Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Datenschutzmanagement im Gesundheitswesen – der Praxisleitfaden für Unternehmen

Datenschutz im Gesundheitswesen lässt sich problemlos managen – zumindest dann, wenn die dafür Verantwortlichen die Besonderheiten ihrer Branche kennen und die richtigen Maßnahmen auf den Weg bringen. In diesem Leitfaden geben wir Unternehmen einen umfassenden Überblick und gehen auf praktische Anwendungsfälle ein. Viel Spaß beim Lesen!

von Dennis Kurpierz, Co-Founder & COO

Einführung in den Datenschutz im Gesundheitswesen

Ob im Krankenhaus, in der Arztpraxis oder bei der Nutzung einer medizinischen App – Datenschutz spielt im Gesundheitswesen eine ganz besondere Rolle. Das liegt daran, dass die Branche „direkt am Menschen“ arbeitet und deshalb vergleichsweise viele personenbezogene Daten verarbeitet. So nutzen und produzieren Mediziner:innen, Therapeuten und anderes Fachpersonal zahlreiche Informationen über die Menschen, die sie behandeln. Hierzu zählen neben allgemeinen Daten wie Name, Geburtstag und Versichertennummer zahlreiche sensible Informationen – etwa Berichte über intime Krankheitsverläufe oder Angaben über körperliche und geistige Einschränkungen.

Dass diesen ein besonderer Schutz zukommen muss, liegt auf der Hand. Und tatsächlich sieht unser europäisches Datenschutzgesetz – die Datenschutz-Grundverordnung (DSGVO) – ein außerordentliches Schutzniveau für diese sogenannten personenbezogenen Gesundheitsdaten vor. Unternehmen entstehen dadurch allerdings zahlreiche rechtliche und praktische Herausforderungen, die es zu meistern gilt.

Ob Datenschutzmanagement im Krankenhaus, in der Arztpraxis oder Datenschutz im Labor – beim Gesundheitsdatenschutz gilt: Cool bleiben! Datenschutzmanagement muss gar kein Problem oder gar eine unlösbare „Mammutaufgabe“ sein. Wer smart agiert, anstatt sich die Haare zu raufen und sich in die Thematik in Ruhe einarbeitet, versteht schnell, worauf es ankommt. Im Folgenden zeigen wir einige Hintergründe und erklären, welche Anforderungen im Einzelnen an Unternehmen des Gesundheitssektors gestellt werden, worauf Datenschutzbehörden besonders achten und was das konkret für die Praxis bedeutet.

Was sind personenbezogene Gesundheitsdaten?

Nach Art. 9 DSGVO gehören Gesundheitsdaten zu den besonderen personenbezogenen Daten. Das sind Angaben, die sich auf eine natürliche, juristische Person beziehen. Der Begriff Gesundheitsdaten ist recht weit gefasst. Hierunter fallen alle Informationen, die Aufschluss über den körperlichen oder geistigen Zustand einer Person geben. Dazu können beispielsweise Angaben über Erkrankungen, Behandlungsverläufe oder Medikationspläne zählen. Ebenso gehören Analyseergebnisse aus Laboruntersuchungen dazu. Ferner sind Daten zum Lebensstil den personenbezogenen Gesundheitsdaten zuzuschreiben – raucht der:die Patient:in beispielsweise, treibt er:sie Sport? Sogar Informationen über den Bildungsgrad, das soziale Umfeld und die berufliche Tätigkeit können Aufschluss über den Gesundheitszustand einer Person geben und somit Gesundheitsdaten sein.

Praxisleitfaden: Datenschutz im Gesundheitswesen

Wann dürfen Unternehmen Gesundheitsdaten verarbeiten?

Eigentlich ist das Thema Datenschutz im Gesundheitswesen simpel und mit einem Satz erklärt: Die Verarbeitung von personenbezogenen Gesundheitsdaten ist grundsätzlich verboten – es sei denn! Laut Art. 9 DSGVO ist die Datenverarbeitung zwar erst einmal unzulässig, das bedeutet jedoch nicht, dass Unternehmen nicht trotzdem Gesundheitsdaten verarbeiten dürfen. Um rechtskonform zu bleiben, müssen sie sich allerdings an sehr strenge Auflagen halten.

Gut zu wissen: Die „allgemeine“ Einwilligung nach Art. 6 DSGVO ist im Fall von Gesundheitsdaten keine ausschlaggebende Rechtsgrundlage. Bei Patient:innendaten und Co. gilt stets Art. 9 DSGVO!

