgehende
Unterrichtung des Absenders über die zutreffende Abteilungs-Fax-Nummer
und über die Weiterleitung innerhalb der Klinik.

!!!Sonderregelung bei sensiblen Faxen mit personenbezogenen Daten

Sie müssen dringend ein Fax mit vertraulichen personenbezogenen Daten faxen
und möchten sicherstellen, dass das Fax nicht in die Hände von Unbefugten
gelangt, dann empfiehlt sich folgende Vorgehensweise:
 1. Verwenden Sie die nachfolgende „Faxankündigung“.
 2. Versehen sie diese mit Ihrem genauen Absender, ggf. Stempel ihrer
Abteilung. Wichtig ist die konkrete Telefax-Nummer des Senders und des
Empfängers. Kündigen Sie per Faxankündigung Ihre Nachricht an und
warten Sie auf das Antwortfax. Nummerieren Sie die Seiten bei
mehrseitigen Dokumenten.
 3. Verwahren Sie die Sende- und Empfangsprotokolle über die Dauer eines
Jahres!
 Die Verwendung des Formulars „Faxankündigung“ beschränkt sich als
Empfehlung nur in Bezug auf die Sonderregelung.

IT-Systeme
Der technische Fortschritt hat auch im Gesundheitswesen seine Spuren
hinterlassen. So sind die IT-Systeme bereits in allen Bereichen eines
Krankenhauses implementiert. Viele medizinischen Geräte sind über die IT-
Technik miteinander vernetzt und nicht mehr wegzudenken. Jeder Mitarbeiter
sollte vor der Nutzung der IT-Geräte in das System eingewiesen und regelmäßig
geschult werden.
Darauf müssen Sie als Mitarbeiter im Umgang mit dem IT-System achten:
PC-Arbeitsplatz
Internet
E-Mail
WLAN
Messengerdienste
Key-Cards, Chipausweise etc.


Einstellungen, die durch die IT-Abteilung vorgenommen wurden, dürfen nicht
geändert werden. Sollten Sie in Ihrem Arbeitsablauf gestört werden, sprechen Sie
die IT-Abteilung an.

Arbeitsplatz
Medizinische Daten nehmen aufgrund ihrer hohen Sensibilität im Datenschutz eine
Sonderstellung ein. Umso wichtiger ist es, diese vor den Blicken und dem Zugriff
unberechtigter Dritter zu schützen.
Dabei spielt der Arbeitsplatz und das Verhalten an diesem Arbeitsplatz durch alle
am Prozess Beteiligten eine große Rolle. Um mit den sensiblen Daten Ihrer
Patienten im Sinne des Datenschutzes und der Schweigepflicht korrekt
umzugehen, hat sich das Clean Desk Prinzip bewährt.
Gesprächssituationen
Eine der häufigsten Arten, personenbezogene Daten im medizinischen Bereich
weiterzugeben, erfolgt in Gesprächssituationen. Gerade hier lauern jedoch
Gefahren, den Datenschutz und die Schweigepflicht zu gefährden oder sogar zu
verletzen.
Besonders in folgenden Situationen werden personenbezogene Daten
weitergegeben:
Eine der häufigsten Arten, personenbezogene Daten im medizinischen Bereich
weiterzugeben, erfolgt in Gesprächssituationen. Gerade hier lauern jedoch
Gefahren, den Datenschutz und die Schweigepflicht zu gefährden oder sogar zu
verletzen.

Besonders in folgenden Situationen werden personenbezogene Daten

weitergegeben:
VISITE

Damit die Visite im Sinne der Schweigepflicht und des Datenschutzes geschieht,
sind nachfolgende Maßnahmen zu beachten:

 Visiten sollten stets im Patientenzimmer erfolgen, ohne die Anwesenheit

unberechtigter Dritter.
 Bitten Sie Besucher oder andere Unberechtigte aus dem Zimmer.
 Der Visitenwagen sollte niemals unbeaufsichtigt alleine auf dem Flur
verbleiben.
 Nehmen Sie den Visitenwagen mit in das Zimmer oder bei Unterbrechung
der Visite in den dafür vorgesehenen sicheren Raum mit.
 Bei der Nutzung von Tablets, Laptops oder ähnlichem ist darauf zu achten,
dass kein Unbefugter Einsicht auf den Monitor erhält.
Ubergabegespräche

Auch im Übergabegespräch müssen Vorsichtsmaßnahmen ergriffen werden, um

die sensiblen Patientendaten vor dem Zugriff Unberechtigter zu schützen:

 Übergabegespräche sollten stets in einem geschlossenen Raum stattfinden.

Bei der Zimmerübergabe direkt am Patientenbett müssen unberechtigte
Dritte vorab hinausgeschickt werden.
 Dabei sollte das Dokumentationssystem der Station verwendet werden.
Notizen auf losen Zetteln sind zu vermeiden.

Alltagsgespräche

Gespräche über Patienten in einer dafür ungeeigneten Umgebung wie der

der Cafeteria oder auf dem Flur von medizinischen Einrichtungen sind im
Sinne des Datenschutzes und der Schweigepflicht besonders bedenklich.
Die Gefahr, dass eine „unbefugte Offenbarung“ gegenüber unberechtigten
Dritten erfolgt, ist sehr groß. Sollten Sie dennoch mit anderen Personen
über Patienten sprechen, müssen Sie unbedingt darauf achten, dass kein
direkter Bezug zu Ihrem Patienten hergestellt werden kann (keine Nennung
von Namen oder anderen Merkmalen, die einen Rückschluss auf den
Patienten zulassen).

Umgang mit Patienten und Angehörigen

Datenschutz Arbeitnehmer-Arbeitgeber
Nicht nur die Daten von Patienten unterliegen den Bestimmungen des
Datenschutzes. Auch Ihre persönlichen Daten als Arbeitnehmer unterliegen
dem Beschäftigtendatenschutz und den grundlegenden
Datenschutzbestimmungen der DS-GVO und des BDSG.

Lernziele
 Sie wissen, welche personenbezogenen Daten von Ihnen im Rahmen Ihrer
Beschäftigung verarbeitet werden.
  Sie kennen die datenschutzrechtlichen Rahmenbedingungen für die Nutzung
von privaten Internet- und Telefondiensten und die Möglichkeit der
Kontrolle und Überwachung durch den Arbeitgeber.

 Sie wissen um die datenschutzrechtlichen Möglichkeiten, wenn Sie als

Patient im eigenen Krankenhaus behandelt werden.

Datenerfassung und -speicherung von

Arbeitnehmerdaten
Der Beschäftigtendatenschutz befasst sich insbesondere mit Ihren persönlichen
Daten, die für die Begründung, Durchführung oder Beendigung des
Beschäftigungsverhältnisses erforderlich sind und dürfen lediglich für diesen
Zweck (Zweckbestimmung), in dem erforderlichen (Erforderlichkeit) Umfang
(Datensparsamkeit) gespeichert und verarbeitet werden (§ 26 BDSG). Es gelten
auch hier die 7 Grundprinzipien des Datenschutzes.

© contrastwerkstatt/stock.adobe.com – Stock photo. Posed by models

Von diesen Regelungen betroffen sind Mitarbeiter, Auszubildende, Praktikanten,

ehrenamtliche Mitarbeiter und Bewerber. Bereits beim Bewerbungsgespräch sind
lediglich die Fragen erlaubt, die für die Entscheidungsfindung tatsächlich benötigt
werden (Fragerecht des Arbeitsgebers).
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des
Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung
über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des
Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur
Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer
Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und
Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Betriebsvereinbarungen und andere Kollektivvereinbarungen können die
Verarbeitung von Beschäftigtendaten erlauben, müssen sich jedoch an den
Anforderungen der DS-GVO messen lassen. Eine Datenverarbeitung kann auch
zulässig sein, wenn der Beschäftigte die Einwilligung dazu erteilt hat.
Darüber hinaus müssen die Daten immer direkt beim Arbeitnehmer erhoben
werden. Die heimliche Erhebung über andere Quellen ist verboten.
Als Arbeitnehmer haben Sie jederzeit das Recht, Auskünfte über die von Ihnen
gespeicherten Informationen bei Ihrem Arbeitgeber einzufordern.

7 Grundprinzipien des Datenschutzes

 Rechtmäßigkeit
 Zweckbindung
 Datenminimierung
 Richtigkeit
 Speicherbegrenzung
 Integrität und Vetraulichkeit
 Rechenschaftspflicht

Bewerber
 Hierbei ist es unabhängig davon, ob die Bewerbung erfolgreich war oder nicht. Jedoch sollten
Bewerberdaten nach der Stellenbesetzung gelöscht oder zurückgesendet werden, da der Zweck der
Stellenbesetzung ab diesem Zeitpunkt entfällt. Jedoch sollte man 6 Monate warten, da dies der
Frist des allgemeinen Gleichbehandlungsgesetzes entspricht und abgelehnte Bewerber in diesem
Zeitraum eine unzulässige Benachteiligung geltend machen könnten. Bei gegenseitigen Interesse
an der Besetzung der Stelle kann mit Zustimmung des Bewerbers diese Frist von 6 Monaten
überschritten werden. (Aktennotiz als Beweis)

Fragerecht des Arbeitgebers bei der Vorstellung

Bei unzulässigen Fragen, haben (potenzielle) Arbeitnehmer das „Recht zur Lüge“ sofern die Fragen nicht
für die Erfüllung des Arbeitsverhältnisses erforderlich sind. Unzulässig sind Fragen nach:

 Familienverhältnissen (Familienstand, alleinerziehend, Kinderwunsch…)

 Stammdaten (Geburtsort, Geburtsname, Alter und Nationalität): Dies können Indizien für eine
Diskriminierung sein. Nach Vertragsabschluss gehören diese Daten jedoch zu den erlaubten
Betriebsdaten.
 Fahrerlaubnis (erlaubt, wenn dieses zur Erledigung der Arbeit benötigt wird bspw. im ambulanten
Pflegedienst)
 Vorstrafen und laufende Ermittlungen (es darf nur für den jeweiligen Arbeitsplatz wichtige
Strafrechtsgebiet gefragt werden)
 Pfändungen und Lohnabtretungen (nur zulässig, wenn Vertrauenspositionen, mit denen
beträchtliche finanzielle Spielräume verbunden sind, besetzt werden sollen)
 Chronische Krankheiten und beantragte Rehabilitationsmaßnahmen: Nur wenn die Eignung für
die Tätigkeit auf Dauer oder in wiederkehrenden Abständen eingeschränkt ist und nur wenn es
zum Zeitpunkt des Dienstantritts bzw. in absehbarer Zeit zu einer Arbeitsunfähigkeit (geplante
OP, bewilligte Kur oder bestehender akuten Erkrankung) kommen kann

Datenweitergabe von Arbeitnehmerdaten

Die Weitergabe von Mitarbeiterdaten an Dritte ist immer unzulässig, wenn diese
Weitergabe nicht in Hinblick auf das Beschäftigungsverhältnis notwendig ist. Eine
externe Datenweitergabe erfolgt in der Regel an:

 Sozialversicherungsträger

 Rentenversicherungsträger

 Krankenkassen

 Arbeitsagenturen

 Finanzämter

Mitarbeiterfotos
Sollte eine externe Lohnabrechnung erfolgen, ist der Arbeitgeber angehalten,
besonders sensibel und aufmerksam mit den personenbezogenen Daten seiner
Mitarbeiter umzugehen und muss die besonderen Formvorschriften für
ausgelagerte Datenverarbeitung einhalten. Dazu ist ein Vertrag über eine
Auftragsverarbeitung zwischen dem Arbeitgeber als Auftraggeber und dem
Auftragnehmer erforderlich.

Private Internet- und Telefonnutzung

In vielen Einrichtungen wird den Mitarbeitern die Nutzung von Internet und
Telefon für private Zwecke gestattet.


