Gastbeitrag zum Thema Gesundheitsdaten und Datenschutz der Externen Datenschutzbeauftragten Erdem Durmus und Jens Engelhardt von NOTOS Xperts, spezialisiert auf die Beratung von Geschäftskunden im Bereich Datenschutz und Informationssicherheit.

Gesundheitsdaten sind personenbezogene Daten und unterliegen den Anforderungen des Datenschutzrechts. Krankenhäuser, Arztpraxen, Labore und sonstige medizinische Einrichtungen müssen bei der Verarbeitung von Gesundheitsdaten die Regeln und Rahmenbedingungen des Datenschutzrechts beachten. 

Jens Engelhardt

Autor des Gastbeitrags, Externer Datenschutzbeauftragter und Geschäftsführer bei NOTOS Xperts

Hinweis: Das Datenschutzrecht regelt nicht nur die (erlaubte) Verwendung personenbezogener Daten, sondern setzt auch voraus, dass diese angemessen geschützt werden. 

Wenn vom Datenschutzrecht die Rede ist, sind hiervon alle für einen Datenverarbeiter anwendbaren Gesetze umfasst, etwa die DSGVO (Datenschutz-Grundverordnung), das BDSG (Bundesdatenschutzgesetz), die Datenschutzgesetze der Länder sowie eine Reihe weiterer Spezialgesetze, etwa das Telekommunikationsgesetz (TKG) oder das Telemediengesetz (TMG).

Welche Informationen zählen zu Gesundheitsdaten?

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten und sind von Natur aus sensibler. Es handelt sich bei Gesundheitsdaten um alle Informationen, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, und aus denen Informationen über ihren Gesundheitszustand hervorgehen. Die Feststellung, ob jemand an einer Krankheit erkrankt ist oder nicht, ist bspw. ein Gesundheitsdatum. 

Gesundheitsdaten können entweder einzelne Krankheitssymptome, wie Fieber, Kopfschmerzen und Halsschmerzen, oder auch abschließende Diagnosen sein.

Demnach zählen jegliche Angaben, die unmittelbar oder mittelbar über das gesundheitliche Befinden einer Person Schlüsse ermöglichen, zu Gesundheitsdaten.

Wann ist die Verarbeitung von Gesundheitsdaten erlaubt?

Da es sich bei Gesundheitsdaten um besondere Kategorien personenbezogener Daten handelt, ist eine Erlaubnis aus Art. 9 Abs. 2 DSGVO heranzuziehen. Eine Einwilligung der betroffenen Person, z.B. des Patienten, kann die Verarbeitung rechtfertigen. 

Jede Verarbeitung von Gesundheitsdaten bedarf also einer gesetzlichen Erlaubnis.

Dabei muss das Einholen der Einwilligung bestimmte Kriterien erfüllen, die im Gesetz geregelt sind. 

  • Sie muss freiwillig sein, d.h. der Erklärende darf nicht unter Druck gesetzt werden. 
  • Des Weiteren muss sie in informierter Weise erteilt werden. Der Erklärende muss also wissen, in was er einwilligt.
  • Damit hängt unmittelbar zusammen, dass sie unmissverständlich sein muss. Am besten wird dies erreicht durch klare und verständliche Formulierungen. 
  • Zudem ist zu berücksichtigen, ob sich die Einwilligung auf mehrere Sachverhalte bezieht. Ist dies der Fall, muss die Möglichkeit bestehen, in jedem Sachverhalt separat einzuwilligen. Eine „Generaleinwilligung“ ist datenschutzrechtlich nicht zulässig.

Essenzielles Kriterium einer Einwilligung ist das Widerrufsrecht

Ein Widerrufsrecht bedeutet, dass die betroffene Person die Möglichkeit haben muss, ihre Einwilligung „zurückzunehmen“. Dieses Widerrufsrecht sollte sie mittels einer kurzen Mitteilung gegenüber dem Verantwortlichen, etwa einem Arzt, ausüben können. Nach einem Widerruf müssten die Daten unverzüglich gelöscht werden.

