Datenschutz in der Pflege

Jeder Mitarbeiter, der im Bereich der Pflege oder Medizin mit den Informationen von Bewohnern und Patienten umgehen, ist dazu verpflichtet, Stillschweigen zu bewahren. Diese Verpflichtung ergibt sich aus dem speziellen Berufsgeheimnis gemäß § 203 des Strafgesetzbuches (= ethische Regelung zur unbefugten Weitergabe).

Am 28. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten, wodurch alle europäischen Staaten verpflichtet sind, ihr nationales Recht entsprechend anzupassen.

Die Bestimmungen der DSGVO gelten sowohl für private als auch öffentliche Stellen und betrifft daher auch den Bereich der Pflege und Medizin.

In der Betreuung von Patienten stoßen Datenschutz und Schweigepflicht aufeinander. Kommt es zu einem Verstoß, hat dies nicht nur datenschutzrechtliche, sondern auch strafrechtliche Konsequenzen.

Die Pflegedienste und der zuständige Datenschutzbeauftragte müssen verschiedene organisatorische Maßnahmen erstellen, darunter die Dokumentation und Rechenschaftspflicht, der Umgang mit Anfragen von Betroffenen und Datenpannen sowie die Schulung und Verpflichtung aller Mitarbeiter.

Es gibt viele Stolperfallen im täglichen Pflegealltag, bei denen gegen den Datenschutz verstoßen wird. Zum Beispiel darf die Krankenversicherung nicht einfach Zugriff auf die Pflegedokumentation haben und Angehörige benötigen eine Vollmacht für Einsichtnahme. Wenn Ihre Pflegekräfte mobil tätig sind, müssen sie auch darauf achten, dass die Privatsphäre der Patienten in deren Wohnungen gewahrt bleibt. Das Teilen von Adressen über private Whats App-Konten ist tabu!

Mangelnde Diskretion und fehlende Vertraulichkeitsverpflichtungen oder einsehbare Patientendaten können zu einer Datenschutzverletzung führen.

Auch wenn in der Pflege die Zeit oft knapp ist, müssen sowohl die Pfleger als auch die Pflegeleitung darauf achten, dass die Daten der Patienten immer geschützt sind. Es reicht nicht aus, oberflächliche Schutzmaßnahmen zu ergreifen, nur um die Vorgaben für das nächste Qualitätsmanagement-Audit erfolgreich zu bestehen.

Eine solides Datenschutzkonzept muss unbedingt geschaffen werden. Dadurch wird Ihnen die effektive Umsetzung der entsprechenden Maßnahmen wesentlich erleichtert.

Im Rahmen des Vertragsabschlusses zwischen einem Pflegeheim und einem pflegebedürftigen Menschen dürfen gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b Datenschutz-Grundverordnung (ggf. in Verbindung mit Artikel 9 Absatz 2 Buchstabe h Datenschutz-Grundverordnung) folgende persönliche Daten erhoben werden:

• Stammdaten wie der vollständige Name, Alter, Geburtsdatum, Sozialversicherungsnummer Krankenkasse, sowie Informationen zur Kranken- und Pflegeversicherung,
• Angaben zum monatlichen Einkommen und dessen Art des zukünftigen Bewohners, sofern erforderlich, um festzustellen, ob der Bewohner die monatlichen Kosten tragen kann,
• ein ärztliches Zeugnis gemäß §36 Absatz 4 IfSG zur Bestätigung einer nicht ansteckenden Lungentuberkulose.
• Gemäß den Datenschutzbestimmungen ist es nur erlaubt, personenbezogene Daten von den betroffenen Personen zu sammeln und zu verarbeiten, wenn sie für die Betreuung und Pflege relevant sind.
• Eine Ausnahme besteht jedoch dann, wenn der Patient seine ausdrückliche Zustimmung gegeben hat. Wie auch in anderen medizinischen Berufen muss das berufliche Schweigepflichtgebot beachtet werden.
• Auch enge Angehörige des Betreuten haben nicht automatisch uneingeschränktes Recht auf Einsicht in dessen persönliche Daten. In der Regel bedarf es dafür einer Einwilligungserklärung.

Grundsätzlich dürfen nur die personenbezogenen Daten erfasst werden, die für die Erfüllung der im Vertrag festgelegten Leistungen tatsächlich erforderlich sind. Welche Daten im Einzelfall dazu gehören, hängt von der Art der vereinbarten Pflegeleistung ab (ambulanter Pflegedienst, stationäre Pflegeheime oder betreutes Wohnen usw.).

Die zu erhebenden personenbezogenen Daten ergeben sich aus den gesetzlichen Vorschriften des SGB V und SGB XI, die bestimmte Verpflichtungen für die Pflegeeinrichtung beinhalten.

Die Einrichtung muss, um ihre vertraglichen Aufgaben zu erfüllen, Daten der Pflegebedürftigen abfragen dürfen. (§104 Absatz 1 SGB XI (Pflichten der Leistungserbringer), genannt.

Achtung! Ohne Zustimmung der betroffenen Person dürfen folgende Daten nicht erhoben werden:

• Biographische Daten wie Geburtsort, Konfession, Beruf, frühere Arbeitgeber, Anzahl der Kinder und Familienstand. Diese Informationen sind zwar hilfreich, aber nicht erforderlich für die Erbringung der Pflegeleistung.
• Informationen über Angehörige oder Betreuer. Hier ist eine Zustimmung erforderlich, da zwischen der Einrichtung und dem Angehörigen bzw. Betreuer kein Vertrag besteht, für dessen Erfüllung die Erhebung dieser Daten notwendig wäre. Eine Ausnahme bilden Name und Kontaktdaten eines Notfallkontakts; diese dürfen auch ohne Zustimmung abgefragt werden (berechtigtes Interesse).

Gemäß der Datenschutzgrundverordnung (DSGVO) wird eine Einwilligung definiert als eine Willenserklärung oder eindeutig bestätigendes Verhalten, bei dem die betroffene Person freiwillig und informiert ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck gibt. Vor Abschluss eines Vertrags muss die Pflegeeinrichtung sicherstellen, dass die betroffene Person ausreichend über den Inhalt und die Folgen der Einwilligung informiert ist.

Die Pflegeeinrichtung sollte außerdem den genauen Zweck der Datenverarbeitung angeben sowie die rechtliche Grundlage und Empfänger der Daten konkret benennen. Es ist wichtig, dass die betroffene Person auch über mögliche Konsequenzen einer nicht erteilten Einwilligung aufgeklärt wird und dass sie keine Nachteile erleidet, wenn sie ihre Einwilligung nicht gibt.

Darüber hinaus muss darauf hingewiesen werden, dass die erklärte Einwilligung jederzeit widerrufen werden kann.Falls es sich um Gesundheitsdaten handelt - also besonders sensible Informationen - muss dies explizit in der Einwilligungserklärung erwähnt werden.

Obwohl mündliche Einwilligungen gemäß DSGVO zulässig sind, empfehlen wir dringend schriftliche Dokumentationen von den betroffen Personen einzuholen, um im Streitfall nachweisen zu können, dass tatsächlich eine gültige Zustimmung vorliegt.

Um Transparenz und besseres Verständnis zu gewährleisten, empfehlen wir zusätzlich zur Behandlungsvereinbarung separate Einwilligungsformulare beizufügen, die getrennt unterzeichnet werden.

• Grundsätzlich dürfen Pflegeeinrichtungen die personenbezogenen Daten der betroffenen Personen übermitteln, wenn dies durch ein Gesetz ausdrücklich vorgesehen ist. In solchen Fällen benötigen sie keine separate Zustimmung zur Verarbeitung der Daten von den Betroffenen.
• Pflegeeinrichtungen sind aufgrund der Sozialgesetze verpflichtet, Patientendaten an verschiedene Sozialleistungsträger wie die Pflege-, Kranken- oder Unfallkassen weiterzugeben. Wenn eine Pflegeeinrichtung beispielsweise Leistungen mit einer Pflegekasse abrechnet, muss sie dieser die dafür erforderlichen Patientendaten gesetzlich übermitteln.
• Die Einrichtung hat auch das Recht und die Verpflichtung gegenüber dem Medizinischen Dienst oder der Heimaufsicht, die für Qualitätsprüfungen erforderlichen Daten bereitzustellen (§§ 104 ff. Elftes Buch des Sozialgesetzbuches).
• In Notfallsituationen darf eine Pflegeeinrichtung zum Schutz lebenswichtiger Interessen einer Person gesetzlich zulässige Patientendaten verarbeiten und gegebenenfalls Angehörige oder das Krankhaus ohne deren Zustimmung über den Gesundheitszustand informieren (Artikel 6 Absatz 1 Buchstabe d i. V. m. Artikel 9 Absatz 2 Buchstabe c Datenschutz-Grundverordnung).
• Wenn ein Bewohner eines Pflegeheims stirbt, muss dies dem Standesamt gemeldet werden (§§28 ff. Personenstandsgesetz).
• Gegenüber Staatsanwaltschaft und Polizei besteht keine allgemeine Befugnis zur Offenbarung von Daten zum Zwecke der Gefahrenabwehr. Wenn eine Sicherheitsbehörde jedoch im Einzelfall die Offenlegung von Daten anordnet, liegt darin ausreichende Übermittlungsbefugnis vor.

Grundsätzlich besteht die Möglichkeit, Einsicht in die Pflegedokumentation zu nehmen. Dieses Recht auf Auskunft ist eine spezielle Form des allgemeinen Informationsrechts.

Sofern keine berechtigten Interessen Dritter dagegen sprechen und der Aufwand für die Bereitstellung der Informationen nicht unverhältnismäßig hoch ist, hat die betroffene Person das Recht auf Auskunft (gemäß Artikel 15 Datenschutz-Grundverordnung, § 27 Absatz 2, § 28 Absatz 2, § 29 Absatz 1 Satz 2 sowie §34 Bundesdatenschutzgesetz)[1].

Zusätzlich ergibt sich das Recht auf Einsichtnahme als zusätzlicher Anspruch aus dem Behandlungsvertrag.

Nein, dies ist nicht gestattet. Gemäß den allgemeinen Datenschutzbestimmungen dürfen Daten nur dann verarbeitet werden, wenn es eine gesetzliche Erlaubnis gibt oder die betroffene Person ihre Einwilligung gegeben hat.

Obwohl es erlaubt ist, Daten zu verarbeiten, wenn dies zur Erfüllung des Behandlungsvertrags erforderlich ist, besteht dieser direkte sachliche Zusammenhang zwischen dem Vertrag und der beabsichtigten Datenverarbeitung ausschließlich zwischen den Vertragsparteien - also der Pflegeeinrichtung und der betroffenen Person selbst.

Es gibt jedoch eine Ausnahme für freiwillig angegebene Notfallkontaktpersonen des Bewohners. In diesem Fall ist die Verarbeitung notwendig zum Schutz der berechtigten Interessen des Verantwortlichen oder eines Dritten gemäß Artikel 6 Absatz 2 Buchstabe f DS-GVO.

Nein, wenn es keinen gesetzlichen Erlaubnistatbestand gibt, ist immer eine Einwilligung erforderlich. Dies ergibt sich sowohl aus dem "Recht am eigenen Bild", als auch aus der Datenschutzgrundverordnung (Artikel 6 Absatz 1 Buchstabe a, gegebenenfalls i. V. m. Artikel 9 Absatz 2 Buchstabe a DSGVO).

Es ist ratsam, für jede Veröffentlichung (Wandtafel, Heimzeitung, digitaler Bilderrahmen im Eingangsbereich, Internetseite des Heimträgers, Werbeprospekt) eine separate Einwilligung einzuholen. Wie bei jeder Einwilligung sollte deutlich darauf hingewiesen werden, dass die Erteilung freiwillig ist und dass sie mit Wirkung für die Zukunft ohne nachteilige Folgen für die betroffene Person widerrufen werden kann.

Eine Ausnahme von der Notwendigkeit einer Einwilligung kann gelten für Bilder auf denen Personen lediglich als Beiwerk einer Örtlichkeit oder als Teilnehmer einer größeren Veranstaltung abgebildet sind.

Dagegen ist es möglich Fotos für die Pflegedokumentation (z. B. von Wunden) ohne Einwilligung anzufertigen. Dies geschieht aufgrund der rechtlichen Verpflichtungen gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO und Artikel 9 Absatz 2 Buchstabe h DSGVO. Gemäß §630f Absatz 2 BGB sind Pflegeeinrichtungen analog dazu verpflichtet, alle wesentlichen Maßnahmen und deren Ergebnisse in der Patientenakte festzuhalten. Falls im konkreten Fall ein Foto einer Wunde erforderlich ist, um dieser Verpflichtung nachzukommen, darf es gemacht werden. Das kann beispielsweise dann zutreffen, wenn eine textliche Beschreibung der Wunde unzureichend oder mit unverhältnismäßigem Aufwand verbunden wäre.

Bei Pflegediensten in öffentlich-rechtlicher Trägerschaft, muss unabhängig von der Anzahl der Mitarbeiter gemäß Artikel 37 Absatz 1 Buchstabe a + c der DSGVO ein Datenschutzbeauftragter bestellt werden.

Auch private Pflegeeinrichtungen müssen einen DSB benennen, wenn die Haupttätigkeit der Pflegeeinrichtung in derumfangreichen Verarbeitung sensibler personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO besteht. Dies trifft immer dann zu, wenn das Seniorenheim eine große Menge an Gesundheitsdaten verarbeitet. Auch wenn mindestens 20 Personen innerhalb einer Pflegeeinrichtung ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind, muss ein DSB bestellt werden. Diese Anforderung ergibt sich aus §38 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG).

Eine umfangreiche Verarbeitung von Gesundheitsdaten findet regelmäßig in den Pflegedokumentationssystemen von Seniorenheimen statt.

Ambulante Pflegedienste verarbeiten zwar Gesundheitsdaten, jedoch oft nicht in großen Umfang. Außerdem dürften hier selten mehr als 20 Personen automatisiert Daten verarbeiten. Daher müssen ambulante Pflegedienste in den meisten Fällen keinen DSB benennen.

Bei kirchlichen Trägerschaften muss ein DSB benannt werden, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind (evangelisch: §36 Absatz 1 Satz 1 Nummer 1 DSG-EKD) bzw. sich damit beschäftigen (katholisch: §§36 II Buchstabe a, 3 Absatz 1 Buchstabe c KDG), oder wenn die Haupttätigkeit der Einrichtung in der umfangreichen Verarbeitung sensibler personenbezogener Daten besteht (§36 Absatz S. Nr.2 DSG-EKD; §36 II lit.c KDG). Es reicht hier schon aus, personenbezogene Daten außerhalb des digitalen Bereichs zu verarbeiten, z.B. durch Zugriff auf Papierakten.