Wer im Gesundheitswesen für Datenschutz zuständig ist, arbeitet dauerhaft mit den heikelsten Informationen überhaupt: den "besonderen Kategorien personenbezogener Daten" nach Art. 9 der DSGVO. In Episode 163 spricht Gästin Daniela Will darüber, wie sie diese Aufgabe bewältigt. Sie leitet die Stabsstelle Datenschutz der Münchnen Klinik gGmbH, einem der größten kommunalen Klinikverbünde Deutschlands mit fünf Häusern und rund 8000 Beschäftigten. Ihr Credo: konsequent risikoorientiert arbeiten, "first things first".
Bevor es ans Kernthema geht, nehmen sich Holger, Joerg und Daniela die aktuellen Reformpläne der Bundesregierung vor. Kleine und mittlere Unternehmen sowie Vereine sollen nach dem Willen der Regierung deutlich weniger Datenschutzpflichten erfüllen müssen. Auch die Pflicht zu betrieblichen Datenschutzbeauftragten soll in vielen Fällen fallen. Daniela hält das für den falschen Weg. Das eigentliche Problem kleiner Unternehmen liege oft nicht im Datenschutz selbst, sondern in ihrer schwachen Position gegenüber großen IT-Anbietern wie Microsoft, SAP oder Workday. Hier brauche es klare Regeln für die Anbieter, nicht weniger Schutz für Betroffene.
Scharf kritisiert die Runde auch Pläne, das Informationsfreiheitsrecht im Bund einzuschränken. Anfragen an Behörden könnten künftig nur noch natürlichen Personen mit besonderem Interesse offenstehen. Vereine, NGOs und möglicherweise auch Medien würden wohl vom Recht ausgeschlossen. Zudem könnten die bislang gedeckelten Kosten für Anfragen exorbitant steigen. Holger, Joerg und Daniela sehen darin ein fatales Signal: Gerade in Zeiten sinkenden Vertrauens in Politik und Verwaltung müsse der Staat transparenter werden, nicht verschlossener.
Das Bußgeld der Woche kommt aus Frankreich: Fünf Millionen Euro musste ein Marktforschungsunternehmen zahlen, das Daten aus 14.000 Apotheken als "anonym" ausgab, obwohl Geburtsjahr, Geschlecht, Diagnose und Symptome eine Reidentifizierung leicht ermöglichten. Für die Runde ein Musterbeispiel dafür, wie fahrlässig mit dem Unterschied zwischen Pseudonymität und Anonymität umgegangen wird.
Im Hauptteil geht es um den Umgang mit Artikel-9-Daten. Daniela schildert für Joerg überraschend Pragmatisches: Im Klinikalltag reicht ihr Art. 9 Abs. 2 als Rechtsgrundlage für fast alle Behandlungen aus, kombiniert mit dem Behandlungsvertrag. Einwilligungen braucht sie nur in wenigen Fällen, etwa bei der Weitergabe an Hausärzte oder für Forschungsstudien.
Als Segen bezeichnet sie das neue Gesundheitsdatennutzungsgesetz, das die interne Auswertung vorhandener Daten zur Qualitäts- und Patientensicherheit erleichtere. Beim europäischen Gesundheitsdatenraum (EHDS) und der elektronischen Patientenakte (ePa) hake es dagegen weiter: Daten werden bislang meist nur als unstrukturierte Dokumente übergeben, echte Interoperabilität ist noch Zukunftsmusik.
Besonders anspruchsvoll sind Auskunftsbegehren zu medizinischen Daten. Daniela muss jede Anfrage inhaltlich prüfen, damit etwa frische, schwerwiegende Diagnosen nicht ungefiltert herausgehen, sondern zuerst ärztlich begleitet werden. Heikel wird es bei Minderjährigen und in Sorgerechtsstreitigkeiten, wo Auskunftsrechte oft als Kontrollinstrument missbraucht werden. Danielas Fazit: Datenschutz in der Klinik funktioniert nur mit Augenmaß, Erfahrung und enger Zusammenarbeit zwischen Medizin, IT und Verwaltung.