Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Grundlagen des Datenschutzes im Gesundheitswesen

Im Gesundheitswesen sind medizinische Daten besonders geschützt. Diese umfassen nicht nur persönliche Informationen, sondern fallen gemäß Artikel 9 Absatz 1 der DSGVO in die Kategorie der besonderen personenbezogenen Daten. Dies betrifft nicht nur Gesundheitsdaten, sondern auch die "Verarbeitung von genetischen [und] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person". 

Grundsätzlich ist die Erfassung solcher Daten untersagt, es sei denn, es liegen ausdrückliche Einwilligungen oder gesetzliche Erlaubnisse vor, wie in Artikel 9 Absatz 2 der DSGVO festgelegt.

Welche Daten dürfen im Gesundheitswesen nach DSGVO gespeichert werden?

Gemäß Artikel 4 Nummer 15 der DSGVO umfassen Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Diese dürfen nur mit Einwilligung des Patient:innen oder der gesetzlichen Erlaubnis gespeichert werden. Auch andere personenbezogene Daten wie Name oder Kontaktdaten unterliegen den Bestimmungen der DSGVO und dürfen nur mit rechtlicher Grundlage oder Einwilligung verarbeitet werden.

Dies bedeutet, dass für diese Kategorie personenbezogener Daten nochmal höhere Sicherheitsstandards von der Gesetzgebung vorgesehen sind, um den Datenschutz sicherzustellen – dies bedeutet auch, dass beim Thema Digital Healthcare eine besonders hohe Sensibilität im Umgang mit diesen Daten an den Tag gelegt werden muss. Doch leider landen immer wieder digitalisierte Patientendaten im Netz oder werden anderweitig unbefugt ausgelesen – das ist nicht nur für den Datenschutz gefährlich.

Was versteht man unter Digital Healthcare?

Digital Healthcare, auf Deutsch „digitale Gesundheit“, bezeichnet die Verarbeitung großer Mengen von Gesundheitsdaten zu Analysezwecken. Es geht hauptsächlich darum, Prävention, Diagnostik und Therapien zu verbessern, indem digitale Technologie und klassische Medizin zusammengeführt werden.

Das Konzept Digital Healthcare wird maßgeblich durch das Tempo der Digitalisierung vorangetrieben und zudem durch Technologien, wie die der künstlichen Intelligenz, unterstützt. So werden beispielsweise Mammographie-Bilder digitalisiert und von künstlichen Intelligenzen auf Auffälligkeiten untersucht. Diese Informationen landen sogar häufig im Netz.

Das ist nicht nur für den unternehmensinternen Datenschutz besonders gefährlich, sondern auch für die betroffenen Patient:innen: Denn Gesundheitsdaten sind eine besondere Art personenbezogener Daten, die betroffene Personen besonders verwundbar machen. Durch solche Vorfälle wird einmal mehr sichtbar, wie wichtig der digitale Datenschutz im Internet  ist.

Digital Healthcare & Gesundheitsdatenschutz: Herausforderungen im Umgang mit medizinischen Daten

Für medizinisches Personal in allen Bereichen der Gesundheitsbranche gelten die allgemeinen Grundsätze der DSGVO, jedoch mit verschärften Anforderungen im Umgang mit den Gesundheitsdaten der Patient:innen. Hier sind drei spezielle Herausforderungen im Datenschutz von Gesundheitsdaten zu beachten:

1. Geeignete Maßnahmen und Folgenabschätzungen: Krankenhäuser und Arztpraxen müssen technisch und organisatorisch geeignete Prozesse entwickeln, um den Datenschutz bei Gesundheitsdaten zu gewährleisten. Dies erfordert oft spezielles Personal und die Durchführung von Datenschutz-Folgenabschätzungen, da etwa Ärzt:innene oder Pflegepersonal selten auf dem komplexen Gebiet geschult oder bewandert sind.
2. Verschwiegenheitspflicht und Zusammenarbeit mit Dienstleistern: Die Zusammenarbeit mit externen Dienstleistern, auch für digitale Leistungen, erfordert besondere Aufmerksamkeit. Medizinische Daten unterliegen nicht nur der DSGVO, sondern auch der ärztlichen Verschwiegenheitspflicht. In der digitalen Welt betrifft das etwa das Speichern von derartigen Daten auf den Servern Dritter.
3. Meldepflichten und Auskunft geben: Es gibt Meldepflichten für bestimmte Krankheitsbilder, denen das Gesundheitspersonal anonymisiert und pseudonymisiert nachkommen muss. Die Weitergabe von Informationen an Krankenkassen, Behörden oder Angehörige erfordert eine sorgfältige Prüfung der Berechtigung. Gerade die Auskunft an Angehörige führt oft zu Konflikten. Sie ist nicht von Grund auf gestattet, wie so oft vorausgesetzt wird. Ärzt:innen dürfen auch Angehörigen nur bei einer Einwilligung des Patienten Auskunft erteilen.

