Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Risikomanagement im Krankenhaus: So gehen Sie den Datenschutz an

0 Beurteilungen
Urheber: Robert Kneschke | Fotolia

Von Wolfram von Gagern,

Das Thema Risikomanagementsysteme spielt in vielen Bereichen eine immer größere Rolle, vor allem auch im Gesundheitswesen. Und betrifft natürlich auch den Datenschutzbeauftragten.

Frage: Als externer Datenschutzbeauftragter möchte ich meinen Kundenkreis erweitern und habe mich auch um die Beratung von Unternehmen im Gesundheitssektor bemüht. Beim Gespräch mit der Leitung eines Krankenhauses kam die Sprache auf ein Risikomanagementsystem.

Man möchte CIRS (Critical Incident Reporting System) einführen und kann sich dabei vorstellen, dass man auf meine Dienstleistungen zurückgreifen möchte. Ich habe mir nichts anmerken lassen, aber mit CIRS kann ich nicht wirklich viel anfangen. Worauf muss man hier unter Datenschutzaspekten achten?

Antwort: Festlegungen zu einem solchen Risikomanagementsystem finden Sie in § 5 der „Vereinbarung gemäß § 137 Abs. 1 Satz 3 Nr. 1 Sozialgesetzbuch (SGB) V über die grundsätzlichen Anforderungen an ein einrichtungsinternes Qualitätsmanagement für nach § 108 SGB V zugelassene Krankenhäuser“, der sogenannten Qualitätsmanagement-Richtlinie Krankenhäuser.

Besteht ein Betriebsrat, wird dieser ein Mitbestimmungsrecht aus § 87 Betriebsverfassungsgesetz (BetrVG) haben. Ein solches Risikomanagementsystem besteht vor allem in einem Meldesystem, bei dem Informationsgeber anonym Missstände und Verfehlungen melden können. Insofern ist ein solches System auch mit den sogenannten Whistleblowing-Systemen vergleichbar.

Bei einem Entwurf einer Betriebsvereinbarung können Sie sich an Vereinbarungen zu solchen Hinweisgebersystemen orientieren. Diese finden Sie zahlreich im Internet, wenn Sie nach den entsprechenden Schlagwörtern suchen. Zum Thema Datenschutz sind die folgenden Punkte wichtig:

Je anonymer, desto weniger Datenschutzrelevanz

Es hängt von den Umständen, der Art und dem Umfang der Datenverarbeitung des geplanten Systems ab, welche Rahmenbedingungen von besonderer Bedeutung sind. Hier kann es sich um ein einfaches anonymes Meldesystem handeln, welches keine bis wenig Datenschutzrelevanz hat. Sind jedoch personenbezogene Daten enthalten, muss genauer hingeschaut werden.

Im Übrigen können mit einem solchen System auch Daten für Externe (z. B. Support, Wartung, Anwälte) bereitgestellt werden, sodass besondere Datenschutzfragen zu klären sind (z. B. § 11 Bundesdatenschutzgesetz (BDSG)). Um diese Fragen beurteilen zu können, brauchen Sie eine umfassende Beschreibung vom System und dessen Funktionsweise.

Anzeige

Betriebsvereinbarung als Rechtsgrundlage

Generell bedarf es für die erhobenen, verarbeiteten und genutzten Daten einer Rechtsgrundlage. Diese kann etwa in § 28, § 32 oder § 4a (Einwilligung) BDSG zu finden sein. Doch gerade im betrieblichen Bereich wird man häufig auf die Betriebsvereinbarung setzen. Die Rechtsgrundlage für diese Vereinbarung ergibt sich aus § 87 Abs. 1 Nr. 6 BetrVG.

Sozialdatenschutz beachten

Im Hinblick auf den Einsatz eines solchen Systems im Gesundheitswesen kommt noch hinzu, dass die Bestimmungen zum Sozialdatenschutz aus den SGB vorrangig umzusetzen sind, wenn entsprechende Daten (z. B. Informationen über Patienten) betroffen sind.

Prinzip der Datensparsamkeit gilt

Bei der Ausgestaltung ist insbesondere auf den Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG, § 78b SGB X) zu achten. Das dort zum Ausdruck kommende Minimalprinzip ist auch im Hinblick auf die Berechtigungsstrukturen zu beachten, wenn es darum geht, wer wann Zugriff auf welche Daten und Auswertungen hat.

Möglichst mit anonymen Daten arbeiten

Datenschutzrechtlich ist stets zu prüfen, inwieweit auch mit anonymen oder anonymisierten Daten gearbeitet werden kann. Bei anonymen Daten sind die Anforderungen des BDSG und anderer Datenschutzvorschriften unbeachtlich, das gilt insbesondere auch für die Frage nach der Löschung oder Sperrung der Daten (§ 35 BDSG). Bei personenbezogenen Daten ebenfalls von besonderer Bedeutung: die Umsetzung der Rechte des Betroffenen aus § 6 BDSG.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Einsatzfertige PowerPoint Präsentation zur Schulung Ihrer Mitarbeiter

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte