Wann dürfen Gesundheitsdaten verarbeitet werden?

In Art. 6 hält die DSGVO einige Rechtsgrundlagen für Datenverarbeitungen bereit. Allerdings ist nach Art. 9 die Verarbeitung grundsätzlich unzulässig. Das bedeutet allerdings nicht, dass Datenverarbeitungen im Gesundheitswesen nicht möglich sind – vielmehr müssen die erhöhten Anforderungen bekannt sein und umgesetzt werden. Ein sicheres Vorgehen ist demnach das Einholen einer Einwilligung nach Art. 9 Abs. 2 DSGVO. Ein Beispiel: Möchte ein Krankenhaus von seinen Patienten umfangreiche Daten zur Behandlung erfassen, um mit den Daten zukünftig die Behandlungsergebnisse zu verbessern, müssen die Patient:innen vorab darüber aufgeklärt werden, welche Daten von ihnen verarbeitet werden und zu welchem Zweck. Sind diese damit einverstanden, können die Daten erfasst werden. Gleiches gilt für die Teilnahme an Studien oder auch jeder anderen Tätigkeit im Gesundheitswesen, bei der Daten verarbeitet werden. Im Einzelnen bedeutet das: Da die Verarbeitung ohne eine rechtskonforme Einwilligung unzulässig ist, sollten Verantwortliche hier besonders genau hinsehen. Die Einwilligung muss ausdrücklich erklärt und die Betroffenen müssen über alle Umstände der Datenverarbeitung umfassend aufgeklärt werden. Schließlich muss sie freiwillig sein und nicht von bestimmten Voraussetzungen abhängig gemacht werden. Zudem sollte die Verarbeitung streng zweckgebunden erfolgen – das heißt, nur solche Informationen dürfen verwendet werden, die für den jeweiligen Zweck, etwa eine Behandlung, notwendig sind. Wichtig ist auch, dass die Einwilligung jederzeit widerrufen werden kann. Verantwortliche müssen dann sofort die Datenverarbeitung vollständig einstellen, die in der Regel nicht ohne eine Datenschutz-Folgenabschätzung (DSFA) auskommt. Im Gesundheitswesen gibt es allerdings eine Ausnahme: Unter bestimmten Voraussetzungen können Gesundheitsdaten nach § 40 Abs. 2a Nr. 3 AMG in Arzneimittelstudien weiterverarbeitet werden, etwa um die Wirkung eines Arzneimittels feststellen zu können. Auch hier müssen die Studienteilnehmenden darüber informiert werden.

Welche weiteren Gesetze und Regelungen gelten im Gesundheitsdatenschutz?

Darüber hinaus ist Datenschutz im Gesundheitswesen geprägt von einer Vielzahl einzelner Regelungen, die in den letzten Jahren stark angestiegen sind. So enthält etwa das neue Patientendaten-Schutzgesetz (PDSG) zusätzliche detaillierte Schutzvorgaben für Patientendaten. Akteure des Gesundheitswesens, vor allem Krankenhäuser, müssen danach hohe technische Schutzstandards für Patientendaten vorweisen können. In diesem Zusammenhang ist auch die elektronische Patientenakte (ePA) zu nennen, die Informationen aus Patientenakten digital bündelt, beispielsweise Diagnosen, Behandlungsverläufe oder Röntgenbilder. Das verbessert die Möglichkeiten der Behandlung, ist aber mit neuen Datenschutzrisiken verbunden. Eine andere Neuerung ist das Krankenhauszukunftsgesetz (KHZG), durch das Krankenhäusern für die Digitalisierung und die erforderliche IT-Sicherheit finanzielle Unterstützung zugesichert wird. Je nach Einzelfall können des Weiteren noch ganz unterschiedliche Spezialgesetze zur Anwendung kommen, etwas die diversen Landeskrankenhausgesetze oder die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV).

Warum ist eine Datenschutz-Folgenabschätzung wichtig?

Auf dieser Grundlage sollte gerade im Gesundheitswesen auf ein effektives Datenschutzmanagement geachtet werden. Hier sollte aufgrund der Sensibilität der Daten ein Datenschutzmanagementsystem (DSMS) implementiert werden, bestenfalls mit einer speziellen Gesundheitsdatenschutz-Software. Die Auswahl, Entwicklung, Integration technischer Sicherheitskonzepte ist dabei entscheidend für den Erfolg des jeweiligen Projekts. Denn Gesundheitsdatenschutz bedeutet mehr als Einwilligungen einholen: Bei der Verarbeitung von Gesundheitsdaten ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, die aus Vorabprüfung, umfassender Erfassung der Datenschutzvorgänge und detaillierter Risikoprüfung besteht und sich daher als äußerst komplex erweisen kann. Eine DSFA lässt sich aber durchaus mit Gewinn umsetzen, indem Herausforderungen an Datenschutz und Datensicherheit bereits in der Entwicklungsphase identifiziert und und Risiken mitigiert werden. Wer hier gleich auf ein effizientes Datenmanagement setzt, vermeidet Aufwand im Nachhinein. Zudem hilft sie dabei, das Verzeichnis von Verarbeitungstätigkeiten (VVT) schnell und vollständig zu erstellen und zu pflegen. Für Informationen, wie man eine DSFA im Einzelnen durchführt, hat unsere Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte einen Beitrag zur DSFA im Gesundheitswesen veröffentlicht.

Welche sonstigen Maßnahmen verhelfen zu einem effektiven Datenschutzmanagement?

Im Gesundheitswesen ebenfalls entscheidend können Maßnahmen zur Anonymisierung oder Pseudonymisierung der personenbezogenen Daten sein, Prozesse zum Umgang von Betroffenenrechten, Maßnahmen zur Löschung von Gesundheitsdaten oder der Schutz vor unberechtigter Weitergabe an Dritte. Die spezifischen TOM hängen allerdings vom jeweiligen Einzelfall ab – viele wie etwa die Nutzung anonymer Datenerhebungen oder sicherer Passwörter lassen sich aber auch schon aus Handbüchern oder Guides entnehmen. Tipp: In der Praxis empfiehlt sich nicht nur eine Zwei-Faktor Authentifizierung einzuführen, sondern diese auch spezifisch auf das höchste Schutzniveau zu kontrollieren: So empfehlen sich 8 statt 6 stellige Codes oder das Aktivieren einer Geolokalisierungen. Weitere Informationen zur Umsetzung von technisch-organisatorischen Maßnahmen gibt es auch in unserem Beitrag zum Thema TOM. Übrigens: Art. 6 DSGVO, in dem sich die „allgemeine“ Einwilligung befindet, kann allein nicht als Rechtsgrundlage angegeben werden. Bei Gesundheitsdaten muss immer der oben beschriebene Art. 9 DSGVO mitberücksichtigt werden. Schließlich ist Datenschutz (nicht nur im Gesundheitswesen) echte Teamarbeit. Alle Akteur:innen, sowohl intern im eigenen Unternehmen als auch Externe, sollten stets mit eingebunden werden. Die Checkliste “Worauf Datenschutzbehörden im Gesundheitswesen besonders achten” soll Unternehmen, die Gesundheitsdaten verarbeiten, bei der Bestimmung des eigenen Reifegrades im Datenschutzmanagement helfen.

Datenschutzmanagement im Gesundheitswesen – der Praxisleitfaden für Unternehmen

Datenschutz im Gesundheitswesen lässt sich problemlos managen – zumindest dann, wenn die dafür Verantwortlichen die Besonderheiten ihrer Branche kennen und die richtigen Maßnahmen auf den Weg bringen. In diesem Leitfaden geben wir Unternehmen einen umfassenden Überblick und gehen auf praktische Anwendungsfälle ein. Viel Spaß beim Lesen!

von Dennis Kurpierz, Co-Founder & COO

17. Februar 2023

Gesundheitswesen, Datenschutzmanagement

Einführung in den Datenschutz im Gesundheitswesen

Ob im Krankenhaus, in der Arztpraxis oder bei der Nutzung einer medizinischen App – Datenschutz spielt im Gesundheitswesen eine ganz besondere Rolle. Das liegt daran, dass die Branche „direkt am Menschen“ arbeitet und deshalb vergleichsweise viele personenbezogene Daten verarbeitet. So nutzen und produzieren Mediziner:innen, Therapeuten und anderes Fachpersonal zahlreiche Informationen über die Menschen, die sie behandeln. Hierzu zählen neben allgemeinen Daten wie Name, Geburtstag und Versichertennummer zahlreiche sensible Informationen – etwa Berichte über intime Krankheitsverläufe oder Angaben über körperliche und geistige Einschränkungen.

Dass diesen ein besonderer Schutz zukommen muss, liegt auf der Hand. Und tatsächlich sieht unser europäisches Datenschutzgesetz – die Datenschutz-Grundverordnung (DSGVO) – ein außerordentliches Schutzniveau für diese sogenannten personenbezogenen Gesundheitsdaten vor. Unternehmen entstehen dadurch allerdings zahlreiche rechtliche und praktische Herausforderungen, die es zu meistern gilt.

Ob Datenschutzmanagement im Krankenhaus, in der Arztpraxis oder Datenschutz im Labor – beim Gesundheitsdatenschutz gilt: Cool bleiben! Datenschutzmanagement muss gar kein Problem oder gar eine unlösbare „Mammutaufgabe“ sein. Wer smart agiert, anstatt sich die Haare zu raufen und sich in die Thematik in Ruhe einarbeitet, versteht schnell, worauf es ankommt. Im Folgenden zeigen wir einige Hintergründe und erklären, welche Anforderungen im Einzelnen an Unternehmen des Gesundheitssektors gestellt werden, worauf Datenschutzbehörden besonders achten und was das konkret für die Praxis bedeutet.

Was sind personenbezogene Gesundheitsdaten?

Nach Art. 9 DSGVO gehören Gesundheitsdaten zu den besonderen personenbezogenen Daten. Das sind Angaben, die sich auf eine natürliche, juristische Person beziehen. Der Begriff Gesundheitsdaten ist recht weit gefasst. Hierunter fallen alle Informationen, die Aufschluss über den körperlichen oder geistigen Zustand einer Person geben. Dazu können beispielsweise Angaben über Erkrankungen, Behandlungsverläufe oder Medikationspläne zählen. Ebenso gehören Analyseergebnisse aus Laboruntersuchungen dazu. Ferner sind Daten zum Lebensstil den personenbezogenen Gesundheitsdaten zuzuschreiben – raucht der:die Patient:in beispielsweise, treibt er:sie Sport? Sogar Informationen über den Bildungsgrad, das soziale Umfeld und die berufliche Tätigkeit können Aufschluss über den Gesundheitszustand einer Person geben und somit Gesundheitsdaten sein.

Praxisleitfaden: Datenschutz im Gesundheitswesen

Wann dürfen Unternehmen Gesundheitsdaten verarbeiten?

Eigentlich ist das Thema Datenschutz im Gesundheitswesen simpel und mit einem Satz erklärt: Die Verarbeitung von personenbezogenen Gesundheitsdaten ist grundsätzlich verboten – es sei denn! Laut Art. 9 DSGVO ist die Datenverarbeitung zwar erst einmal unzulässig, das bedeutet jedoch nicht, dass Unternehmen nicht trotzdem Gesundheitsdaten verarbeiten dürfen. Um rechtskonform zu bleiben, müssen sie sich allerdings an sehr strenge Auflagen halten.

Gut zu wissen: Die „allgemeine“ Einwilligung nach Art. 6 DSGVO ist im Fall von Gesundheitsdaten keine ausschlaggebende Rechtsgrundlage. Bei Patient:innendaten und Co. gilt stets Art. 9 DSGVO!

Die DSGVO fordert mit Art. 9 Abs. 2 beispielsweise das Einholen einer Einwilligung. Betroffene müssen explizit zustimmen, dass sie mit der Verarbeitung ihrer Daten einverstanden sind, sonst geht nichts.

Dazu ein Beispiel:

Möchte ein Krankenhausbetreiber Gesundheitsdaten seiner Patient:innen erfassen, um auf deren Grundlage künftige Behandlungen zu verbessern, müssen die Patient:innen vorab darüber aufgeklärt werden: Welche Daten werden verarbeitet und warum geschieht dies? Erst wenn die Betroffenen ihr Einverständnis geben, ist die Datenerfassung legal. Gleiches gilt für die Teilnahme an Studien sowie jeder anderen Tätigkeit im Gesundheitswesen, bei der Daten erhoben und/oder genutzt werden.

Für den Einzelfall bedeutet das: Da die Verarbeitung ohne eine rechtskonforme Einwilligung unzulässig ist, müssen Unternehmen im Gesundheitsbereich besonders sorgsam vorgehen. Es gilt, die Betroffenen über den Zweck und alle Umstände der Datenverarbeitung lückenlos aufzuklären. Die Einwilligung muss zudem ausdrücklich von jedem:jeder einzelnen Betroffenen erfolgen. Weiterhin darf sie nur auf freiwilliger Basis geschehen und nicht von bestimmten Voraussetzungen abhängig gemacht werden. Schließlich muss die Verarbeitung von Gesundheitsdaten streng zweckgebunden sein. Das bedeutet, dass Verantwortliche nur solche Informationen verarbeiten dürfen, die für den jeweiligen Zweck, etwa eine Behandlung, tatsächlich erforderlich sind. Stichwort: Datenminimierung.

Gut zu wissen: Betroffene können ihre Einwilligung jederzeit widerrufen. Ist das der Fall, müssen die entsprechenden Verarbeitungstätigkeiten sofort eingestellt werden. Im Gesundheitswesen gibt es allerdings eine Ausnahme: Unter bestimmten Voraussetzungen dürfen Gesundheitsdaten nach § 40 Abs. 2a Nr. 3 AMG in Arzneimittelstudien weiterverarbeitet werden, etwa um die Wirkung eines Arzneimittels festzustellen. Darüber müssen die Proband:innen jedoch vorab informiert werden.

Neue Gesetze und Besonderheiten im Gesundheitswesen

Das Thema Datenschutz im Gesundheitswesen ist geprägt von diversen Einzelregelungen, die über die Anforderungen der DSGVO hinausgehen. Insbesondere die neuen Datenschutzanforderungen für Krankenhäuser sind diesbezüglich zu nennen. Aber auch für Medikamentenhersteller und für medizinische Apps gelten spezielle Gesetze.

Seit 2020 gilt beispielsweise das neue Patientendaten-Schutz-Gesetz (PDSG). Es stellt zusätzliche Anforderungen an den Schutz von Patient:innendaten. Krankenhäuser müssen diesbezüglich hohe technische Schutzstandards einhalten und nachweisen.

Eine anderes Gesetz ist das im gleichen Jahr in Kraft getretene Krankenhauszukunftsgesetz (KHZG). Auf Grundlage dessen können medizinische Einrichtungen Fördergelder für Investitionen beim Bund beantragen – allerdings nur, wenn sie einen Teil davon für IT-Sicherheit verwenden. Mit der Förderung lässt sich beispielsweise der Umstieg auf sichere, DSGVO-konforme Technik teilfinanzieren.

Entwickler:innen von sogenannten digitalen Gesundheitsanwendungen müssen die seit 2020 geltende Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) beachten. Diese gibt Anforderungen an den Datenschutz für digitale Gesundheitsanwendungen vor.

Für den Datenschutz bei Herstellern von Medizinprodukten gelten seit Mai 2021 ebenfalls schärfere Vorgaben. Die neue Medizinprodukteverordnung (MDR) setzt unter anderem strengere Anforderungen an die Dokumentation.

Je nach Einzelfall sind noch weitere datenschutzrelevante Gesetzestexte zu berücksichtigen. Betreiber:innen von Krankenhäusern müssen sich beispielsweise an die entsprechenden Vorschriften des in ihrem Bundesland geltenden Landeskrankenhausgesetzes halten.

Weiterhin halten technische Innovationen das Thema Datenschutz im Gesundheitswesen in einem konstanten Wandel. Diesbezüglich zu nennen, ist die elektronische Patientenakte (ePA), die die gesetzlichen Krankenkassen seit Januar 2021 für jede:n Versicherte:n auf freiwilliger Basis führen. Die digitale Akte bündelt Gesundheitsdaten aus bisherigen Patient:innenakten, was Ärzt:innen die Arbeit enorm vereinfacht. Allerdings entstehen dadurch neue Datenschutzrisiken. Beispielsweise macht die zentrale, digitale Speicherung die Daten in den Akten angreifbarer.

Warum ist eine Datenschutz-Folgenabschätzung so wichtig?

