Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Im Gesundheitswesen sind medizinische Daten besonders geschützt. Diese umfassen nicht nur persönliche Informationen, sondern fallen gemäß Artikel 9 Absatz 1 der DSGVO in die Kategorie der besonderen Daten. Dies betrifft nicht nur Gesundheitsdaten, sondern auch die "Verarbeitung von genetischen [und] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person". Grundsätzlich ist die Erfassung solcher Daten untersagt, es sei denn, es liegen ausdrückliche Einwilligungen oder gesetzliche Erlaubnisse vor, wie in Artikel 9 Absatz 2 der DSGVO festgelegt.

Gesundheitsdatenschutz: Herausforderungen im Umgang mit medizinischen Daten

Für medizinisches Personal in allen Bereich der Gesundheitsbranche gelten die allgemeinen Grundsätze der DSGVO, jedoch mit verschärften Anforderungen im Umgang mit den Gesundheitsdaten der Patienten. Hier sind drei spezielle Herausforderungen im Gesundheitsdatenschutz zu beachten:‍

• Geeignete Maßnahmen und Folgenabschätzungen: Krankenhäuser und Arztpraxen müssen technisch und organisatorisch geeignete Prozesse entwickeln, um den Datenschutz bei Gesundheitsdaten zu gewährleisten. Dies erfordert oft spezielles Personal und die Durchführung von Datenschutz-Folgenabschätzungen, da etwa Ärzte oder Pflegepersonal selten auf dem komplexen Gebiet geschult oder bewandert sind.
• Verschwiegenheitspflicht und Zusammenarbeit mit Dienstleistern: Die Zusammenarbeit mit externen Dienstleistern, auch für digitale Leistungen, erfordert besondere Aufmerksamkeit. Medizinische Daten unterliegen nicht nur der DSGVO, sondern auch der ärztlichen Verschwiegenheitspflicht. In der digitalen Welt betrifft das etwa das Speichern von derartigen Daten auf den Servern Dritter.
• Meldepflichten und Auskunft geben: Es gibt Meldepflichten für bestimmte Krankheitsbilder, denen das Gesundheitspersonal anonymisiert und pseudonymisiert nachkommen muss. Die Weitergabe von Informationen an Krankenkassen, Behörden oder Angehörige erfordert eine sorgfältige Prüfung der Berechtigung. Gerade die Auskunft an Angehörige führt oft zu Konflikten. Sie ist nicht von Grund auf gestattet, wie so oft vorausgesetzt wird. Ärzte dürfen auch Angehörigen nur bei einer Einwilligung des Patienten Auskunft erteilen.

Welche Daten dürfen im Gesundheitswesen nach DSGVO gespeichert werden?

Gemäß Artikel 4 Nummer 15 der DSGVO umfassen Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Diese dürfen nur mit Einwilligung des Patienten oder gesetzlicher Erlaubnis gespeichert werden. Auch andere personenbezogene Daten wie Name oder Kontaktdaten unterliegen den Bestimmungen der DSGVO und dürfen nur mit rechtlicher Grundlage oder Einwilligung verarbeitet werden.

Ist ein Datenschutzbeauftragter Pflicht?

Die Frage, ob in Arztpraxen, Krankenhäusern oder Apotheken ein Datenschutzbeauftragter erforderlich ist, hängt von verschiedenen Faktoren ab. Eine gesetzliche Verpflichtung besteht beispielsweise, wenn mehr als 20 Personen ständig mit personenbezogenen Daten arbeiten. Das betrifft natürlich nicht nur die Patientendaten – auch die Daten der Mitarbeitenden. Auch bei Gemeinschaftspraxen kann ein Datenschutzbeauftragter notwendig werden. Es ist sogar erlaubt, einen externen Datenschutzbeauftragten zu bestellen, um ein effektives Datenschutzmanagement sicherzustellen.

Im Gesundheitswesen gelten spezielle Regeln, um medizinische Daten vor Missbrauch zu schützen. Neben den Vorschriften der DSGVO spielt auch die ärztliche Verschwiegenheitspflicht eine entscheidende Rolle und sichert die Patientendaten doppelt ab.