Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

18. März 2021

„Versteckte“ personenbezogene Daten im Krankenhaus

Der digitale Fortschritt in Gesundheitseinrichtungen bietet die Chance, so manche versteckte Daten zukünftig zu vermeiden
Bild: iStockcom / metamorworks
3,00 (5)
Datenschutz im Gesundheitswesen
Arbeiten viele medizinische Fachbereiche z.B. im Krankenhaus zusammen, birgt das großes Risikopotenzial für Datenschutzverstöße. Sind Teile der verarbeiteten sensiblen Daten für Außenstehende „versteckt“, ist es noch höher. Wie identifizieren Sie solche Daten und v.a.: Wie vermeiden Sie sie?

Krankenhäuser und andere Gesundheitseinrichtungen nehmen im Hinblick auf den Datenschutz eine besondere Rolle ein. Täglich verarbeiten Ärzte und Ärztinnen, Pflegekräfte, Therapeuten etc. für die Behandlung und auf Grundlage von Gesetzen wie z.B. den Krankenhausgesetzen der Länder eine Fülle an personenbezogenen Daten.

Dabei stellen Gesundheitsdaten nach Art. 9 Datenschutz-Grundverordnung (DSGVO) eine besondere Kategorie von personenbezogenen Daten dar und müssen daher besonders geschützt werden. Denn im Rahmen ihrer Verarbeitung können enorme Risiken für die Rechte und Freiheiten der betroffenen Personen auftreten.

Nun ist die Arbeit im Krankenhaus oder in anderen Gesundheitseinrichtungen dadurch geprägt, dass eine Vielzahl von verschiedenen Fachkräften die Patienten betreut bzw. behandelt. Zugleich ist die dortige Arbeit großem Zeitdruck ausgesetzt, der zum einen durch akute Situationen aufgrund verschiedener Krankheitsbilder, aber zum anderen auch durch den oftmals geringen Personalstand in solchen Einrichtungen bedingt ist.

Das heißt, die Verarbeitung von Gesundheitsdaten erfolgt durch eine Vielzahl von Personen und oftmals unter Zeitdruck. Dadurch kann es zu einer unsystematischen Verarbeitung personenbezogener Daten kommen, die für Prozessaußenstehende nicht offensichtlich und somit sozusagen „versteckt“ sind.

Was sind „versteckte“ personenbezogene Daten?

Mit „versteckten“ personenbezogenen Daten sind demnach Daten gemeint, die nicht in den Dokumentationsrichtlinien enthalten sind und damit nicht die geregelten Verarbeitungsprozesse durchlaufen.

Wichtig
Versteckte Daten können im Zusammenhang mit der Behandlung zusätzlich anfallen und unterliegen keinen gesetzlichen Archivierungspflichten. Dadurch besteht die Gefahr,

  • dass sie nicht datenschutzkonform verarbeitet werden, z.B. dem Grundsatz der Datenminimierung nicht entsprechen,
  • dass die Daten über ihre Zweckerforderlichkeit hinaus aufbewahrt oder
  • dass sie nicht datenschutzkonform vernichtet werden

Typische „Verstecke“ in den Patientenbereichen

Es lassen sich zum einen in Patientenbereichen von Gesundheitseinrichtungen verschiedenste Formen von versteckten personenbezogenen Daten ausmachen, zum anderen in der Verwaltung.

Mit Patientenbereichen sind Orte und die dort ablaufenden Prozesse gemeint, die in unmittelbarem Zusammenhang mit der Vorbereitung und Durchführung der Patientenbehandlung stehen. In diesen Bereichen treffen verschiedenste Personen – von Besuchern und Besucherinnen über Reinigungskräfte bis hin zu diversen Behandelnden – aufeinander.

Die folgenden Patientenbereiche sind erfahrungsgemäß typische potenzielle Datenverstecke, auf die Sie als Datenschutzbeauftragte ein Auge haben sollten.

Übergabelisten in Stationszimmern

So sind u.a. in Stationszimmern diverse Verstecke zu finden. Für eine schnellere Übergabe an die nächste Schicht erstellen die Beschäftigten z.B. Übergabelisten. Die Listen sammeln die wichtigsten Erkenntnisse zum Gesundheitsstatus der Patienten einer Station und kommunizieren sie so an die nächste Schicht.

Diese Listen landen dann unter Umständen im normalen Papiermüll, oder das Personal vergisst sie an öffentlichen Orten. Dadurch können sehr leicht sensible Daten an unberechtigte Dritte gelangen.

