Im Gesundheitswesen werden unzählige, besonders sensible Daten von Patient:innen, Studienteilnehmer:innen oder sonstigen Personen verarbeitet. Neben Vor- und Nachname finden sich schnell detaillierte Berichte zu intimen Krankheitsverläufen, welche in der Regel ungern von betroffenen Personen veröffentlicht werden. Diese Daten verdienen daher einen besonderen Schutz, den die DSGVO Gesundheitsdaten auch zukommen lässt. Daraus folgen viele rechtliche Herausforderungen für Unternehmen. Das muss aber kein Problem sein: Wer die Datenschutzanforderungen für den Gesundheitssektor kennt und weiß, worauf es in der Praxis ankommt, darf mit Gesundheitsdaten rechtskonform verarbeiten. Wir erklären daher in unserem Praxisleitfaden die rechtlichen Hintergründe, welche Anforderungen im Einzelnen an Akteur:innen des Gesundheitssektors gestellt werden, worauf Datenschutzbehörden bei einer Prüfung besonders achten und was daraus für die Praxis folgt – damit Unternehmen in Zukunft ganz entspannt auch den Schutz von Gesundheitsdaten managen können.

Was sind personenbezogene Gesundheitsdaten?

Aus rechtlicher Perspektive gehören Gesundheitsdaten zu den besonderen personenbezogenen Daten. Der Art. 9 DSGVO versteht unter Gesundheitsdaten alle Informationen, die sich auf eine natürliche Person beziehen und Aufschluss über ihren Gesundheitszustand ermöglichen. Diese Schwelle ist schnell erreicht, der Begriff sehr weit gefasst – alle Informationen, die in irgendeiner Weise die körperliche oder psychische Gesundheit eines Menschen betreffen, gehören dazu. Konkret gehören dazu beispielsweise alle Informationen zum Gesundheitszustand wie Krankheiten, Symptome oder Behandlungsverläufe sowie Informationen aus Laboranalysen und Therapien wie genetische Test, Blutwerte oder Medikationspläne. Doch auch Daten zum Lebensstil wie Ernährung und Bewegung sowie zur sozio-ökonomischen Stellung einer Person (Bsp. Ausbildung und Arbeitsstellung) können Aufschluss über die Gesundheit einer Person geben und damit als Gesundheitsdaten zu qualifizieren sein. Tipp: Auch die Versicherungsnummer fällt unter den Art. 9 DSGVO.

Voraussetzung für Gesundheitsdaten nach Art. 9 DS-GVO sind der Personenbezug und der Gesundheitsbezug. Beispiele für Gesundheitsdaten sind Untersuchungsergebnisse, Terminvereinbarung beim Arzt, Fitnesstracker-Daten, Medikationspläne oder eine Passkopie mit einer Brille.

Wann dürfen Gesundheitsdaten verarbeitet werden?

