Datenschutz im Krankenhaus

Ärztin am Rechner (Bild: Rostislav Sedlacek)

In Kliniken und anderen medizinischen Einrichtungen werden täglich Daten erhoben und verarbeitet und damit fällt auch den Themen Datenschutz und Datensicherheit eine große Bedeutung zu. (Bild: Rostislav Sedlacek)

Stand: 9. Juli 2025

Datenschutz ist im Gesundheitswesen aufgrund der sensiblen Patientendaten ein besonders wichtiges Thema und steht in engem Zusammenhang mit der ärztlichen Schweigepflicht. Kliniken, Arztpraxen und andere medizinische Einrichtungen sind deshalb verpflichtet, patientenbezogene Daten zu sichern, vor dem Zugriff Unbefugter zu schützen und sie nach Ablauf der Aufbewahrungsfristen sicher zu vernichten – das gilt sowohl für analoge als auch digitale Patientendaten.

In Kliniken und anderen medizinischen Einrichtungen werden täglich Daten erhoben und verarbeitet. Der Schutz dieser sensiblen Daten hat oberste Priorität. Die Grundlage hierfür schafft die Datenschutz-Grundverordnung (DSGVO), die den datenschutzkonformen Umgang europaweit regelt.

Rechtsgrundlagen des Datenschutzes

Die europäische Datenschutz-Grundverordnung definiert, basierend auf Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union, die Sicherheit personenbezogener Daten natürlicher Personen. Das schließt u. a. Richtlinien für die Nutzung und Speicherung der Daten ein. Hinzu kommen nationale Regelungen und Normen; in Deutschland gehören dazu u. a. das Bundesdatenschutzgesetz (BDSG), die Landesdatenschutzgesetze sowie weitere speziellere Datenschutzregelungen des Landesrechts.

Im Umgang mit personenbezogenen Daten sind Kliniken gemäß Artikel 5 Absatz 1 der DSGVO verpflichtet, die

Richtigkeit,
Rechtmäßigkeit,
Zweckbindung,
Datenminimierung,
Speicherbegrenzung sowie
Integrität und Vertraulichkeit

sicherzustellen.

Zu beachten ist, dass Gesundheitsdaten gemäß Artikel 9 DSGVO als besondere Kategorie personenbezogener Daten gelten und bei ihrer Verarbeitung gesonderte Regelungen beachtet werden müssen. Dazu gehört beispielsweise, dass Patientinnen und Patienten der Speicherung bzw. Nutzung ihrer Daten zustimmen müssen. Dies gilt ausschließlich für die Gesundheitsvorsorge, medizinische Diagnostik oder Versorgung.

Als Ausnahmen gelten medizinische Notfälle: Gemäß Artikel 9 Absatz 2 DSGVO dürfen personenbezogene Daten erhoben werden, wenn die Gewährleistung eines hohen Qualitäts- oder Sicherheitsstandards bei einer Patientin oder einem Patienten sichergestellt werden muss oder die öffentliche Gesundheit gefährdet ist. Gegeben sind diese Voraussetzungen beispielsweise, wenn eine Person in die Notaufnahme eingeliefert wird und nicht ansprechbar ist.

Datensicherheit im Umgang mit sensiblen Patientendaten

In Sachen Datenschutz müssen sich Kliniken bei der Verarbeitung patientenbezogener Daten auch mit dem Thema Datensicherheit auseinandersetzen. Gemäß Artikel 32 der DSGVO sind Datensicherheitsmaßnahmen zu ergreifen, die geeignet sind, das Schutzniveau zu gewährleisten, welches für die Sicherung der Rechte und Freiheiten der betroffenen Personen angemessen ist. Konkrete Maßnahmen sind in Artikel 32 mit Ausnahme der Verschlüsselung und Pseudonymisierung nicht vorgesehen. Es sind aber vier Schutzziele – Integrität, Vertraulichkeit, Verfügbarkeit und die Belastbarkeit der Speichermedien – definiert, die dauerhaft sicherzustellen sind. Eine Orientierung zur technischen und organisatorischen Umsetzung entsprechender Datensicherheitsmaßnahmen bittet der Katalog des § 64 Absatz 3 im Bundesdatenschutzgesetz.

