Datenschutz in der Pflege – Teil 2

Fachbeitrag

Ob Pflegedokumentation, Bewohnerfotos oder Dienstplan – die datenschutzrechtlichen Fragen, die sich im Pflegealltag stellen, sind vielfältig. Während sich Teil 1 den unterschiedlichen Datenschutzvorschriften und Rechtsgrundlagen mitsamt Praxisbeispielen widmet, ist es Ziel dieses Beitrags, konkrete Handlungsempfehlungen zu geben.

Häufig gestellte Fragen im Pflegebereich

Die hier behandelten Fragen orientieren sich größtenteils an der durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Herrn Dr. Stefan Brink, im Frühjahr 2018 unter Berücksichtigung der DSGVO veröffentlichten FAQ-Liste.

Frage 1: Muss ein/e Datenschutzbeauftragte/r (DSB) benannt werden?

Bei Pflegeeinrichtungen in öffentlich-rechtlicher Trägerschaft, z.B. einem Eigenbetrieb der Stadt, der Gemeinde oder des Landkreises, ist die Benennung nach Art. 37 Abs. 1 lit. a DSGVO verpflichtend.

Ist der Träger privatrechtlicher Natur, gilt Art. 37 Abs. 1 lit. b DSGVO. Ein DSB ist also dann notwendig, wenn die Kerntätigkeit der Pflegeeinrichtung in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO besteht. Das ist immer dann der Fall, wenn das Seniorenheim im großen Stil Gesundheitsdaten verarbeitet. Doch selbst, wenn dieser Punkt verneint würde: Sobald in der Pflegeeinrichtung in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, braucht es einen DSB. Dies ordnet § 38 Abs. 1 S. 1 BDSG an. Achtung: Die FAQ-Liste ist hinsichtlich der Anzahl nicht aktuell!

So viel zur Theorie, wie sieht es in der Praxis unter einer privatrechtlichen Trägerschaft aus? Eine umfangreiche Verarbeitung von Gesundheitsdaten liegt bei Seniorenheimen regelmäßig bereits in der Pflegedokumentation eines jeden Bewohners vor. Bestünden hier Zweifel, ist auf die Anzahl derjenigen abzustellen, die automatisiert – sprich digital – Daten verarbeiten. Haben z.B. mehr als 20 Personen Zugriff auf die digitale Pflegedokumentation, besteht eine Pflicht.

Ambulante Pflegedienste verarbeiten zwar Gesundheitsdaten, aber häufig nicht umfangreich genug. Auch dürften hier nur selten mehr als 20 Personen automatisiert Daten verarbeiten. Ergo müssen ambulante Pflegedienste in vielen Fällen keinen DSB benennen.

Bei kirchlicher Trägerschaft ist ein DSB zu benennen, wenn in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten betraut sind (evangelisch: § 36 Abs. 1 S. 1 Nr. 1 DSG-EKD) bzw. sich damit beschäftigen (katholisch: §§ 36 II lit. a, 3 Abs. 1 lit. c KDG) oder die Kerntätigkeit der Einrichtung in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht (§ 36 Abs. 1 S. 1 Nr. 2 DSG-EKD; § 36 II lit. c KDG). Interessanterweise reicht es hier schon aus, personenbezogene Daten außerhalb der digitalen Welt, z.B. durch Zugriff auf Papierakten, umfangreich zu verarbeiten.

Sofern die Trägerschaft über mehrere Einrichtungen besteht, ist es möglich, für alle Einrichtungen einen gemeinsamen DSB zu benennen, Art. 37 Abs. 2 DSGVO. Der DSB muss dann aber von jeder Niederlassung aus leicht erreichbar sein.

Frage 2: Welche Bewohnerdaten darf die Pflegeeinrichtung abfragen?

Im Zusammenhang mit dem Abschluss des Vertrags zwischen Pflegeeinrichtung und Pflegebedürftigen dürfen gemäß Art. 6 Abs. 1 S. 1 lit. b DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO) folgende personenbezogene Daten erhoben werden:

  • Stammdaten, wie der vollständige Name, das Geburtsdatum, sowie Angaben zur Kranken- und Pflegeversicherung,
  • Angaben zur Höhe und der Art des monatlichen Einkommens des künftigen Bewohners, soweit erforderlich, um zu klären, ob der Bewohner die monatlichen Kosten tragen kann,
  • sowie das ärztliche Zeugnis nach § 36 Abs. 4 IfSG zur Bestätigung, dass keine ansteckende Lungentuberkulose vorliegt.

