Pathologen verarbeiten durch histologische, zytologische und molekularpathologische Untersuchungen hochsensible Gesundheitsdaten, die weit über die einsendende Klinik hinaus verarbeitet werden. Als Dienstleister für Krankenhäuser und Praxen sind pathologische Institute datenschutzrechtlich als Auftragsverarbeiter oder gemeinsam Verantwortliche tätig, was spezifische DSGVO-Anforderungen begründet.
Das Wichtigste in Kürze
- Pathologische Institute als Auftragsverarbeiter: Das Institut verarbeitet Patientendaten im Auftrag der einsendenden Ärzte; ein Auftragsverarbeitungsvertrag mit jedem Einsender ist erforderlich.
- Molekularpathologische Genetikdaten besonders schützen: NGS-Befunde und genetische Tumorprofile enthalten genetische Informationen und unterliegen erhöhten Schutzanforderungen.
- Digitalpathologie datenschutzkonform einführen: Cloud-basierte Digitalpathologie-Plattformen erfordern besonders sorgfältige DSGVO-Prüfung.
Datenschutz (DSGVO) speziell für Pathologen
Pathologische Institute sind in der Regel keine eigenständigen Behandler im Sinne einer Arzt-Patienten-Beziehung, sondern verarbeiten Gewebeproben und Zellmaterial im Auftrag einsendender Kliniken oder Arztpraxen. Datenschutzrechtlich sind sie in der Regel Auftragsverarbeiter nach Art. 28 DSGVO; mit jedem Einsender muss ein rechtswirksamer Auftragsverarbeitungsvertrag geschlossen sein. Bei gemeinsamen Forschungsprojekten oder konsiliarischen Kooperationen kann auch gemeinsame Verantwortlichkeit bestehen.
Besonders herausfordernd ist die Einführung der Digitalpathologie: Cloud-basierte Systeme für die Übertragung und Auswertung digitaler Gewebeschnitte erfordern eine besonders sorgfältige DSGVO-Prüfung. Werden Bilddaten auf Server außerhalb der EU übertragen, müssen die Anforderungen für Drittlandtransfers (Art. 44 ff. DSGVO) erfüllt sein.
Worauf Pathologen besonders achten sollten
Pathologen sollten mit allen einsendenden Kliniken und Praxen Auftragsverarbeitungsverträge schließen und sicherstellen, dass diese Verträge die aktuelle DSGVO-Rechtsprechung widerspiegeln. Außerdem sollten molekularpathologische Befunde mit genetischen Informationen in einem gesondert gesicherten Bereich des Informationssystems des Instituts gespeichert werden. Ärzteversichert empfiehlt pathologischen Instituten, neben der DSGVO-Compliance auch eine Cyber-Versicherung abzuschließen, da Datenpannen mit genetischen Tumorprofilen für Patienten erhebliche Folgen haben können.
Für die Langzeitarchivierung von histologischen Präparaten und digitalen Befunden muss ein Konzept bestehen, das sowohl die gesetzlichen Aufbewahrungsfristen als auch das Recht auf Löschung der betroffenen Person berücksichtigt.
Typische Fehler bei Pathologen
Ein häufiger Fehler ist das Fehlen von Auftragsverarbeitungsverträgen mit einsendenden Ärzten und Kliniken; vielen pathologischen Instituten ist nicht bewusst, dass diese Verträge auch mit langjährigen Kooperationspartnern erforderlich sind. Ein zweiter Fehler ist die unzureichende Prüfung von Cloud-Anbietern für die Digitalpathologie auf ihre DSGVO-Konformität. Schließlich werden genetische Befunde aus der NGS-Diagnostik oft nicht als besonders schutzwürdig kategorisiert und erhalten keine gesonderte Zugangsbeschränkung.
Fazit
Pathologen müssen als Auftragsverarbeiter für einsendende Ärzte vollständige Auftragsverarbeitungsverträge unterhalten und insbesondere molekularpathologische Genetikdaten mit erhöhten Schutzmaßnahmen sichern. Weitere Artikel finden Sie in der Blog-Übersicht.
Quellen und weiterführende Informationen
- Gesetze im Internet – DSGVO Art. 28
- Bundesgesundheitsministerium – Digitalisierung
- Bundesärztekammer – Berufsinformationen
- Ärzteversichert – Versicherungsmakler für Mediziner
Persönliche Beratung zu diesem Thema?
Kostenfreie Erstberatung anfragen →