DSGVO im Gesundheitswesen

DSGVO
Zuletzt aktualisiert: 07.04.2025

Der Umgang mit sensiblen Gesundheitsdaten wie beispielsweise Diagnosen oder Informationen zu Therapiemaßnahmen fordert strenge Sicherheitsvorkehrungen und ist darüber hinaus an transparente Dokumentations- und Informationspflichten gebunden. Die Datenschutz-Grundverordnung (DSGVO) spielt daher auch im Gesundheitswesen eine entscheidende Rolle. Sie stellt den Schutz personenbezogener Gesundheitsdaten sicher, mit dem Ziel, die Privatsphäre der Patienten zu wahren unter gleichzeitiger Berücksichtigung und Wahrung aller rechtlichen Anforderungen. Dieser Artikel vermittelt einen Überblick, worauf Betreiber von Kliniken, Medizinischen Versorgungszentren (MVZ) und Praxen beim Umgang mit und der Verarbeitung von personenbezogenen Gesundheitsdaten zu achten haben.

Inhaltsverzeichnis

  1. Gesetzliche Rahmenbedingungen
  2. Was sind personenbezogene Gesundheitsdaten?
  3. Grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten
  4. Ausnahmen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten
  5. Allgemeine Schutzmaßnahmen für personenbezogenen Gesundheitsdaten
  6. Weitere Verantwortung und Haftung
  7. Fazit

DSGVO im Gesundheitswesen: Gesetzliche Rahmenbedingungen

Die DSGVO, welche am 25. Mai 2018 erstmals in Kraft trat, bildet die zentrale rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union und regelt, wie diese Daten verarbeitet, gespeichert und genutzt werden dürfen. Besonders strenge Vorgaben bestehen für die Verarbeitung von personenbezogenen Gesundheitsdaten, die als sehr sensibel und schützenswert gelten.

Was sind personenbezogene Gesundheitsdaten?

Personenbezogene Gesundheitsdaten sind Informationen, die sich auf die körperliche oder die geistige Gesundheit einer Person beziehen und Rückschlüsse auf diese zulassen beziehungsweise die Identifizierung dieser Person ermöglichen.

Hierzu gehören unter anderem:

  • Informationen über Krankheiten, Diagnosen oder medizinische Befunde
  • Ergebnisse von medizinischen Untersuchungen
  • Informationen zu Behandlungen, Therapiemaßnahmen und Medikamenten
  • Impfstatus
  • Genetische Daten oder Daten über den Gesundheitszustand der Familie der betroffenen Person

Grundsätzliches Verbot der Verarbeitung von Gesundheitsdaten

Gemäß Artikel 9 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) gilt ein grundsätzliches Verbot hinsichtlich der Verarbeitung von Gesundheitsdaten. Unter Geltendmachung bestimmter Rechtfertigungsgründe, welche in Artikel 9 Absatz 2 DSGVO geregelt sind, ist die Gesundheitsdatenverarbeitung jedoch möglich.

Als Angestellter Arzt In Einer Praxis Arbeiten

Praxis & Niederlassung

Von der ersten Geschäftsidee bis zur effizienten Praxisverwaltung und Patientenbindung – hier gibt es alle Infos, um die eigene Praxis erfolgreich zu etablieren.

Mehr zu Praxis & Niederlassung

DSGVO im Gesundheitswesen: Ausnahmen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten

Im Folgenden sind die wichtigsten Ausnahmen auszugsweise zusammengefasst, die Kliniken und Praxisbetreiber anwenden können, um patientenbezogene Gesundheitsdaten zu erheben und zu verarbeiten.

Einwilligung in die Verarbeitung der Gesundheitsdaten

Die DSGVO erlaubt die Verarbeitung von Gesundheitsdaten gemäß Artikel 9 Absatz 2 Buchstabe a, wenn die betroffene Person ausdrücklich in diese Handlung einwilligt. Die Einwilligung ist hierbei jedoch an weitere bestimmte Voraussetzungen gebunden.

Sie muss:

  • freiwillig sein
  • nach ausführlicher Information und unmissverständlich erfolgen
  • zweckgebunden sein
  • schriftlich erfolgen
  • die betroffene Person muss auf die Möglichkeit des Widerrufs hingewiesen werden

Verarbeitung von Gesundheitsdaten zum Schutz lebenswichtiger Interessen

Gemäß Artikel 9 Absatz 2 Buchstabe c DSGVO ist die Verarbeitung von Gesundheitsdaten auch erlaubt, wenn diese zum Schutz lebenswichtiger Interessen einer Person unbedingt erforderlich sind, diese jedoch aufgrund körperlicher (z.B. bei Bewusstlosigkeit) oder rechtlicher (z.B. bei fehlender Geschäftsfähigkeit) Gründe nicht in der Lage ist einzuwilligen.

Verarbeitung für Zwecke der Gesundheitsvorsorge, der Versorgung oder der Behandlung im Gesundheits- oder Sozialbereich

Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9 Absatz 3 DSGVO außerdem zulässig, wenn sie für Zwecke der Gesundheitsvorsorge, der Versorgung oder der Behandlung im Gesundheits- oder Sozialbereich erforderlich ist. Diese Ausnahme ist jedoch ausschließlich Fachpersonal gestattet, welches einem Berufsgeheimnis unterliegt, wie beispielsweise Ärzte, oder wenn die Datenverarbeitung auf einem Vertrag mit einem Angehörigen eines Gesundheitsberufes beruht. Hierzu zählt unter anderem in Krankenhäusern und Arztpraxen beschäftigtes Personal (Ärzte sowie Pflege) sowie Ergo- oder Physiotherapeuten.