Die DSGVO fordert mit Art. 9 Abs. 2 beispielsweise das Einholen einer Einwilligung. Betroffene müssen explizit zustimmen, dass sie mit der Verarbeitung ihrer Daten einverstanden sind, sonst geht nichts.

Dazu ein Beispiel:

Möchte ein Krankenhausbetreiber Gesundheitsdaten seiner Patient:innen erfassen, um auf deren Grundlage künftige Behandlungen zu verbessern, müssen die Patient:innen vorab darüber aufgeklärt werden: Welche Daten werden verarbeitet und warum geschieht dies? Erst wenn die Betroffenen ihr Einverständnis geben, ist die Datenerfassung legal. Gleiches gilt für die Teilnahme an Studien sowie jeder anderen Tätigkeit im Gesundheitswesen, bei der Daten erhoben und/oder genutzt werden.

Für den Einzelfall bedeutet das: Da die Verarbeitung ohne eine rechtskonforme Einwilligung unzulässig ist, müssen Unternehmen im Gesundheitsbereich besonders sorgsam vorgehen. Es gilt, die Betroffenen über den Zweck und alle Umstände der Datenverarbeitung lückenlos aufzuklären. Die Einwilligung muss zudem ausdrücklich von jedem:jeder einzelnen Betroffenen erfolgen. Weiterhin darf sie nur auf freiwilliger Basis geschehen und nicht von bestimmten Voraussetzungen abhängig gemacht werden. Schließlich muss die Verarbeitung von Gesundheitsdaten streng zweckgebunden sein. Das bedeutet, dass Verantwortliche nur solche Informationen verarbeiten dürfen, die für den jeweiligen Zweck, etwa eine Behandlung, tatsächlich erforderlich sind. Stichwort: Datenminimierung.

Gut zu wissen: Betroffene können ihre Einwilligung jederzeit widerrufen. Ist das der Fall, müssen die entsprechenden Verarbeitungstätigkeiten sofort eingestellt werden. Im Gesundheitswesen gibt es allerdings eine Ausnahme: Unter bestimmten Voraussetzungen dürfen Gesundheitsdaten nach § 40 Abs. 2a Nr. 3 AMG in Arzneimittelstudien weiterverarbeitet werden, etwa um die Wirkung eines Arzneimittels festzustellen. Darüber müssen die Proband:innen jedoch vorab informiert werden.

Neue Gesetze und Besonderheiten im Gesundheitswesen

Das Thema Datenschutz im Gesundheitswesen ist geprägt von diversen Einzelregelungen, die über die Anforderungen der DSGVO hinausgehen. Insbesondere die neuen Datenschutzanforderungen für Krankenhäuser sind diesbezüglich zu nennen. Aber auch für Medikamentenhersteller und für medizinische Apps gelten spezielle Gesetze.

Seit 2020 gilt beispielsweise das neue Patientendaten-Schutz-Gesetz (PDSG). Es stellt zusätzliche Anforderungen an den Schutz von Patient:innendaten. Krankenhäuser müssen diesbezüglich hohe technische Schutzstandards einhalten und nachweisen.

Eine anderes Gesetz ist das im gleichen Jahr in Kraft getretene Krankenhauszukunftsgesetz (KHZG). Auf Grundlage dessen können medizinische Einrichtungen Fördergelder für Investitionen beim Bund beantragen – allerdings nur, wenn sie einen Teil davon für IT-Sicherheit verwenden. Mit der Förderung lässt sich beispielsweise der Umstieg auf sichere, DSGVO-konforme Technik teilfinanzieren.

Entwickler:innen von sogenannten digitalen Gesundheitsanwendungen müssen die seit 2020 geltende Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) beachten. Diese gibt Anforderungen an den Datenschutz für digitale Gesundheitsanwendungen vor.

Für den Datenschutz bei Herstellern von Medizinprodukten gelten seit Mai 2021 ebenfalls schärfere Vorgaben. Die neue Medizinprodukteverordnung (MDR) setzt unter anderem strengere Anforderungen an die Dokumentation.

Je nach Einzelfall sind noch weitere datenschutzrelevante Gesetzestexte zu berücksichtigen. Betreiber:innen von Krankenhäusern müssen sich beispielsweise an die entsprechenden Vorschriften des in ihrem Bundesland geltenden Landeskrankenhausgesetzes halten.

Weiterhin halten technische Innovationen das Thema Datenschutz im Gesundheitswesen in einem konstanten Wandel. Diesbezüglich zu nennen, ist die elektronische Patientenakte (ePA), die die gesetzlichen Krankenkassen seit Januar 2021 für jede:n Versicherte:n auf freiwilliger Basis führen. Die digitale Akte bündelt Gesundheitsdaten aus bisherigen Patient:innenakten, was Ärzt:innen die Arbeit enorm vereinfacht. Allerdings entstehen dadurch neue Datenschutzrisiken. Beispielsweise macht die zentrale, digitale Speicherung die Daten in den Akten angreifbarer.

Warum ist eine Datenschutz-Folgenabschätzung so wichtig?

Gesundheitsdatenschutz erfordert noch wesentlich mehr von den Verantwortlichen, als lediglich zu informieren und eine Einwilligung der Betroffenen einzuholen. Tatsächlich müssen Unternehmen vor der Verarbeitung von personenbezogenen Gesundheitsdaten eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen. 

Dieser tatsächlich komplizierte Vorgang besteht aus einer Vorabprüfung, einer umfassenden Erfassung der Datenschutzvorgänge sowie einer detaillierten Risikoprüfung. Eine DSFA ist zwar umständlich, aber dennoch sehr sinnvoll. Die Ergebnisse des Prüfverfahrens ermöglichen es Unternehmen, Herausforderungen in puncto Datenschutz im Gesundheitsbereich frühzeitig zu identifizieren und Risiken lückenlos zu mitigieren.

Tipp: Wer von Anfang an auf ein effizientes Datenmanagement setzt, vermeidet Aufwand im Nachhinein. Eine DSFA hilft außerdem, das Verzeichnis von Verarbeitungstätigkeiten (VVT) schnell und vollständig zu erstellen und zu pflegen.

Technische und organisatorische Maßnahmen im Gesundheitsbereich

Im Gesundheitswesen können je nach Anwendungsfall spezifische technische und organisatorische Maßnahmen erforderlich sein. Hierzu zählen Maßnahmen zur Anonymisierung oder Pseudonymisierung von Gesundheitsdaten ebenso, wie Prozesse zum Umgang mit Betroffenenrechten, Maßnahmen zur Löschung von Gesundheitsdaten oder der Schutz der Daten vor der unberechtigten Weitergabe an Dritte. Weitere Informationen zur Umsetzung von technischen und organisatorischen Maßnahmen haben wir in diesem Beitrag zum Thema TOM zusammengefast.

Gut zu wissen: Sehr empfehlenswert ist es für medizinische Einrichtungen übrigens, einen PDCA-Zyklus zu implementieren. Das bewährte Modell zur Entwicklung eines Datenschutz-Managementsystems (DSMS) hilft dabei, Datenschutzprozesse agil und durchdacht einzuführen.

Checkliste: Datenschutz im Gesundheitswesen

Datenschutz ist – nicht nur im Gesundheitswesen – immer Teamarbeit. Alle Beteiligten, sowohl intern in den einzelnen Abteilungen eines Unternehmen wie auch Externe, müssen fortlaufend eingebunden werden. Unsere Checkliste „Worauf Datenschutzbehörden im Gesundheitswesen besonders achten“ liefert dazu eine Übersicht, auf welche Punkte besonders zu achten ist. Die Checkliste hilft Unternehmen dabei, den Reifegrades ihres Datenschutzmanagements zu bestimmen:

Fazit

Gesundheitsdaten bedürfen aufgrund ihrer Bedeutung für die Betroffenen eines besonderen Schutzniveaus. Dieses erreichen Unternehmen auf der Grundlage einer DSFA sowie der Planung von im jeweiligen Anwendungsfall relevanten TOM – mitsamt einer sauberen Dokumentation. Dazu empfehlen wir Unternehmen im Gesundheitsbereich eine professionelle DSMS-Software wie caralegal. Mit caralegal Health haben wir sogar eine Datenschutzmanagement-Software speziell für das Gesundheitswesen entwickelt. Das Tool ermöglicht es, die komplexen Anforderungen im Gesundheitsdatenschutz einfach und effektiv umzusetzen.

Der Artikel wurde am 20.07.2022 aktualisiert

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Auf einen Blick: Schwellwertanalyse

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren