1. Themen
  2. IT-Management
  3. Compliance im Datenschutzrecht: Informations und Dokumentationspflichten im Krankenhaus

Compliance im Datenschutzrecht: Informations und Dokumentationspflichten im Krankenhaus

Compliance

Veröffentlicht 22.09.2023 07:30, Kim Wehrs

Compliance im Datenschutzrecht spielt eine entscheidende Rolle, insbesondere im Gesundheitswesen, wo sensible persönliche Daten täglich verarbeitet werden. Die Datenschutz-Grundverordnung (DSGVO) legt umfangreiche Informations- und Dokumentationspflichten fest, die von Krankenhäusern erfüllt werden müssen, um den Schutz personenbezogener Daten zu gewährleisten. Ein Blick in die Praxis gibt Hinweise für die besten Praktiken zur Einhaltung der Datenschutzbestimmungen.

Zunächst einmal ist das Krankenhaus als verantwortliche Stelle verpflichtet, die betroffenen Personen über die Verarbeitung ihrer Daten zu informieren. Dies beinhaltet die Bereitstellung von klaren und verständlichen Datenschutzerklärungen, in denen die Zwecke, die Rechtsgrundlagen, die Dauer der Datenspeicherung sowie die Rechte der Betroffenen detailliert erläutert werden. Die Informationen müssen in einer leicht zugänglichen Form und in einer klaren Sprache präsentiert werden, um sicherzustellen, dass die betroffenen Personen ihre Datenschutzrechte wirksam ausüben können.

Darüber hinaus müssen Krankenhäuser die Einwilligung der betroffenen Personen einholen, sofern die Verarbeitung personenbezogener Daten auf dieser Rechtsgrundlage beruht. Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein. Es ist wichtig, dass das Krankenhaus nachweisen kann, dass die Einwilligung rechtmäßig erteilt wurde, daher sollte eine sorgfältige Dokumentation erfolgen, beispielsweise durch schriftliche Bestätigungen oder elektronische Aufzeichnungen. Eine weitere Informationspflicht betrifft den Umgang mit Datenpannen. Krankenhäuser sind verpflichtet, Verletzungen des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu melden. Die Meldung muss so schnell wie möglich erfolgen und innerhalb von 72 Stunden, nachdem das Krankenhaus von der Datenpanne Kenntnis erlangt hat. Darüber hinaus müssen betroffene Personen in Fällen, in denen die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt, ebenfalls informiert werden.

Im Bereich der Dokumentation muss das Krankenhaus ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses Verzeichnis enthält detaillierte Informationen über die Art der verarbeiteten Daten, die Zwecke der Verarbeitung, die Kategorien von betroffenen Personen, die Empfänger der Daten und die geplante Speicherdauer. Das Verzeichnis dient als internes Steuerungsinstrument, um die Einhaltung der DSGVO zu überwachen, und kann bei Bedarf der Aufsichtsbehörde vorgelegt werden.

Zusätzlich müssen Krankenhäuser die Rechtmäßigkeit der Datenverarbeitung nachweisen können. Dies erfordert die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten. Solche Maßnahmen umfassen beispielsweise die Verschlüsselung sensibler Daten, den Zugriffsschutz zu IT-Systemen, die Schulung der Mitarbeiter in Datenschutzfragen und die Durchführung regelmäßiger Datenschutz-Folgenabschätzungen.

Wichtige DSGVO-Pflichten

Datenschutzerklärung: Das Krankenhaus muss eine Datenschutzerklärung bereitstellen, die umfassend über die Verarbeitung personenbezogener Daten informiert. Diese Erklärung sollte unter anderem die Zwecke der Datenverarbeitung, die Rechtsgrundlagen, die Dauer der Datenspeicherung, die Rechte der betroffenen Personen und Informationen zu etwaigen Datenübermittlungen enthalten.

Verzeichnis von Verarbeitungstätigkeiten: Das Krankenhaus muss ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem alle relevanten Informationen über die Verarbeitung personenbezogener Daten dokumentiert sind. Dieses Verzeichnis sollte unter anderem Angaben zu den Kategorien der verarbeiteten Daten, den Zwecken der Verarbeitung, den Empfängern der Daten und den geplanten Löschfristen enthalten.

Einwilligungen: Sofern das Krankenhaus personenbezogene Daten auf Basis von Einwilligungen verarbeitet, müssen diese Einwilligungen dokumentiert werden. Es sollte ersichtlich sein, wann und wie die Einwilligung erteilt wurde und welche Informationen die betroffene Person erhalten hat.

Auftragsverarbeitungsverträge: Wenn das Krankenhaus externe Dienstleister (Auftragsverarbeiter) mit der Verarbeitung personenbezogener Daten beauftragt, müssen entsprechende Auftragsverarbeitungsverträge abgeschlossen werden. Diese Verträge regeln die datenschutzrechtlichen Pflichten und Verantwortlichkeiten wischen dem Krankenhaus und den Auftragsverarbeitern.

Datenschutz-Folgenabschätzung: Falls das Krankenhaus bestimmte Datenverarbeitungen durchführt, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, kann eine Datenschutz-Folgenabschätzung erforderlich sein. Dabei müssen potenzielle Risiken identifiziert und Maßnahmen zur Risikominimierung ergriffen werden.

Die Erfüllung dieser Informations- und Dokumentationspflichten gemäß der DSGVO ist für Krankenhäuser von entscheidender Bedeutung, um den Schutz personenbezogenerDaten zu gewährleisten und potenzielle Datenschutzverletzungen zu minimieren. Durch die Einhaltung dieser Vorschriften können Krankenhäuser das Vertrauen der Patienten stärken und zugleich die Anforderungen der DSGVO erfüllen. Compliance im Datenschutzrecht ist für Unternehmen jeglicher Größe von großer Bedeutung. Datenschutzverstöße können nicht nur zu empfindlichen Geldstrafen führen, sondern auch den Ruf und das Vertrauen in die Einrichtung gefährden. In diesem Kontext stehen besondere Herausforderungen mit Blick auf Ressourcen und Fachkenntnisse die besten Praktiken zur Einhaltung der Datenschutzbestimmungen.


Quelle: Krankenhaus-IT Journal, Ausgabe 04/2023



Lesen Sie mehr zum Thema "IT-Management"

Netzwerk-Automation hilft dem Gesundheitssystem auf die Beine
IT-Management
Automatisierte Campus-Netzwerke sparen Kosten

Netzwerk-Automation hilft dem Gesundheitssystem auf die Beine

Admin-Aufgaben automatisieren, Effizienz steigern
IT-Management
Management

Admin-Aufgaben automatisieren, Effizienz steigern

Mit Künstlicher Intelligenz die Internet-Geschwindigkeit verbessern
IT-Management
Datenströme

Mit Künstlicher Intelligenz die Internet-Geschwindigkeit verbessern

Wie sich Daten dauerhaft sichern lassen: Defekte im atomaren Maßstab ermöglichen langfristige Datenspeicherung
IT-Management
Speicherung

Wie sich Daten dauerhaft sichern lassen: Defekte im atomaren Maßstab ermöglichen langfristige Datenspeicherung

Warehouse-Management im Krankenhaus
IT-Management
KIS

Warehouse-Management im Krankenhaus

Collaboration-Tools: Risiken für das Business vorbeugen
IT-Management
Tool

Collaboration-Tools: Risiken für das Business vorbeugen

Lesen Sie hier die neuesten Beiträge

Virtual Reality: Besserer Strahlenschutz für medizinisches Fachpersonal
Radiologie
VR

Virtual Reality: Besserer Strahlenschutz für medizinisches Fachpersonal

KH-IT-Frühjahrstagung 2024: Blackout-Vorsorge durch klare Prioritätenlisten
Bundesverband KH-IT
KH-IT

KH-IT-Frühjahrstagung 2024: Blackout-Vorsorge durch klare Prioritätenlisten

Neue Ethikkommission für KI & Co an der TUM
Künstliche Intelligenz
Ethik

Neue Ethikkommission für KI & Co an der TUM

Diese Webseite verwendet Cookies.   Mehr Info.      oder