Datenschutz im Krankenhaus: Was Verantwortliche jetzt wissen müssen

Die tägliche Arbeit mit sensiblen Patientendaten erfordert eine geschulte und aufmerksame Herangehensweise. Entwicklungen der digitalen Patientenakte sollten als Chance verstanden werden, Einrichtungen für die Zukunft abzusichern.

Wie wichtige Anforderungen des neuen digitalen Krankenhausalltags im Hinblick auf die Datensicherheit in IT und Management aussehen und umgesetzt werden, zeigen wir hier.

Die Patientenakte im Fokus: Digital vs. Analog

Grundlagen Datenschutz der Patientenakte: Als strukturierte Ansammlung personenbezogener Informationen umfasst die Patientenakte Daten, die im Rahmen von Diagnostik, Behandlung, Pflege und Abrechnung erhoben werden. Die Patientenakte soll die Sicherstellung der fachgerechten und lückenlosen Versorgung erleichtern.

Anforderungen an den Datenschutz der Patientenakte müssen unabhängig von der digitalen oder analogen Form eingehalten werden. Dazu gehören Vorgaben der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Sozialgesetzbuchs (SGB V und SGB X).

Es gelten die Grundprinzipien: Vertraulichkeit, Zweckbindung, Datenminimierung und Zugriffsbeschränkung (Art. 5 DSGVO).

Analoge Patientenakten

Analoge Patientenakten sind Papierakten, Formulare und Vordrucke, Aufzeichnungen, Bildmedien und Protokolle in physischer Form. Die analogen Medien erfordern physische Verwaltungsprozesse und müssen sicher unter Verschluss aufbewahrt werden.

Die Arbeit mit der analogen Patientenakte erfordert gesicherte physische Lagerflächen sowie manuelle Arbeit. Der Aufwand für die Prüfung und die Vernichtung nach Ablauf der Aufbewahrungsfrist ist groß.

Digitale Patientenakten

Der Umgang mit digitalen Informationen spart Zeit und ist im Alltag bedeutend einfacher als das physische Management. Von zentraler Bedeutung ist dabei, dass ein den Datenschutzanforderungen angemessenes Umfeld und passende technische Maßnahmen gefunden werden.

Technische Maßnahmen sind die Zugriffskontrollen, Verschlüsselung, Protokollierung sowie klare Rollen- und Rechtekonzepte.

Merke: Digital bedeutet nicht automatisch sicher – mit einem sauberen Berechtigungsmanagement gelingt die Mission Datenschutz Patientenakte.

Zugriffskontrolle: Wer darf was sehen?

Im digitalen Netzwerk eines Krankenhauses gilt konsequent das Need-to-know-Prinzip. Ärztliches Personal, Pflegekräfte und Verwaltung dürfen nur auf Daten zugreifen, die sie für ihre konkrete Aufgabe benötigen. Fehlende oder zu großzügige Berechtigungen führten in der Vergangenheit bereits zu empfindlichen Geldstrafen in Millionenhöhe.

Aufbewahrungsfristen und Löschung

Nach Ablauf der gesetzlichen Fristen müssen Patientendaten gelöscht oder vernichtet werden. Die DSGVO verlangt ausdrücklich eine Speicherbegrenzung – Daten dürfen nicht „auf Vorrat“ behalten werden (Art. 5 DSGVO). Kliniken benötigen daher ein dokumentiertes Lösch- und Archivierungskonzept, welches durch digitale Funktionen abgesichert und durch Audits belegt werden kann.

Besonderheit: Elektronische Patientenakte (ePA) und Telematikinfrastruktur

Mit der elektronischen Patientenakte (ePA) gewinnt Datenschutz im Krankenhaus weiter an Bedeutung. Seit 2025 gilt die ePA für alle gesetzlich Versicherten im Opt-out-Verfahren.

Krankenhäuser greifen über die Telematikinfrastruktur (TI) auf die ePA zu. Die Daten sind Ende-zu-Ende verschlüsselt, Zugriffe erfolgen nur mit ausdrücklicher Freigabe durch die Patienten. Prozesse, Schulungen und Zugriffskonzepte müssen ePA-fähig und DSGVO-konform sein.

Kernaspekte des Datenschutzes im Klinikalltag

Datenschutzmaßnahmen enden nicht bei der Patientenakte. Datenschutz im Krankenhaus ist eine Voraussetzung für die Abwehr von Cyberattacken, für die Patientensicherheit, einen stabilen Klinikbetrieb und das Vertrauen der Patienten.

KRITIS-relevante Krankenhäuser müssen auf Sicherheitsvorfälle vorbereitet sein und nach speziellen Vorgaben geschützt werden. Nach dem BSI-Gesetz sind erhebliche IT-Störungen meldepflichtig. Die medizinische Versorgung muss im Fall von Cyberangriffen oder Systemausfällen fortgeführt werden können.

Weitere zentrale Punkte des Datenschutzes im Krankenhaus sind:

  • Rechtsgrundlagen & Einwilligung: Behandlung ist gesetzlich erlaubt, zusätzliche Nutzungen (z. B. Forschung) erfordern Einwilligung (Art. 9 DSGVO). Datenschutz-Folgenabschätzung (DPIA) kann erforderlich sein.
  • Schweigepflicht: § 203 StGB ergänzt die DSGVO – Verstöße können strafrechtliche Folgen haben.
  • Betroffenenrechte der Patienten:Patienten müssen Rechte nach Art. 12–22 DSGVO ausüben können.
  • Privacy by Design und Privacy by Default mit Art. 25 DSGVO: Bei der Einführung neuer IT-Systeme müssen Datenschutzanforderungen bereits in der Planungsphase berücksichtigt werden.
  • Technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Patch-Management, Backups, physische Sicherheit (Art. 32 DSGVO).
  • KRITIS & NIS-2: KRITIS-Kliniken unterliegen erhöhten IT-Sicherheitsanforderungen.
  • Governance und Lieferkettenrisiken: Drittanbieter und Cloud-Dienste sind systematisch zu prüfen.

