Der Umgang mit sensiblen Gesundheitsdaten wie beispielsweise Diagnosen oder Informationen zu Therapiemaßnahmen fordert strenge Sicherheitsvorkehrungen und ist darüber hinaus an transparente Dokumentations- und Informationspflichten gebunden. Die Datenschutz-Grundverordnung (DSGVO) spielt daher auch im Gesundheitswesen eine entscheidende Rolle. Sie stellt den Schutz personenbezogener Gesundheitsdaten sicher, mit dem Ziel, die Privatsphäre der Patienten zu wahren unter gleichzeitiger Berücksichtigung und Wahrung aller rechtlichen Anforderungen. Dieser Artikel vermittelt einen Überblick, worauf Betreiber von Kliniken, Medizinischen Versorgungszentren (MVZ) und Praxen beim Umgang mit und der Verarbeitung von personenbezogenen Gesundheitsdaten zu achten haben.
Inhaltsverzeichnis
- Gesetzliche Rahmenbedingungen
- Was sind personenbezogene Gesundheitsdaten?
- Grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten
- Ausnahmen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten
- Allgemeine Schutzmaßnahmen für personenbezogenen Gesundheitsdaten
- Weitere Verantwortung und Haftung
- Fazit
DSGVO im Gesundheitswesen: Gesetzliche Rahmenbedingungen
Die DSGVO, welche am 25. Mai 2018 erstmals in Kraft trat, bildet die zentrale rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union und regelt, wie diese Daten verarbeitet, gespeichert und genutzt werden dürfen. Besonders strenge Vorgaben bestehen für die Verarbeitung von personenbezogenen Gesundheitsdaten, die als sehr sensibel und schützenswert gelten.
Was sind personenbezogene Gesundheitsdaten?
Personenbezogene Gesundheitsdaten sind Informationen, die sich auf die körperliche oder die geistige Gesundheit einer Person beziehen und Rückschlüsse auf diese zulassen beziehungsweise die Identifizierung dieser Person ermöglichen.
Hierzu gehören unter anderem:
- Informationen über Krankheiten, Diagnosen oder medizinische Befunde
- Ergebnisse von medizinischen Untersuchungen
- Informationen zu Behandlungen, Therapiemaßnahmen und Medikamenten
- Impfstatus
- Genetische Daten oder Daten über den Gesundheitszustand der Familie der betroffenen Person
Grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten
Gemäß Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) gilt ein grundsätzliches Verbot hinsichtlich der Verarbeitung von Gesundheitsdaten. Unter Geltendmachung bestimmter Rechtfertigungsgründe, welche in Artikel 9 Absatz 2 DSGVO geregelt sind, ist die Gesundheitsdatenverarbeitung jedoch möglich.
Praxis & Niederlassung
Von der ersten Geschäftsidee bis zur effizienten Praxisverwaltung und Patientenbindung – hier gibt es alle Infos, um die eigene Praxis erfolgreich zu etablieren.
DSGVO im Gesundheitswesen: Ausnahmen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten
Im Folgenden sind die wichtigsten Ausnahmen auszugsweise zusammengefasst, die Kliniken und Praxisbetreiber anwenden können, um patientenbezogene Gesundheitsdaten zu erheben und zu verarbeiten.
Einwilligung in die Verarbeitung der Gesundheitsdaten
Die DSGVO erlaubt die Verarbeitung von Gesundheitsdaten gemäß Artikel 9 Absatz 2 Buchstabe a, wenn die betroffene Person ausdrücklich in diese Handlung einwilligt. Die Einwilligung ist hierbei jedoch an weitere bestimmte Voraussetzungen gebunden.
Sie muss:
- freiwillig sein
- nach ausführlicher Information und unmissverständlich erfolgen
- zweckgebunden sein
- schriftlich erfolgen
- die betroffene Person muss auf die Möglichkeit des Widerrufs hingewiesen werden
Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen
Gemäß Artikel 9 Absatz 2 Buchstabe c DSGVO ist die Verarbeitung von Gesundheitsdaten auch erlaubt, wenn diese zum Schutz lebenswichtiger Interessen einer Person unbedingt erforderlich sind, diese jedoch aufgrund körperlicher (z.B. bei Bewusstlosigkeit) oder rechtlicher (z.B. bei fehlender Geschäftsfähigkeit) Gründe nicht in der Lage ist einzuwilligen.