Transportlisten im Krankenhaus

Auch für den innerklinischen Transport von Patientinnen und Patienten gibt es Listen mit Informationen, wohin die Betreffenden wann transportiert werden müssen.

Diese Transportlisten unterliegen keinen aufbewahrungsrechtlichen Anforderungen und können direkt nach dem Transport vernichtet werden. Das vergessen die Beschäftigten aber möglicherweise. Und so erfolgt die Vernichtung nicht datenschutzkonform.

Visitenlisten und Therapiepläne

In Einrichtungen oder Stationen, in denen die Patienten und Patientinnen nicht bettlägerig sind, hängen bisweilen Visitenlisten am Stations- oder Behandlungszimmer aus, um die Visite besser zu organisieren. Patienten können der Liste den Termin ihrer Visite entnehmen und sich eigenständig zum Termin dort einfinden.

Jedoch geben die ausgehängten Listen die Namen aller Behandelten z.B. an Besucher unberechtigterweise weiter. Da der Name in Zusammenhang mit einer offensichtlichen Behandlung im Krankenhaus steht, ist dies zudem eine Weitergabe von sensiblen personenbezogenen Daten.

Gleiches gilt für Listen, die zur Organisation von Therapien (Therapiepläne) an Türen von Therapie- bzw. Behandlungs- und Stationszimmern oder an schwarzen Brettern hängen und dadurch für unterschiedlichste Personen einsehbar sind.

Handkalender und handschriftliche Dokumentationen

Um den Stationsalltag zu organisieren, kommen Handkalender zum Einsatz. Hier notieren die Beschäftigten u.a. Patientennamen und andere personenbezogene Daten. Dass die Beschäftigten diese Kalender nach Gebrauch datenschutzkonform entsorgen, ist nicht gewährleistet.

Zudem zählen handschriftliche Therapie- bzw. Behandlungsdokumentationen der jeweiligen Behandelnden zu „versteckten“ personenbezogenen Daten. Gesammelt in Notizbüchern oder auf losen Blättern stellen auch diese Dokumentationen eine Gefahr dar, dass besonders sensible personenbezogene Daten unkontrolliert an unberechtigte Dritte gelangen.

Patientenaufkleber, Bettkennzeichnungen & Co.

Weitere versteckte Daten stellen Patientenaufkleber dar. Sie kommen im Krankenhausalltag für verschiedenste Dinge zum Einsatz. So erhalten Wertsachen, Infusionsflaschen oder Daten für das Labor Aufkleber, auf denen meist der Name sowie das Geburtsdatum zu finden sind.

Den Aufkleber zu entfernen oder zu schwärzen, ist zeitaufwendig. Daher entsorgen die Beschäftigten diese Daten unter Umständen im normalen Müll.

Auch Bettkennzeichnungen, die Armbänder am Handgelenk der Patientinnen oder Essenswagen enthalten viele personenbezogene Daten (Geburtstag, Name, Aufnahmetag etc.). Krankenhäuser und andere Gesundheitseinrichtungen nutzen diese Daten meist, um die Patienten zu identifizieren. Besucher in Mehrbettzimmer erhalten dadurch unberechtigt Zugang zu personenbezogenen Daten.

Datenmüll-Auffanglager

Für die datenschutzkonforme Entsorgung wird der Datenmüll z.T. in Kisten in den Stations-, Behandlungs- und Therapiezimmern in sogenannten Datenmüll-Auffanglagern gesammelt. Denn die offiziellen Datenmüllcontainer sind aufgrund ihrer Größe und der Kosten meist nur einmal pro Station bzw. Abteilung platziert.

Achtung

Erfolgt die datenschutzkonforme Entsorgung im Datenmüllcontainer jedoch erst, wenn die Kisten voll sind, ist eine undefinierte Menge an sensiblen personenbezogenen Daten für einen längeren Zeitraum unzureichend geschützt.

Bei geöffneten Zimmern können viele verschiedene Personen auf die Daten zugreifen. Und auch geschlossene Zimmer sind keine Garantie. Denn hier hat z.B. das Reinigungspersonal Zugriff. So besteht nicht nur die Gefahr, dass unberechtigte Dritte die Daten einsehen, sondern auch, dass sie unbemerkt verschwinden.

Wunddokumentation

Um Wunden und ihren Verlauf besser zu dokumentieren, verwenden Krankenhäuser oft stationsübergreifend Kameras. Die Bilder kommen dann in die Krankenakte. Nach erfolgreichem Kopieren müssten die Beschäftigten die Bilder von der Speicherkarte der Kamera löschen. Das kann im stressigen Stationsalltag untergehen. Die Fotos bleiben auf der Speicherkarte.

Typische „Verstecke“ in der Verwaltung

Auch Verwaltungsmitarbeitende verarbeiten eine Menge personenbezogener Daten. Im Unterschied zu den Patientenbereichen ist der Durchlauf an Personen zwar deutlich niedriger. Trotzdem lassen sich auch hier bestimmte Datenverstecke, die ein Risiko für betroffene Personen darstellen, ausfindig machen.

Termine in Outlook

Termine in Outlook und dazu angehängte Dateien löscht Outlook nicht automatisch. Das System speichert alle Dateien und Termine seit der ersten Inbetriebnahme des Kalenders.

Im Krankenhaus oder in anderen Gesundheitseinrichtungen landen somit neben normalen Verwaltungsterminen z.T. Termine mit Patientinnen und Patienten in Outlook. Oftmals werden dazu patientenbezogene Daten an den Termin angehängt und somit außerhalb der Behandlungsakte aufbewahrt. Sofern die Beschäftigten die Termine nicht persönlich löschen, bleibt ihr Inhalt bestehen.

Schicht- und Urlaubspläne

„Versteckte“ Daten lassen sich auch bei den Mitarbeiterdaten identifizieren. Typisch sind z.B. Schicht- und Urlaubspläne, in Excel-Listen geführt.

Die Notwendigkeit, diese Daten aufzubewahren, erlischt nach Ablauf der geplanten Zeit. Die Daten dürften dann nur noch für die betroffenen Beschäftigten zugänglich sein. Die Daten über mehrere Monate oder Jahre hinweg zu speichern, ist nicht vereinbar mit den Grundsätzen der DSGVO.

Kontrollen bei Besuchern

In Zeiten von Corona und der laufenden Änderung des Infektionsschutzgesetzes finden vermehrt Kontrollen bei Besucherinnen und Besuchern statt. Die daraus stammenden Daten (Name, Anschrift, Telefonnummer, Temperatur) liegen in zentral geführten Listen im Empfangsbereich.

Einige Corona-Verordnungen der Länder erlauben, diese Daten vier Wochen zu speichern, um Infektionsketten nachzuverfolgen. Nach dieser Frist müssen die Beschäftigten diese Daten unverzüglich löschen.

Erfolgt die Dokumentation statt auf einzelnen Formularen auf einer fortlaufenden Liste, ergeben sich je nach Zeitpunkt der Eintragung in die Liste unterschiedliche Aufbewahrungsfristen. So kommt es dazu, dass personenbezogene Daten von Besuchern und Besucherinnen ggf. noch lange nach Ablauf der Frist aufbewahrt werden.

Medizin-Controlling

Auch das Medizin-Controlling verarbeitet mithilfe interner Datenbanken personenbezogene Daten (Vorname, Nachname). Das Controlling analysiert und verbessert damit medizinisch-organisatorische Prozesse und dient der medizinökonomischen Unternehmensentwicklung.

Die Sicherheitsmaßnahmen des Krankenhausinformationssystems (KIS) wie die Sperrung von Daten greifen nach der Ausleitung ins Medizin-Controlling nicht mehr. Ohne Regelungen, die vorsehen, die personenbezogenen Daten zu pseudonymisieren, verarbeitet das Medizin-Controlling personenbezogene Daten und speichert sie ohne eventuell bekannte Löschfristen.

Patientenakten

Hinsichtlich etwaiger Löschfristen ergibt sich ein ganz zentrales Problem bei der Aufbewahrung von Patientenakten. Während die Muster-Berufsordnung-Ärzte die Aufbewahrungsfrist für zehn Jahre nach Beendigung der Behandlung regelt, empfiehlt die Deutsche Krankenhausgesellschaft (DKG) eine 30-jährige Aufbewahrung, um Schadensersatzansprüche nach § 199 Bürgerliches Gesetzbuch (BGB) abzuwehren.

Die fehlende technische Möglichkeit vieler KIS, Daten zu löschen, erschwert es Krankenhäusern und anderen Gesundheitseinrichtungen, sich an die gesetzlichen Vorgaben und die Empfehlungen der DKG zu halten. Patientenakten mit einer Vielzahl personenbezogener Daten könnten somit auch 30 Jahre nach Behandlung noch verarbeitet werden.

Ein- und Ausgangsmails

Aus verschiedenen gesetzlichen Vorschriften ergibt sich eine Verpflichtung, E-Mails langfristig aufzubewahren. So regeln das Handelsgesetzbuch und die Abgabenordnung unterschiedliche Aufbewahrungsfristen z.B. für Buchungsbelege aus handelsrechtlicher oder steuerlicher Sicht.

Eine generelle Pflicht, alle Ein- und Ausgangsmails in Krankenhäusern oder anderen Gesundheitseinrichtungen zu archivieren, gibt es nicht. E-Mails, deren Inhalte keiner aufbewahrungsrechtlichen Norm unterliegen, sind gemäß der DSGVO umgehend zu löschen, nachdem ihr Zweck erloschen ist.

Aufgrund der Anzahl elektronischer Nachrichten und des Mehraufwands, sie regelmäßig zu screenen und zu löschen, ist dies schwer umsetzbar.

Technische & organisatorische Maßnahmen

Wie lassen sich nun versteckte personenbezogene Daten im Krankenhaus oder anderen Gesundheitseinrichtungen identifizieren und vermeiden? Die folgenden technischen und organisatorischen Maßnahmen haben sich als erfolgversprechend erwiesen.

Datenlabeling

Ein Beispiel für eine technische Maßnahme ist das Datenlabeling. Das Labeling kategorisiert die Daten nach bestimmten Kriterien. Eine im Hintergrund laufende Künstliche Intelligenz kann die unterschiedlichen Kategorien in Verbindung mit den gesetzlichen Aufbewahrungsfristen speichern und nach Ablauf automatisch löschen. Das vermeidet, Daten über die gesetzliche Erlaubnis hinaus aufzubewahren.

Prozesse digitalisieren

Eine weitere technische Möglichkeit ist die Digitalisierung von Prozessen. Jedem Patienten lässt sich bei der Aufnahme ein QR-Code zuordnen. Dieser Code kommt in die Patientenakte. Er ersetzt die persönlichen Informationen auf den Essenswagen, Armbändern, Bettkennzeichnungen etc. Sehen können die Daten nur befugte Mitarbeitende mit einem Scan-Gerät.

Begehungen & Audits

Zudem sind angekündigte und unangekündigte Begehungen von einzelnen Abteilungen ein probates Mittel, um Datenverstecke ausfindig zu machen. Ausgedruckte E-Mails, lose Papierzettel oder Datenmüll-Auffanglager lassen sich so identifizieren und beseitigen. Neu gewonnene Informationen können Datenschutzbeauftragte im Anschluss einrichtungsintern kommunizieren.

Datenschutzprüfungen bzw. -audits stellen ebenfalls eine wirksame organisatorische Maßnahme dar. Im Rahmen von allgemeinen Prozesskontrollen oder Datenschutz-Audits lassen sich „versteckte“ Daten ermitteln und die Beschäftigten auf die Gefahren hinweisen.

Schulungen

Eine organisatorische Maßnahme – die sich auch technisch umsetzen lässt –, um Beschäftigte zu sensibilisieren und somit „versteckte“ Daten zu verhindern, sind darüber hinaus Schulungen. Mithilfe eines Schulungskonzepts können Krankenhäuser etwa im Rahmen allgemeiner Datenschutzunterweisungen auch dieses Thema behandeln.

Fazit: Genau hinschauen & Digitalisierung nutzen

Die vorgestellten Bereiche spiegeln nur einen Teil von möglichen versteckten Daten im Krankenhaus wider. Es gibt eine Vielzahl anderer nicht offensichtlicher Daten, abhängig von der Unternehmenskultur und den technischen Möglichkeiten.

Um Strafzahlungen zu vermeiden und den Grundsätzen der DSGVO zu entsprechen, müssen Gesundheitseinrichtungen passende technische und organisatorische Maßnahmen implementieren. Dabei verbessert das Voranschreiten der Digitalisierung in Gesundheitseinrichtungen v.a. die technischen Mittel.

Compliance- und Datenschutz-Team der kbo

Compliance- und Datenschutz-Team der kbo
Verfasst von
Autoren kbo
Compliance- und Datenschutz-Team der kbo
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.