Häufige Fehlerquellen und Fallbeispiele

Verstöße gegen zentrale Datenschutzpflichten können mit Bußgeldern bis zu 4 % des weltweiten Jahresumsatzes geahndet werden.

Typische Datenschutzverstöße im Krankenhaus entstehen nicht nur durch Hacker, sondern durch Alltagspannen:

  • Ungeeignete (zu breite) Zugriffsrechte ohne Rollenmodell
  • Fehlende Protokollierung von Zugriffen
  • Falsch versendete Arztbriefe oder Rechnungen
  • Unverschlüsselte mobile Geräte
  • Unzureichende Mitarbeiterschulungen
  • Fehlende oder verspätete Sperrung von Benutzerkonten

Solche Fehler führten bereits zu empfindlichen Bußgeldern. Fallbeispiele für Bußgelder aufgrund von Verstößen gegen den Datenschutz:

  • Im Jahr 2018 musste ein Krankenhaus in Portugal ein Bußgeld von 400.000 EUR zahlen, weil Datenschutzbestimmungen verletzt wurden. Der Großteil der Strafe wurde für fehlende Zugriffsbeschränkungen verhängt – der Vorfall wird europaweit als erste substanzielle Geldstrafe gewertet.
  • 2019 verhängte die Landesdatenschutzbehörde gegen ein Krankenhaus in Rheinland-Pfalz ein Bußgeld in Höhe von 105.000 Euro, nachdem es im Rahmen der Patientenaufnahme zu einer Verwechslung gekommen war. Der LfDI ahndete Verstöße gegen die DSGVO und technische/organisatorische Defizite beim Patientenmanagement.
  • Die österreichische Datenschutzbehörde verhängte im Jahr 2019 gegen einen Verantwortlichen im medizinischen Sektor ein Bußgeld von 55 000 Euro, weil kein Datenschutzbeauftragter bestellt wurde, Informationspflichten verletzt wurden und keine Risikoabschätzung (DPIA) bei sensiblen Daten erfolgte, wie das European Data Protection Board berichtete.

Cyberangriffe & Ransomware

Neben organisatorischen Fehlern stellen gezielte Cyberangriffe – insbesondere Ransomware – eine wachsende Bedrohung für Krankenhäuser dar. Angriffe können Datenschutzverletzungen verursachen und die medizinische Versorgung erheblich beeinträchtigen. Präventive und reaktive Maßnahmen müssen daher auch externe Bedrohungsszenarien berücksichtigen.

IAM – Das technische Herzstück des Klinik-Datenschutzes

Ein zentrales Element für wirksamen Datenschutz im Krankenhaus ist ein professionelles Identity & Access Management (IAM). IAM steuert, wer, wann und aus welchem Grund auf Daten zugreifen darf.

Moderne IAM-Lösungen ermöglichen:

  • Feingranulierte Rollen- und Rechtevergabe
  • Multi-Faktor-Authentifizierung (MFA)
  • Single Sign-On (SSO) für Kliniksysteme
  • Applikations- & Medizingerätesicherheit (OWASP / IoT)
  • Lückenlose Protokollierung und Audits

Einzelmaßnahmen wie IAM und Zugriffskontrollen sind wichtige Bestandteile eines ganzheitlichen ISMS. Standards wie ISO 27001 oder ISO 27799 sind Regelwerke, um Risiken systematisch zu identifizieren, Maßnahmen zu priorisieren und deren Wirksamkeit regelmäßig zu überprüfen.

Checkliste: So sichern Sie Ihr Krankenhaus ab

Viele technische und organisatorische Maßnahmen sind im Rahmen des Krankenhauszukunftsgesetzes (KHZG) förderfähig. Gemeinsam mit Datenschutzbeauftragten wird der Ist-Zustand der Einrichtung ermittelt und in den aus KRITIS, DSGVO und weiteren relevanten Bestimmungen erwachsenen Sollzustand geführt.

Kurzüberblick für Verantwortliche:

  • Bestellung eines Datenschutzbeauftragten
  • Rollen- und Berechtigungskonzepte konsequent umsetzen
  • “Privacy by Design” bei Implementierung neuer Systeme
  • Datenschutz Patientenakte für analog & digital einheitlich regeln
  • IAM mit MFA und Protokollierung einführen
  • Mitarbeiter regelmäßig schulen
  • Aufbewahrungs- und Löschkonzepte dokumentieren
  • ePA- und TI-Prozesse datenschutzkonform integrieren
  • Datenschutzvorfälle binnen 72 Stunden melden (Art. 33 DSGVO)
  • Regelmäßige Audits

In einer maßgeschneiderten Roadmap wird anhand einer Vorgehensweise für den Schutz von Patientendaten entwickelt, die für den Status quo aktueller Sicherheitsvorgaben notwendig sind.

Datenschutz im Krankenhaus ist gelebte Aufgabe

Datenschutz im Krankenhaus ist kein reines IT-Thema, sondern eine Managementaufgabe. Wer Krankenhaus Datenschutz strategisch angeht, klare Prozesse etabliert und moderne Technologien wie IAM nutzt, schützt nicht nur Patientendaten, sondern auch die eigene Organisation. Datenschutz schafft Vertrauen – und ist damit ein entscheidender Qualitätsfaktor im Gesundheitswesen.