Der Ausschuss Qualitätssicherung informiert
In regelmäßiger Folge möchte der Ausschuss Qualitätssicherung im Ärzteblatt Sachsen-Anhalt auf sicherheitsrelevante Ereignisse hinweisen, die dem interprofessionellen und interdisziplinären Lernen dienen.
Berichtet wird in einem Fall des Krankenhaus-CIRS-Netzes Deutschland aus dem Jahr 2021 über das Risiko des Datenschutzmissbrauchs bei Nutzung von Messenger-Diensten im Krankenhaus (https://www.kh-cirs.de/faelle/dezember21.pdf).
Was ist passiert?
Anlässlich eines Krankenhausaufenthaltes sollten im Rahmen der Diagnosestellung Patientendaten und Befunde per Whats-App zur Absicherung der Befundung nach erfolgter Untersuchung an einen Kollegen geschickt werden. Dies bietet jedoch das Risiko des Datenschutzmissbrauchs.
Einschätzung:
Messenger-Dienste haben für den Austausch von Nachrichten enorm an Bedeutung gewonnen und erfreuen sich großer Beliebtheit. Aus dem privaten Alltag sind sie kaum mehr wegzudenken. Auch im Krankenhausbereich kann die Verwendung von Messenger-Diensten zu verbesserten Kommunikationsprozessen führen. Sofern innerhalb eines Krankenhauses über Patienten gesprochen werden darf, schließt dies auch eine Kommunikation über technische Hilfsmittel ein, da die datenschutzrechtlichen Regelungen hier keine Unterscheidung vornehmen. Sichergestellt sein muss allerdings, dass die technische Kommunikation entsprechende Sicherheitsstandards erfüllt. Hinsichtlich der Kommunikation über Messenger-Dienste, also der Übermittlung von Patientendaten auf diesem Wege, bestehen insofern datenschutzrechtlich keine Besonderheiten im Gegensatz zu einer Kommunikation via Telefon oder eines persönlichen Gespräches, etwa zwischen Ärzten, ggf. auch unterschiedlicher Abteilungen.
Grundsätzlich ist jedoch Folgendes zu beachten: Nach datenschutzrechtlichen Vorgaben dürfen Verarbeitungen (also Übermittlungen, Übertragungen usw.) sensibler Daten nur dann erfolgen, sofern eine gesetzliche Grundlage (z. B. die DS-GVO, das BDSG, das SGB V o. ä.) dies erlaubt oder der Patient eingewilligt hat. Zu bedenken ist in diesem Zusammenhang, dass sämtliche behandlungsbezogene Daten wie Krankenblätter, Arztbriefe, Laborbefunde, Fotos von Patienten usw. geschützt sind. Eine gesetzliche Grundlage für die Übermittlung von Daten innerhalb des Krankenhauses über die Grenzen einzelner Stationen/Abteilungen hinweg stellt Art. 9 Abs. 2h, Abs. 3 (Abs. 4) DS-GVO (ggf. i.V.m. entsprechenden landesrechtlichen Regelungen)/§ 13 Abs. 2 Nr. 8, Abs. 3 DSG-EKD/ § 11 Abs. 2 h, Abs. 3, Abs. 4 KDG dar. Danach dürfen Gespräche zwischen Ärzten oder Übermittlungen/Übertragungen z. B. an Ärzte oder Therapeuten anderer Stationen erfolgen, sofern sie einer gemeinsamen Behandlung (ggf. im Team) bzw. einer gemeinsamen Versorgung der Patienten dienen. Allerdings sind bei dem Einsatz von Messenger-Diensten in Krankenhäusern zahlreiche rechtliche wie technische Vorkehrungen zu treffen, um eine rechtssichere Nutzung zu ermöglichen. Insofern empfiehlt es sich für Krankenhausträger insbesondere, einen Messenger-Dienst sorgfältig auszuwählen, der den datenschutzrechtlichen Anforderungen gerecht wird und eine betriebliche Nutzung für den gewählten Verwendungszweck erlaubt. Daneben gilt es, den Arbeitnehmern, die diesen Dienst nutzen, klare Regelungen vorzugeben, wie der Dienst im dienstlichen Bereich zu nutzen ist, auf welchen Geräten er genutzt werden darf, mit wem kommuniziert werden darf (nur innerhalb des Krankenhauses oder auch nach außen?), wie mit ausgetauschten Nachrichten zu verfahren ist (z. B. Speicherung, Dauer, Löschung) usw. (Hinsichtlich weiterer Hinweise wird auf folgende ausführliche Veröffentlichungen verwiesen: Recht & Praxis-Beitrag „Nutzung von Messenger-Diensten im Krankenhaus“, Das Krankenhaus, Heft 6/2020, Seite 504 ff.; „Nutzung von Messenger-Diensten im Krankenhaus – Musterformulare der Deutschen Krankenhausgesellschaft, Stand: 1. September 2020“, Das Krankenhaus, Heft 10/2020, Seite 918 ff.)
Zur Frage, welche technischen Anforderungen zu beachten sind, ist auf die Veröffentlichung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) „Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich” mit Stand vom 29.04.2021 zu verweisen.
(https://datenschutzkonferenz-online.de/media/st/20210429_DSK_Stellungnahme_Messengerdienste_Krankenhausbereich.pdf)
Ergänzend dazu wurde auf der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29. April 2021 folgende Stellungnahme abgegeben: „Insbesondere der verbreitet genutzte Dienst WhatsApp führt bei einer geschäftlichen Nutzung zu einer Reihe von Problemen, die einen Einsatz im Krankenhaus weitgehend ausschließen. Ähnliches gilt für andere im privaten Bereich häufig genutzte Dienste.“
