Ihre Vorteile
-
Spezialwissen im GesundheitsdatenschutzIm Umgang mit besonders schützenswerten Daten verfügen wir über tiefe Rechtskenntnis der hohen gesetzlichen Anforderungen.
-
Langjährige Branchenkenntnis
Wir haben Erfahrung in der Beratung von Krankenhäuser, Arztpraxen, medizinische Versorgungszentren, Pharmaunternehmen, Forschungsinstitute, Apotheken, Krankenkassen.
-
Bundesweit tätig
Wir sind ganz in Ihrer Nähe mit unseren Standorten in Hamburg, Berlin, Köln, Stuttgart und München.
Rechtssicherer Umgang mit Patientendaten
Unabhängig ob Krankenhäuser, Arztpraxen, medizinische Versorgungszentren, Pharmaunternehmen, Forschungsinstitute, Apotheken oder Krankenkassen: Im Gesundheitswesen liegt es in der Natur der Sache, dass eine umfangreiche Menge an Gesundheitsdaten verarbeitet werden. Da Gesundheitsdaten zudem äußerst sensible Informationen darstellen, genießen sie beim Datenschutz im Gesundheitswesen ein höheres Schutzniveau. Sie werden daher durch den Gesetzgeber als besondere Kategorien personenbezogener Daten eingestuft, deren Verarbeitung im Vergleich zu gewöhnlichen personenbezogenen Daten weitaus strengeren Regeln unterliegt. Durch die EU-Datenschutz-Grundverordnung (DSGVO) sind die gesetzlichen Anforderungen im Gesundheitswesen an die Verarbeitung von Patienten- bzw. Gesundheitsdaten auch über Ländergrenzen hinaus angestiegen.
Beim Datenschutz im Gesundheitswesen sind neben der Datenschutz-Grundverordnung zahlreiche Spezialregelungen zu beachten. Die Öffnungsklauseln der DSGVO erfordern die Beachtung zusätzlicher bundes- und landesspezifischer Gesetze. Dies können zum Beispiel die Vorschriften aus den Sozialgesetzbüchern, dem Strafgesetzbuch oder auf Landesebene die zahlreichen Gesundheitsdatenschutzgesetze sowie diversen Gesetze für kirchliche Krankenhäuser und Verordnungen sein.
Aufgrund dieser vielstufigen und hohen Anforderungen sind alle an der Gesundheitsversorgung beteiligten Unternehmen und Institutionen angehalten, ihren Status im Datenschutz stetig zu analysieren und weiter zu verbessern. Ihre Mitglieder, Kunden oder Patienten erwarten im Gesundheitswesen Sicherheit und Seriosität im Umgang mit ihren Gesundheitsdaten. Wir helfen Ihnen mit unserer Datenschutzberatung dabei, mit gutem Beispiel voranzugehen.
Wir können Ihnen eine spezialisierte Beratung im Datenschutz zugeschnitten auf Ihre Fragen im Umgang mit Patientendaten bieten, die Ihren internen Datenschutzbeauftragten in der täglichen Arbeit zielführend unterstützt. Wir beraten Sie im Gesundheitswesen im Umgang mit (elektronischen) Akten, behördlichen Anfragen oder bei Auskunfts- oder Akteneinsichtnahme-Ersuchen und schärfen Ihren Blick für die Auswahl geeigneter Dienstleister, die mit der Verarbeitung Ihrer vertraulichen Daten betraut werden sollen. Natürlich besteht auch die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.
So können wir Sie unterstützen
- Einhaltung spezieller Datenschutzvorschriften im Gesundheitswesen
- Aufbau einer Datenschutzorganisation
- Umgang mit behördlichen Anfragen und Auskunfts- oder Akteneinsichtnahme-Ersuchen
- Datenübermittlungen an Dritte wie Abrechnungsstellen, Sozialversicherungsträger, Krankenkassen oder den Medizinischen Dienst der Krankenversicherung (MDK)
- Spezielle Fragestellungen zur Forschung mit Patientendaten oder zur ärztlichen Schweigepflicht und Erstellung notwendiger Dokumente wie z. B. Schweigepflichtentbindungserklärungen
- Einhaltung der besonderen gesetzlichen Bestimmungen bei der Einschaltung von Dienstleistern
- Beratung zur Dokumentation, Archivierung oder Vernichtung von Gesundheitsdaten
Weitere Infos zu Einrichtungen des Gesundheitswesens
Wir sagen Ihnen, was beim Datenschutz im Gesundheitswesen zu beachten ist.
