Krankenhäuser, Praxen und MVZs: Gesundheitseinrichtungen tragen eine große Verantwortung, denn sie müssen eine einwandfreie medizinische Versorgung gewährleisten, wenn es um die Gesundheit ihrer Patienten geht. Gleichzeitig bringen Patienten diesen Einrichtungen einen erheblichen Vertrauensvorschuss entgegen. Dieser umfasst nicht nur die Qualität der Behandlung, sondern auch den sensiblen und sorgfältigen Umgang mit ihren persönlichen, patientenspezifischen Gesundheitsdaten. Selbige wiederum gehören, von der Erfassung und Weiterverarbeitung bis hin zur Aufbewahrung, zum Berufsalltag der Angestellten in Gesundheitseinrichtungen.
Hier kommen Datenschutzbeauftragte ins Spiel: Deren Rolle innerhalb solcher medizinischen Einrichtungen kann man sich praktisch wie einen hochspezialisierten Facharzt vorstellen. Als Bindeglied zwischen den rechtlichen Anforderungen des Gesetzgebers und der aktuellen Auslegung der Datenschutzvorgaben schaffen sie eine wichtige Verbindung. Sie vermitteln sowohl zwischen den Interessen und Rechten der Patienten als auch zwischen den internen Abläufen der Einrichtung. Dabei sorgen sie nicht nur für die Einhaltung rechtlicher Vorgaben, sondern etablieren gleichzeitig sichere und effiziente Prozesse. Das Aufgabenspektrum dieser Datenschutz-Spezialisten ist äußerst facettenreich. Besonders in Ländern wie Deutschland, die international für ihre hohen Datenschutzanforderungen bekannt sind, ist ihre Arbeit von großer Bedeutung. Gleichzeitig gewinnen ihre Aufgaben durch die fortschreitende Digitalisierung und den zunehmenden Einsatz von KI-Systemen immer mehr an Komplexität und Relevanz, etwa für die Erstellung von Arztbriefen oder in der Therapie selbst.
Datenschutzbeauftragte tragen also wesentlich zu Datensicherheit und Vertrauen bei. Der folgende Artikel wirft einen Blick darauf, wie sie das erreichen, welche Aufgaben und Verantwortlichkeiten in ihrem Arbeitsalltag eine Rolle spielen und welche Potenziale der Datenschutz für Gesundheitseinrichtungen eröffnet. Dabei zeigt sich, dass Datenschutz weit über eine reine Verpflichtung hinausgeht und spannende Möglichkeiten für moderne, vertrauensvolle und innovative Gesundheitsversorgung bieten kann.
Gesetzliche Grundlagen in Bezug auf Gesundheitseinrichtungen
Im Gesundheitswesen greifen zwei essenzielle Vorschriften: Einerseits die aus der Datenschutz-Grundverordnung (kurz: DSGVO), andererseits die aus dem Bundesdatenschutzgesetz (kurz: BDSG). Beide Werke haben in Bezug auf hochsensible Gesundheitsdaten besondere Relevanz und präzise Vorschriften - beide sind zugleich die symbolische “Gebrauchsanweisung” der Datenschutzbeauftragten.
Sie definieren und legen fest, wie “besondere Kategorien von personenbezogenen Daten” (Art. 9 der DSGVO) zu handhaben sind – dazu gehören selbstverständlich auch Gesundheitsdaten. Diese Daten erfordern einen besonders sensiblen und vertraulichen Umgang, da sie äußerst schützenswert sind. Gesundheitsdaten enthalten Informationen, die tief in die Privatsphäre einer Person eingreifen können, weshalb sie durch klare Regelungen und Vorgaben geschützt werden. Dazu gehören detaillierte Anforderungen an die Verarbeitung sowie verpflichtende organisatorische und technische Schutzmaßnahmen, die konsequent umgesetzt und sichergestellt werden müssen.
Wenn mehr als zwanzig Personen mit der Verarbeitung von Gesundheitsdaten vertraut sind: Dies wird auf die meisten dieser Einrichtungen zutreffen. (§ 38 BDSG)
Sofern die Verarbeitung von Gesundheitsdaten eine Kerntätigkeit ist oder Daten in besonders sensibler Art verarbeitet werden (Art. 37 Abs. 1 DSGVO). Letzteres wird bei Gesundheitseinrichtungen ebenfalls der Fall sein.
Bei einer notwendigen Datenschutz-Folgenabschätzung.
Nach Landeskrankenhausgesetzen, soweit dies speziell geregelt ist
Kleinere Praxen mit weniger als zwanzig Mitarbeitern müssen aufgrund der Sensibilität der Daten im Einzelfall ebenfalls Datenschutzbeauftragte benennen.
Zusätzlich unterliegen Krankenhäuser auch den jeweiligen Landeskrankenhausgesetzen. Zum Beispiel schreibt das Landeskrankenhausgesetz von Baden-Württemberg (LKHG) für jedes Krankenhaus einen Beauftragten vor, unabhängig vom eingesetzten Datenverarbeitungsverfahren und der Zahl der damit betrauten Mitarbeiter.
Aufgaben und Pflichten der Datenschutzbeauftragten in Krankenhäusern und MVZs
Datenschutzbeauftragte sind innerhalb der jeweiligen Gesundheitseinrichtung eine Schlüsselfigur: In ihre Verantwortlichkeit fallen alle einzelnen Aufgaben und Teilbereiche, die in der Summe zur Sicherstellung der erfassten personenbezogenen Gesundheitsdaten dienen. Diese Teilbereiche möchten wir nun einmal genauer beleuchten.
Fortlaufende Überwachung und Kontrolle
Datenschutzbeauftragte stehen vor der Aufgabe, stets auf dem neuesten Stand zu bleiben. Sie müssen sich kontinuierlich und eigenständig über Änderungen der geltenden Datenschutzregulatorien wie der DSGVO und dem BDSG informieren. Doch es geht dabei nicht nur um die Einhaltung gesetzlicher Vorgaben. Die dynamische Entwicklung moderner Technologien bringt ständig neue Anforderungen und Risiken mit sich, besonders in einer zunehmend digitalisierten Gesundheitsbranche. Daher ist es entscheidend, dass Datenschutzbeauftragte „am Puls der Technik“ bleiben. Sie tragen die Verantwortung, die konsequente Einhaltung der Datenschutzvorgaben zu gewährleisten und gleichzeitig sicherzustellen, dass in der Gesundheitseinrichtung eingesetzte Softwarelösungen sowohl funktional als auch datenschutzkonform sind. So schützen sie nicht nur sensible Daten, sondern schaffen auch Vertrauen in innovative Technologien. Die E-Health- und Patientenportal-Lösungen von samedi werden bspw. seit 16 Jahren mit einem starken Fokus auf höchste Sicherheit für sensible Gesundheitsdaten entwickelt und gestaltet. Umfassende Sicherheitsmaßnahmen wurden 2024 erneut bestätigt durch das erfolgreiche BSI C5 Testat im Cloud Computing.
Beratung, Schulung und Sensibilisierung von Mitarbeitenden
Datensicherheit ist ein hochkomplexes und verantwortungsvolles Thema, für das Datenschutzbeauftragte andere Mitarbeitende in der Einrichtung sensibilisieren. Sie haben ein offenes Ohr und fundierte Antworten auf datenschutzrechtliche Fragen, stehen mit der Leitung der Einrichtung (sowie weitere Abteilungen) über zu erfüllende Anforderungen im ständigen Austausch und weisen gleichermaßen auf bestehende Defizite hin - und wie sich diese “behandeln”, also von den Verantwortlichen beheben lassen.
Mitarbeiterschulungen rund um Datenschutzthemen gehören ebenfalls zum Repertoire von Datenschutzbeauftragten, auch mit Hinblick auf den korrekten Umgang mit der eingesetzten Softwarelösung. Generell sollten Datenschutzbeauftragte zudem für einen positiven Umgang mit Datensicherheit sowohl auf Patienten- als auch Mitarbeiterseite sorgen und damit ein Verständnis für die Wichtigkeit der einzelnen Prozesse, wenn sie manchmal auch zusätzlichen Mehraufwand verursachen, schaffen.
Ansprechpartner für Behörden und weitere Einrichtungen
Datenschutzbeauftragte sind Schnittstelle und Vermittler gleichermaßen. Das zeigt sich schon in ihrer Kommunikation zu den jeweiligen Stellen:
Sie sind die erste Kontaktperson für die Datenschutzaufsichtsbehörde.