Verarbeitung für Zwecke der Gesundheitsvorsorge, der Versorgung oder der Behandlung im Gesundheits- oder Sozialbereich
Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9 Absatz 3 DSGVO außerdem zulässig, wenn sie für Zwecke der Gesundheitsvorsorge, der Versorgung oder der Behandlung im Gesundheits- oder Sozialbereich erforderlich ist. Diese Ausnahme ist jedoch ausschließlich Fachpersonal gestattet, welches einem Berufsgeheimnis unterliegt, wie beispielsweise Ärzte, oder wenn die Datenverarbeitung auf einem Vertrag mit einem Angehörigen eines Gesundheitsberufes beruht. Hierzu zählt unter anderem in Krankenhäusern und Arztpraxen beschäftigtes Personal (Ärzte sowie Pflege) sowie Ergo- oder Physiotherapeuten.
Klinik & Karriere
Die Herausforderungen der Klinikkarriere meistern mit Einblicken in Klinikalltag, Strategien zur Karriereentwicklung und die Kunst der Work-Life-Balance.
Allgemeine Schutzmaßnahmen für personenbezogenen Gesundheitsdaten
Die DSGVO verlangt für die Verarbeitung von Gesundheitsdaten gemäß Artikel 32 besonders hohe Sicherheitsstandards. Kliniken und Arztpraxen müssen sich hierbei an die folgenden Maßnahmen halten.
Verpflichtung der Mitarbeiter auf das Datengeheimnis
Spätestens am ersten Arbeitstag eines neuen Mitarbeiters ist sicherzustellen, dass dieser über die Beachtung der geltenden datenschutzrechtlichen Anforderungen ausführlich informiert ist.
Zugangskontrollen
Hierdurch soll sichergestellt werden, dass nur berechtigte Personen Zugang zu den gesundheitsbezogenen Patientendaten haben.
Verschlüsselung der Daten
Um die Risiken einer unbefugten Verarbeitung der personenbezogenen Gesundheitsdaten zu minimieren, müssen diese angemessen verschlüsselt werden. Eine Verschlüsselung stellt sicher, dass diese Daten beispielsweise im Rahmen eines Cyberangriffs durch Hacker oder eine andere nicht zugriffsberechtigte Person nicht direkt eingesehen und ausgelesen werden können.
Weitere Verantwortung und Haftung
Die DSGVO fordert von Organisationen, die personenbezogene Gesundheitsdaten verarbeiten, dass sie darüber hinaus die folgenden Datenschutzmaßnahmen sicherstellen und dokumentieren.
Ernennung eines Datenschutzbeauftragten
Kliniken, große MVZ und Arztpraxen sind basierend auf der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn die folgenden Kriterien vorliegen:
- Wenn personenbezogene Daten in großem Umfang verarbeitet werden und die Datenverarbeitung demnach als Kerntätigkeit der Einrichtung angesehen werden kann.
- Wenn regelmäßig mindestens zehn Personen mit der Datenverarbeitung betraut sind.
- Wenn regelmäßig Datenschutz-Folgeabschätzungen vorgenommen werden müssen.
Eine Datenschutz-Folgenabschätzung zielt darauf ab, Risiken, dies sich aus der Datenverarbeitung ergeben rechtzeitig zu identifizieren und zu minimieren.
Dokumentation der Datenverarbeitungsprozesse und Rechenschaftspflicht
Kliniken, MVZ und Arztpraxen müssen jederzeit in der Lage sein nachzuweisen, dass die im Rahmen der DSVGO auferlegten datenschutzrechtlichen Vorgaben erfüllt werden und sind darüber hinaus dazu verpflichtet, ein Verzeichnis zu führen, das Aufschluss über alle Datenverarbeitungsprozesse gibt.
Schutz vor Datenverlust
Wenn personenbezogene Gesundheitsdaten gestohlen werden oder auf andere Weise verloren gehen, besteht für die betroffene Person das Risiko für einen Identitätsdiebstahl oder einen Missbrauch der entsprechenden medizinischen Informationen. Die eingangs genannte Datenverschlüsselung stellt sicher, dass auch im Fall eines Datenverlusts die betroffenen Informationen nicht ohne einen entsprechende Zugangsschlüssel oder eine Entschlüsselungssoftware zugänglich sind. Gemäß Artikel 33 der DSVGO sind Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
Fazit: DSGVO im Gesundheitswesen
Die DSGVO ist entscheidend für den Schutz personenbezogener Gesundheitsdaten, da diese besonders sensibel und schützenswert sind. Sie stellt sicher, dass solche Daten nur mit Einwilligung oder in Ausnahmefällen verarbeitet werden, und schützt damit die Rechte der betroffenen Personen durch strenge Sicherheits- und Transparenzanforderungen.
