Datenschutz in Pflegeeinrichtungen

Datenschutz in Pflegeeinrichtungen

In der Pflegebranche werden von Natur aus personenbezogene Daten besonderer Kategorien verarbeitet. Dabei dürfen Verantwortliche – in diesem Beitrag reden wir von Einrichtungen, mit Fokus auf den privaten Sektor – aber ein Thema nicht außer Acht lassen: den Datenschutz in Pflegeeinrichtungen. Schauen wir also, was zu beachten ist.

Sensible personenbezogene Daten

Personenbezogene Daten besonderer Kategorien sind auch bekannt als sensible personenbezogene Daten. Das sind solche Daten, die Informationen

1)  zur rassischen und ethnischen Herkunft,

2)  zu politischen Meinungen,

3)  zu religiösen oder weltanschaulichen Überzeugungen,

4)  zur Gewerkschaftszugehörigkeit

preisgeben sowie die Verarbeitung

5)  von genetischen Daten,

6)  biometrischen Daten,

7)  Gesundheitsdaten,

8)  Daten zum Sexualleben oder

9)  zur sexuellen Orientierung

umfassen.

Mehr zu dieser Kategorie von Daten können Interessenten in unserem Beitrag „Personenbezogene Daten besonderer Kategorien“ lesen.

Verarbeitung sensibler Daten in der Pflege

Pflegeunternehmen verarbeiten eine Vielzahl sensibler personenbezogener Daten. Dabei handelt es sich zumeist hauptsächlich um Gesundheitsdaten. Je nach Aufgabe müssen die Beschäftigten wissen, welche Krankheiten eine Person hat, wofür, wie oft und wann sie Medikamente gegen bestimmte Beschwerden einnimmt und sonst wissen, worauf bei der Pflege zu achten ist.

Wenn es sich um eine Pflegeeinrichtung handelt, die zusätzlich altersgerechtes Wohnen oder Rundumpflege anbietet, ist es wahrscheinlich, dass ein Pflegeunternehmen sensible Daten verarbeitet, die über die Gesundheitsdaten hinausgehen: Personen äußern dann doch ihre politischen Ansichten. Pfleger erfahren zufällig, welcher Religion eine zu pflegende Person angehört usw.

Rechtsgrundlagen

Auch Pflegeeinrichtungen dürfen personenbezogene Daten – dies umfasst auch normale personenbezogene Daten – nicht ohne Rechtsgrundlage verarbeiten.

Erfüllung (vor-)vertraglicher Maßnahmen

Schon um den Pflegevertrag abzuschließen, benötigt der Verantwortliche Namens-, Adress-, Krankenkassen-, Versicherungs- und Bankdaten sowie das Geburtsdatum. Die Rechtmäßigkeit der Verarbeitung dieser Daten liegt also in der Erfüllung (vor-)vertraglicher Maßnahmen (Art 6 Abs. 1 lit. b) DSGVO). Kommt die gesundheitliche Behandlung dazu, ist Art. 9 Abs. 2 lit. h) DSGVO ebenfalls einschlägig. Generell ist aber zu beachten, um welche Art der Pflegeeinrichtung bzw. Pflegeleistung es sich handelt.

Rechtliche Pflichten

Es ist möglich, dass eine Pflegeeinrichtung im Zuge ihrer Tätigkeiten rechtliche Pflichten zu erfüllen hat. Ist dies der Fall, so beruht die jeweilige Verarbeitung auf Art. 6 Abs. 1 lit. c) DSGVO i. V. m. Art. 9 Abs. 1 lit. h) DSGVO. Demnach kann es sein, dass eine Pflegeeinrichtung eine Verpflichtung zur Pflegedokumentation hat (§ 113 SGB 11).

Schutz lebenswichtiger Interessen

Es kommt auch vor, dass Pflegeeinrichtungen personenbezogene Daten zum Schutz lebenswichtiger Interessen (Art. 9 Abs. 2 lit. c) DSGVO) verarbeiten werden. So kann es vorkommen, dass ein gesundheitlicher Vorfall einer zu pflegenden Person vorliegt und der Notarzt gerufen werden muss.

Einwilligung

Möglicherweise plant eine Pflegeeinrichtung eine Werbemaßnahme, z. B. indem sie Referenzen von Bewohnern auf der Webseite veröffentlicht. In solchen Situationen ist darauf zu achten, dass dies ausschließlich mit der Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO) geschehen darf, sofern die Referenz nicht anonym veröffentlicht wird.

