Bei der Verwendung von Patientendaten gelten strenge Regeln hinsichtlich des Datenschutzes. Wir verschaffen Ihnen einen Überblick zu digitalen Patientenakten, der Weitergabe von Patientendaten an Dritte und der dabei notwendigen Einverständniserklärung.
Das Wichtigste in Kürze:
- strenge Datenschutzbestimmungen für Patientendaten: Patientendaten sind personenbezogene Informationen, die der ärztlichen Schweigepflicht unterliegen. Ihre Erfassung, Speicherung und Verarbeitung erfordern in der Regel die schriftliche Einwilligung des Patienten und müssen einem spezifischen Zweck dienen, wie der aktuellen Behandlung oder Vorsorge.
- Digitalisierung und Aufbewahrungsfristen: Die Digitalisierung von Patientenakten ist gemäß § 630f Abs. 1 BGB unter bestimmten Voraussetzungen zulässig, wobei die chronologische Nachvollziehbarkeit und Datensicherheit gewährleistet sein müssen. Patientendaten sind in der Regel bis zu zehn Jahre nach Abschluss der Behandlung aufzubewahren; bei schwerwiegenden oder chronischen Erkrankungen können gesetzliche Vorgaben längere Fristen von bis zu 30 Jahren vorschreiben.
- sichere Übertragung und Weitergabe von Patientendaten: Für die elektronische Übertragung sensibler Patientendaten ist eine Ende-zu-Ende-Verschlüsselung vorgeschrieben, insbesondere beim Versand per E-Mail. Die Weitergabe an Dritte erfordert grundsätzlich die ausdrückliche Einwilligung des Patienten, da unbefugte Offenlegung gemäß § 203 StGB strafbar ist.
Die Speicherung von Patientendaten
Ob in einer Arzt-Praxis, einer Apotheke, Krankenhäuser oder in weiteren medizinischen Einrichtungen im Gesundheitswesen – an all diesen Stellen werden täglich große Datenmengen sensibler Patientendaten gespeichert.
Informationen über Patienten gehören zu den personenbezogenen Daten und unterliegen zusätzlich der ärztlichen Schweigepflicht. Nur unter bestimmten Voraussetzungen dürfen sie aufgenommen, gespeichert, verwendet und weiterverarbeitet werden. Hier ist im Normalfall die Zustimmung des Patienten, in Form einer schriftlichen Einwilligung, erforderlich.
Zudem muss die Verarbeitung einem bestimmten Zweck dienen, wie zum Beispiel zur aktuellen Behandlung einer Krankheit oder zur Vorsorge. In welcher Form die Daten der Patienten gesichert werden, nehmen wir im Folgenden genauer unter die Lupe.
So werden Patientendaten erfasst und verarbeitet
Immer mehr Praxen modernisieren ihre Patienten-Systeme und übertragen schriftliche Unterlagen hin zur digitalen Patientenverwaltung. Die Digitalisierung der Dokumente ist nach § 630 f Abs. 1 des BGB (Bürgerliches Gesetzbuch) unter bestimmten Voraussetzungen zulässig.
Zu den Bedingungen zählen zum Beispiel die chronologische Nachvollziehbarkeit und eine entsprechende Sicherung der Daten, die den Zugriff unbefugter Dritter möglichst verhindert.
Heutzutage werden häufig digitale Patientenakten verwendet, die einen schnelleren Austausch und die Vernetzung der medizinischen Dienste ermöglichen. Dafür wurde die „elektronische Patientenakte“ (EPA) ins Leben gerufen, die eine dauerhafte Verfügbarkeit der Patientenakte sicherstellt. An dieser Stelle fragen Sie sich womöglich, wie lange dürfen sie die Patientendaten überhaupt speichern?
Aufbewahrungsfristen der Patientendaten
Patientenakten unterliegen einer Aufbewahrungsfrist. Im Normalfall werden Patientendaten bis zu 10 Jahre nach einer Behandlung aufbewahrt. Dies hängt aber von Fall zu Fall ab. Vor allem bei schwerwiegenden und chronischen Erkrankungen, die über einen langen Zeitraum verlaufen, verlangen die Gesetze oft noch längere Fristen, die sich teilweise bis zu 30 Jahren hinziehen können.
Die Verschlüsselung von Patientendaten
Die elektronische Patientenakte steht prinzipiell vor ganz anderen Herausforderungen als eine schriftliche Dokumentation.
Um den Datenschutz der sensiblen Daten von Patienten sicherzustellen, ist es möglich die Informationen mithilfe eines sicheren VPN-Tunnels zu übertragen. Auch werden geschlossene Netze verwendet, die mit Verschlüsselungssystemen hinterlegt sind.
Grundlegend verbietet der Gesetzgeber im Medizin-Sektor das Senden von E-Mails ohne eine entsprechende Ende-zu-Ende-Verschlüsselung. Dabei erhalten Sender und Empfänger einen speziellen Schlüssel, der den Zugriff von Unbefugten auf sensible Daten verhindert. Allerdings ist dies auf anderen digitalen Kommunikationswegen und im Cloud-Computing aktuell noch erlaubt.
Hier fordert der Sicherheitsexperte Detlef Schmuck eine „lückenlose Ende-zu-Ende-Verschlüsselung“. Näheres zu der empfohlenen Ende-zu-Ende-Verschlüsselung und einem damit verbunden aktuellen Medizindatenskandal können Sie hier nachlesen.
Ist die Weitergabe von Patientendaten an Dritte zulässig?
Grundsätzlich bestehen Patientenakten aus sensiblen und personenbezogenen Daten, die der Schweigepflicht von Ärzten und dem Datenschutz unterliegen. Wer ohne Einwilligung und Befugnis Informationen aus Patientenakten an Dritte weitergibt, begeht einen Verstoß gegen den Datenschutz und macht sich sogar strafbar. Hier können nach § 203 Strafgesetzbuch (StGB) Freiheitsstrafen bis zu einem Jahr oder Geldstrafen drohen.
Die Weitergabe von Patientendaten an externe Dritte ist somit streng geschützt. In den meisten Fällen bedarf sie einer Einwilligungserklärung der einzelnen Person. Näheres über die Einwilligungserklärung erklären wir im Folgenden.
Wie läuft die Einverständniserklärung für die Weitergabe von Patientendaten ab?
Womöglich haben Sie es schon selbst erlebt? Wenn Ihr Arzt Sie an einen Facharzt überweist oder Sie den Hausarzt wechseln, erhalten Sie meist noch in der Praxis ein Formular zur „Einwilligung für die Erhebung bzw. Übermittlung von Patientendaten“. Nur wenn Patienten diese Einverständniserklärung unterschreiben, hat der neue Arzt einen rechtlichen Zugriff auf die Gesundheitsdaten.
Die aktuellen Entwicklungen digitaler Patientendaten
Der aktuelle Trend in Hinblick auf die Patientenakten geht in Richtung mobiler Endgeräte. So nutzen viele Ärzte beispielsweise Tablets für den schnellen Abruf von Befunden oder zur mobilen Visite. Dabei können sie die Eingaben zwischenspeichern und in einer sicheren Cloud abgelegen.
Als Beispiel: Ein Patient muss nach einem Unfall geröntgt werden. Mithilfe der Übermittlung von Röntgenbildern auf das Tablet des Arztes kann er die jeweilige Person viel schneller versorgen, da die Wege zwischen den Fachabteilungen und dem OP-Saal entfallen.
Diese Entwicklung bringt Risiken und gleichzeitig viele Anforderungen an die IT-Sicherheit mit sich. Sollte ein Mitarbeiter ein mobiles Gerät verlieren, könnten die darauf gespeicherten medizinischen Daten in die falschen Hände geraten. Hier sind IT-Experten und Datenschutzbeauftrage mit professionellen Verschlüsselungsstrategien gefragt.
Mehr über verlässliche Verschlüsselungsmethoden, die selbst sehr sensible Daten im Medizinbereich sicherstellen können, erfahren Sie hier: Verschlüsselungsverfahren im Überblick.