Datenschutz und Schweigepflicht im Gesundheitssystem

In unserer digitalen Welt werden täglich personenbezogener Daten verarbeitet, oft unsichtbar und unbemerkt. Von der Online-Buchung bis zur Patientenakte, von Social Media bis zur Gehaltsabrechnung: Überall werden persönliche Informationen gesammelt, gespeichert und weitergegeben. Diese Daten sind sensibel und schützenswert, denn sie betreffen unsere Privatsphäre, Sicherheit und Persönlichkeitsrechte. Um sich und andere zu schützen, ist es wichtig, die Grundlagen des Datenschutzes zu verstehen und korrekt anzuwenden.

Nach diesem Kapitel weißt du:

• Welche rechtlichen Grundlagen der Datenschutz hat (DSGVO, BDSG)
• Was personenbezogene Daten sind und welche besonderen Kategorien es gibt
• Welche Grundprinzipien für die Datenverarbeitung gelten und welche Rechte du als betroffene Person hast
• Unter welchen Bedingungen Daten rechtmäßig verarbeitet werden dürfen

Grundprinzip

• Informationelles Selbstbestimmungsrecht: Jede Person hat das Grundrecht, selbst darüber zu entscheiden, welche personenbezogenen Daten über sie erhoben, gespeichert, verarbeitet oder weitergegeben werden dürfen

Hauptquellen

Die zentralen rechtlichen Grundlagen des Datenschutzes in Deutschland und Europa sind:

• Datenschutz-Grundverordnung (EU-DSGVO): EU-weit geltendes Regelwerk zur Verarbeitung personenbezogener Daten durch öffentliche und private Stellen
  • Ziel: Einheitlicher Schutz der Daten in allen EU-Mitgliedsstaaten
• Bundesdatenschutzgesetz (BDSG): Ergänzt die DSGVO auf nationaler Ebene und regelt z.B. den Einsatz von Datenschutzbeauftragten und die Arbeit von Aufsichtsbehörden
• Schweigepflicht (§ 203 StGB): Verbot der unbefugten Weitergabe vertraulicher Informationen durch Berufsgeheimnisträger:innen (z.B. Pflegefachpersonen)

Voraussetzungen für die rechtmäßige Datenverarbeitung (Art. 6 Abs. 1 DSGVO)

Damit personenbezogene Daten verarbeitet werden dürfen, muss mind. eine der folgenden Bedingungen erfüllt sein:

• Einwilligung der betroffenen Person: Muss freiwillig, informiert, eindeutig und aktiv erfolgen; ist jederzeit widerrufbar
  • Beispiele: Zustimmung zur Fotoaufnahme, Nutzung medizinischer Daten in der Patientenakte
• Vertragliche Notwendigkeit: Datenverarbeitung ist erforderlich zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
  • Beispiel: Arbeitsvertrag mit einer Pflegeeinrichtung
• Gesetzliche Verpflichtung: Datenverarbeitung ist gesetzlich vorgeschrieben
  • Beispiel: Meldungen an das Gesundheitsamt, steuerliche Pflichten
• Lebenswichtige Interessen: Datenverarbeitung ist notwendig, um Leben oder Gesundheit zu schützen
  • Beispiel: Notfallversorgung ohne vorherige Einwilligung
• Aufgaben im öffentlichen Interesse: Datenverarbeitung erfolgt im Rahmen einer hoheitlichen Aufgabe
  • Beispiel: Arbeit von Behörden im Gesundheitswesen
• Berechtigtes Interesse (nur bei privaten, nicht-öffentlichen Stellen): Zulässig, wenn das Interesse der Verantwortlichen die Rechte und Freiheiten der betroffenen Person überwiegt
  • Beispiel: IT-Sicherheitsmaßnahmen in Pflegeheimen

Besondere Daten (z.B. Gesundheits- oder genetische Daten) dürfen nur verarbeitet werden, wenn zwei Bedingungen gleichzeitig erfüllt sind: die allgemeine Rechtsgrundlage nach Art. 6 DSGVO (z.B. Vertrag, gesetzliche Pflicht) sowie eine zusätzliche Ausnahme nach Art. 9 Abs. 2 DSGVO (z.B. ausdrückliche Einwilligung, medizinische Behandlung)!