Arzt gibt Patientin eine Einverständniserklärung für die Verarbeitung Ihrer Gesundheitsdaten
Jede Verarbeitung von Gesundheitsdaten bedarf einer gesetzlichen Erlaubnis.
© depositphotos.com

Unter welchen Umständen ist eine Verarbeitung von Gesundheitsdaten ohne Einwilligung erlaubt?

Neben der Einwilligung sind in der DSGVO weitere Rechtsgrundlagen geregelt, die eine Verarbeitung von Gesundheitsdaten erlauben. So kann eine Verarbeitung von Gesundheitsdaten bspw. auch zum Schutz lebenswichtiger Interessen der betroffenen Person notwendig sein, wenn diese aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen.

Ein klassisches praktisches Beispiel hierfür ist der Rettungseinsatz. Wenn eine Person z.B. einen Herzinfarkt erleidet und mit einem Rettungswagen ins Krankenhaus gebracht wird, dann dürfen ihre personenbezogenen Daten (v.a. auch Gesundheitsdaten) auch ohne ihre Einwilligung verarbeitet werden, um ihr Leben zu retten.  

Eine andere Rechtsgrundlage ist die Verarbeitung von Gesundheitsdaten, die die betroffene Person selbst offensichtlich öffentlich gemacht hat. Gemeint ist hier zum Beispiel eine Webseite einer Person, die offen über ihre Krankheit spricht und auch selbst Bilder von eigenen Arztberichten und Laborwerten hochgeladen hat. Die verfügbaren Informationen (und personenbezogenen Daten) könnte etwa ein Krankenhaus oder ein medizinisches Forschungsinstitut nutzen, um die in Rede stehende Krankheit zu erforschen. 

Die Wahl der richtigen Rechtsgrundlage erfordert eine genaue Betrachtung der beabsichtigten Verarbeitung. Im medizinischen Umfeld ist die Einwilligung jedenfalls eine verlässliche Rechtfertigung für die Verarbeitung von personenbezogenen Daten.

Pflichten des Verantwortlichen aufgrund der Verarbeitung von Gesundheitsdaten

Als Daten verarbeitende Stelle hat der Verantwortliche bestimmte Pflichten, denen er nachkommen muss. 

  • So muss er die betroffenen Personen (z.B. Patienten oder Probanden) über die Einzelheiten der Verarbeitung ihrer personenbezogenen Daten informieren oder ihnen die Ausübung ihrer Datenschutzrechte (z.B. Auskunft, Berichtigung, Löschung) ermöglichen und entsprechende Anfragen bearbeiten.
  • Der Verantwortliche muss ein Verzeichnis über die einzelnen Verarbeitungstätigkeiten führen und dieses der zuständigen Datenschutzbehörde bei Verlangen vorlegen
  • Weiterhin muss der Verantwortliche den Schutzbedarf der von ihm verarbeiteten personenbezogenen Daten ermitteln und die Risiken evaluieren, die eintreten können, wenn die personenbezogenen Daten nicht ausreichend geschützt werden. Sofern die Verarbeitung hohe Risiken aufweist, muss der Verantwortliche eine Datenschutz-Folgenabschätzung vornehmen und (technische und organisatorische) Maßnahmen treffen, die hohen Risiken vollständig zu beseitigen oder zumindest auf ein Mindestmaß zu reduzieren. 
  • Eine grundlegende Pflicht des Verantwortlichen ist es zudem, die Datensicherheit zu gewährleisten. Hierfür muss er dem Schutzbedarf der personenbezogenen Daten entsprechende technische und organisatorische Maßnahmen implementieren. Diese Maßnahmen müssen verschiedene Aspekte berücksichtigen, etwa den Zutritt zu Büros, den Zugang zu Datenverarbeitungsanlagen und Serverräumen oder den Zugriff auf in Systemen gespeicherte personenbezogene Daten. 