Beispiel aus der Praxis: Elektronische Patientenakten und Datenschutz

Auch die elektronische Patientenakte (ePa) spielt im Kontext von Digital Healthcare eine Rolle. Elektronische Patientenakten sind eine E-Health-Technologie und enthalten viele Informationen rund um den Gesundheitszustand und allgemeine Datensätze von Patient:innen. Ab dem 01. Januar 2021 können über die elektronische Patientenakte Behandlungsdaten übergreifend für behandelnde Ärzt:innen verfügbar gemacht werden. Somit haben Patient:innen und ausgewählte Ärzt:innen, Praxen und Krankenhäuser Zugriff auf die sensiblen Daten. Ab dem 01.Juli müssen alle Praxen die ePa unterstützen.

Folgende Informationen können in der elektronischen Patientenakte gespeichert werden:

• Kontaktdaten
• Medikationspläne
• Patientenverfügung
• Vollmacht
• Frühere Operationen und Medikamente
• Organspendeausweis
• Persönliche Aufzeichnungen, wie Fitnesstracker
• Impfungen
• Schwangerschaft und Geburten
• Erkrankungen, Befunde
• Fotos und Röntgenbilder
• Therapieberichte, Arztbriefe
• etc.

Auch der diskutierte Immunitätsausweis wäre solch ein Bestandteil der elektronischen Patientenakte.

Doch wie sieht es mit dem Datenschutz der elektronischen Patientenakte aus? Das Gesetzgebungsverfahren zur ePa ist noch nicht vervollständigt und es sieht derzeit so aus, als sei die Akte in ihrer geplanten Form nicht DSGVO-konform. Patient:innen können sich aber immerhin für oder gegen eine ePa entscheiden. Bei der Entscheidung für die ePa haben Patient:innen jedoch keine Wahlmöglichkeit bei der Einsichtsberechtigung der einzelnen Ärzt:innen. Das bedeutet, dass das ärztliche Fachpersonal der Patient:in auf alle Dokumente Zugriff erhält – das sind sehr weitreichende Befugnisse. Darüber hinaus stellt diese Tatsache eine gravierende Datenschutzproblematik dar, die weiterhin diskutiert wird.

Ist ein Datenschutzbeauftragter Pflicht im Gesundheitswesen?

Die Frage, ob in Arztpraxen, Krankenhäusern oder Apotheken ein Datenschutzbeauftragter erforderlich ist, hängt von verschiedenen Faktoren ab. In folgenden Fällen lässt sich von einer Pflicht zur Benennung eines Datenschutzbeauftragten sprechen:

• Ein Datenschutzbeauftragter muss benannt werden, wenn beispielsweise in einer Praxis mindestens 20 Personen ständig mit personenbezogenen Daten in Berührung kommen. Das betrifft natürlich nicht nur die Patientendaten – auch die Daten der Mitarbeitenden.
• Wenn ein Zusammenschluss zu Gemeinschaftspraxen vorliegt und von einer umfangreichen Verarbeitung der Gesundheitsdaten gemäß Art. 37 Abs. 1 DSGVO ausgegangen werden kann, muss ebenfalls ein Datenschutzbeauftragter bestellt werden. Es ist sogar erlaubt, einen externen Datenschutzbeauftragten zu bestellen, um ein effektives Datenschutzmanagement sicherzustellen.
• Falls eine Datenschutz-Folgenabschätzung zu besonders risikobehafteten Verarbeitungstätigkeiten durchzuführen ist, muss gemäß § 38 Abs. 1 S. 2 BDSG ein Datenschutzbeauftragter benannt werden.

Welche Rolle spielt die Datenschutz-Folgenabschätzung im Gesundheitsbereich

Die Datenschutz-Folgenabschätzung wurde im Zuge der DSGVO eingeführt. Diese muss vor der Verarbeitung von bestimmten personenbezogenen Daten durchgeführt werden. Mithilfe der Datenschutz-Folgenabschätzung sollen mögliche Risiken in der Datenverarbeitung erkannt und bewertet werden. Somit können Risiken bereits im Vorhinein eingegrenzt werden. Laut Art. 35 Abs. 1 S. 1 DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen "sobald eine Verarbeitung aufgrund Ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat".

Oftmals wird in kleinen und mittleren Unternehmen davon ausgegangen, dass ein Datenschutzbeauftragter (DSB) erst ab 20 Mitarbeitern gestellt werden muss. Die Datenschutz-Folgenabschätzung macht diese Regelung allerdings zu Nichten. Denn sobald eine Datenschutz-Folgenabschätzung durchgeführt wird, muss auch ein DSB im Unternehmen sein (§ 38 Abs. 1 S. 2 BDSG). Diese Regelung unterstreicht die Wichtigkeit der Einordnung von Risiken und deren Folgen.

Neben den Vorschriften der DSGVO spielt auch die ärztliche Verschwiegenheitspflicht eine entscheidende Rolle und sichert die Patientendaten doppelt ab.

Verschwiegenheitspflicht im Gesundheitsbereich

Aufgrund der sensiblen Daten, die in der Gesundheitsbranche verarbeitet werden, ist die Zusammenarbeit mit externen Dienstleistern, also die Weitergabe an Dritte und Auftragsverarbeiter, besonders kompliziert. Hier macht die DSGVO genaue Vorgaben, die zu jedem Zeitpunkt beachtet werden müssen, um Datenschutzverstöße zu vermeiden. Dazu kommt die Tatsache, dass diese Daten nicht nur durch die DSGVO geschützt werden, sondern auch aufgrund der medizinischen Verschwiegenheitspflicht unter besonderem Schutz stehen. Diese Verschwiegenheitspflicht ist auch bei der Weitergabe von Gesundheitsdaten an Dritte zu beachten. Entsprechend komplex ist die Datenweitergabe im Gesundheitsbereich: Hier gibt es mehrere datenschutzrechtliche Vorgaben zu beachten.

Aus diesem Grund ist es umso wichtiger, sich professionelle Hilfe an die Seite zu holen. Das Thema Datenschutz ist für die meisten Unternehmen eine Herausforderung, doch besonders in der Gesundheitsbranche gibt es viele Faktoren, die ein einwandfreies und rechtssicheres Datenschutzmanagement erschweren. Wir unterstützen Sie dabei, Datenschutz zu optimieren und so gesetzeskonform zu handeln. Egal, ob Arztpraxis oder Pflegeeinrichtung - wir beraten Sie gerne!

Download: Datenschutz von Gesundheitsdaten

Laden Sie jetzt unser Whitepaper zum Schutz sensibler Gesundheitsdaten herunter. Wir erklären die Grundlagen, sprechen über aktuelle Entwicklungen und Bedenken, auf welche Änderungen Sie sich jetzt vorbereiten müssen und geben Ihnen hilfreiche Tipps und To-dos im Umgang mit sensiblen Daten und wie Sie dabei keine Zeit für Ihre Patient:innen verlieren.

• Grundlagen zum Datenschutz im Gesundheitswesen.
• Aktuelle Entwicklungen und Bedenken.
• Was sagen Patient:innen und Mensch aus dem Gesundheitswesen?
• Praktische Tipps und To-dos.

Digitale Gesundheitsdaten: Warum der Gesundheitsdatenschutz so wichtig ist

Patientendaten sind, wie bereits erwähnt, besonders sensibel. Für Betroffene bergen diese Daten, sollten sie öffentlich gemacht werden, ein erhöhtes Diskriminierungs- und Stigmatisierungsrisiko. Außerdem fallen all diese Informationen unter die ärztliche Schweigepflicht, die bei unbefugtem Zugriff oder Veröffentlichung verletzt wird.

Aus den genannten Gründen beinhaltet die DSGVO zu solchen Daten besonders hohe Sicherheitsanforderungen, was den Datenschutz angeht. Durch geeignete technische und organisatorische Maßnahmen soll sichergestellt werden, dass Unbefugte keinerlei Zugriff erhalten. Je mehr die Digitalisierung im Gesundheitsbereich voranschreitet, desto wichtiger wird der Schutz der Gesundheitsdaten von Patient:innen, da es hier um mehr als um Datenschutz geht – es geht um Leben.

Ausblick: Smart Hospital – Zukunftsträchtiges Modell oder Datenschutzproblem?

