DSGVO und TI: Datenschutz-Pflichten für Pflegeeinrichtungen.

Mit der Anbindung an die Telematikinfrastruktur (TI) verarbeiten Pflegeeinrichtungen hochsensible Gesundheitsdaten auf digitalem Weg. Die Datenschutz-Grundverordnung (DSGVO) stellt dabei besonders strenge Anforderungen an den Umgang mit solchen besonderen Kategorien personenbezogener Daten. Doch welche Pflichten ergeben sich konkret aus der Kombination von DSGVO und TI-Nutzung? Dieser Artikel beleuchtet die spezifischen Datenschutzanforderungen, die Pflegedienste und Pflegeeinrichtungen kennen und umsetzen müssen, jenseits der allgemeinen DSGVO-Grundlagen.

Welche Gesundheitsdaten werden über die TI verarbeitet?

Die TI ist kein einzelnes System, sondern eine vernetzte Infrastruktur, über die verschiedene Fachanwendungen Gesundheitsdaten austauschen. Für Pflegeeinrichtungen sind dabei vor allem folgende Datenkategorien relevant:

• Elektronische Patientenakte (ePA): Diagnosen, Befunde, Medikationspläne Pflegedokumentationen,Pflegeanamnesen, Wunddokumentationen,Arztbriefe und weitere medizinische Unterlagen. Die ePA enthält umfassende Gesundheitsdaten, auf die berechtigte Leistungserbringer im Rahmen der Versorgung zugreifen können.
• KIM (Kommunikation im Medizinwesen): Verschlüsselte Nachrichten zwischen Leistungserbringern, die Patientendaten, Verordnungen oder Pflegeberichte enthalten können. (Arztbriefe, Überweisungen, Abrechnungsunterlagen etc.)
• E-Rezept: Elektronische Verordnungen, die Informationen über verordnete Medikamente und die behandelten Versicherten enthalten.
• Elektronischer Medikationsplan (eMP): Gesamtübersicht aller verordneten Arzneimittel, Dosierungen, Einnahmehinweise, Wirkstoffe, Wechselwirkungsrisiken, Durchführungsverantwortung etc.
• Notfalldatenmanagement (NFDM): Enthältkurzfristig nur die wichtigsten Notfalldaten, wie Notfalldiagnosen, Allergien und Unverträglichkeiten, Dauermedikation, Implantate sowie Kontaktdaten von Angehörigen. So können berechtigte Leistungserbringer im Ernstfallschnell auf lebenswichtige Informationen zugreifenund die Versorgung der Patientinnen und Patienten sicherstellen.
• Versichertenstammdaten(VSDM): Name, Geburtsdatum, Versicherungsstatus und Anschrift,die für Identifikation, Abrechnung und organisatorische Prozesse im Gesundheitswesen notwendig sind. Sie werden über dasVSDMzentral gepflegt und automatisch in der TI abgeglichen.

All diese Daten fallen unter die besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Ihre Verarbeitung unterliegt damit einem grundsätzlichen Verbot, das nur durch spezifische Rechtsgrundlagen aufgehoben wird.

Rechtsgrundlagen für die TI-Datenverarbeitung

Die rechtliche Grundlage für die Verarbeitung von Gesundheitsdaten über die TI ergibt sich aus einem Zusammenspiel mehrerer Rechtsvorschriften:

• § 291a SGB V bildet die zentrale sozialrechtliche Grundlage für die elektronische Gesundheitskarte und die darauf aufbauenden TI-Anwendungen. Hier ist geregelt, welche Daten gespeichert und verarbeitet werden dürfen.
• §§ 334–363 SGB V regeln die einzelnen TI-Anwendungen wie ePA, E-Rezept und KIM im Detail, einschließlich der Zugriffsberechtigungen und Datenschutzanforderungen.
• Art. 9 Abs. 2 lit. h DSGVO erlaubt die Verarbeitung von Gesundheitsdaten, wenn sie für die Gesundheitsversorgung erforderlich ist und auf Grundlage nationalen Rechts erfolgt, hier greift das SGB V.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) ist relevant, da die TI-Anbindung für Pflegeeinrichtungen gesetzlich vorgeschrieben ist.

Entscheidend ist: Die gesetzliche Pflicht zur TI-Anbindung entbindet Pflegeeinrichtungen nicht von der Verantwortung, die DSGVO-Anforderungen eigenständig umzusetzen. Die Einrichtung bleibt als Verantwortliche im Sinne der DSGVO für die ordnungsgemäße Datenverarbeitung zuständig.

Dokumentationspflichten für Pflegeeinrichtungen

Die DSGVO verlangt eine umfassende Dokumentation der Datenverarbeitungstätigkeiten. Im Kontext der TI bedeutet das konkret:

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)

Jede Pflegeeinrichtung muss ein Verarbeitungsverzeichnis führen, das sämtliche TI-bezogenen Verarbeitungstätigkeiten erfasst. Dazu gehören:

• Zugriff auf die ePA von Versicherten (Lesen und Schreiben von Dokumenten)
• Versand und Empfang von KIM-Nachrichten mit Patientenbezug
• Durchführung des Versichertenstammdatenmanagements
• Nutzung des E-Rezept-Dienstes (sofern relevant)
• Authentifizierung über SMC-B und eHBA-Karten
• Nutzung von Pflegedokumentationssoftware mit TI-Anbindung, Backup und Archivierung elektronischer Patientendaten sowie Rollen- und Zugriffsmanagement innerhalb der Einrichtung

Für jede dieser Tätigkeiten müssen Zweck, Rechtsgrundlage, betroffene Datenkategorien, Empfänger, Löschfristen und technisch-organisatorische Maßnahmen dokumentiert sein.

Datenschutz-Folgenabschätzung (DSFA)

Da über die TI systematisch Gesundheitsdaten verarbeitet werden, kann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Dies gilt insbesondere dann, wenn die Verarbeitung aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Die Aufsichtsbehörden haben die Verarbeitung von Gesundheitsdaten in großem Umfang ausdrücklich in ihre Positivlisten aufgenommen.

Weiterführende Informationen zu den technischen Sicherheitsmaßnahmen finden sich im Artikel Sicherheit und Datenschutz in der TI.

Datenschutzbeauftragter und Mitarbeiterschulung

Pflegeeinrichtungen, die Gesundheitsdaten über die TI verarbeiten, müssen in der Regel einen Datenschutzbeauftragten (DSB) benennen. Die Benennungspflicht ergibt sich aus zwei unabhängigen Grundlagen:

• Art. 37 Abs. 1 lit. c DSGVO: Ein DSB ist Pflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Was bei Pflegeeinrichtungen regelmäßig der Fall ist.
• § 38 BDSG: Ein DSB ist erforderlich, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Der DSB muss über nachweisbare Fachkunde im Bereich Gesundheitsdatenschutz verfügen und sollte mit den Besonderheiten der TI-Anwendungen vertraut sein. Gerade die ePA und KIM bringen spezifische datenschutzrechtliche Fragestellungen mit sich, die über das allgemeine DSGVO-Wissen hinausgehen.

Schulungspflichten für Mitarbeitende

Alle Mitarbeitenden, die mit TI-Anwendungen arbeiten, müssen regelmäßig zum Datenschutz geschult werden. Die Schulungen sollten TI-spezifische Inhalte umfassen:

• Korrekter Umgang mit der SMC-B und personenbezogenen Heilberufsausweisen
• Zugriffsbeschränkungen bei der ePA (Wer darf welche Dokumente einsehen?)
• Sichere Nutzung von KIM für den Versand sensibler Patientendaten
• Verhalten bei Datenschutzvorfällen im Zusammenhang mit TI-Komponenten
• Dokumentation der Schulungsteilnahme als Nachweis der Rechenschaftspflicht

Patienteninformation und Opt-out

Die ePA wird seit 2025 nach dem Opt-out-Verfahren bereitgestellt. Das bedeutet: Jeder gesetzlich Versicherte erhält automatisch eine ePA, sofern nicht aktiv widersprochen wird. Für Pflegeeinrichtungen ergeben sich daraus spezifische Informationspflichten:

• Pflegebedürftige bzw. deren gesetzliche Vertreter müssen darüber informiert werden, dass die Einrichtung auf die ePA zugreift und welche Daten dabei verarbeitet werden.
• Versicherte haben das Recht, den Zugriff für einzelne Leistungserbringer oder Leistungserbringergruppen einzuschränken oder ganz zu sperren. Pflegeeinrichtungen müssen diese Entscheidung respektieren und dokumentieren.
• Die Informationspflichten nach Art. 13 und 14 DSGVO müssen erfüllt werden, idealerweise durch ein spezielles Datenschutz-Informationsblatt zur TI-Nutzung.

Meldepflicht bei Datenschutzverletzungen

Kommt es zu einer Datenschutzverletzung im Zusammenhang mit der TI, etwa durch unbefugten Zugriff auf die ePA, Verlust einer SMC-B-Karte oder fehlgeleitete KIM-Nachrichten, greift die Meldepflicht nach Art. 33 DSGVO. Die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden informiert werden, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Bei hohem Risiko sind auch die betroffenen Versicherten gemäß Art. 34 DSGVO zu benachrichtigen. Ein interner Prozess für die Erkennung und Meldung solcher Vorfälle sollte vorab klar definiert und allen Mitarbeitenden bekannt sein.

Häufige Fragen zu DSGVO und TI

Die Verbindung von DSGVO und TI stellt Pflegeeinrichtungen vor Anforderungen, die weit über die allgemeine Datenschutzpraxis hinausgehen. Entscheidend ist, die TI-spezifischen Verarbeitungstätigkeiten sauber zu dokumentieren, einen fachkundigen Datenschutzbeauftragten einzubinden und die Mitarbeitenden gezielt zu schulen. Wer diese Grundlagen systematisch umsetzt, schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen der Pflegebedürftigen und ihrer Angehörigen in den verantwortungsvollen Umgang mit ihren Gesundheitsdaten.