Eine wichtige Rolle spielt das datenschutzrechtliche Vertragsmanagement

Ein Krankenhaus kann Vertragsbeziehungen mit verschiedenen Geschäftspartnern und Dienstleistern haben, die den Austausch von personenbezogenen Daten erforderlich machen. 

Beispiel: Werden bspw. Blutproben zur weiteren Untersuchung an ein Labor geschickt, dann handelt es sich hier gleichzeitig um eine Weitergabe von personenbezogenen Daten. 

Patientendaten werden vom Arzt in der Patientenakte zusammengetragen
Für die Weitergabe von Patientendaten, bspw. von Blutproben an ein Labor, bedarf es einer Auftragsdatenverarbeitung zwischen Arzt bzw. Krankenhaus und dem Labor.
© depositphotos.com

Das Labor könnte hier z.B. als Auftragsverarbeiter tätig werden, wenn vom Krankenhaus von vornherein bestimmt wird, zu welchem Zweck und in welchem Rahmen die Blutproben verwendet werden dürfen. Um diese Datenweitergabe datenschutzrechtlich zu rechtfertigen, müsste das Krankenhaus mit dem Labor einen Auftragsverarbeitungsvertrag abschließen.

Ein anderes Beispiel ist die gemeinsame Verarbeitung von Gesundheitsdaten von zwei oder mehr Verantwortlichen. Sind zum Beispiel zwei Krankenhäuser an einem gemeinsamen Forschungsprojekt beteiligt und legen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, sind sie gemeinsam Verantwortliche. Nach der DSGVO ist in solchen Fällen zwischen den Verantwortlichen eine Vereinbarung abzuschließen, nach welcher die Datenschutz-Pflichten untereinander aufgeteilt werden.

Erforderlichkeit eines Datenschutzbeauftragten

Da es sich bei Krankenhäusern um Verantwortliche handelt, die aus der Datenschutz-Perspektive in einem sensiblen Bereich agieren, ist für sie die Benennung eines Datenschutzbeauftragten verpflichtend.

Erdem Durmus

Co-Autor des Gastbeitrags, Externer Datenschutzbeauftragter bei NOTOS Xperts

Der Datenschutzbeauftragte muss die erforderliche Fachkunde nachweisen können und sich mit den Vorschriften des Datenschutzrechts auskennen. Er muss die Geschäftsführung und die Mitarbeiter über das Datenschutzrecht unterrichten und auf dessen Einhaltung hinwirken.

Der Datenschutzbeauftragte hat eine beratende und unterstützende Funktion. Zwar ist das Krankenhaus bspw. für die Erstellung der Datenschutz-Dokumentationen selbst verantwortlich, allerdings wird der Datenschutzbeauftragte hierbei unterstützen. Die Unterstützung kann bereits bei der Definition von Anforderungen und der Informationserhebung beginnen und bis zur Ausgestaltung der eigentlichen Dokumentation reichen.

Fazit: Gesundheitsdaten sind sensibel

Krankenhäuser verarbeiten in der Regel eine Vielzahl unterschiedlicher personenbezogener Daten und müssen die datenschutzrechtlichen Bestimmungen einhalten. Die Verarbeitung von Gesundheitsdaten ist ein sensibler Vorgang, denn Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten. Sie sind aufgrund der möglichen Risiken, die mit ihrer unberechtigten oder missbräuchlichen Verwendung eintreten können, besonders zu schützen.Mit der Verarbeitung von personenbezogenen Daten gehen bestimmte Pflichten einher, die jeder Verantwortliche zu beachten hat. Ein Datenschutzbeauftragter, welcher für medizinische Einrichtungen ohnehin verpflichtend zu benennen ist, kann bei der Erfüllung dieser Pflichten unterstützend tätig werden. Auch Arztpraxen und andere Gesundheitseinrichtungen sollten sich darüber beraten lassen, welche Anforderungen an den Datenschutz Sie erfüllen müssen.