Warum Datenschutz in der Pflege so wichtig ist
Ärzte oder Pfleger benötigen eine Vielzahl an Informationen zu dem gesundheitlichen Zustand ihrer Patienten. Auf der anderen Seite müssen sich Patienten darauf verlassen können, dass die im Rahmen der Behandlung anvertrauten hochsensiblen Daten vertraulich bleiben. Der Datenschutz in der Pflege spielt deshalb eine wichtige Rolle. Einerseits unterliegen Ärzte, Pfleger, Krankenschwestern und Heilpraktiker der beruflichen Schweigepflicht. Andererseits sind bei der Verarbeitung personenbezogener Daten auch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) zu beachten. Ein Datenschutzbeauftragter kann bei der Umsetzung der gesetzlichen Vorgaben im Pflegedienst unterstützen.
Wie gestaltet sich der Datenschutz in der Pflege?
Pflegedienste und Pflegeheime sind verpflichtet, die Daten ihrer Patienten vor Missbrauch zu schützen. Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Durchführung des Vertrages zwischen Pflegeeinrichtung und Pflegebedürftigen tatsächlich erforderlich ist. Welche Daten im Einzelfall dazu gehören, kommt auf die Art der Pflegeleistung an, die konkret vereinbart wurde (ambulante Pflege, stationäre Pflege, betreutes Wohnen, etc.).
Dokumentationspflicht: Die bloße Einhaltung der Datenschutzvorgaben ist für die Pflegeeinrichtung nicht ausreichend. Als Pflegeeinrichtung müssen Sie jederzeit dokumentiert nachweisen, dass Sie mit Ihrem Unternehmen die gesetzlichen Datenschutzbestimmungen einhalten („Rechenschaftspflicht“). Daraus ergeben sich einige weitere Pflichten, die weiter unten dargestellt werden. Daraus ergibt sich die Pflicht zur Erstellung einiger Datenschutz Dokumente.
Pflegedienst DSGVO: Welche Daten müssen geschützt werden?
Das Pflegepersonal erhält aufgrund seines Berufes sehr viele personenbezogene Patientendaten. Darunter fallen üblicherweise die für die Erfüllung des Pflegevertrages zu verarbeiteten personenbezogenen Daten:
- Name und Anschrift des Patienten
- Name und Anschrift der Angehörigen
- Sozialversicherungsnummer
- Krankenversicherung
- Pflegestufe
- Diagnosen
- Vorerkrankungen
Alle Informationen, die die Gesundheit eines Patienten betreffen, gehören nach Art. 9 Datenschutz-Grundverordnung (DSGVO) zu den besonderen Kategorien personenbezogener Daten und sind dementsprechend besonders schützenswert. Damit ist Datenschutz in der Pflege (ambulanten und stationär!) ein besonders sensibles Thema.
Datenschutzbeauftragter Pflegedienst – Ab wann ist ein DSB nötig?
Alle Pflegedienstleister sind zur Benennung eines Datenschutzbeauftragten verpflichtet, da ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Art. 37 Absatz 1 Buchstabe b DSGVO). Dadurch, dass Pflegeeinrichtungen für jede betroffene Person eine Pflegedokumentation führen, verarbeiten sie regelmäßig viele Arten personenbezogener Daten. Gesundheitsdaten sind zudem besonders schützenswert und gehören daher auch zu den besonderen Datenkategorien (Artikel 9 Absatz 1 Datenschutz-Grundverordnung). Bereits deshalb besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten.
Die Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten dürften fast immer erfüllt sein, auch wenn es sich um kleine ambulante Pflegedienste mit weniger als 20 Mitarbeitern und einem kleinen Klientenkreis handelt (§ 38 Absatz 1 Bundesdatenschutzgesetz).
Wer darf als Datenschutzbeauftragter in der Pflegeeinrichtung benannt werden?
Es gibt zwei Möglichkeiten für die Pflegedienstleitung und die Entscheidung fällt nicht immer leicht: Bilde ich einen Mitarbeiter zum internen Datenschutzbeauftragten aus oder lagere ich das Thema Datenschutz an einen Dienstleister für einen externen Datenschutzbeauftragten aus?
Interner Datenschutzbeauftragter:
Wenn ein Mitarbeiter über die notwendige Fachkunde verfügt, kann dieser als interner Datenschutzbeauftragter bestellt werden. Um das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts zu erwerben, ist der Besuch einer mehrtägigen Weiterbildung, z.B. bei TÜV, DEKRA, IHK, GDD zu empfehlen. Nach der Ernennung zum internen Datenschutzbeauftragten genießt der Mitarbeiter einen besonderen Kündigungsschutz (ähnlich wie Betriebsratsmitglieder).
Externer Datenschutzbeauftragter:
Alternativ kann der Pflegedienst einen Datenschutzbeauftragten extern beauftragen. Der externe Datenschutzbeauftragte ist unabhängig und arbeitet auf Grundlage eines Dienstleistungsvertrages mit dem Pflegedienst zusammen. Hierfür kommen externe Datenschutzberater oder ein Fachanwalt für Datenschutz in Betracht. Als zertifizierte Fachexperten bringen externe Datenschutzbeauftragte die Qualifikation für die Ausübung des Amtes mit. Des Weiteren verfügen externe DSB über umfangreiche Erfahrung in verschiedenen Branchen und Unternehmen. Aufgrund der objektiven Perspektive ist eine unvoreingenommene Herangehensweise sichergestellt, wodurch das Risiko von Betriebsblindheit vermieden wird.
Weitere Informationen zum Thema „Interner vs. Externer Datenschutzbeauftragte“ und eine Entscheidungshilfe, erfahren Sie in unserem gleichnamige Artikel.
Datenschutzbeauftragter im Pflegedienst: Was sind seine Aufgaben?
Der Datenschutzbeauftragter ist der Experte für Datenschutz. Er hat insbesondere die Aufgaben, die Einhaltung der gesetzlichen Datenschutzvorgaben im Pflegedienst sicherzustellen. Der Datenschutzbeauftragte informiert und berät die Geschäftsleitung über die Datenschutzpflichten. Des Weiteren verhindert er Datenschutzverletzungen, beantwortet Anfragen von Betroffenen oder Aufsichtsbehörden und unterstützt bei der Erstellung der Datenschutzdokumentation. Der Datenschutzbeauftragte gilt zudem als Vermittler zwischen dem Pflegedienst, Betroffenen und den Datenschutz-Aufsichtsbehörden.
Datenschutzbeauftragter in der Pflege – Welche Kosten entstehen?
Pflegedienste können Mitarbeiter als interne Datenschutzbeauftragten bestellen, wenn sie über die Qualifikation verfügen. Selbstverständlich entstehen dabei Fortbildungskosten von mehreren Tausend Euro pro Weiterbildungsmaßnahme. Zusätzlich tragen Unternehmen bei einem internen Datenschutzbeauftragten neben den Ausbildungs- und Weiterbildungskosten auch (anteilig) das reguläre Gehalt und die arbeitgeberseitigen Lohnnebenkosten.
Die Kosten für einen externen Datenschutzbeauftragten in der Pflege hängen von verschiedenen Faktoren ab: Datenschutzrechtlicher Ist-Zustand, Abrechnungsmodell des Dienstleisters, Geschäftsmodell und Größe des Unternehmens und der Umfang der Datenverarbeitung. Ein externer zertifizierter Datenschutzbeauftragter von ALPHATECH Consulting GmbH kann bereits ab 99 Euro im Monat beauftragt werden.
Vorteile eines externen Datenschutzbeauftragten von ALPHATECH
- Kosteneffizienz: Vermeidung von zusätzlichen Kosten für Aus- und Fortbildung eines internen Mitarbeiters durch einen externen Datenschutzexperten.
- Fachkompetenz: Zertifizierte Fachkenntnisse und jahrelange Datenschutz-Erfahrungen im Pflegebereich.
- Reduzierung der Haftungsrisiken: Reduzierung des Risikos von Datenschutzverstößen und den damit verbundenen finanziellen und reputativen Schäden.
- Ständige Verfügbarkeit: Krankheitstage, Urlaub oder betriebliche Erfordernisse: Ein interner Datenschutzbeauftragter steht nicht immer zur Verfügung. Wir stehen Ihnen auch bei Datenpannen sofort als Ansprechpartner zur Verfügung.
- Kein besonderer Kündigungsschutz: Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Stellung des Betriebsrats vergleichbar ist. Im Gegensatz dazu kann die Beauftragung eines externen Datenschutzbeauftragten fristgerecht beendet werden.
Datenschutz-Pflichten: So setzen Sie die DSGVO in der Pflege um
- Verzeichnis von Verarbeitungstätigkeiten
Jedes Unternehmen ist zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet (Art. 30 Abs. 1 DSGVO). Hierbei werden alle datenschutzrelevante Geschäftsprozesse dokumentiert. Dazu gehört beispielsweise: Aufnahme von Patienten, Datenaustausch mit Ärzten und Krankenkassen, Abrechnungsprozesse, Buchhaltungsprozesse, Führung der Personalakten, etc.
- Datenschutzerklärung auf der Website
Pflegedienste benötigen für eine datenschutzkonforme Internetpräsenz eine auf Ihre Webseite individuell angepasste Datenschutzerklärung.