Im Übrigen gilt – grundsätzlich dürfen nur die personenbezogenen Daten erfasst werden, die für die Erfüllung der im Vertrag festgelegten Leistungen tatsächlich erforderlich sind. Welche Daten im Einzelfall dazugehören, kommt auf die Art der Pflegeleistung an, die konkret vereinbart wurde (ambulanter Pflegedient, stationäre Pflege, betreutes Wohnen, etc.). Zusätzlich sind die Fragen davon abhängig, ob der Vertrag bereits geschlossen wurde, es sich um einen Vertrag zur konkreten Aufnahme in die Unterkunft oder nur um einen Vertrag zur Vormerkung eines Heimplatzes handelt.

Weitere abzufragende personenbezogene Daten ergeben sich aus spezialgesetzlichen Normen des SGB V und SGB XI, die der Pflegeeinrichtung bestimmte Pflichten auferlegen. Um diese Aufgaben erfüllen zu können, muss die Einrichtung die Daten der Bewohner abfragen können. Als Beispiel angeführt sei hier lediglich § 104 Abs. 1 SGB XI.

Achtung! Ohne Einwilligung des Betroffenen dürfen Sie diese Daten nicht abfragen:

  • biographische Daten, also z.B. Geburtsort, Konfession, Beruf, ehemaliger Arbeitgeber, Kinderanzahl, Familienstand, etc. – Diese Angaben sind zwar hilfreich, aber nicht erforderlich für die Erbringung der Pflegeleistung.
  • Informationen über Angehörige oder Betreuer – Hier ist eine Einwilligung notwendig, weil zwischen der Einrichtung und dem Angehörigen bzw. Betreuer kein Vertrag besteht, für dessen Erfüllung die Erhebung der Daten erforderlich wäre. Ausnahme: Name und Kontaktdaten eines Notfallkontakts dürfen auch ohne Einwilligung abgefragt werden (berechtigtes Interesse).

Frage 3: Wer darf die Pflegedokumentation einsehen?

Der Betroffene selbst darf Einsicht in seine eigene Patientenakte nehmen. Das ergibt sich zum einen aus dem Auskunftsrecht nach Art. 15 DSGVO, sofern berechtigte Interessen Dritter nicht entgegenstehen und die Auskunftserteilung nicht ausnahmsweise einen unverhältnismäßigen Aufwand bedeutet, sowie zum anderen aus § 630g Abs. 1 BGB analog, soweit nicht erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen.

Außenstehende, wie z.B. andere Bewohner oder Besucher, dürfen selbstverständlich keinen Blick in die Pflegedokumentation werfen, weshalb diese sicher aufzubewahren und vor ihnen nicht darüber zu sprechen ist.

Beschäftigte der Pflegeeinrichtung haben nur dann ein Einsichtsrecht, wenn sie die Informationen für ihre Tätigkeit benötigen. Die Pflegekasse darf lediglich Leistungsnachweise nach § 105 SGB XI, also Abrechnungsunterlagen, einsehen. Der Medizinische Dienst bzw. der Prüfdienst der privaten Krankenversicherung hat – solange der Betroffene nicht gemäß § 114a Abs. 3 SGB XI einwilligt – kein Einsichtsrecht.

Angehörige dürfen die Pflegedokumentation nur einsehen, wenn der Betroffene einwilligt. Was, wenn der Betroffene bereits verstorben ist? Die DSGVO gilt nur bei Lebenden – die Schweigepflicht ist jedoch auch über den Tod hinaus zu wahren, § 203 Abs. 5 StGB. Nur in wenigen Fällen besteht eine Offenbarungsbefugnis, z.B. beim Verdacht eines Verwandten, an Erbkrankheiten zu leiden oder zur Durchsetzung der Erbberechtigung, § 630g Abs. 3 BGB.

Frage 4: Darf die Pflegeeinrichtung Fotos der Bewohner machen?