Rechte der Betroffenen ^[1]

• Transparente Kommunikation: Präzise, verständliche und leicht zugängliche Sprache der Verantwortlichen
• Information: Bspw. über den Erhalt von Daten zur Person durch Dritte (z.B. Angehörige)
• Auskunft: Bspw. Akteneinsicht bzw. Aktenkopie
• Berichtigung: Korrektur fehlerhafter/nicht-aktueller Inhalte
• Eingeschränkte Verarbeitung: Bspw. während des Prüfungszeitraumes, wenn die Richtigkeit der Daten durch die betroffene Person bestritten wurde und es deshalb zu einer Überprüfung der Daten kommt
• Löschung: Daten sind für den ursprünglichen Zweck nicht mehr notwendig oder die betroffene Person widerruft ihre Einwilligung
• Widerruf: Einwilligung zur Datenverarbeitung kann jederzeit widerrufen werden

Personen <16 Jahren dürfen ohne Zustimmung der Eltern oder Erziehungsberechtigten keine personenbezogenen Daten übermitteln!

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung identifiziert werden kann.

• Allgemeine personenbezogene Daten
  • Name und Adresse
  • Matrikelnummer
  • IP-Adresse
  • Standortdaten
  • Spezifische psychische bzw. physische Merkmale
• Besondere Kategorien personenbezogener Daten (besonders sensibel)
  • Gesundheitsdaten
  • Genetische oder biometrische Daten
  • Ethnische Zugehörigkeit
  • Politische Ausrichtung
  • Sexuelle Orientierung

Grundprinzipien der Datenverarbeitung

Diese Prinzipien bilden das Fundament eines korrekten Datenschutzverhaltens:

• Richtigkeit: Daten müssen sachlich, richtig und aktuell sein
• Transparenz: Datenverarbeitung muss für Betroffene nachvollziehbar sein
• Integrität/Vertraulichkeit: Daten müssen vor unbefugtem Zugriff geschützt sein
• Zweckbindung: Daten dürfen nur für einen klar definierten Zweck erhoben werden (z.B. für eine Behandlung)
• Datenminimierung: Es dürfen nur notwendige Daten erhoben werden
• Speicherbegrenzung: Daten dürfen nur so lange wie nötig aufbewahrt werden
• Rechenschaftspflicht: Einhaltung aller Prinzipien muss nachgewiesen werden können

Zweckgebundene Datenweitergabe

• Voraussetzung für die Weitergabe von Gesundheitsdaten: I.d.R. Einwilligung in die Verarbeitung der Daten und Schweigepflichtsentbindung
• Datenweitergabe mit Einwilligung: An Krankenkassen, Medizinischen Dienst, Berufsgenossenschaft, Standesamt, Datenschutzbehörde
• Datenweitergabe ohne Einwilligung: Möglich an Polizei oder Staatsanwaltschaft bei Gefahrenabwehr sowie an das Gesundheitsamt bei meldepflichtigen Erkrankungen

Umgang mit Gesundheitsdaten

• Einwilligung zur Datenverarbeitung
  • Muss freiwillig, ausdrücklich und aktiv erfolgen
  • Ist jederzeit widerrufbar
  • Nachweis muss in Patientenakte hinterlegt sein
  • Ist auch für Foto- und Videodaten notwendig
• Ausnahmen: Keine Einwilligung nötig bei
  • Lebensrettung der betroffenen Person oder anderer Personen
  • Schutz vor Gefahren der öffentlichen Gesundheit
  • Arbeitsmedizinischer Gesundheitsvorsorge
• Nutzung von Privatgeräten: Zur Datenerhebung und -verarbeitung strikt untersagt

Datenschutzbeauftragte:r

• In allen Krankenhäusern erforderlich!
• Aufgaben
  • Ansprechperson für alle Datenschutzfragen
  • Berät und schult Mitarbeitende
  • Überwacht Einhaltung der Datenschutzgesetze
  • Kontaktperson für Aufsichtsbehörde
• Schweigepflicht: Gilt auch für Datenschutzbeauftragte
• Meldepflicht: Muss Datenschutzverletzungen innerhalb von 72 h an die Aufsichtsbehörde melden

Praktische Hinweise für den Klinikalltag

• Auskunft an Kolleg:innen
  • Grundsatz: Informationen dürfen nur anonymisiert weitergegeben werden
  • Ausnahme: Innerhalb des Behandlungsteams ist vollständige Informationsweitergabe erlaubt, z.B. bei Übergaben oder gemeinsamen Visiten
• Sicherheitsregeln am Arbeitsplatz
  • Arbeitsräume abschließbar, nicht einsehbar/abhörbar
  • Behandlungszimmer akustisch/visuell abgrenzbar
  • Keine Patientengespräche in offenen Räumen
  • Fenster und Türen beim Verlassen schließen/abschließen
  • Computer beim Verlassen immer sperren (auch kurz!)
• Dokumentationspraxis
  • Akten/Listen niemals offen liegen lassen
  • Synonyme verwenden („Pat.“ statt Name)
  • Keine Namen Dritter in der Dokumentation verwenden
  • Keine Namensschilder oder Diagnosen an Türen verwenden
  • Patientenkurven verstaut transportieren
  • Aufnahme-/Überleitungsbögen unterschreiben lassen bei Verlegung
  • Digitale Nachverfolgung: Jeden Zugriff auf Patientendaten protokollieren (wer, wann, welche Daten)

Innerhalb des Behandlungsteams besteht keine datenschutzrechtliche Einschränkung – die Weitergabe von Informationen ist erlaubt und notwendig, z.B. bei Visiten, Übergaben oder gemeinsamer Therapieplanung!

Datenschutz im Arbeitsverhältnis

• Pflicht der Arbeitgebenden: Regelmäßige Datenschutzschulungen der Mitarbeitenden
• Pflicht der Mitarbeitenden: Vertraulicher Umgang mit allen personenbezogenen Daten am Arbeitsplatz und Betriebsgeheimnissen, bspw.
  • Patientenfallzahlen, z.B. „Unsere Stationen sind leer“
  • Personalentscheidungen, z.B. „Stellen werden nicht besetzt“
  • Strategische Klinikpläne, z.B. „Wir bauen eine neue Intensivstation“

Grundlagen (§ 203 StGB)

• Persönliche Verpflichtung, nicht durch Arbeitgebende aufhebbar
• Gilt auch nach dem Tod der betroffenen Person
• Strafbarkeit
  • Einfache Fahrlässigkeit: Nicht strafbar
  • Grobe Fahrlässigkeit: Annahme eines bedingten Vorsatzes, daher strafbar
• Zeugnisverweigerungsrecht: Schweigepflicht gilt auch gegenüber Polizei und Staatsanwaltschaft

Schweigepflichtige Personen

• Ärzt:innen, Zahnärzt:innen, Apotheker:innen, Psycholog:innen
• Pflegefachpersonen, Altenpfleger:innen, im Rettungsdienst Tätige
• Geltungsbereich
  • Gegenüber allen Dritten, auch Familienangehörigen
  • Auch bei einwilligungsfähigen Minderjährigen
  • Bezieht sich auf alle anvertrauten Geheimnisse, auch nicht-medizinische, wenn im beruflichen Kontext mitgeteilt
  • Umfasst z.B. Name, Diagnose, Laborwerte, persönliche Daten, Gewohnheiten

Praktische Beispiele

• Telefonische Anfrage durch eine außenstehende Person (z.B. angeblicher Bruder): Keine Auskunft über den Aufenthaltsort oder die Aufnahme ohne vorherige Zustimmung
• Rückfrage durch benannte Kontaktperson (z.B. Ehepartner:in) nach medizinischem Eingriff: Weitergabe medizinischer Details gut überlegen, um eigene Kompetenzen nicht zu überschreiten
• Aufnahme einer bekannten gesuchten Person als Patient:in (z.B. nach medial berichteter Straftat): Keine Meldung oder Weitergabe von Informationen an Strafverfolgungsbehörden

Entbindung der Schweigepflicht

Grundsätzlich dürfen Informationen nur mit ausdrücklicher Einwilligung der betroffenen Person weitergegeben werden. Es gibt allerdings einige Situationen, in denen man die Schweigepflicht brechen darf oder sogar muss.

Offenbarungsbefugnis

• Offenbarung gemäß § 34 StGB bei rechtfertigendem Notstand erlaubt, bspw. bei
  • Schweren Taten gegen Leib, Leben oder Freiheit mit Wiederholungsgefahr
  • Versuch, eine Gefährdung abzuwenden

Verpflichtung zum Brechen der Schweigepflicht

• Offenbarungspflicht: Pflicht zur Anzeige schwerer Straftaten nach § 138 StGB
• Gesetzliche Meldepflichten: Zwingende Meldung bestimmter Ereignisse an Behörden, z.B. bei
  • Geburt und Tod
  • Berufskrankheiten
  • Meldepflichtigen Infektionskrankheiten (gemäß Infektionsschutzgesetz)
  • Verdacht auf nicht-natürliche Todesursache (z.B. bei plötzlichem, unklarem oder gewaltsamem Tod)

Typische Situationen im Klinikalltag

• Meldepflichtige Erkrankungen gemäß Infektionsschutzgesetz
• Information an Betreuer:in bei gesetzlicher Betreuung oder Vormundschaft
• Information an das Amtsgericht bei freiheitsentziehenden Maßnahmen
• Einschaltung des Jugendamts bei Kindeswohlgefährdung
• Information an Eltern minderjähriger Patient:innen, insb. bei Schwangerschaft nur unter Beachtung der individuellen Gefährdungslage
• Mutmaßliche Einwilligung bei bewusstlosen oder nicht ansprechbaren Personen