Nicht nur Unternehmen, sondern auch Krankenhäuser stehen wegen der Digitalisierung vor neuen großen Herausforderungen. Es geht darum, die Attraktivität, Patientenversorgung und Wettbewerbsfähigkeit der Krankenhäuser über Digital Health zu steigern. Mittels der Möglichkeiten, die die Digitalisierung bietet, können Prozesse in Krankenhäusern deutlich verbessert und Optimierungspotenziale ausgeschöpft werden. Das Krankenhaus 4.0 oder auch Smart Hospital ist Teilbereich der Digital Healthcare und verbindet den Gesundheitsbereich mit neuen Technologien, beispielsweise mit dem Internet of Things (IoT).

Einige digitale Lösungsansätze stecken noch in ihren Kinderschuhen, andere sind bereits in den Krankenhausalltag integriert. Doch auch hier stellt sich die Frage, wie es in Zukunft mit dem Datenschutz aussieht – Datenschutzverletzungen, die für Patient:innen physisch gefährlich werden können, sind weit mehr als eine Datenschutzverletzung, sondern stellen ein ernst zu nehmendes Risiko dar.

Für Krankenhäuser ist es daher wichtig, sich bereits heute so aufzustellen, dass sie nach den Anforderungen der DSGVO handeln und ihre Datenverarbeitung entsprechend gestalten. Hier macht es Sinn, ein geeignetes Datenschutzmanagementsystem zu implementieren. Dies kann helfen, den Überblick bei den zahlreichen zu verarbeitenden Daten und den entsprechenden Schutzmaßnahmen nicht zu verlieren und Leben zu retten.    

FAQ zum Datenschutz im Gesundheitswesen von Gesundheitsdaten

Welche rechtlichen Grundlagen gelten für medizinisches Personal in Bezug auf Daten?
Für ärztliches Personal gelten generell die Grundsätze der DSGVO neben weiteren spezifischen Gesetzesgrundlagen im medizinischen Bereich. Diese beinhalten jedoch verschärfte Anforderungen an den Schutz medizinischer Daten von Patient:innen. Denn gesundheitliche Informationen sind regelmäßig sehr persönliche Angelegenheiten, die bei Bekanntwerden unter Dritten existenzielle Risiken für die Betroffenen haben können.

Was sind "besondere Daten"?
Da Gesundheitsdaten sowie genetische und biometrische Daten natürliche Personen eindeutig identifizierbar machen, fallen sie gemäß Art. 9 Abs. 1 DSGVO in die Kategorie der „besonderen Daten“ – bei ihrer Verarbeitung besteht aufgrund ihrer sensiblen Natur ein erhöhtes Datenschutzrisiko.

Müssen Arztpraxen einen Datenschutzbeauftragten haben? Pauschal lässt sich das nicht beantworten. Es gibt mehrere Umstände, bei denen die DSGVO oder das BDSG die Bestimmung eines Datenschutzbeauftragten vorsieht. Ob dieser intern oder extern arbeitet, ist hierbei nicht festgelegt.

Welche Rechte gelten für Patient:innen?
Patient:innen haben ein Recht auf informationelle Selbstbestimmung. Sie haben außerdem ein Recht auf Einsicht in die Patientenakte, um ihre Gesundheit zu verstehen, die Qualität der Behandlung zu bewerten und auf eine kostenlose Auskunft über ihre Daten.

Was muss bei dem Thema "Auskunft geben" beachtet werden?
Die Auskunft an Krankenkassen, Behörden oder etwa an Angehörige des Betroffenen ist ein heikles Thema. Diese Adressaten müssen hier zwingend unterschieden werden und die Berechtigung der Weitergabe im Einzelnen geprüft werden. Denn die Beschränkungen sind in der Regel individuell. Die Auskunft an Angehörige führt zudem regelmäßig zu Konflikten, da diese nicht von Grund auf gestattet ist, wie in der Bevölkerung oftmals angenommen wird. In der Regel darf nur bei einer Einwilligung des Patient:innen das ärztliche Personal
eine Auskunft an seine Angehörigen erteilen.

Was denken die Deutschen über die Nutzung Ihrer Daten?
Laut einer Deloitte-Studie von 2023 nutzen zwei Drittel der Deutschen mobile Geräte, um Gesundheitsdaten wie ihre Schrittzahl oder die Herzfrequenz zu beobachten.Mehr als die Hälfte der Befragten würden diese Daten mit Ärzt:innen teilen, wenn damit Diagnosen erleichtert oder validiert werden können. Laut „Self-Tracking-Report“ von EPatient Analytics wollen 70 Prozent ihre selbst gesammelten Daten in die elektronische Patientenakte einfließen oder der Krankenversicherung zukommen lassen.

Artikel veröffentlicht am 15.11.2023
Artikel aktualisiert am 21.06.2024