In der Einrichtung gelten sie als erste Anlaufstelle zu Datenschutzfragen.
Sie kreieren alltagstaugliche Lösungen zwischen dem Management und deren Effizienzanforderungen sowie dem Gesetzgeber und seinen Vorgaben.
Sie beraten zu spezialgesetzlichen Fragen, zum Beispiel wann und ob eine Herausgabe von Patientendaten an eine bestimmte Institution, zum Beispiel die Krankenkasse, erfolgt.
Sie melden identifizierte Datenschutzverstöße den jeweiligen Behörden.
Datenschutzbeauftragte erhalten aufgrund dieser Pflichten eine Sonderstellung vom Gesetzgeber. Sie genießen einen vergleichbaren Kündigungsschutz wie Betriebsräte und sind direkt der MVZ- oder Krankenhausleitung unterstellt. Innerhalb ihres eigenen (keinesfalls kleinen) “Datenschutz-Reiches” genießen die Datenschutzbeauftragten deshalb sowohl Unabhängigkeit als auch Weisungsfreiheit.
Vorteile der Datenschutzbeauftragten für Krankenhäuser und MVZs
Datenschutzbeauftragte werden in den meisten MVZs und Krankenhäusern aus rechtlichen Gründen eingesetzt. Ihr Beitrag geht jedoch über die Erfüllung gesetzlicher Vorgaben hinaus: Sie fördern einen verantwortungsvollen Umgang mit sensiblen Daten und stärken das Vertrauen von Patienten und Mitarbeitern. Wir haben vier essenzielle Vorteile diagnostiziert, welche die gegebenen Mehrwerte für alle beteiligten Parteien aufzeigen:
Vertrauensbildung und Verbesserung der Reputation
Ein korrekter, weitsichtiger und schlicht professioneller Umgang mit sensiblen Patientendaten schafft auf Seiten der Patienten Vertrauen in die Einrichtung und das Gesundheitswesen als Ganzes. Die jeweilige Einrichtung kann damit wirksam nach außen signalisieren, dass sie die Privatsphäre der Patienten und deren Datenschutz ernst nimmt – mitunter resultiert das sogar in einem Wettbewerbsvorteil. Allen voran festigt es aber das Vertrauen in Institutionen des Gesundheitswesens – und das allein ist gar nicht hoch genug zu bewerten!
Compliance, Risikoreduzierung und wirtschaftliche Absicherung
Verstöße gegen die geltenden Datenschutzvorgaben werden vom Gesetzgeber empfindlich geahndet – im Gesundheitswesen noch stärker als in anderen Branchen. Datenschutzbeauftragte schaffen wirtschaftliche Vorteile, indem sie durch ihre eigene rechtliche Compliance das Risiko von Bußgeldern minimieren – speziell mit Hinblick auf Fallpauschalen und enge Margen könnten diese schlimmstenfalls existenzbedrohend sein, denn sie sind nicht unwesentlich: Dokumentierte Fälle im Gesundheitswesen, bei denen gegen die DSGVO verstoßen wurde, wurden bereits mit Strafen von bis zu 460.000 Euro geahndet. Generell reduzieren Datenschutzbeauftragte das Risiko von weitreichenden rechtlichen und monetären Konsequenzen, welche sich natürlich nicht nur auf Bußgelder beschränken.
Prozessoptimierungen und Effizienzsteigerungen
Datenschutzbeauftragte sind auch Effizienz- und Optimierungstalente: Wie genau? Zum Beispiel so:
indem sie weitere Digitalisierungsmaßnahmen stützen und zu neuen Technologien bezüglich der Datenschutzvorgaben beraten
indem sie Schulungen durchführen und dadurch das Risiko von Datenschutzpannen, die durch menschliches Versagen entstanden sind, reduzieren
indem sie die Kommunikation mit Behörden effizienter gestalten
Gepaart mit den bereits genannten Vorteilen können Gesundheitseinrichtungen so durchaus nennenswerte Wettbewerbsvorteile freilegen und zugleich den eigenen Ruf wahren beziehungsweise weiter verbessern – für ein Umfeld, in dem sich Mitarbeitende ebenso wie Patienten rundum wohl und sicher fühlen.
Datenschutzbeauftragte finden – worauf kommt es an?
Erst einmal natürlich auf die grundlegenden Qualifikationen, allen voran technisches Know-how und fundierte Kenntnisse über die DSGVO und das BDSG. Kommunikationsstärke und eine gehörige Portion Durchsetzungsvermögen gehören ebenso dazu wie die Fähigkeit, teilweise sehr komplexe Inhalte gegenüber anderen Mitarbeitenden leicht verständlich greifbar zu machen und darzulegen. Die Grundvoraussetzungen für einen guten Datenschutzbeauftragten sind also durchaus umfangreich.
Damit aber noch nicht genug: Datenschutzbeauftragte müssen mit einer Vielzahl von Beteiligten kommunizieren und einzelne Interessen entsprechend des Datenschutzes abstimmen – von Patienten bis hin zu Ärzten und Krankenkassen. Gleichermaßen sollten Datenschutzbeauftragte entsprechende IT-Fähigkeiten mitbringen, um die teils hochspezialisierten Softwarelösungen im Gesundheitswesen gemäß ihrem Potenzial einsetzen zu können. Das ist wichtig: Denn korrekt genutzt und mit individuell notwendigen Modulen bestückt, halten Softwarelösungen wie samedi Krankenhäusern und MVZs den Rücken frei.
Findet sich innerhalb der Einrichtung kein geeigneter Kandidat oder keine passende Kandidatin, können diese Einrichtungen beispielsweise über Berufsverbände oder (Online-)Portale die Stelle ausschreiben. Auch spezialisierte Datenschutz-Dienstleister können vermitteln, mitunter lohnt es sich sogar andere Gesundheitseinrichtungen anzufragen. Alternativ könnte die Geschäftsführung einen designierten Mitarbeitenden zum/zur Datenschutzbeauftragten intern aus- und weiterbilden.
Sie sind sich unsicher, was für Sie den Königsweg darstellt? Hier sind die wichtigsten Vor- und Nachteile in der Wahl eines internen vs. externen Datenschutzbeauftragten:
Vorteile
Interne Datenschutzbeauftragte: Kennen die Einrichtung bereits, sind normalerweise kostengünstiger und ständig verfügbar.
Externe Datenschutzbeauftragte: Sind kurzfristig verfügbar und haben einen neuen Blickwinkel beziehungsweise eine unabhängige Perspektive. Zugleich lassen sich ihre Verträge meistens flexibler ausgestalten.
Nachteile
Interne Datenschutzbeauftragte: Mitunter ist erst eine aufwändige und kostenintensive Aus- beziehungsweise Weiterbildung erforderlich. Zudem sind Interessentenkonflikte denkbar und auch der besondere Kündigungsschutz muss bei der Entscheidung berücksichtigt werden.
Externe Datenschutzbeauftragte: Die fortlaufenden Kosten sind mitunter etwas höher. Außerdem müssen die externen Fachleute sich erst in die Einrichtung, deren Strukturen und Abläufe einarbeiten, was anfänglich zu Lasten der Effizienz gehen könnte (aber nicht zwangsläufig muss).
Fazit: Datenschutzbeauftragte sind rechtlich oft notwendig – schaffen aber zugleich echte Mehrwerte
Sensible Daten müssen überall dort zuverlässig geschützt werden, wo sie erfasst und verarbeitet werden. Die Verantwortung für alle damit verbundenen Aufgaben und Prozesse liegt hier bei den Datenschutzbeauftragten. In Gesundheitseinrichtungen nehmen sie daher eine essenzielle Schlüsselrolle ein. Diese Rolle dient nicht nur der Einhaltung von Vorgaben, sondern bringt auch klare Vorteile für die Patienten mit sich. An den hohen Datenschutzvorgaben wird sich auf absehbare Zeit nichts ändern (und das ist auch gut so!): Umso wichtiger ist es, auf Seiten der Krankenhäuser und MVZs, ihrer besonderen Stellung in unserer Gesellschaft gerecht zu werden – und neben einer einwandfreien medizinischen Versorgung auch eine makellose Datenschutzqualität sicherzustellen.