Assistenzarzt Gehalt Nach Arbeitgeber

Klinik & Karriere

Die Herausforderungen der Klinikkarriere meistern mit Einblicken in Klinikalltag, Strategien zur Karriereentwicklung und die Kunst der Work-Life-Balance.

Mehr zu Klinik & Karriere

Allgemeine Schutzmaßnahmen für personenbezogenen Gesundheitsdaten

Die DSGVO verlangt für die Verarbeitung von Gesundheitsdaten gemäß Artikel 32 besonders hohe Sicherheitsstandards. Kliniken und Arztpraxen müssen sich hierbei an die folgenden Maßnahmen halten.

Verpflichtung der Mitarbeiter auf das Datengeheimnis

Spätestens am ersten Arbeitstag eines neuen Mitarbeiters ist sicherzustellen, dass dieser über die Beachtung der geltenden datenschutzrechtlichen Anforderungen ausführlich informiert ist.

Zugangskontrollen

Hierdurch soll sichergestellt werden, dass nur berechtigte Personen Zugang zu den gesundheitsbezogenen Patientendaten haben.

Verschlüsselung der Daten

Um die Risiken einer unbefugten Verarbeitung der personenbezogenen Gesundheitsdaten zu minimieren, müssen diese angemessen verschlüsselt werden. Eine Verschlüsselung stellt sicher, dass diese Daten beispielsweise im Rahmen eines Cyberangriffs durch Hacker oder eine andere nicht zugriffsberechtigte Person nicht direkt eingesehen und ausgelesen werden können.

Facharzt Stellenangebote

Alle Facharzt Jobs ansehen >

Weitere Verantwortung und Haftung

Die DSGVO fordert von Organisationen, die personenbezogene Gesundheitsdaten verarbeiten, dass sie darüber hinaus die folgenden Datenschutzmaßnahmen sicherstellen und dokumentieren.

Ernennung eines Datenschutzbeauftragten

Kliniken, große MVZ und Arztpraxen sind basierend auf der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn die folgenden Kriterien vorliegen:

  • Wenn personenbezogene Daten in großem Umfang verarbeitet werden und die Datenverarbeitung demnach als Kerntätigkeit der Einrichtung angesehen werden kann.
  • Wenn regelmäßig mindestens zehn Personen mit der Datenverarbeitung betraut sind.
  • Wenn regelmäßig Datenschutz-Folgeabschätzungen vorgenommen werden müssen.

Eine Datenschutz-Folgenabschätzung zielt darauf ab, Risiken, dies sich aus der Datenverarbeitung ergeben rechtzeitig zu identifizieren und zu minimieren.

Dokumentation der Datenverarbeitungsprozesse und Rechenschaftspflicht

Kliniken, MVZ und Arztpraxen müssen jederzeit in der Lage sein nachzuweisen, dass die im Rahmen der DSVGO auferlegten datenschutzrechtlichen Vorgaben erfüllt werden und sind darüber hinaus dazu verpflichtet, ein Verzeichnis zu führen, das Aufschluss über alle Datenverarbeitungsprozesse gibt.

Schutz vor Datenverlust

Wenn personenbezogene Gesundheitsdaten gestohlen werden oder auf andere Weise verloren gehen, besteht für die betroffene Person das Risiko für einen Identitätsdiebstahl oder einen Missbrauch der entsprechenden medizinischen Informationen. Die eingangs genannte Datenverschlüsselung stellt sicher, dass auch im Fall eines Datenverlusts die betroffenen Informationen nicht ohne einen entsprechende Zugangsschlüssel oder eine Entschlüsselungssoftware zugänglich sind. Gemäß Artikel 33 der DSVGO sind Datenschutzverletzungen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.

Fazit: DSGVO im Gesundheitswesen

Die DSGVO ist entscheidend für den Schutz personenbezogener Gesundheitsdaten, da diese besonders sensibel und schützenswert sind. Sie stellt sicher, dass solche Daten nur mit Einwilligung oder in Ausnahmefällen verarbeitet werden, und schützt damit die Rechte der betroffenen Personen durch strenge Sicherheits- und Transparenzanforderungen.

Autor
Dr. med. Marie-Hélène Manz
Ärztin

Themen

First AD

Neueste Arztstellen

Facharzt Jobs

Facharzt für Psychiatrie I Praxis-Partner*innen
Nürnberg
Oberarzt / Facharzt (m/w/d) Psychiatrie und Psychotherapie (für PIA)
Bad Dürkheim
Fachärztin/Facharzt Innere Medizin für die Weiterbildung zum Nephrologin/en bzw. Fachärztin/Facharzt Innere Medizin mit Zusatzbezeichnung Nephrologie und Möglichkeit der Oberarzttätigkeit
Eberswalde
Tele-Notarzt (gn*)
Münster

Registrierung Newsletter

Newsletter abonnieren

Mit dem praktischArzt Newsletter aktuelle Infos zu Karriere und Medizin erhalten.

Es gelten unsere AGB und Datenschutzerklärung.

Whitepaper

Whitepaper & Tools

Passende Whitepaper & Tools zum Themengebiet.
Praxisübernahme | Checkliste
So geht Praxismarketing
Praxisfinanzierung | Checkliste

Arzt Jobs

Arzt Stellenangebote

Assistenzarzt/-ärztin Stellenangebote
Facharzt/-ärztin Stellenangebote
Oberarzt/ärztin Stellenangebote
Chefarzt/ärztin Stellenangebote

Jobs per Mail erhalten

Jobs per Mail erhalten

Erhalten Sie die neuesten Job für jede Suchanfrage kostenlos per E-Mail.

Jetzt aktivieren

Es gelten unsere AGB und Datenschutzerklärung. Abmeldung jederzeit möglich.