Auch hier gilt: Vorsicht ist die Mutter der Porzellankiste. Die Antwort hängt davon ab, was fotografiert wird und wofür das Foto benötigt wird:

Wenn Sie das Foto in der Heimzeitung, auf einer Wandtafel, in einem digitalen Bilderrahmen im Eingangsbereich, auf der Internetseite des Heimträgers, in einem Werbeflyer oder ähnlichen Formaten veröffentlichen wollen, müssen Sie bereits vor Anfertigung des Fotos die Einwilligung des Pflegebedürftigen einholen. Dies ergibt sich nicht nur aus Art. 6 Abs. 1 S. 1 lit. a DSGVO (ggf. in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO), sondern auch aus dem Recht am eigenen Bild aus § 22 KUG. Zu empfehlen ist, für jedes Medium separate Einwilligungen einzuholen. Sie müssen sowohl auf die Freiwilligkeit der Einwilligung, als auch auf deren Widerruflichkeit für die Zukunft hinweisen. Verdeutlichen Sie dem Bewohner, dass eine Ablehnung keine nachteiligen Folgen für ihn hat.

Fotos von einer Wunde für die Pflegedokumentation dürfen in der Regel ohne Einwilligung erfolgen, da diese der Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 S. 1 lit. c DSGVO und Art. 9 Abs. 2 lit. h DSGVO) dienen. Pflegeeinrichtungen sind nach § 630f Abs. 2 BGB analog verpflichtet, sämtliche aus fachlicher Sicht für die Behandlung wesentlichen Maßnahmen und deren Ergebnisse in der Patientenakte aufzuzeichnen. Soweit ein Foto einer Wunde im konkreten Einzelfall erforderlich ist, um diese Pflicht zu erfüllen, darf es angefertigt werden. Das ist zum Beispiel dann der Fall, wenn eine Beschreibung einer Wunde in Textform unzureichend oder nicht mit vertretbarem Aufwand umzusetzen wäre.

Frage 5: Darf der Dienstplan ausgehängt werden?

Intern dürfen Dienst- und Schichtpläne ausgelegt werden, wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist, § 26 Abs. 1 BDSG. Ein ordnungsgemäßer Betriebsablauf ist häufig nur dann sicherzustellen, wenn die Beschäftigten untereinander abstimmen können, wer zusammenarbeitet und Schichten tauscht. Wichtig ist es hier, nur das im Plan anzugeben, was notwendig ist. Beispielsweise ist die Angabe des genauen Grundes einer Abwesenheit nicht erforderlich.

Och nö, nicht Datenschutz!

Verständlich, dass es nicht besonders angenehm ist, sich im stressigen Pflegealltag noch mit Datenschutz herumschlagen zu müssen. Doch es lohnt sich: Wer datenschutzrechtliche Vorschriften achtet, vermeidet nicht nur Bußgelder – sondern auch zeitfressenden und nervenaufreibenden Ärger.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz im Gesundheitswesen

2 Kommentare zu diesem Beitrag

  1. Zur Frage 2: Warum sollen die Daten von Betreuern nicht ohne Einwilligung erhoben und verarbeitet werden dürfen? (Aufgrund welcher Vorschrift) Sind die Einrichtungen verpflichtet, ihre Leistungen im Weigerungsfall ohne rechtswirksamen Vertrag und dann ausschließlich für die Leistungen der gesetzlichen Pflegeversicherung zu erbringen?

    • Die Pflegeeinrichtung hat mit dem Betreuer selbst keinen Vertrag geschlossen. Der Vertrag wird mit dem Pflegebedürftigen geschlossen, der ggf. durch einen Betreuer vertreten wird. Vertragspartei ist aber der Pflegebedürftige, nicht der Betreuer.
      Das heißt, die Übermittlung von Betreuerdaten durch den Pflegebedürftigen an die Pflegeeinrichtung kann nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden. Diese Norm erfordert, dass die betroffene Person Vertragspartei sein muss. Das ist der Betreuer jedoch gerade nicht.
      Deshalb braucht es eine Einwilligung des Betreuers für die Erhebung von dessen Daten (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Eine Ausnahme gilt bei notwendigen Angaben für Notfallkontakte, also Name und Kontaktdaten (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

      Es ist auch denkbar, dass eine Norm aus dem Sozialrecht die Erhebung personenbezogener Daten des Betreuers anordnet (Art. 6 Abs. 1 S. 1 lit. c i.V.m. dieser Spezialnorm). Dann sollte man diese Daten aber direkt beim Betreuer erfragen (Direkterhebung) und nicht beim Pflegebedürftigen.

      Wenn der sich der Betreuer bei Vertragsabschluss für den Pflegebedürftigen weigert, für den Vertragsabschluss notwendige Daten seiner Person anzugeben, so ist bereits fraglich, ob die Pflegeeinrichtung den Vertrag dann überhaupt schließen würde – sie weiß ja im Zweifel, dass er ohne Angaben zum Betreuer ggf. unwirksam wäre.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.