- Cookie Banner auf der Website einbinden
Werden Analyse- oder Marketingtools eingesetzt, die für die Funktionsfähigkeit der Website nicht erforderlich sind, muss die Einwilligung des Nutzers mittels Cookie-Banner eingeholt werden.
- Technische und organisatorische Maßnahmen
Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen im Unternehmen festzulegen. Diese individuelle anhand des Risikos, Digitalisierungsgrads und technischer Ausstattung zu ergreifen und zu dokumentieren (Art. 32 DSGVO).
- Mitarbeiter im Datenschutz schulen
Regelmäßige Datenschutz-Schulungen für Mitarbeiter sind gesetzlich vorgesehen und unerlässlich in jeder Pflegeeinrichtung.
- Pflegepersonal auf Vertraulichkeit verpflichten
Sämtliches Pflegepersonal muss auf einen vertraulichen Umgang mit personenbezogenen Daten verpflichtet werden.
- Auftragsverarbeitungsverträge mit Dienstleistern abschließen
Wenn Ihr Pflegedienst mit Dienstleistern zusammenarbeitet und diese Einblicke in die Daten Ihrer Mitarbeiter oder Patienten erhalten, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dazu gehören insbesondere Softwareangebote, Software as a Service oder Hosting-Anbieter.
- Auf Betroffenenanfragen vorbereiten
Pflegedienste sollten ihre Angestellten auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Patienten, Angehörige, Ärzte, ehemalige Mitarbeiter oder Mitarbeiter, Dienstleister) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Dabei gibt es Fristen und formale Anforderungen zu beachten.
- Prozesse für den Umgang mit Datenschutzverletzungen etablieren
Datenpannen bzw. Datenschutzverletzungen müssen unverzüglich festgestellt und bewertet werden. Im Falle eines Risikos bleiben nur 72-Stunden, um die Aufsichtsbehörde zu informieren.
- Löschkonzept erstellen und umsetzen
Personenbezogene Daten dürfen nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Werden Daten über die Speicherfrist hinaus aufbewahrt, fehlt es an einer Rechtsgrundlage und es liegt ein Datenschutzverstoß vor.
Datenschutz in der Pflege – Wir unterstützen Sie!
Unsere Datenschutzberater führen zunächst eine Bestandsaufnahme in Ihrem Unternehmen durch, um zu prüfen, ob der Datenschutz im Pflegeheim oder Ihrer Pflegeeinrichtung bereits den Vorgaben der DSGVO entspricht. Wir unterstützen Sie bei der Erstellung der DSGVO-Dokumentation, überprüfen und optimieren datenschutzrelevante Prozesse und die Informationssicherheit in Ihrem Unternehmen, schulen Ihre Mitarbeiter und verpflichten sie zum Datenschutz.
FAQ Datenschutz Pflegedienst
Bei privat-rechtlicher Trägerschaft (z.B. GmbH, GmbH & Co. KG) gelten die europäische Datenschutz-Grundverordnung sowie die Ergänzungen und Konkretisierungen durch das Bundesdatenschutzgesetz.
Bei öffentlich-rechtlicher Trägerschaft (z.B. Landkreis, Stadt, Gemeinde oder sonstige Körperschaften des öffentl. Rechts) gelten die europäische Datenschutz-Grundverordnung, sowie die Ergänzungen und Konkretisierungen durch das baden-württembergische Landesdatenschutzgesetz.
Bei kirchlicher bzw. diakonischer Trägerschaft gilt für Einrichtungen der evangelischen Kirche das Kirchengesetz über den Datenschutz der evangelischen Kirche, für Einrichtungen der katholischen Kirche die Anordnung über den kirchlichen Datenschutz.
Für Pflegeeinrichtungen in öffentlich-rechtlicher Trägerschaft, also z.B. Pflegeeinrichtungen, welche z.B. von einer Stadt, Gemeinde oder einem Landkreis geführt werden, ist die Bestellung eines Datenschutzbeauftragten nach der DSGVO in jedem Fall verpflichtend (Art. 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung
Handelt es sich um eine privatrechtliche Trägerschaft ist ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit der Pflegeeinrichtung in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO besteht. Das ist immer dann der Fall, wenn der Pflegedienst im großen Stil Gesundheitsdaten verarbeitet.