Der Arbeitsalltag in einem Krankenhaus gestaltet sich in vielerlei Hinsicht stressig. Viele Patienten, ernsthafte Krankheiten und lange Schichten, da bleibt wenig Zeit, um sich Gedanken über den Datenschutz im Gesundheitswesen zu machen. Dabei stellt der Gesetzgeber jedoch gerade an den datenschutzkonformen Umgang mit sensiblen Daten hohe Anforderungen. Da diese auf vielfältige Weise in einem Krankenhaus anfallen, genutzt und weiterverarbeitet werden müssen, entstehen dementsprechend viele Problemfelder mit Blick auf die Einhaltung der datenschutzrechtlichen Aspekte. Und, das Thema Datenschutz im Gesundheitswesen rückt auch bei den Patienten und ihren Angehörigen durch die erhöhte mediale Aufmerksamkeit in den Mittelpunkt. Die ärztliche Schweigepflicht hingegen spielt im Datenschutz schon seit jeher eine große Rolle. Etwa bei der Frage, ob es zulässig ist, Informationen im Rahmen der Auskunfts- oder Akteneinsichtsrechte an Patienten oder Angehörige herauszugeben. Oder es kommt zu Problemen, wenn im Rahmen der ärztlichen Schweigepflicht Dienstleister eingeschaltet werden, die Zugriff auf Gesundheitsdaten haben.
Eine zentrale Rolle beim Datenschutz im Krankenhaus nimmt der organisatorische und technische Teil ein. Für häufige Schlagzeilen sorgte in der Vergangenheit der sorglos praktizierte Umgang mit Patientenakten (z. B. bei der Entsorgung dieser), der letztlich in einem Bußgeld der Datenschutzaufsichtsbehörde endete. So wurde in Portugal das erste größere DSGVO-Bußgeld in Höhe 400.000 € gegen ein Krankenhaus verhängt, weil dieses kein ausreichendes Berechtigungskonzept für Patientendaten implementiert hatte und somit doppelt so viele Personen wie berechtigte Mitarbeiter inklusive Nutzer mit dem Profil „Techniker“ Zugriff auf alle Patientendaten hatten.
Auch in einer Arztpraxis fallen im Geschäftsbetrieb eine Vielzahl sensibler personenbezogener Daten an. Dabei stellt sich für kleinere Arztpraxen häufig die Frage, ob für ihre Praxis die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Die Datenschutz-Grundverordnung (DSGVO) verlangt für eine Bestellpflicht in Art. 37 Abs. 1 lit. c) eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten als Kerntätigkeit. Zwar werden in einer Arztpraxis eine Menge sensibler Daten verarbeitet, jedoch ist dieser Vorgang keinesfalls die Kerntätigkeit der Arztpraxis. In Deutschland muss nach dem BDSG aber ein Datenschutzbeauftragter für eine Arztpraxis bestellt werden, wenn zwanzig oder mehr Mitarbeiter (entgegen des Wortlauts inklusive des Inhabers der Arztpraxis) regelmäßig personenbezogene Daten verarbeiten. In der Regel ist ein Einzelarzt nicht gesetzlich verpflichtet, für seine Praxis einen Datenschutzbeauftragten zu bestellen.
Doch Vorsicht, wer der Bestellpflicht im Datenschutz nicht unterfällt, muss dennoch die Vorgaben der DSGVO umsetzen. Dafür ist dann der Inhaber der Arztpraxis persönlich verantwortlich. Ein Umstand, der rund um den Anwendbarkeitstermin der DSGVO für die eine oder andere kuriose Nachricht sorgte. Der Mythos, dass Patienten im Wartezimmer nur noch mit einer Nummer, nicht aber dem Namen ausgerufen werden dürfen, sorgte bei der einen oder anderen Datenschutzbehörde für Stirnrunzeln. Der Empfangsbereich in der Arztpraxis stellt zwar einen Schwerpunktbereich für den Datenschutz dar, da hier Unbefugte ohne die richtigen Vorkehrungen oftmals Zugriff auf sensible Daten wie z.B. Patientenakten oder andere Informationen erhalten können. Es sollte jedoch bei der Umsetzung darauf geachtet werden, dass diese praxisorientiert und nicht am Patienten vorbei erfolgt.
Der Datenschutz im Gesundheitswesen spielt auch bei Krankenkassen eine wichtige Rolle. Hier werden allerhand sensible Daten wie Einkommensnachweise, aber auch Sozialdaten (Bescheide zu Sozialleistungen der Versicherten) verarbeitet, die dem Sozialgeheimnis unterliegen. Darüber hinaus wird oft eine Vielzahl von Gesundheitsdaten im Rahmen einer Krankenhausbehandlung auf elektronischem Wege mit den Krankenhäusern ausgetauscht. Der Gesetzgeber hat in den Sozialgesetzbüchern abschließend geregelt, wann und zu welchem Zweck gesetzliche Krankenkassen Sozialdaten verarbeiten dürfen. Die Datenerhebungsbefugnisse der Krankenkassen unterliegen dem Erforderlichkeitsgrundsatz und müssen demzufolge also direkt für die Aufgabenerfüllung der Krankenkassen notwendig sein. Die erhobenen Sozialdaten sind zu löschen, sobald sie für diesen Zweck nicht mehr gebraucht werden.
Ein Drittel der Deutschen können sich laut einer Studie grundsätzlich vorstellen, gesundheits- und fitnessbezogene Daten mit ihrer Krankenkasse zu teilen, um Vorteile zu erhalten. Für Krankenkassen rückt damit zunehmend die Frage in den Fokus, ob und wie sie sich die durch Fitness‑Apps- oder Gadgets gesammelten Gesundheitsdaten ihrer Mitglieder für neue Dienstleistungen oder präventive Gesundheitsprogramme datenschutzkonform zunutze machen können.
Kompetenz von mehr als 70 Consultants
- Bachelor of Laws (Wirtschaftsrecht)
- Zertifizierung Datenschutzbeauftragte (COMPLAVIS Akademie)
- Tätigkeit für verschiedene Kanzleien
- zugelassener Rechtsanwalt
- Staatlich geprüfter Wirtschaftsinformatiker
- umfangreiche Erfahrung als Datenschutzberater bei international tätigen Konzernen
- langjährige Erfahrung als Datenschutzberater und Rechtsanwalt
- Datenschutzbeauftragter (TÜV‑zertifiziert)
- Geldwäschebeauftragter (TÜV‑zertifiziert)
- zugelassener Rechtsanwalt
- Berufserfahrung bei einer Schlichtungsstelle
- selbstständige Tätigkeit als zugelassener Rechtsanwalt
- Tätigkeit bei zwei Rechtsanwaltskanzleien
- Dipl. Juristin
- Master of Laws in Transnational Law
- Datenschutzbeauftragte (TÜV‑zertifiziert)
- Promotion im Bereich Softwarepatente
IAPP Corporate Member
Durch die Firmenmitgliedschaft in der International Association of Privacy Professionals (IAPP) sind unsere Berater weltweit mit führenden Datenschutz- und IT‑Sicherheitsexperten vernetzt. Als international anerkannter Standard signalisiert IAPP großes Vertrauen und gewinnt durch die neue DSGVO einen hohen Stellenwert.
Hamburger Datenschutzgesellschaft e.V. (HDG)
Die “Hamburger Gesellschaft zur Förderung des Datenschutzes e.V.” wurde als Forum für den Datenschutz von Vertreterinnen und Vertreter aus Wirtschaft, Wissenschaft und Medien gegründet. Als Mitglied beim HDG wirken wir aktiv an der Weiterentwicklung von Datenschutzthemen mit.
CIPP/E-Zertifizierung
Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Professional (CIPP/E) zertifiziert worden. Das Zertifikat ist ANSI- und ISO-konform (ISO 17024) und weist den Berater aus, über anerkannte Qualifikationen im europäischen Datenschutzbereich zu verfügen.
CIPM-Zertifizierung
Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Manager (CIPM) zertifiziert worden. Die CIPM ist die einzige weltweit akkreditierte Zertifizierung im Datenschutzmanagement und bildet Ansprechpartner mit hoher Expertise für das Tagesgeschäft in allen Belangen des Datenschutzes aus. Die Zertifizierung ist zudem ISO akkreditiert (ISO 17024:2012).
Nach Verbandskriterien des BvD verpflichtet
intersoft consulting services ist mit ihren externen Datenschutzbeauftragten nach den Verbandskriterien „Fachkunde“ und „Zuverlässigkeit“ des Berufsverband der Datenschutzbeauftragten e.V. (BvD) verpflichtet. Die Kriterien gewährleisten ein hohes und konstantes Datenschutzniveau.
ISO 27701 zertifiziert
Mit diesem Zertifikat belegt die intersoft consulting services AG, dass sie ihr bereits bestehendes Informationssicherheitsmanagementsystem nach ISO 27001 erfolgreich um ein Datenschutzmanagementsystem erweitert hat und nachweislich einen sicheren Umgang mit personenbezogenen Daten pflegt.
Zertifikat öffnen
Mitglied des KI-Pakts
Seit Februar 2025 sind wir Teil des KI‑Pakts der EU und setzen freiwillig erste Vorgaben der KI‑Verordnung um. Damit wollen wir die Implementierung dieses wichtigen Gesetzes vorantreiben und den Prozess aktiv mitgestalten. Der KI‑Pakt bildet ein starkes Netzwerk an Unternehmen, die europäische Regulierung von Künstlicher Intelligenz unterstützen.
Deutsche Vereinigung für Datenschutz e.V. (DVD)
Die DVD verfolgt das Ziel, die Interessen von Bürgerinnen und Bürgern in allen Fragen des Datenschutzes, der Datenverarbeitung und der Datensicherung wahrzunehmen. Die Mitgliedschaft ermöglicht uns den Zugang zu umfangreichem Fachwissen und Netzwerkmöglichkeiten in der Datenschutzwelt.
- Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
- Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
- Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
- Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
- ISO 27701 Lead Implementer
- TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
- Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
- IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
- Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
- BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
- ISO/IEC 27001 Lead Auditor,
ISO/IEC 27001 Implementer,
ISO/IEC 27001 Practitioner - GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
- DORA-IKT-Risikomanager (DVA)
- Cybersecurity-Awareness-Beauftragter (TÜV)
- IT-Sicherheitsbeauftragte (TÜV)
- Business Continuity Manager (TÜV)
- Informatiker und Wirtschaftsinformatiker
- Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
- Cloud Information Security (ISO 27017/27018)
Referenzen
Standorte
Kontaktieren Sie uns
PDF-Download