Datenschutzbehörde  Datenschutz Europa privacy service
 
Sicherheit der Verarbeitung elektronischer Patientendokumentation
DSGVO Art 9, 30, 32, 35, 82, 83
Zugriff durch nicht-ärztliches Personal auf die gesamte Krankenakte des Patienten ist in meisten Fällen nicht erforderlich - Dienstanweisungen und stichprobenartige Kontrollen sind nicht ausreichend - Zugriffsberechtigungen sind nach entsprechender Rollenverteilung technisch einzurichten - Sanktionen

Elektronische Patientendokumentationen spielen nicht nur im Dienstbetrieb von Krankenanstalten eine wichtige Rolle, sondern sind auch für den täglichen Betrieb von Arztpraxen und anderen medizinischen und therapeutischen Einrichtungen unerlässlich. Gerade weil es sich um personenbezogene Daten besonderer Kategorien gemäß Art 9 Abs 1 Datenschutz-Grundverordnung (DSGVO) handelt, die in einer Patientendokumentation verarbeitet werden, kommt dem Grundrecht auf Datenschutz besondere Bedeutung zu. Dabei stellt sich die Frage inwieweit dem Personal Zugriff auf die Patientendokumentation zu gewähren ist und wie, dem DSGVO entsprechende Zugriffsbeschränkungen gemäß DSGVO einzurichten sind.

Eine Empfehlung der Datenschutzbehörde (DSB) im Sinne der Entscheidung: K213.220/0009-DSK/2013 sorgt für Abhilfe (alte Rechtslage bis 25.05.2018, jedoch auch bei der DSGVO grundsätzlich gültig).

In der Empfehlung verweist die DSB auf die Sicherheit der Verarbeitung, die jeder Verantwortliche und Auftragsverarbeiter zu treffen hat.

In Bezug auf die Patientenverwaltung eines Krankenhauses sprach die Datenschutzbehörde aus: "Während es nach Ansicht der DSB für ärztliches Personal sowie u.a auch für das Pflegepersonal durchaus relevant und zweckmäßig sein kann, die gesamte Krankengeschichte eines Patienten zu kennen, kann derselbe Bedarf für das übrige (nicht-ärztliche) Personal (bspw. Therapeuten) nicht in jedem Fall als notwendig und erforderlich angesehen werden." Jedem Benutzer der Patientenverwaltung soll nach Ansicht der DSB eine eigene Rolle mit unterschiedlichen Zugriffsberechtigungen zugeordnet werden. Das geht soweit, dass nicht alle Ärzte einer Einrichtung Zugriff auf die Daten aller Patienten haben dürfen. Vielmehr muss der Zugriff so eingeschränkt sein, dass nur der behandelnde Arzt Zugriff auf Daten des ihm/ihr zugewiesenen Patienten haben darf. Die DSB weiter: "Es wird daher empfohlen, die Zugriffsberechtigungen technisch so zu gestalten, dass die zugreifende Person nur Einblick in jene Daten erhält, die für die Erfüllung ihrer Aufgaben berufsgruppenspezifisch erforderlich sind, sodass ein unbefugter und grundloser Zugriff auf Patientendaten nicht möglich ist."

Die DSB betont in der Empfehlung, dass eine Dienstanweisung bei grundsätzlich gleichen Zugriffsmöglichkeiten des gesamten Personals nicht ausreichend ist. Vielmehr hat der Verantwortliche durch technische Ausgestaltung der Zugriffsberechtigungen für eine Einhaltung der Sicherheit von Verarbeitungen Sorge zu tragen.


Nach der neuen Rechtslage, die mit 25.05.2018 in Kraft tritt, müssen gemäß Art 32 DSGVO technische und organisatorische Maßnahmen zur Datensicherheit getroffen werden. Grundsätzlich sind wie bisher die Ziele der Vertraulichkeit, Integrität und die Verfügbarkeit der verarbeitenden Systeme und Dienste sicherzustellen. Die neue Herausforderung gemäß der DSGVO ist die Gewährleistung der Belastbarkeit von Systemen und Diensten der Verantwortlichen bzw. Auftragsverarbeiter, wie die Absicherung der Dienste und Systeme gegen Störungen.

Zwei weitere wesentliche Forderungen der DSGVO, die auch Krankenanstalten erfüllen müssen, sind das Führen eines Verfahrensverzeichnisses für alle Datenverarbeitungen der Patienten gemäß Art 30 DSGVO und das Durchführen von Datenschutz-Folgenabschätzungen gemäß Art 32 DSGVO für den Bereich Patientenverwaltung (soweit die Verarbeitung Gesundheitsdaten betrifft). Auf Grundlage einer Risikobewertung können in weiterer Folge geeignete technische und organisatorische Maßnahmen gesetzt werden, um die Betroffenenrechte umfassend zu schützen und eine sichere Verarbeitung ihrer Daten zu gewährleisten.

Die DSGVO bestraft datenschutzrechtliches Fehlverhalten mit hoher Geldstrafe gemäß Art 83 DSGVO. Weiters können Betroffene gemäß Art 82 DSGVO eine Schadenersatzklage geltend machen.

mehr --> Bildaufnahme im Gesundheitsbereich

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster