Smarte Implantate, Health-Apps, medizinische Wearables und Co. bieten enormes Potenzial im Bereich der Patient:innenüberwachung und Ferndiagnose. Die innovativen Gesundheitshelfer sammeln jedoch viele Daten, die ihre Anwender:innen nicht mit der Welt teilen wollen. Daher gibt es strenge Auflagen, Verordnungen und Gesetze, die den Umgang mit den Daten regulieren. In diesem Beitrag erklären wir die wichtigsten Normen und Prinzipien für das Datenschutzmanagement von Unternehmen für Medizinprodukte.

2018: Mehr Rechte für Medizinprodukthersteller:innen

Externe Dienstleister:innen profitieren seit 2018 von einer Änderung im Strafgesetzbuch. Die Überarbeitung des Paragraphen 203 des Strafgesetzbuchs (StGB) hat eine lang erwartete Anpassung des Umgangs von Geheimnisträger:innen wie Ärzt:innen mit Patient:innendaten gebracht. Es wurde anerkannt, dass externe Dienstleistungsunternehmen Zugang zu bestimmten Informationen brauchen. Ärzt:innen dürfen ihnen diese Daten seit 2018 unter gewissen Umständen zukommen lassen, ohne wegen Geheimnisoffenbarung im Gefängnis zu landen. Grundlage für die Weitergabe ist jedoch, wie fast überall im medizinischen Bereich, die explizite Zustimmung der Patient:innen.

In der Praxis oder im Krankenhaus werden Verträge zwischen Ärzt:innen beziehungsweise Krankenhausbetreiber:innen mit den notwendigen Dienstleistungsunternehmen geschlossen. Diese haben dann Zugriff auf jene Daten, die sie unbedingt für ihre Dienstleistungen benötigen. Sie müssen zudem ihrerseits zur Verschwiegenheit verpflichtet werden. Gleiches gilt, wenn die Dienstleistungsunternehmen die Informationen zur Bereitstellung ihrer Leistungen selbst outsourcen müssen. Der Kreis der Geheimnisträger:innen wurde damit praktisch ausgeweitet, seine Grenzen bleiben aber klar definiert und überwacht. Wer Geheimnisse unerlaubt offenbart, muss unter Umständen sogar mit einer Freiheitsstrafe rechnen.

Diese Abkürzungen sollten Hersteller:innen von Medizinprodukten kennen

Neben dem StGB gibt es zahlreiche weitere Abkürzungen, die Datenschutzverantwortliche kennen sollten. Sie bezeichnen verschiedene Normen und Auflagen, die teilweise speziell für den Gesundheitssektor entwickelt wurden. Die Ansprüche an den Datenschutz durch DSGVO, ISO 13485:2021, MDR 2021 und Co. sind zahlreich und müssen strengstens eingehalten werden. Wir stellen die wichtigsten Abkürzungen und dazugehörigen Inhalte vor.

Datenschutz-Grundverordnung DSGVO

Die Datenschutzgrundverordnung (DSGVO) regelt Datenschutzstandards in der Europäischen Union. Artikel 9 der DSGVO bildet die Grundlage aller Datenschutzregelungen, die den Gesundheitssektor betreffen. Darin werden die besonderen Anforderungen an den Schutz gesundheitlicher Daten anerkannt. Ein einfaches „Alle Cookies akzeptieren“ geht im Gesundheitssektor weder bei der Ernährung noch beim Datenschutz durch. Wer sich jedoch streng an die DSGVO hält, erfüllt in der Regel alle Datenschutznormen.

Die europäische Medizinprodukteverordnung (MDR) von 2021

Zu den bedeutsamsten Verordnungen für Medizinprodukthersteller:innen gehört ohne Zweifel die MDR. Wer dabei an die journalistischen Standards des Mitteldeutschen Rundfunks denkt, liegt falsch. Die europäische Medizinprodukteverordnung (MDR) gilt seit dem 26. Mai 2021 und ersetzt nach Ablauf der meisten Übergangsphasen nun weitestgehend die vorangegangenen Richtlinien für Medizinprodukte. Damit gelten neue Regelungen und Anforderungen für das Qualitätsmanagement von Medizinprodukten sowie den Datenschutz bei ihren Hersteller:innen. Ein häufiger Kritikpunkt gilt dem gestiegenen Dokumentationsaufwand, der ohne entsprechende Software kaum noch zu bewältigen ist.

Das CE-Konformitätssystem – weiterhin klasse

Das bisherige CE-Konformitätssystem bleibt auch mit der neuen MDR grundsätzlich bestehen. Produkte werden also weiterhin in die Klassen I bis III eingeordnet. Medizinprodukthersteller:innen, die Gehhilfen anfertigen, bewegen sich damit beispielsweise unverändert in der Klasse I mit dem geringsten Risikopotenzial und daher mit der geringsten Kontrolle.

MDR und PMS (Post-Market Surveillance)

Medizinprodukthersteller:innen sehen sich durch die MDR mit weiteren strengen Anforderungen konfrontiert. Insbesondere der Inhalt der technischen Dokumentation ist sehr detailliert geregelt. Darüber hinaus sieht die MDR eine strenge Überwachung neuer Medizinprodukte nach ihrem Inverkehrbringen vor – und ruft Hersteller:innen zur proaktiven Post-Market Surveillance (PMS) auf. Dabei müssen kontinuierlich zahlreiche Daten gesammelt und bewertet werden.

Nur auf dieser Datenbasis können Medizinprodukthersteller:innen gegebenenfalls nötige Maßnahmen einleiten. Sie müssen jedoch dabei darauf achten, dass sie mit den gesammelten Daten im Sinne der DSGVO-Prinzipien umgehen. Dabei können moderne Softwarelösungen helfen, die Sicherheitsrisiken benennen und die neuesten Vorgaben der Datenschutzbehörden kennen. Letzten Endes profitieren neben den Patient:innen auch die Hersteller:innen von einer systematisierten Überprüfung der Qualität und Sicherheit der Medizinprodukte.

MDR und QMS

Apropos Qualität: Seit dem Inkrafttreten der neuen MDR 2021 gilt eine neue Qualitätsmanagementsystemverpflichtung. Nicht nur die Bezeichnung ist lang, auch die Pflicht wurde ausgeweitet. Seitdem ist ein Qualitätsmanagementsystem (QMS) nämlich selbst für Hersteller:innen von Produkten der Risikoklasse I verpflichtend. Generell gelten für Gesundheitsprodukthersteller:innen und Unternehmen des Gesundheitssektors besonders hohe Anforderungen an das QMS. Dies bedeutet im Arbeitsalltag vor allem einen hohen Dokumentationsaufwand. Technische Softwarelösungen beschleunigen mittlerweile diese Prozesse, die manuell kaum umsetzbar wären.

Qualitätsmanagement nach DIN ISO 13485:2021

Nicht nur Ärzt:innen und Angestellte in Krankenhäusern, auch Hersteller:innen von Gesundheitsprodukten müssen also im Umgang mit Patient:innen immer den Datenschutz im Auge behalten. Besondere Bedeutung hat dafür nicht zuletzt die DIN ISO 13485:2016. Dabei handelt es sich um eine weitere Norm, die bestimmte Anforderungen an das Qualitätsmanagement für Medizinprodukthersteller:innen beschreibt. Sie wurde 2021 durch die ISO 13485:2021 inhaltlich weitestgehend bestätigt. Vor allem die zugrundeliegenden Datenschutzprinzipien bleiben aktuell.

Die Norm verdeutlicht, dass die Vertraulichkeit von Gesundheitsdaten seitens der Hersteller:innen von Medizinprodukten zu gewährleisten ist. Daneben gibt es eine Reihe weiterer Anforderungen. Im Fokus der ISO 13485 stehen die Prozesse in Unternehmen des Gesundheitssektors. Daraus leitet sich für die entsprechenden Unternehmen insbesondere ein größerer Dokumentationsaufwand ab. Die umfangreiche Qualitätspolitik der Medizinprodukthersteller:innen muss unter anderem durch eine laufende Dokumentation von Prozessen, eine technische Akte und ein Qualitätsmanagementhandbuch untermauert werden.

Darüber hinaus regelt die Norm zum Beispiel auch Computersysteme umfassend. So wird etwa eine Softwarevalidierung von elektronischen QMS gefordert. Medizinprodukthersteller:innen sollten die etablierten Prozesse in ihrem Qualitätsmanagement unbedingt auf dem neuesten Stand halten.

Alle Anforderungen im Gesundheitsdatenschutz erfüllen 

Gerade im Gesundheitswesen gibt es eine Vielzahl an Anforderungen, die (auch) für Medizinprodukthersteller:innen gelten. Ein effektiver Weg, um den Überblick zu behalten und sensible Daten effektiv zu schützen, ist die Implementierung eines umfassenden Datenschutzmanagement-Systems. Damit können datenschutzrechtliche Probleme und Risiken im Unternehmen erkannt und behoben werden. Unser Praxis-Guide zum Datenschutzmanagement im Gesundheitswesen gibt einen tieferen Einblick über die speziellen Anforderungen im Gesundheitsdatenschutz und wie Datenschutzverantwortliche diese problemlos umsetzen können!