Analoge und digitale Patientendaten: Unterschiede beim Datenschutz?

Je nachdem, ob Patientendaten digital oder analog vorliegen, gibt es Unterschiede bei den Maßnahmen zum Schutz dieser Daten. Analoge Patientendaten, wie beispielsweise Akten oder Röntgenaufnahmen, sind geschützt vor dem Zugriff Unbefugter aufzubewahren. Zudem müssen Maßnahmen ergriffen werden, um die Daten vor Verlust, Beschädigung oder sogar der Vernichtung zu schützen. Um die Privatsphäre der Patientinnen und Patienten zu schützen, müssen die Daten nach Ablauf der Aufbewahrungsfristen vernichtet werden. Die Fristen sind immer von der Art der Daten abhängig: Röntgenaufnahmen aus der Diagnostik müssen beispielsweise zehn Jahre aufbewahrt werden, Aufzeichnungen zu Röntgenbehandlungen hingegen 30 Jahre. Nach Ablauf dieser Fristen können Kliniken und Arztpraxen zertifizierte Entsorgungsunternehmen beauftragen, die Akten und ähnliche Unterlagen datenschutzkonform vernichten.

Digital gespeicherte Patientendaten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden, um den Zugriff Unbefugter zu verhindern. Datenschutzexperten empfehlen hier auch die Implementierung strenger Zugriffskontrollen, um sicherzustellen, dass nur autorisiertes Personal Zugang zu den Patientendaten hat. Hier kann beispielsweise eine Multi-Faktor-Authentifizierung zur Zugriffssteuerung eingesetzt werden. Auch bei digitalen Patientenakten gelten entsprechende Aufbewahrungsfristen. Nach Ablauf dieser Fristen sind die Daten endgültig zu löschen.

Datenschutz und Datensicherheit bei der elektronischen Patientenakte (ePA)

Mit dem Digital-Gesetz, welches im Dezember 2023 vom Deutschen Bundestag verabschiedet wurde, ist die „ePA für alle“ als Digitalisierungsziel für die Patientenversorgung festgelegt worden und soll die Versorgung für die Leistungserbringer – sprich Ärztinnen und Ärzte sowie das Pflegepersonal – erleichtern. Bundesweit kann die elektronische Patientenakte (ePa) seit dem 29. April 2025 genutzt werden. Auch hierbei gelten der Schutz und die Sicherheit der Daten als Grundvoraussetzung. Die Implementierung der elektronischen Patientenakte erfolgt datenschutzkonform auf sicheren Servern innerhalb der Telematikinfrastruktur (Ti). Zudem wird die Kommunikation verschlüsselt, sodass außer den Patientinnen und Patienten (sowie gesetzlich bestellten Betreuungspersonen) und dem zugriffsberechtigtem Gesundheitspersonal niemand die Patientendaten einsehen kann. Welche Ärztinnen und Ärzte Zugriff zur ePA haben, können Versicherte zudem selbstständig bei ihrer Krankenkasse festlegen.

Quellen

Medizinische Abfallarten und Abfallschlüsselnummern

In unserer Übersicht finden Sie wichtige medizinische Abfallarten, deren Abfallschlüsselnummern sowie zusätzliche Informationen und spezielle Regelungen, um diese richtig zu sammeln, zu lagern und zu entsorgen.

Altarzneimittel

Abfallschlüsselnummer(n): AS 180109 | AS 180208

Altarzneimittel, die nicht unter den Abfallschlüssel 180108 fallen (zytotoxische/zytostatische Arzneimittel) müssen getrennt erfasst und zugriffssicher gesammelt werden, um Missbrauch zu verhindern.

Verbrennung in zugelassenen Abfallverbrennungsanlagen (Hausmüllverbrennung, Sonderabfallverbrennung)
Entsorgung kleinerer Mengen mit Abfällen des Abfallschlüssels 180104 (Abfälle, an die aus infektionspräventiver Sicht keine Anforderungen gestellt werden) möglich

Zum Weiterlesen:

Tabletten entsorgen

Amalgam (gefährlicher Abfall)

Abfallschlüsselnummer(n): AS 180110*

Zu Amalgamabfällen zählen auch Inhalte aus Amalgamabscheidern und extrahierte Zähne mit Amalgamfüllungen.

