Neben den Gesundheitsdaten sind bereits Angaben, dass eine betroffene Person ein Patient eines medizinischen Leistungserbringers ist, patientenbezogene Daten. Damit umfasst der Begriff sämtliche formellen, als auch inhaltliche Angaben zu einer Eigenschaft als Patient.
Zur Datenkategorie zählt bereits die Information, dass ein Betroffener Patient eines bestimmten Arztes ist, aber auch Untersuchungsergebnisse sowie Abrechnungsdaten gegenüber der Krankenversicherung oder Berufsgenossenschaft.
Auch beim Betreiben von elektronischen Gesundheitsakten spielt die Datenkategorie eine wesentliche Rolle:
"Medizinische Leistungserbringer sind nicht dazu verpflichtet, patientenbezogene Daten in eine elektronische Gesundheitsakte einzutragen. Zwar räumt Art. 15 Abs. 3 Satz 2 DSGVO betroffenen Personen das Recht ein, eine elektronische Kopie der sie betreffenden Daten zu erhalten. Die Leistungserbringer können jedoch den Weg zur Übermittlung der elektronischen Kopie selbst wählen, solange hierdurch der Empfang für die betroffene Person nicht erschwert wird.
Medizinische Leistungserbringer dürfen patientenbezogene Daten nur dann an Betreiber elektronischer Gesundheitsakten übermitteln, wenn die entsprechende Anforderung tatsächlich von der behandelten Person ausgeht. Hiervon müssen sich die Leistungserbringer selbst und in eigener Verantwortung überzeugen, wobei insbesondere die Echtheit der Schweigepflichtentbindungserklärungen überprüft werden muss. Eine Übermittlung ohne eine solche Genehmigung stellt nicht nur einen Datenschutzverstoß dar, sondern auch eine Verletzung der ärztlichen Schweigepflicht.
Jede Übermittlung patientenbezogener Daten muss den Anforderungen an die Datensicherheit genügen. Nicht nur die Diagnose und die Art der Behandlung bedürfen einer besonderen Vertraulichkeit, sondern bereits die Tatsache, dass überhaupt eine Behandlung durch einen bestimmten Leistungserbringer stattgefunden hat. Die Datensicherheit muss sowohl vom Betreiber der elektronischen Gesundheitsakte gewährleistet werden, als auch vom medizinischen Leistungserbringer.
Patientenbezogene Daten sollten vom Leistungserbringer vor der Übermittlung so verschlüsselt werden, dass nur die behandelte Person selbst die Entschlüsselung durchführen kann. Der Leistungserbringer hat in diesem Fall dafür Sorge zu tragen, dass die Verschlüsselung nur mit dem von der behandelten Person zur Verfügung gestellten Schlüssel erfolgt, und muss die Verwendung des richtigen Schlüssels im Zweifelsfall nachweisen können.
Unverschlüsselte patientenbezogene Daten sollten nicht auf Arbeitsplatzrechnern verarbeitet werden, die ungehindert auf das Internet zugreifen können. Dies entspricht den Empfehlungen der Kassenärztlichen Bundesvereinigung und der Bundesärztekammer." so der Berliner LfDI.
E-Learning Datenschutz
- Datenschutz praktische Lektion
- https://juristi.de/home/index.php?quiz/