Gesundheitsdatenschutz erfordert noch wesentlich mehr von den Verantwortlichen, als lediglich zu informieren und eine Einwilligung der Betroffenen einzuholen. Tatsächlich müssen Unternehmen vor der Verarbeitung von personenbezogenen Gesundheitsdaten eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen.

Dieser tatsächlich komplizierte Vorgang besteht aus einer Vorabprüfung, einer umfassenden Erfassung der Datenschutzvorgänge sowie einer detaillierten Risikoprüfung. Eine DSFA ist zwar umständlich, aber dennoch sehr sinnvoll. Die Ergebnisse des Prüfverfahrens ermöglichen es Unternehmen, Herausforderungen in puncto Datenschutz im Gesundheitsbereich frühzeitig zu identifizieren und Risiken lückenlos zu mitigieren.

Tipp: Wer von Anfang an auf ein effizientes Datenmanagement setzt, vermeidet Aufwand im Nachhinein. Eine DSFA hilft außerdem, das Verzeichnis von Verarbeitungstätigkeiten (VVT) schnell und vollständig zu erstellen und zu pflegen.

Technische und organisatorische Maßnahmen im Gesundheitsbereich

Im Gesundheitswesen können je nach Anwendungsfall spezifische technische und organisatorische Maßnahmen erforderlich sein. Hierzu zählen Maßnahmen zur Anonymisierung oder Pseudonymisierung von Gesundheitsdaten ebenso, wie Prozesse zum Umgang mit Betroffenenrechten, Maßnahmen zur Löschung von Gesundheitsdaten oder der Schutz der Daten vor der unberechtigten Weitergabe an Dritte. Weitere Informationen zur Umsetzung von technischen und organisatorischen Maßnahmen haben wir in diesem Beitrag zum Thema TOM zusammengefast.

Gut zu wissen: Sehr empfehlenswert ist es für medizinische Einrichtungen übrigens, einen PDCA-Zyklus zu implementieren. Das bewährte Modell zur Entwicklung eines Datenschutz-Managementsystems (DSMS) hilft dabei, Datenschutzprozesse agil und durchdacht einzuführen.

Checkliste: Datenschutz im Gesundheitswesen

Datenschutz ist – nicht nur im Gesundheitswesen – immer Teamarbeit. Alle Beteiligten, sowohl intern in den einzelnen Abteilungen eines Unternehmen wie auch Externe, müssen fortlaufend eingebunden werden. Unsere Checkliste „Worauf Datenschutzbehörden im Gesundheitswesen besonders achten“ liefert dazu eine Übersicht, auf welche Punkte besonders zu achten ist. Die Checkliste hilft Unternehmen dabei, den Reifegrades ihres Datenschutzmanagements zu bestimmen:

Fazit

Gesundheitsdaten bedürfen aufgrund ihrer Bedeutung für die Betroffenen eines besonderen Schutzniveaus. Dieses erreichen Unternehmen auf der Grundlage einer DSFA sowie der Planung von im jeweiligen Anwendungsfall relevanten TOM – mitsamt einer sauberen Dokumentation. Dazu empfehlen wir Unternehmen im Gesundheitsbereich eine professionelle DSMS-Software wie caralegal. Mit caralegal Health haben wir sogar eine Datenschutzmanagement-Software speziell für das Gesundheitswesen entwickelt. Das Tool ermöglicht es, die komplexen Anforderungen im Gesundheitsdatenschutz einfach und effektiv umzusetzen.

Der Artikel wurde am 20.07.2022 aktualisiert

Datenschutzmanagement im Gesundheitswesen – der Praxisleitfaden für Unternehmen

Einführung in den Datenschutz im Gesundheitswesen

Was sind personenbezogene Gesundheitsdaten?

Wann dürfen Unternehmen Gesundheitsdaten verarbeiten?

Neue Gesetze und Besonderheiten im Gesundheitswesen

Warum ist eine Datenschutz-Folgenabschätzung so wichtig?

Technische und organisatorische Maßnahmen im Gesundheitsbereich

Checkliste: Datenschutz im Gesundheitswesen

Fazit

Ähnliche Beiträge

7 SDM-Gewährleistungsziele

Auf einen Blick: Schwellwertanalyse

Standard-Datenschutzmodell - ein Praxis-Guide