Berechtigtes Interesse

Angehörige der zu pflegenden Person können ein berechtigtes Interesse haben, zu erfahren, falls etwas passiert oder spezielle Lebens- oder Pflegemittel benötigt werden. Auch die zu pflegende Person selbst kann ein berechtigtes Interesse haben, (Notfall)Kontakte anzugeben. Die Verarbeitung solcher Daten können Verantwortliche dann auf Art. 6 Abs. 1 lit. f) DSGVO (siehe den Ausführungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg) stützen.

Einzuhaltende Datenschutzgesetze

Im Übrigen kann es sein, dass eine Pflegeeinrichtung nicht nur die DSGVO, das BDSG und das TTDSG einhalten muss. Handelt es sich bei einer Einrichtung um eine öffentlich-rechtliche Trägerschaft ist zusätzlich das Landesdatenschutzgesetz des jeweiligen Bundeslandes zu beachten. Gehört eine Einrichtung der evangelischen Kirche an, greift das Kirchengesetz über den Datenschutz der evangelischen Kirche, bei einer katholisch einzuordnenden Einrichtung das Datenschutzgesetz der katholischen Kirche.

Sonstige betroffene Personen

Nun haben wir uns sehr auf der Verarbeitung der personenbezogenen Daten der zu pflegenden Personen fokussiert. Nicht zu vergessen sind aber die Beschäftigten sowie Dienstleister, Besucher, Interessenten und sonstige etwaige Vertragspartner. Auch deren personenbezogene Daten sind entsprechend der DSGVO bzw. anderen zutreffenden Datenschutzgesetzen zu verarbeiten. Genauso haben sie ein Recht auf Informationen zur Verarbeitung ihrer Daten.

Umsetzung des Datenschutzes

Bei all der Verarbeitung von personenbezogenen Daten verschiedener Personengruppen, ist es – wie auch in anderen Einrichtungen, die personenbezogene Daten verarbeiten – wichtig, die Datenschutzvorgaben umzusetzen. Dies bedeutet, die Grundsätze der Verarbeitung von personenbezogenen Daten gemäß Art. 5 DSGVO einzuhalten: Er hat darauf zu achten, dass er personenbezogene Daten ausschließlich verarbeitet, sofern eine Rechtsgrundlage nach Artt. 6 Abs. 1 bzw. 9 Abs. 2 DSGVO vorliegt – hier ist also auch zu beachten, welche Art von personenbezogenen Daten ein Verantwortlicher verarbeitet. Auch muss ein Betreiber einer Pflegeeinrichtung seinen Informationspflichten nach Art. 13 DSGVO nachkommen.

Die interne Dokumentation in Form einer Leitlinie, von Richtlinien, einem Verzeichnis von Verarbeitungstätigkeiten muss vorhanden und aktuell sein. Zusätzlich ist zu betrachten, inwiefern etwaige datenschutzrechtliche Verträge nach Artt. 28 Abs. 3 DSGVO oder 26 DSGVO abzuschließen sind. Es stellt sich auch die Frage, ob für etwaige Verarbeitungstätigkeiten Einwilligungen einzuholen sind. Vertraulichkeitsverpflichtungen sind abzuschließen. Unabdinglich ist die Implementation technischer und organisatorischer Maßnahmen u. v. m.

Fazit

Viele Pflegeeinrichtungen sind sich des Datenschutzes bewusst und bemühen sich um die Einhaltung der Vorgaben der DSGVO. Beansprucht eine verantwortliche Einrichtung hierfür jedoch die eigenen Beschäftigten, kann es vorkommen, dass die Person, die sich um den Datenschutz und dessen Umsetzung kümmert, auch andere Aufgaben hat. Folglich hat sie vielleicht gar nicht die zeitlichen Ressourcen, beispielsweise etwaige Stellungnahmen der Datenschutzaufsichtsbehörden oder Urteile zu lesen bzw. sich allgemein zum Datenschutz auf dem Laufenden zu halten. Nicht selten ergibt sich aus diesen ein Handlungsbedarf. Kommt eine Einrichtung diesem nicht nach, kann es zu Schadensersatzansprüchen, Bußgeldern, Abmahnungen oder auch zum Ansehensverlust kommen. – In diesem Beitrag gehen wir übrigens auf die Vorteile eines externen Datenschutzbeauftragten ein. – Kontaktieren Sie uns deshalb am besten, damit wir für Sie den Datenschutz im Auge behalten, sie beraten und unterstützen können.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.