Medizinische Daten unterliegen im Gesundheitswesen dem Datenschutz. Erfasste Gesundheitsdaten sind dabei nicht nur bloße personenbezogene Daten. Sie fallen laut Art. 9 Abs. 1 DSGVO unter die Kategorie der besonderen Daten. Neben der Verarbeitung von Gesundheitsdaten betrifft dies auch die “Verarbeitung von genetischen Daten [und] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person”. Grundsätzlich ist die Erfassung von Daten aus dieser Kategorie untersagt. Art. 9 Abs. 2 DSGVO führt zahlreiche Fälle auf, die eine Verarbeitung der Daten legitimieren. Sie sind als strenge Voraussetzungen zu verstehen. Eine Datenerfassung erfordert demnach eine ausdrückliche Einwilligung des Betroffenen beziehungsweise eine gesetzliche Erlaubnis.
Datenschutz im Gesundheitsbereich
In der Gesundheits- und Pflegebranche gibt es im Bereich Datenschutz mehr zu beachten als in anderen Bereichen. Das liegt vor allem daran, dass hierbei mit sensiblen Daten wie Gesundheitsdaten gearbeitet wird. Wir haben uns auf die datenschutzrechtliche Beratung in dieser Branche spezialisiert.
Gesundheitsdatenschutz: Herausforderungen im Umgang mit medizinischen Daten
Für ärztliches Personal gelten generell die Grundsätze der DSGVO. Diese wirken jedoch mit verschärften Anforderungen an den Datenschutz medizinischer Daten ihrer Patienten. Denn gesundheitliche Informationen sind regelmäßig sehr persönliche Angelegenheiten, die bei Bekanntwerden unter Dritten existenzielle Risiken für die Betroffenen haben können. Im Folgenden gehen wir auf drei spezielle Herausforderungen im Gesundheitsdatenschutz ein:
Geeignete Maßnahmen und Folgenabschätzungen
Technisch und organisatorisch sind Krankenhäuser und Arztpraxen dazu verpflichtet, geeignete Prozesse zu entwickeln, die einen adäquaten Umgang mit den Gesundheitsdaten gewährleisten. Art. 32 DSGVO kennzeichnet dazu erforderliche Maßnahmen. Ärzte und Arzthelfer sind jedoch selten auf diesem Gebiet fachlich bewandert, sodass es innerhalb der Verwaltung notwendig wird, geeignetes Personal einzustellen oder entsprechend zu schulen. Zudem erfordert die Einführung neuer Prozesse eine sogenannte Datenschutz-Folgenabschätzung. Diese umfasst unter anderem Einordnung der Verhältnismäßigkeit der Datenerfassung sowie eine umfassende Risikobetrachtung.
Verschwiegenheitspflicht und die Zusammenarbeit mit Dienstleistern
Eine weitere Herausforderung liegt in der Zusammenarbeit mit externen Dienstleistern. Dabei geht es lange nicht mehr nur um ärztliche Dienstleistungen, sondern digitale Leistungen wie das Speichern von Daten auf Servern Dritter. Die Weitergabe sensibler Daten unterliegt dabei nicht nur den Bestimmungen der DSGVO. Medizinische Daten fallen zugleich unter die Verschwiegenheitspflicht, was die Weitergabe medizinischer Geheimnisse an Dritte untersagt. Somit müssen sich Arztpraxen und Krankenhäuser aus zwei Richtungen dem Datenschutz im Gesundheitswesen annähern.
Meldepflichten und Auskunft geben
Für bestimmte Krankheitsbilder gibt es Meldepflichten, denen das Gesundheitspersonal anonymisiert und pseudonymisiert nachkommen muss. Doch wie sieht es aus mit der Auskunft an Krankenkassen, Behörden oder etwa an Angehörige des Betroffenen? Diese Adressaten müssen hier zwingend unterschieden werden und die Berechtigung der Weitergabe im Einzelnen geprüft. Denn die Beschränkungen sind in der Regel individuell. Die Auskunft an Angehörige führt zudem regelmäßig zu Konflikten, da diese nicht von Grund auf gestattet ist, wie in der Bevölkerung oftmals angenommen wird. Nur bei einer Einwilligung des Patienten darf der Arzt eine Auskunft seine Angehörigen erteilen.
Welche Daten dürfen im Gesundheitswesen nach DSGVO gespeichert werden?
Unter Gesundheitsdaten fallen nach Art. 4 Nr. 15 DSGVO “personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen”. Diese dürfen zunächst nicht gespeichert werden, es sei denn, es besteht eine Einwilligung des Patienten oder gesetzliche Erlaubnis.
Auch weitere personenbezogene Daten wie Name oder Kontaktdaten unterliegen den Bestimmungen der DSGVO. Diese Patientendaten dürfen nur erhoben, gespeichert und verarbeitet werden, sofern eine rechtliche Grundlage besteht oder eine Einwilligung der betroffenen Person vorliegt.
Ist ein Datenschutzbeauftragter in Arztpraxis & Krankenhaus Pflicht?
Ob ein Datenschutzbeauftragter in Arztpraxen, Krankenhäusern oder Apotheken Pflicht ist, lässt sich pauschal nicht beantworten. Eine gesetzliche Verpflichtung besteht zumindest dann, wenn beispielsweise in einer Praxis mehr als 20 Personen ständig mit personenbezogenen Daten in Berührung kommen. Auch bei einem Zusammenschluss in Gemeinschaftspraxen wird die Beauftragung eines Datenschutzbeauftragten zur Pflicht, wenn von einer umfangreichen Verarbeitung der Gesundheitsdaten gemäß Art. 37 Abs. 1 DSGVO ausgegangen werden kann. Für ein gelungenes Datenschutzmanagement ist es auch erlaubt, einen externen Datenschutzbeauftragten zu bestellen.
Um medizinische Daten von Patienten vor Missbrauch zu schützen, gelten im Gesundheitswesen besondere Regelungen für die Erfassung und Verarbeitung. Neben den strengen Vorschriften der DSGVO gilt im Gesundheitsdatenschutz weiterhin die Verschwiegenheitspflicht und sichert die Patientendaten im doppelten Sinne ab.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 28.01.2022
