Damit unsere Liebsten auch im Alter gut und fachkundig versorgt sind, wird vielfach auf ein Senioren- oder Pflegeheim zurückgegriffen. Bewohner, Angehörige, Pflegepersonal, sowie Ärzte fragen sich: Was gilt es aus Sicht des Datenschutzes zu beachten?
Der Inhalt im Überblick
Warum das so wichtig ist
Um für einen Pflegebedürftigen einen Platz im Seniorenheim zu ergattern, bedarf es einen langen Atem, Geld oder schlicht und ergreifend Glück. Häufig werden die Bewohner in Mehrbettzimmern untergebracht, sodass die Privatsphäre leidet. Zudem herrscht Pflegefachkräftemangel – die wenigen Altenpflegerinnen und -pfleger, Altenpflegehelferinnen und -helfer huschen hektisch von Ort zu Ort, dem nächsten Notfall entgegen. Auch wenn es Zeit, sowie manchmal Nerven kostet, ist das Datenschutzrecht in der Pflege einzuhalten. Das hat seine Gründe:
In Altenheimen und anderen Pflegeeinrichtungen werden unter anderem Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO verarbeitet, also
„personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“
Diese Daten sind äußerst sensibel, weshalb deren Verarbeitung auch grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist. Nur in wenigen Ausnahmefällen darf eine Verarbeitung erfolgen, damit die Gesundheitsdaten nicht in falsche Hände gelangen.
Kommt es zu einer Datenpanne, ist nicht nur ein Bußgeld denkbar – sondern auch ein Reputationsverlust. Das zwischen den Bewohnern, Patienten und den Angehörigen auf der einen sowie der Pflegeeinrichtung auf der anderen Seite bestehende Vertrauensverhältnis würde infolge eines Datenschutzvorfalls möglicherweise irreversibel geschädigt.
Um alle in der Pflege Involvierten über ihre Rechte, aber auch ihre Pflichten aufzuklären, veröffentlichte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Herr Dr. Stefan Brink, im Frühjahr 2018 unter Berücksichtigung der DSGVO eine FAQ-Liste. In dieser werden die 26 häufigsten Fragen zum Datenschutz in der stationären und der ambulanten Pflege besprochen.
Erstaunlicherweise wurde die Thematik in der Datenschutzwelt bisher kaum diskutiert – weshalb wir es uns hier und in Teil 2 des Blogartikels zum Ziel nehmen, einige der wichtigsten FAQ-Fragen zusammenzufassen.
Ganz schön Datenschutz-normiert
Ein Blick ins Gesetz erleichtert die Rechtsfindung. Stimmt! Aber in welches? Ob ein Gesetz bzw. eine Verordnung anwendbar ist, hängt im Pflegebereich von der Trägerschaft der Einrichtung ab:
- Handelt es sich um eine privatrechtliche Trägerschaft, wie z.B. bei einer GmbH, gelten die DSGVO, sowie das BDSG, wobei Letzteres die DSGVO ergänzt und konkretisiert.
- Ist die Einrichtung öffentlich-rechtlicher Natur, ist neben der DSGVO das jeweilige Landesdatenschutzgesetz anzuwenden. Das BDSG ist nur dann anstatt des Landesdatenschutzgesetzes einschlägig, wenn es sich bei der Pflegeeinrichtung um öffentliche Stellen des Bundes (§ 1 Abs. 1 S. 1 Nr. 1 BDSG) oder der Länder (Nr. 2) handelt und soweit bei Letzteren der Datenschutz nicht durch Landesgesetz geregelt ist und sie Bundesrecht ausführen (lit. a).
- Besteht eine kirchliche oder diakonische Trägerschaft ist das Kirchengesetz über den Datenschutz der evangelischen Kirche in Deutschland (DSG-EKD) oder im Falle der katholischen Kirche das Kirchliche Datenschutzgesetz (KDG) heranzuziehen.
- Zusätzlich gibt es eine Menge Spezialvorschriften, beispielsweise die §§ 104 ff. SGB XI und §§ 294 ff. SGB V, die die Übermittlung von personenbezogenen Daten durch Pflegeeinrichtungen an die Pflege- und Krankenkassen regeln. Aber auch die §§ 22 ff. KUG können eine Rolle spielen, wenn Fotos der Heimbewohner angefertigt werden.
- Auch Landespflegegesetze können Aussagen zum Datenschutz treffen, z.B. das baden-württembergische Wohn-, Teilhabe- und Pflegegesetz. Auf Bundesebene ist an das Wohn- und Betreuungsvertragsgesetz zu denken.
- § 203 StGB ist ebenfalls zu beachten, da dieser Tatbestand die Strafbarkeit der Verletzung von Privat-, Betriebs- und Geschäftsgeheimnissen regelt. Hiervon betroffen sind nach Abs. 1 Nr. 1 Ärzte, Zahnärzte, Tierärzte, Apotheker und Angehörige eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert.
Rechtsgrundlagen für die Datenverarbeitung in der Pflege
Um nicht auszuschweifen, wollen wir uns an dieser Stelle lediglich mit der DSGVO beschäftigen. Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 S. 1 DSGVO grundsätzlich verboten. Eine Datenverarbeitung darf lediglich dann erfolgen, wenn eine Rechtsgrundlage besteht. Stellt sich die Frage: Welche Erlaubnisnormen ermöglichen die Verarbeitung personenbezogener Daten der Bewohner einer Pflegeeinrichtung und deren Angehöriger?