Im Zusammenhang mit dem Abschluss eines Behandlungsvertrags dürfen Pflegeeinrichtungen Stammdaten wie den vollständigen Namen der betroffenen Person, ihr Geburtsdatum oder Angaben zur Kranken- und Pflegeversicherung erfragen. Grundsätzlich gilt, dass eine Pflegeeinrichtung nur solche personenbezogenen Daten erfragen darf, welche für die Erfüllung der im Behandlungsvertrag festgelegten Leistungen tatsächlich erforderlich sind. Entscheidend ist zunächst, welche Leistungen im Behandlungsvertrag zwischen Einrichtung und betroffener Person konkret vereinbart worden sind. Die Verarbeitung von Sozialdaten durch Pflegeeinrichtungen ist außerdem zulässig, wenn diese stattfindet, damit die Sozialleistungsträger bei Krankheit oder Pflegebedürftigkeit ihre gesetzlich bestimmten Aufgaben erfüllen können. Welche Daten die Pflegeeinrichtungen in diesem Zusammenhang verarbeiten dürfen, ergibt sich aus den spezialgesetzlichen Regelungen des Fünften und Elften Buches Sozialgesetzbuch.
Der betroffene Patient darf Einsicht in seine eigene Patientenakte nehmen. Das ergibt sich zum einen aus dem Auskunftsrecht nach Art. 15 DSGVO. Das Recht auf Einsichtnahme ergibt sich außerdem als zusätzlicher Anspruch aus dem Behandlungsvertrag (§ 630g Abs. 1 BGB).
Angehörige dürfen die Pflegedokumentation nur dann einsehen, wenn der betroffene Patient zuvor eingewilligt hat. Doch was geschieht, wenn der Betroffene bereits verstorben ist? Die DSGVO gilt nur für lebende Personen, aber die Schweigepflicht bleibt auch nach dem Tod bestehen, gemäß § 203 Abs. 5 StGB. In wenigen Ausnahmefällen gibt es jedoch eine Offenbarungsbefugnis, beispielsweise wenn ein Verwandter den Verdacht hat, an einer Erbkrankheit zu leiden, oder zur Durchsetzung der Erbberechtigung gemäß § 630g Abs. 3 BGB.
Nein, Sie dürfen der Pflegekasse nur Einsicht in einen bestimmten Teil der Dokumentation gewähren, nämlich in die Abrechnungsunterlagen (sogenannte Leistungsnachweise). In diesen Dokumenten erfassen Sie die von Ihnen erbrachten Leistungen in der gesetzlich vorgeschriebenen Weise (§ 105 SGB XI). Die Pflegeeinrichtungen sind als Leistungserbringer berechtigt und verpflichtet, der Pflegekasse die Abrechnungsunterlagen zu übermitteln, die für die Aufgaben der Pflegekasse erforderlich sind (§ 104 SGB XI).
Andere Bestandteile der Pflegedokumentation (Stammdaten, Pflegeanamnese/pflegerelevante Biographiedaten, Pflegeplanung, Pflegebericht) dürfen die Pflegeeinrichtungen der Pflegekasse nicht übermitteln. Auch die sonstigen Aufgaben der Pflegekasse, wie die Überwachung der Wirtschaftlichkeit und Qualität der Pflegeeinrichtungen, rechtfertigen nicht die Übermittlung der gesamten Pflegedokumentation.
Ja, das Fotografieren für die Anfertigung der Pflegedokumentation ist aufgrund eines gesetzlichen Erlaubnistatbestands zulässig. Einer separaten Einwilligung bedarf es nicht. Anhand der Pflegedokumentation muss der Pflegeverlauf der betroffenen Person dokumentiert werden. Des Weiteren dient die Pflegedokumentation als Grundlage für die Qualitätssicherung (§ 113 f. Elftes Sozialgesetzbuch (SGB ), § 12 Absatz 1 Nr. 6 Wohn-, Teilhabe- und Pflegegesetz). Eine Dokumentation mittels Fotos ist aufgrund der Vorgaben nicht ausgeschlossen. Sofern eine Dokumentation der Wunde durch eine Beschreibung in Textform im konkreten Fall nicht ausreicht, um die Dokumentationspflichten ausreichend und mit vertretbarem Aufwand zu erfüllen, ist die Anfertigung einer Fotografie von einer Wunde erforderlich und daher auch ohne Einwilligung der betroffenen Person zulässig.
Der Arbeitgeber ist dazu verpflichtet, die Arbeitszeiten in einem Dienstplan rechtzeitig bekannt zu geben. Betriebsintern dürfen Dienst- und Schichtpläne ausgehängt werden, um einen ordnungsgemäßen Betriebsablauf sicherzustellen. Nur so können sich das Pflegepersonal untereinander abstimmen und ggf. Schichten tauschen. Allerdings darf auf dem Plan nur das angegeben werden, was für einen ordnungsgemäßen Betriebsablauf erforderlich ist. Abwesenheitsgründe sind beispielsweise nicht erforderlich.