Vergewissern Sie sich vor der privaten Nutzung von Telefon und Internet an Ihrem
Arbeitsplatz, ob dies bei Ihnen gestattet ist. Sollte die private Nutzung nicht erlaubt
sein, stellt dieser Verstoß eine arbeitsrechtliche Pflichtverletzung dar und kann im
schlimmsten Fall eine Kündigung nach sich ziehen.
Kontrolle von Leistung und Verhalten
Dem Arbeitgeber ist grundsätzlich das Recht eingeräumt worden, Leistung und
Verhalten seiner Mitarbeiter zu kontrollieren. Allerdings nur solange dieses zweck-
und verhältnismäßig ist. Jedoch darf der Arbeitgeber nur die Daten erheben, die für
die Durchführung des Arbeitsverhältnisses und die Arbeit des jeweiligen
Mitarbeiters erforderlich ist.

Verhältnismäßigkeit
Verhältnismäßigkeit bei einer Kontrolle ist dann gegeben, wenn bei dieser Maßnahme nicht oder nur
geringfügig in die Rechte des Arbeitnehmers eingriffen wird.

Videoüberwachung am Arbeitsplatz
Die Kontrolle der Mitarbeiter durch ein Videoüberwachungssystem stellt einen
intensiven Eingriff in das informationelle Selbstbestimmungsrecht des
Beschäftigten dar. Jedoch kann eine Videoüberwachung gegen einen konkreten
Beschäftigten zulässig sein, wenn es Anhaltspunkte dafür gibt, dass der
Beschäftigte in seinem Beschäftigungsverhältnis eine Straftat begangen hat.

Zeiterfassung
Die Zeiterfassung hat 2 wichtige Funktionen: Der Arbeitgeber kann die geleistete
Zeit dokumentieren (aufzeichnen), kontrollieren und der Arbeitnehmer seine
geleistete Zeit dokumentiert nachweisen. Der Arbeitgeber ist gemäß
Arbeitszeitgesetz (ArbZG) zur Arbeitszeiterfassung verpflichtet.
Die Daten der Arbeitszeiterfassung sind für den Zeitraum von 2 Jahren
aufzubewahren.

Prinzipien zur sicheren Arbeitszeiterfassung – 7 Gebote zur Datensicherheit

 Zutrittskontrolle: Der Zutritt zu den Anlagen der Datenverarbeitung muss

begrenzt und überwacht sein.
 Zugangskontrolle: Nur ausgewiesene Mitarbeiter dürfen Zugang zu diesen
Daten haben (Kennwort).
 Weitergabekontrolle: Werden die Daten übertragen, muss ein unbefugtes
Lesen, Kopieren oder Entfernen von Daten verhindert werden.
 Eingabekontrolle: Werden Daten verändert, muss dieses nachvollziehbar
protokolliert werden, wer wann diese Daten verändert hat.
 Auftragskontrolle: Die erhobenen Daten werden nur für den
entsprechenden Zweck verarbeitet.
 Verfügbarkeitskontrolle: Die Daten sind vor Verlust oder Zerstörung zu
schützen.
 Getrennte Verarbeitung: Daten, die zu unterschiedlichen Zwecken
erhoben werden, müssen auch getrennt verarbeitet werden.

Mitarbeiter als Patienten

Nicht selten kommt es vor, dass man als Arbeitnehmer in dem Krankenhaus, in
dem man arbeitet, selbst als Patient aufgenommen wird. Datenschutzrechtlich stellt
diese Konstellation einen Sonderfall dar, da sich der Patientendatenschutz und der
Beschäftigtendatenschutz überschneiden.
In diesem besonderen Fall obliegt es dem Arbeitgeber, dafür Sorge zu tragen
(Fürsorgepflicht des Arbeitgebers), dass die Kollegen vom Aufenthalt eines
Mitarbeiters, sofern diese nicht direkt an der Behandlung oder Abrechnung
beteiligt sind, nichts erfahren.

Möglichkeiten des Schutzes der Patientendaten von Mitarbeitern

VIP-Funktion: Festlegung einer Mitarbeiterkennzeichnung, die eine zusätzliche
Eingrenzung des Kreises der Zugriffsberechtigten vornimmt. Diese Funktion wird
ebenfalls angewendet, wenn andere besonders schützenswerte Personen
aufgenommen werden.


Die Zugriffe auf Patientendaten werden protokolliert. Denken Sie immer daran, nur
auf die Patientendaten zuzugreifen, an deren Behandlung Sie beteiligt sind.