Datenschutzprüfung in Pflegeeinrichtungen

Die LDI NRW unterzieht Pflegeeinrichtungen einer gründlichen Datenschutzkontrolle: Nach zahlreichen Beschwerden über unbefugte Weitergabe sensibler Gesundheitsdaten startete die Behörde eine breit angelegte Prüfung.

Wiederholte Beschwerden als Auslöser

Die Prüfung durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) geht auf eine Vielzahl von Beschwerden zurück. Bemängelt worden seien unter anderem die über Bewohner an externe Stellen. Dabei ginge es nicht nur um Angaben zur gesundheitlichen Situation, sondern auch um Mitteilungen zu finanziellen Verhältnissen oder sogar zu Todesfällen. Gerade sind besonders schützenswert und dürfen nach der Datenschutzgrundverordnung (DSGVO) nur unter strengen Voraussetzungen verarbeitet und weitergegeben werden.

Als zusätzlichen Risikofaktor benennt die Behörde die hohe Personalfluktuation im Pflegebereich. Häufig wechselndes Personal erschwere es Einrichtungen, konsistent umzusetzen. Neue Mitarbeitende würden nicht immer rechtzeitig oder hinreichend geschult. Die Aufsichtsbehörde vermutet daher grundlegende Mängel in der internen Sensibilisierung und will genau dort ansetzen.

Datenschutzrechtliche Relevanz

Um die Tragweite und Bedeutung der Prüfung zu verstehen, lohnt ein Blick auf zentrale Begriffe. Personenbezogene Daten sind nach der DSGVO geschützt und es handelt sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Im Pflegekontext können das etwa Name, Adresse oder Angaben zu Zahlungsverpflichtungen sein. 

Gesundheitsdaten gelten nach Art. 9 DSGVO als besondere Kategorie personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche gesetzliche Grundlage oder eine Einwilligung vor. Eine Datenverarbeitung umfasst dabei jeden Umgang mit Daten, von der Erhebung über die Speicherung bis zur Weitergabe. Auch Daten aus der neuen gehören hierzu.

Gerade weil Gesundheitsdaten besonders schutzwürdig sind, müssen Pflege- und Gesundheitseinrichtungen ein hohes Sicherheitsniveau gewährleisten. Verstöße können nicht nur Bußgelder nach sich ziehen, sondern auch das Vertrauen von Bewohnern und deren Angehörigen dauerhaft beschädigen.

Schwerpunkte der Prüfung: Schulungen und Datenschutzkonzepte

Im Rahmen der Prüfung sind laut der Pressemitteilung der LDI NRW zahlreiche Betreiber von Pflegeeinrichtungen unterschiedlicher Größe in NRW aufgefordert worden, detaillierte Fragebögen auszufüllen. Es ginge vor allem um die bestehenden Datenschutzkonzepte und die Praxis der Mitarbeiterschulungen. Im Fokus stünde die Frage, ob es sich lediglich um formale Vorgaben handelt oder ob tatsächlich ein lebendiges Datenschutzmanagement besteht. Nach Finalisierung der Prüfung soll eine abschließende Auswertung veröffentlicht werden.

Die LDI NRW betont, dass Datenschutzschulungen kein einmaliger Akt seien, sondern ein kontinuierlicher Prozess. Angesichts der hohen Personalfluktuation im Pflegebereich seien Schulungskonzepte so anzulegen, dass neue Mitarbeitende unverzüglich eingebunden werden und vorhandene Teams regelmäßige Auffrischungen erhalten. Dies könne durch Präsenzveranstaltungen, digitale Lernangebote oder begleitende Informationsmaterialien erfolgen. Entscheidend ist aus Sicht der Aufsicht, dass Maßnahmen dokumentiert und auf ihre Wirksamkeit überprüft werden. 

Relevanz für die gesamte Gesundheitsbranche

Auch wenn die aktuelle Prüfung speziell Pflegeeinrichtungen betrifft, ist ihre Signalwirkung für das gesamte Gesundheitswesen unübersehbar. Auch in Arztpraxen, Kliniken, Physiotherapiepraxen oder anderen medizinischen Einrichtungen wird mit denselben besonders schützenswerten Daten gearbeitet. Personalwechsel, unzureichende Schulungen oder fehlende Datenschutzkonzepte sind dabei keine Probleme, die auf Pflegeheime beschränkt sind.

Gerade die Ärzteschaft sollte die Initiative der LDI NRW zum Anlass nehmen, ihre eigenen kritisch zu prüfen. Denn auch hier gilt, dass ein Verstoß gegen die DSGVO weitreichende Folgen haben kann, die von Bußgeldern über Schadensersatzansprüche bis hin zu einem erheblichen Reputationsschaden reichen können. Zugleich ist Datenschutz im Gesundheitswesen eng mit der ärztlichen Schweigepflicht verknüpft, sodass Verstöße auch berufsrechtliche Konsequenzen haben können.

Deshalb empfiehlt es sich, bereits jetzt eine Bestandsaufnahme der eigenen Datenschutzpraxis vorzunehmen. Dazu gehört die Überprüfung der bestehenden Schulungskonzepte ebenso wie die Bewertung der internen Prozesse zum Umgang mit Daten. Insbesondere eine unbefugte sollte unbedingt verhindert werden. Das besondere Risiko liegt hierbei an der Vielzahl von Schnittstellen mit externen Dienstleistern, wie beispielsweise auch Cloud-Diensten und Angehörigen. 

Fazit

Die Initiative der LDI NRW zeigt deutlich, dass Datenschutz im Gesundheits- und Pflegebereich kein Randthema ist, sondern eine Kernaufgabe. Betreiber von Pflegeeinrichtungen und andere Akteure im Gesundheitswesen sind gefordert, ihre Datenschutzkonzepte nicht nur vorzuhalten, sondern aktiv zu leben. Kontinuierliche Schulungen, überprüfbare Prozesse und eine klare Dokumentation sind unverzichtbar, um den besonderen Schutzanforderungen von Gesundheitsdaten gerecht zu werden. Werden diese Maßnahmen vernachlässigt, drohen nicht nur rechtliche Sanktionen, sondern auch ein nachhaltiger Vertrauensverlust in unser Gesundheitssystem.

Wichtige Punkte im Überblick:

KI_Logo_DE_PNG.png

 ist eine seit 15 Jahren auf Datenschutz spezialisierte Kanzlei und gehört deutschlandweit zu den Top 5 in diesem Rechtsgebiet. KINAST berät national wie international agierende Unternehmen und Organisationen aller Größen und Branchen. Insbesondere bieten sie auch spezifische Datenschutzlösungen für den Gesundheitsbereich. Zu ihren Mandanten gehören Ärztekammern und Kassenverbände sowie diverse Kliniken, Praxen und MVZs.