Das Thema Datenschutz spielt im Labor eine wichtige Rolle. Aber warum? In diesem Beitrag nehmen wir das Datenschutzrecht speziell bei Einrichtungen der medizinischen Diagnostik unter die Lupe und stellen eine DSGVO-Diagnose.

Warum Datenschutz im Labor relevant ist

Medizinische Labore unterstützen Krankenhäuser, Praxen und andere Einrichtungen des Gesundheitswesens mit zahlreichen Services im Bereich Diagnostik. Sie untersuchen beispielsweise Blut-, Gewebe- und Urinproben und decken mithilfe fachspezifischer Analysen Krankheitsbilder auf. Als Schnittstelle zwischen Patient:innen und Ärzt:innen tragen die Labore zu einem erfolgreichen Behandlungsprozess bei. Dabei drehen sich die Untersuchungen und Befunde insbesondere um drei Dinge: Daten, Daten und Daten. Neben medizinischen Analyseergebnissen spielen im Labor zahlreiche gesundheitsbezogene Informationen eine wichtige Rolle, die für die Diagnosearbeit erforderlich sind und ebenso Befunde darstellen. Hierzu zählen etwa Angaben zum Alter der Probengeber:innen, ihrer Blutgruppe, Blutwerte und so weiter.

Der Knackpunkt: Bei all diesen Daten handelt es sich um personenbezogene Informationen, also um Angaben, die sich einer bestimmten natürlichen Person zuordnen lassen. Und bei uns Datenschützer:innen klingeln spätestens jetzt die Alarmglöckchen. Schließlich handelt es sich bei gesundheitsbezogenen Informationen um sogenannte Gesundheitsdaten – ein besonders schützenswertes Gut. Der Datenschutzgrundverordnung zufolge gehören sie zu einer „besonderen Kategorie“ personenbezogener Daten, deren Verarbeitung nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist.

Allerdings bestehen Ausnahmen, die eine Verarbeitung im Labor unter Auflagen möglich machen. Nach Abs. 3 lit. h gehören Daten, die „für die medizinische Diagnostik“ verarbeitet werden, unter anderem zu diesen Ausnahmen. Für sie sind jedoch besondere datenschutzrechtliche Maßnahmen zu treffen. Erst dann ist eine Verarbeitung rechtmäßig. Hierzu zählt beispielsweise, die Einwilligung der betroffenen Person einzuholen, die Verarbeitungstätigkeit zu dokumentieren und technische sowie organisatorische Maßnahmen (TOMs) zum Schutz der Daten umzusetzen.

Datenschutz – die heiße Kartoffel zwischen Labor und Klinik?

Im Falle von Laboren ist die Frage, wer bei der Verarbeitung von Gesundheitsdaten welche rechtlichen Pflichten hat, eine besonders spannende. Dies begründet sich in der Konstellation der beteiligten Akteur:innen. Da wären:

die Patient:innen und ihre Gesundheitsdaten
die behandelnde Mediziner:innen, die die Daten an das Labor übermitteln,
das Labor, das die Daten verarbeitet und die Befunde der Untersuchung zurück an die Mediziner:innen übermittelt.

Anmerkung: An dieser Stelle möchten wir interne Labore in Krankenhäusern und Klinikgemeinschaften außen vor lassen. Dort entscheiden die jeweiligen Betreiber:innen des Krankenhauses oder Klinikverbunds über Mittel und Zweck der Verarbeitung. Für diese Labore bestehen keine gesonderten datenschutzrechtlichen Pflichten.

Ganz anders verhält es sich hingegen bei eigenständigen Laboren. Das sind Dienstleister:innen, die Diagnosetätigkeiten nach Anfrage von Ärzt:innen übernehmen. Dabei agieren sie fachlich und betrieblich selbstständig und rechnen ihre Leistungen zumeist sogar direkt mit den Patient:innen bzw. deren Krankenkassen ab. Wer ist in diesem Fall für den Datenschutz verantwortlich und wer haftet bei Verstößen? Ist es das Labor oder sind es vielmehr die Ärzt:innen, die die Labore beauftragen und Proben sowie Gesundheitsdaten übermitteln? Handelt es sich gar um eine Auftragsverarbeitung gemäß Art. 28 DSGVO?

Eine Frage der Verarbeitung: Datenschutz im Labor

Tatsächlich liegt im Regelfall keine Auftragsverarbeitung zwischen Laboren und medizinischen Einrichtungen vor. Das lässt sich bereits zivilrechtlich begründen: Labore handeln juristisch gesehen nicht im Auftrag von Ärzt:innen, da ein Laborauftrag unmittelbar zwischen den Patient:innen und dem Labor zustande kommt. Praxen und Krankenhäuser bilden die vermittelnde Instanz und handeln in Vertretung der Patient:innen. Sie geben „im Auftrag“ ihrer Kund:innen deren Gesundheitsdaten an das Labor weiter. Dementsprechend müssen medizinische Einrichtungen im Regelfall keine datenschutzbezogenen Maßnahmen nach Art. 32 DSGVO für Labore festlegen und im Rahmen eines Auftragsverarbeitungsvertrags (AVV) regeln.

Wichtige Maßnahmen für den Datenschutz im Labor

Für Labore gilt: Im Regelfall sind sie eigenverantwortliche Datenverarbeiter:innen und müssen einschlägige Maßnahmen umsetzen. Dazu gehört es beispielsweise, gemäß Art. 37 DSGVO eine:n betriebliche:n Datenschutzbeauftragte:n zu bestellen. Zudem müssen Labore nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) inklusive Verzeichnis der Verarbeitungskategorien führen.

Andere datenschutzrelevante Aufgaben sind für Labore hingegen komplizierter umzusetzen. Hierzu zählt beispielsweise die Informationspflicht laut Art. 13 DSGVO. Diese erfordert, dass eine von einer Verarbeitung betroffene Person über die Verarbeitung unterrichtet werden muss. Was sich allerdings als schwierig gestaltet, da Laboraufträge im Regelfall über die Mediziner:innen vermittelt werden und die Labore nicht direkt mit den Patient:innen in Kontakt treten oder über Kontaktdaten verfügen. Eine Lösung ist es, Vereinbarungen mit den behandelnden Mediziner:innen zu treffen: Diese stellen Datenschutz-Infoblätter bereit, welche die Patient:innen bei der Aufnahme erhalten.

Gleiches gilt für die Einwilligung zur Verarbeitung von personenbezogenen Daten nach Art. 6 DSGVO. Diese müssten Labore sich von allen Probengeber:innen individuell einholen, dokumentieren und bei einer behördlichen Prüfung nachweisen. Auch hier empfiehlt es sich, eine Regelung mit den behandelnden Ärzt:innen zu treffen. Diese sollten die Einwilligung zur Datenverarbeitung bei der Behandlung einholen und an das Labor übermitteln.

Fazit

Labore erhalten, verarbeiten und übermitteln besonders sensible Gesundheitsdaten. Im Regelfall verarbeiten sie selbst Daten und sind somit in der Verantwortung, Maßnahmen zum Schutz von personenbezogenen Daten einzuführen. Ebenso haben sie dafür Sorge zu tragen, dass Informations- und Einwilligungspflichten eingehalten werden. Dies erfolgt zumeist in Absprache mit den behandelnden Ärzt:innen.