Erforderlich zur Vertragserfüllung
Häufig herangezogen wird Art. 6 Abs. 1 S. 1 lit. b DSGVO. Die Datenverarbeitung ist demnach rechtmäßig, wenn folgende Voraussetzungen erfüllt sind:
„die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.“
Werden Gesundheitsdaten verarbeitet, ist zusätzlich Art. 9 Abs. 2 lit. h DSGVO zu beachten. Danach gilt das grundsätzlich bestehende Verbot der Verarbeitung äußerst sensibler (besonderer Kategorien) personenbezogener Daten nicht, wenn
„die Verarbeitung … für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich [ist].“
Für die Praxis bedeutet das: Ist die Verarbeitung der personenbezogenen Daten des Pflegebedürftigen zur Durchführung oder zum Abschluss des Vertrags erforderlich? Das ist etwa der Fall, wenn die Datenverarbeitung notwendig ist, um der betroffenen Person Behandlungs- und Betreuungsleistungen zukommen zu lassen, ihr eine Unterkunft und Verpflegung zur Verfügung zu stellen oder wenn es darum geht, über die Aufnahme in ein Seniorenheim zu entscheiden.
Diese Normen sind nicht einschlägig, sollte die Datenverarbeitung lediglich nützlich oder hilfreich sein, z.B. bei der Abfrage von Biographie-Daten. Auch ist die Verarbeitung von Angehörigen-Daten nicht erforderlich für die Vertragserfüllung oder die Anbahnung eines Vertrags, weil der Heim- bzw. Betreuungsvertrag mit dem Bewohner geschlossen wird und nicht mit dem Angehörigen.
Rechtliche Verpflichtung
Nach Art. 6 Abs. 1 S. 1 lit. c DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO bei Gesundheitsdaten) ist die Datenverarbeitung zulässig, wenn
„die Verarbeitung … zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt.“
Eine derartige rechtliche Verpflichtung ist stets in spezialgesetzlichen Fachvorschriften zu suchen. Ordnet eine Spezialnorm die Verarbeitung personenbezogener Daten der Bewohner oder der Angehörigen an, ist die Verarbeitung zulässig. Aber Achtung! Die Daten dürfen dann natürlich nur so verarbeitet werden, wie es das Spezialgesetz vorschreibt.
Als Beispiel sei an dieser Stelle § 113 SGB XI genannt, der zur Erstellung einer Pflegedokumentation verpflichtet.
Lebenswichtige Interessen
Art. 6 Abs. 1 S. 1 lit. d DSGVO erlaubt die Datenverarbeitung, sollte
„die Verarbeitung … erforderlich [sein], um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.“
Im Falle von Gesundheitsdaten wäre hier zusätzlich Art. 9 Abs. 2 lit. c DSGVO heranzuziehen, der folgende Anforderungen stellt:
„die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.“
Klassisches Beispiel wäre hier die Weitergabe der Bewohnerdaten beim Rufen eines Notarztes, wenn sich der demente oder nicht mehr ansprechbare Pflegebedürftige verletzt oder er erkrankt.
Berechtigtes Interesse
Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO darf die Datenverarbeitung erfolgen, wenn
„die Verarbeitung … zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…“
Da im Pflegebereich häufig sensible Daten verarbeitet werden, ist auf diese Norm nur mit Bedacht zurückzugreifen. Die Vorschrift ist beispielsweise bei der Verarbeitung des Namens und der Kontaktdaten eines Notfallkontakts einschlägig, den der Bewohner (freiwillig!) angegeben hat.
Wirksame Einwilligung
Nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ist die Datenverarbeitung rechtmäßig, wenn
„die betroffene Person … ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat].“
Damit der Betroffene wirksam einwilligen kann, muss er zuvor hinreichend über die inhaltliche Tragweite informiert werden. Dabei sind der Zweck der Datenverarbeitung, die Rechtsgrundlage und die Empfänger der Daten zu erläutern. Stets ist darüber aufzuklären, dass bei Nichterteilung der Einwilligung keine Nachteile drohen. Über sein Recht auf Widerruf der Einwilligung mit Wirkung für die Zukunft ist der Pflegebedürftige ebenfalls zu belehren. Sind personenbezogene Daten nach Art. 9 Abs. 1 DSGVO (z.B. Gesundheitsdaten) betroffen, ist dies anzugeben. Aus Nachweis- und Transparenzgründen ist es zu empfehlen, sich die Einwilligung getrennt von den Heimverträgen schriftlich, sowie unterzeichnet geben zu lassen.
Häufiger Anwendungsfall der Einwilligung in der Pflegepraxis ist die Anfertigung von Fotos der Bewohner für eine Heimzeitung oder den Aushang.
Auch wenn das Einholen von Einwilligungen am sichersten erscheint, gilt es zu bedenken: Zum einen ist sie jederzeit widerruflich, zum anderen ist es gemäß Art. 9 Abs. 2 lit. a DSGVO möglich, dass eine Norm die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) trotz ausdrücklicher Einwilligung für rechtswidrig erklärt.
Letzter Tipp: Sofern bereits eine andere Rechtsgrundlage greift, ist eine Einwilligung obsolet.
Respekt verdient…
haben sowohl die Bewohner einer Pflegeeinrichtung, als auch die hart arbeitenden Pflegekräfte. Dennoch: Für eine vertrauensvolle Zusammenarbeit ist es wichtig, nicht nur Körper und Geist zu betreuen, sondern sich auch dem Datenschutz zu widmen – denn wer sich im Seniorenheim befindet, will würdevoll behandelt werden.