In Art. 6 hält die DSGVO einige Rechtsgrundlagen für Datenverarbeitungen bereit. Allerdings ist nach Art. 9 die Verarbeitung grundsätzlich unzulässig. Das bedeutet allerdings nicht, dass Datenverarbeitungen im Gesundheitswesen nicht möglich sind – vielmehr müssen die erhöhten Anforderungen bekannt sein und umgesetzt werden. Ein sicheres Vorgehen ist demnach das Einholen einer Einwilligung nach Art. 9 Abs. 2 DSGVO. Ein Beispiel: Möchte ein Krankenhaus von seinen Patienten umfangreiche Daten zur Behandlung erfassen, um mit den Daten zukünftig die Behandlungsergebnisse zu verbessern, müssen die Patient:innen vorab darüber aufgeklärt werden, welche Daten von ihnen verarbeitet werden und zu welchem Zweck. Sind diese damit einverstanden, können die Daten erfasst werden. Gleiches gilt für die Teilnahme an Studien oder auch jeder anderen Tätigkeit im Gesundheitswesen, bei der Daten verarbeitet werden. Im Einzelnen bedeutet das: Da die Verarbeitung ohne eine rechtskonforme Einwilligung unzulässig ist, sollten Verantwortliche hier besonders genau hinsehen. Die Einwilligung muss ausdrücklich erklärt und die Betroffenen müssen über alle Umstände der Datenverarbeitung umfassend aufgeklärt werden. Schließlich muss sie freiwillig sein und nicht von bestimmten Voraussetzungen abhängig gemacht werden. Zudem sollte die Verarbeitung streng zweckgebunden erfolgen – das heißt, nur solche Informationen dürfen verwendet werden, die für den jeweiligen Zweck, etwa eine Behandlung, notwendig sind.
Wichtig ist auch, dass die Einwilligung jederzeit widerrufen werden kann. Verantwortliche müssen dann sofort die Datenverarbeitung vollständig einstellen, die in der Regel nicht ohne eine Datenschutz-Folgenabschätzung (DSFA) auskommt. Im Gesundheitswesen gibt es allerdings eine Ausnahme: Unter bestimmten Voraussetzungen können Gesundheitsdaten nach § 40 Abs. 2a Nr. 3 AMG in Arzneimittelstudien weiterverarbeitet werden, etwa um die Wirkung eines Arzneimittels feststellen zu können. Auch hier müssen die Studienteilnehmenden darüber informiert werden.

Welche weiteren Gesetze und Regelungen gelten im Gesundheitsdatenschutz?

Darüber hinaus ist Datenschutz im Gesundheitswesen geprägt von einer Vielzahl einzelner Regelungen, die in den letzten Jahren stark angestiegen sind. So enthält etwa das neue Patientendaten-Schutzgesetz (PDSG) zusätzliche detaillierte Schutzvorgaben für Patientendaten. Akteure des Gesundheitswesens, vor allem Krankenhäuser, müssen danach hohe technische Schutzstandards für Patientendaten vorweisen können.
In diesem Zusammenhang ist auch die elektronische Patientenakte (ePA) zu nennen, die Informationen aus Patientenakten digital bündelt, beispielsweise Diagnosen, Behandlungsverläufe oder Röntgenbilder. Das verbessert die Möglichkeiten der Behandlung, ist aber mit neuen Datenschutzrisiken verbunden. Eine andere Neuerung ist das Krankenhauszukunftsgesetz (KHZG), durch das Krankenhäusern für die Digitalisierung und die erforderliche IT-Sicherheit finanzielle Unterstützung zugesichert wird. Je nach Einzelfall können des Weiteren noch ganz unterschiedliche Spezialgesetze zur Anwendung kommen, etwas die diversen Landeskrankenhausgesetze oder die Digitale-Gesundheitsanwendungen-Verordnung (DiGAV).

Warum ist eine Datenschutz-Folgenabschätzung wichtig?

Auf dieser Grundlage sollte gerade im Gesundheitswesen auf ein effektives Datenschutzmanagement geachtet werden. Hier sollte aufgrund der Sensibilität der Daten ein Datenschutzmanagementsystem (DSMS) implementiert werden, bestenfalls mit einer speziellen Gesundheitsdatenschutz-Software. Die Auswahl, Entwicklung, Integration technischer Sicherheitskonzepte ist dabei entscheidend für den Erfolg des jeweiligen Projekts. Denn Gesundheitsdatenschutz bedeutet mehr als Einwilligungen einholen: Bei der Verarbeitung von Gesundheitsdaten ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, die aus Vorabprüfung, umfassender Erfassung der Datenschutzvorgänge und detaillierter Risikoprüfung besteht und sich daher als äußerst komplex erweisen kann. Eine DSFA lässt sich aber durchaus mit Gewinn umsetzen, indem Herausforderungen an Datenschutz und Datensicherheit bereits in der Entwicklungsphase identifiziert und und Risiken mitigiert werden. Wer hier gleich auf ein effizientes Datenmanagement setzt, vermeidet Aufwand im Nachhinein. Zudem hilft sie dabei, das Verzeichnis von Verarbeitungstätigkeiten (VVT) schnell und vollständig zu erstellen und zu pflegen. Für Informationen, wie man eine DSFA im Einzelnen durchführt, hat unsere Partnerkanzlei Schürmann Rosenthal Dreyer Rechtsanwälte einen Beitrag zur DSFA im Gesundheitswesen veröffentlicht.

Welche sonstigen Maßnahmen verhelfen zu einem effektiven Datenschutzmanagement?

Im Gesundheitswesen ebenfalls entscheidend können Maßnahmen zur Anonymisierung oder Pseudonymisierung der personenbezogenen Daten sein, Prozesse zum Umgang von Betroffenenrechten, Maßnahmen zur Löschung von Gesundheitsdaten oder der Schutz vor unberechtigter Weitergabe an Dritte. Die spezifischen TOM hängen allerdings vom jeweiligen Einzelfall ab – viele wie etwa die Nutzung anonymer Datenerhebungen oder sicherer Passwörter lassen sich aber auch schon aus Handbüchern oder Guides entnehmen. Tipp: In der Praxis empfiehlt sich nicht nur eine Zwei-Faktor Authentifizierung einzuführen, sondern diese auch spezifisch auf das höchste Schutzniveau zu kontrollieren: So empfehlen sich 8 statt 6 stellige Codes oder das Aktivieren einer Geolokalisierungen. Weitere Informationen zur Umsetzung von technisch-organisatorischen Maßnahmen gibt es auch in unserem Beitrag zum Thema TOM.

Übrigens: Art. 6 DSGVO, in dem sich die „allgemeine“ Einwilligung befindet, kann allein nicht als Rechtsgrundlage angegeben werden. Bei Gesundheitsdaten muss immer der oben beschriebene Art. 9 DSGVO mitberücksichtigt werden.

Schließlich ist Datenschutz (nicht nur im Gesundheitswesen) echte Teamarbeit. Alle Akteur:innen, sowohl intern im eigenen Unternehmen als auch Externe, sollten stets mit eingebunden werden. Die Checkliste “Worauf Datenschutzbehörden im Gesundheitswesen besonders achten” soll Unternehmen, die Gesundheitsdaten verarbeiten, bei der Bestimmung des eigenen Reifegrades im Datenschutzmanagement helfen.

 

Es gibt 5 Themengebiete der DS-GVO, auf die Datenschutzbehörden im Gesundheitswesen bei einem Audit besonders achten.

Es empfiehlt sich zudem die Implementierung eines PDCA-Zyklus, um Datenschutz nicht nur von Anfang an mitzubedenken, sondern über den gesamten Entwicklungsprozess und die Durchführung des jeweiligen Projekts hinweg. Denn die Unkosten, nachträglich Datenschutzanforderungen umzusetzen, können sehr hoch sein und oftmals mehrere Monate Mehraufwand bedeuten.

Fazit

Gesundheitsdaten bedürfen also aufgrund ihrer Bedeutung für die betroffene Person eines besonderen Schutzes. Aufgrund der zahlreichen, an verschiedenen Stellen verstreuten hohen Anforderungen an den Datenschutz ist es geboten, Datenschutz von Anfang an mit zu berücksichtigen. Dazu gehören der Aufbau einer Datenschutzorganisation und eine abteilungsübergreifende Zusammenarbeit. Wir von caralegal haben eine Datenschutzmanagement-Software speziell für das Gesundheitswesen entwickelt, in der nicht nur diese Erkenntnisse eingeflossen sind, sondern die zudem speziell auf die Besonderheiten des Gesundheitsdatenschutzes eingeht. Mit dem richtigen Überblick, Praxiserfahrung und caralegal health lassen sich die komplexen Anforderungen im Gesundheitsdatenschutz einfach und effektiv umsetzen.