Gesondert sammeln
Als gefährlichen Abfall regelmäßig entsorgen

Zum Weiterlesen:

Amalgamabfälle aus der Zahnmedizin sicher entsorgen

Asthmaspray

Abfallschlüsselnummer(n): 150110* / 160504*

Aufgrund ihrer Entzündbarkeit (Explosionsgefahr) und Verpackung gehören Asthmadosieraerosole zu den gefährlichen Abfällen (Verpackungen, die Rückstände gefährlicher Stoffe enthalten oder durch gefährliche Stoffe verunreinigt sind; gefährliche Stoffe enthaltende Gase in Druckbehältern).

Beipackzettel informiert über Entsorgungswege
dürfen nicht im Hausmüll entsorgt werden
dürfen nicht bei über 30 Grad Celsius gelagert werden
restentleerte Spraydosen fallen unter die Gefahrgutnummer UN 1950
Kennzeichnung i. d. R. mit Gefahrzettel 2.1 (entzündbare Stoffe)
größere Mengen werden in Spezialbehältern gesammelt

Zum Weiterlesen:

Entsorgung von Asthmasprays

Atemkalk (gefährlicher Abfall)

Abfallschlüsselnummer(n): AS 180106* | AS 180205*

Gefährliche Labor- und Chemikalienabfälle müssen in hierfür zugelassenen, verschlossenen Behältern gesammelt, gelagert und transportiert werden. Als gefährlichen Abfall entsorgen.

Die Entsorgung von größeren Mengen kann unter einem speziellen Abfallschlüssel (siehe LAGA-Richtlinie) erfolgen: u.a. AS 150202* oder AS 160506*

Zum Weiterlesen:

Entsorgung von Narkosemitteln

Alle Angaben ohne Gewähr und Anspruch auf Vollständigkeit.

Chemische Stoffe aus der medizinischen Forschung

Hier finden Sie wichtige Gefahrstoffe, die in medizinischen Laboren verwendet werden. Wir haben Ihnen grundlegende Informationen zu den Chemikalien und deren Anwendungsbereichen hinterlegt. Die jeweiligen Abfallschlüsselnummern richten sich nach der Herkunft des Abfalls (z.B. Krankenhaus, chemische Industrie), seiner Zusammensetzung sowie den Behandlungs- und Entsorgungswegen.

Acetonitril

Acetonitril ist eine farblose, leicht entzündliche Flüssigkeit mit aromatischem Geruch und reizenden Eigenschaen. Als organisches Lösungsmittel findet es in der chemischen Analytik und in der technischen Chemie, hauptsächlich bei Trennverfahren von Butadien und zur Lösung von Leitelekrolyten, Verwendung.

Acrylamidlösung

Acrylamidlösung ist eine farb- und geruchlose, nicht brennbare, aber stark toxische Flüssigkeit. Sie wird in der Molekularbiologie zur elektrophoretischen Auftrennung von Nukleinsäuren oder Proteinen angewandt. Acrylamidlösung ist geeignet für DNA-Sequenzierungen.

Actinomycin D

Actinomycin D ist ein gelb bis orangefarbener Feststoff, meist in Pulverform. Als zytotoxisches Antibiotikum wird es zur Behandlung von Krebserkrankungen eingesetzt. Es hemmt in niedriger Dosierung die DNA-abhängige RNA-Synthese. Wegen seiner hohen Knochenmarktoxizität ist es ein umstrittenes Tumortherapeutikum.

Ammoniumpersulfat (APS)

Ammoniumpersulfat (APS) ist ein geruchloses, weiß-grünlich kristallines Salz. Es ist in Wasser sehr gut löslich und kann durch sein hohes Oxidationspotenzial entzündend wirken. Es wird in der Zellbiologie eingesetzt. In der Medizin wird es hauptsächlich zur Herstellung von Desinfektionsmitteln verwendet.

Alle Angaben ohne Gewähr und Anspruch auf Vollständigkeit.