Geballtes Wissen für Sie: das caralegal AI Best Practices Webinar
Jetzt registrieren

Keine Experimente: Datenschutz im Labor erfolgreich einhalten

Dennis Kurpierz, Co-Founder & COO
01. August 2022
8 Minuten
Das Thema Datenschutz spielt im Labor eine wichtige Rolle. Aber warum? In diesem Beitrag nehmen wir das Datenschutzrecht speziell bei Einrichtungen der medizinischen Diagnostik unter die Lupe und stellen eine DSGVO-Diagnose.
Kategorie:

Warum Datenschutz im Labor relevant ist

Medizinische Labore unterstützen Krankenhäuser, Praxen und andere Einrichtungen des Gesundheitswesens mit zahlreichen Services im Bereich Diagnostik. Sie untersuchen beispielsweise Blut-, Gewebe- und Urinproben und decken mithilfe fachspezifischer Analysen Krankheitsbilder auf. Als Schnittstelle zwischen Patient:innen und Ärzt:innen tragen die Labore zu einem erfolgreichen Behandlungsprozess bei. Dabei drehen sich die Untersuchungen und Befunde insbesondere um drei Dinge: Daten, Daten und Daten. Neben medizinischen Analyseergebnissen spielen im Labor zahlreiche gesundheitsbezogene Informationen eine wichtige Rolle, die für die Diagnosearbeit erforderlich sind und ebenso Befunde darstellen. Hierzu zählen etwa Angaben zum Alter der Probengeber:innen, ihrer Blutgruppe, Blutwerte und so weiter.

Der Knackpunkt: Bei all diesen Daten handelt es sich um personenbezogene Informationen, also um Angaben, die sich einer bestimmten natürlichen Person zuordnen lassen. Und bei uns Datenschützer:innen klingeln spätestens jetzt die Alarmglöckchen. Schließlich handelt es sich bei gesundheitsbezogenen Informationen um sogenannte Gesundheitsdaten – ein besonders schützenswertes Gut. Der Datenschutzgrundverordnung zufolge gehören sie zu einer „besonderen Kategorie“ personenbezogener Daten, deren Verarbeitung nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt ist.

Allerdings bestehen Ausnahmen, die eine Verarbeitung im Labor unter Auflagen möglich machen. Nach Abs. 3 lit. h gehören Daten, die „für die medizinische Diagnostik“ verarbeitet werden, unter anderem zu diesen Ausnahmen. Für sie sind jedoch besondere datenschutzrechtliche Maßnahmen zu treffen. Erst dann ist eine Verarbeitung rechtmäßig. Hierzu zählt beispielsweise, die Einwilligung der betroffenen Person einzuholen, die Verarbeitungstätigkeit zu dokumentieren und technische sowie organisatorische Maßnahmen (TOMs) zum Schutz der Daten umzusetzen.

Datenschutz – die heiße Kartoffel zwischen Labor und Klinik?

Im Falle von Laboren ist die Frage, wer bei der Verarbeitung von Gesundheitsdaten welche rechtlichen Pflichten hat, eine besonders spannende. Dies begründet sich in der Konstellation der beteiligten Akteur:innen. Da wären:

die Patient:innen und ihre Gesundheitsdaten

die behandelnde Mediziner:innen, die die Daten an das Labor übermitteln,

das Labor, das die Daten verarbeitet und die Befunde der Untersuchung zurück an die Mediziner:innen übermittelt.

Anmerkung: An dieser Stelle möchten wir interne Labore in Krankenhäusern und Klinikgemeinschaften außen vor lassen. Dort entscheiden die jeweiligen Betreiber:innen des Krankenhauses oder Klinikverbunds über Mittel und Zweck der Verarbeitung. Für diese Labore bestehen keine gesonderten datenschutzrechtlichen Pflichten.

Ganz anders verhält es sich hingegen bei eigenständigen Laboren. Das sind Dienstleister:innen, die Diagnosetätigkeiten nach Anfrage von Ärzt:innen übernehmen. Dabei agieren sie fachlich und betrieblich selbstständig und rechnen ihre Leistungen zumeist sogar direkt mit den Patient:innen bzw. deren Krankenkassen ab. Wer ist in diesem Fall für den Datenschutz verantwortlich und wer haftet bei Verstößen? Ist es das Labor oder sind es vielmehr die Ärzt:innen, die die Labore beauftragen und Proben sowie Gesundheitsdaten übermitteln? Handelt es sich gar um eine Auftragsverarbeitung gemäß Art. 28 DSGVO?

Eine Frage der Verarbeitung: Datenschutz im Labor

Tatsächlich liegt im Regelfall keine Auftragsverarbeitung zwischen Laboren und medizinischen Einrichtungen vor. Das lässt sich bereits zivilrechtlich begründen: Labore handeln juristisch gesehen nicht im Auftrag von Ärzt:innen, da ein Laborauftrag unmittelbar zwischen den Patient:innen und dem Labor zustande kommt. Praxen und Krankenhäuser bilden die vermittelnde Instanz und handeln in Vertretung der Patient:innen. Sie geben „im Auftrag“ ihrer Kund:innen deren Gesundheitsdaten an das Labor weiter. Dementsprechend müssen medizinische Einrichtungen im Regelfall keine datenschutzbezogenen Maßnahmen nach Art. 32 DSGVO für Labore festlegen und im Rahmen eines Auftragsverarbeitungsvertrags (AVV) regeln.

Wichtige Maßnahmen für den Datenschutz im Labor

Für Labore gilt: Im Regelfall sind sie eigenverantwortliche Datenverarbeiter:innen und müssen einschlägige Maßnahmen umsetzen. Dazu gehört es beispielsweise, gemäß Art. 37 DSGVO eine:n betriebliche:n Datenschutzbeauftragte:n zu bestellen. Zudem müssen Labore nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) inklusive Verzeichnis der Verarbeitungskategorien führen.

Andere datenschutzrelevante Aufgaben sind für Labore hingegen komplizierter umzusetzen. Hierzu zählt beispielsweise die Informationspflicht laut Art. 13 DSGVO. Diese erfordert, dass eine von einer Verarbeitung betroffene Person über die Verarbeitung unterrichtet werden muss. Was sich allerdings als schwierig gestaltet, da Laboraufträge im Regelfall über die Mediziner:innen vermittelt werden und die Labore nicht direkt mit den Patient:innen in Kontakt treten oder über Kontaktdaten verfügen. Eine Lösung ist es, Vereinbarungen mit den behandelnden Mediziner:innen zu treffen: Diese stellen Datenschutz-Infoblätter bereit, welche die Patient:innen bei der Aufnahme erhalten.

Gleiches gilt für die Einwilligung zur Verarbeitung von personenbezogenen Daten nach Art. 6 DSGVO. Diese müssten Labore sich von allen Probengeber:innen individuell einholen, dokumentieren und bei einer behördlichen Prüfung nachweisen. Auch hier empfiehlt es sich, eine Regelung mit den behandelnden Ärzt:innen zu treffen. Diese sollten die Einwilligung zur Datenverarbeitung bei der Behandlung einholen und an das Labor übermitteln.
Fazit

Labore erhalten, verarbeiten und übermitteln besonders sensible Gesundheitsdaten. Im Regelfall verarbeiten sie selbst Daten und sind somit in der Verantwortung, Maßnahmen zum Schutz von personenbezogenen Daten einzuführen. Ebenso haben sie dafür Sorge zu tragen, dass Informations- und Einwilligungspflichten eingehalten werden. Dies erfolgt zumeist in Absprache mit den behandelnden Ärzt:innen.

Für weitere Informationen haben wir einen umfassenden Praxisleitfaden für das Datenschutzmanagement im Gesundheitswesen erstellt.

Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Prozess zur Identifikation von KI Assets im Unternehmen
Mehr erfahren
80+ Risiken für den Datenschutz
Mehr erfahren
KI-Register mit Excel erstellen: Anleitung und smarte Alternative - inkl. Excel-Template
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum