Datenschutz Gesundheitsdaten

Mit der fortschreitenden Digitalisierung im Gesundheitswesen spielen datenschutzbezogene Fragestellungen eine bedeutsame Rolle. Gesundheitsdaten unterliegen seit jeher der Verschwiegenheitspflicht und erfordern bei der Verarbeitung besonderer Maßnahmen, Vorgehensweisen, sowie systemische Lösungen. Diese Herausforderungen entstehen längst nicht mehr ausschließlich bei Angehörigen eines Gesundheitsberufes, in Arztpraxen, Krankenhäusern oder bei der Krankenkasse. Auch Vereine, Verbände, Organisationen sowie Hersteller von Apps und digitalen Produkten oder dritten Dienstleistern (z. B. IT, Cloud-Diensten) müssen eng gefasste Regularien, mit Bezug auf personenbezogene Daten, erfüllen.

Medizinische Institutionen, Ärzte, Krankenhäuser, Mitarbeiter in der Pflege oder Apotheker setzen zunehmend auf digitale Prozesse, die eine Erleichterung, Beschleunigung und Erweiterung der Diagnostik und des Beratungs- und Behandlungsumfangs ermöglichen. Dem Patienten und dessen Angehörige werden innovative und zukunftsweisende Technologien im Bereich Gesundheitswesen aufgezeigt und zugänglich gemacht. Die Verarbeitung und Analyse von Gesundheitsdaten ist für die Erforschung von Krankheiten, möglichen Therapien, Präventions- und Prognosemaßnahmen, sowie Risikobewertung, beispielsweise in Bezug auf Pandemien und der Steigerung der Effizienz in der Gesundheitsversorgung, unverzichtbar. Die Datenspende ist ein wichtiger Aspekt und Lösungsansatz der globalen gesellschaftlichen, technologischen und medizinischen Zukunft.

Doch welche Bedingungen müssen für einen vertrauensvollen, produktiven und effektiven Umgang mit Gesundheitsdaten erfüllt werden? Das Zulassen von kritischen Fragen, offenen Diskussionen, transparenten Vorgänge im Datenschutzmanagement, einheitliche Regeln und Sicherheitsstandards, sowie eine umfassende Aufklärung, Hilfe und Beteiligung sind die Verpflichtung für eine gemeinsame Zusammenarbeit.

Die gesetzliche Grundlage und verbindliche Leitlinien für die Verarbeitungsvorgänge von Gesundheitsdaten im In- und EU-Ausland bildet das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung.

Bundesdatenschutzgesetz (BDSG) und die Datenschutzgrundverordnung (DSGVO)

Das Bundesdatenschutzgesetz trat am 1. Januar 1978 in Kraft und regelt die Verarbeitung von personenbezogenen Daten öffentlicher Stellen des Bundes und der Länder. Ergänzt und konkretisiert wurde es im November 2018 durch die Verordnung der Europäischen Union der Datenschutzgrundverordnung (DSGVO oder DS-GVO), welche die Reglungen zur Verarbeitung von personenbezogene Daten durch private und öffentliche Organisationen EU-weit beinhaltet.

Gesundheitsdatenschutz unter der Datenschutzgrundverordnung (DSGVO)

Der Schutz personenbezogener Daten bei der Ausübung der Datenerfassung und Datenverarbeitung ist ein Grundrecht und somit in der Charta der Grundrechte der Europäischen Union verankert. Bei Gesundheitsdaten handelt es sich um besondere Kategorien von personenbezogenen Daten und unterliegen aus diesem Grund der höchsten Stufe des Datenschutzes. Die Rechtsgrundlage bildet die Datenschutzgrundverordnung Art. 9. Bei grundsätzlichem Verbot legitimieren nur wenige Voraussetzungen eine Verarbeitung dieser Daten. Ob diese besonders geschützten Daten in einem Krankenhaus, einer Arztpraxis, von medizinischem Personal, Vertretern eines anderen Gesundheitsberufs oder vom Anwender selbst in einer App erhoben wurden, ist nicht entscheidend.

Anforderungen bei besonderen Datenarten

In Artikel 4 DSVGO enthält die Definition unterschiedlicher Arten von personenbezogenen Daten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. (vgl. Artikel 4, 1 DSVGO)

Genetische Daten – personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden (vgl. Artikel 4, 13 DSVGO)

Biometrische Daten – mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (vgl. Artikel 4, 14 DSVGO)

Gesundheitsdaten – personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (vgl. Artikel 4, 15 DSVGO)

Eine weitere Sonderregelung bezüglich personenbezogener Daten mit Blick auf Kinder zeigt Art. 8 DSGVO auf. Hier unterscheidet sich die Rechtmäßigkeit der Verarbeitung (gem. Art. 6 DSGVO) zwischen Kindern, die das 16. Lebensjahr erreicht haben und jüngeren Kindern, bei denen eine Einwilligung mit elterlicher Verantwortung vorliegen muss.

Was sind Gesundheitsdaten?

Gesundheitsdaten sind gemäß Erwägungsgrund 35 DSGVO alle vergangenen, gegenwärtigen und zukünftigen Informationen jeglicher Ausprägung über den physischen und psychischen Zustand einer natürlichen Person. Hierbei handelt es sich, neben den direkte medizinischen Gesundheitsdaten, wie Krankheiten, Schwangerschaften, Vorerkrankungen, Versorgung oder Behandlung von Patienten, Krankheitsrisiken, Allergien, Röntgenaufnahmen, den Besuch einer Selbsthilfegruppe oder eine Behinderung, Anmeldungen und Erbringungen von Gesundheitsdienstleistungen, Befunde und Diagnosen aus Untersuchungen von biologischen und genetischen Proben, sowie jedes Körperteils und körpereigener Substanz jeglicher Art.

Zudem sind indirekte Gesundheitsdaten im Sinne von Selbsttests und sonstige öffentlich und nicht-öffentlich zugänglichen Daten, die Rückschlüsse auf den Gesundheitszustand einer natürlichen Person zulassen und unabhängig von der Herkunft der Informationen, besonders schützenswert. Zudem können Daten, die nur mittelbar eine Beurteilung des Gesundheitszustand zulassen unter den Gesundheitsdatenschutz fallen. Hierzu zählen Angaben zu Gewicht, Einnahme von Medikamenten und weitere Fitness-Daten.

Rechtfertigungsgründe für die Verarbeitung von Gesundheitsdaten

Der Absatz 2 des Art. 9 DSGVO zeigt die Grenzen, Voraussetzungen und Ausnahmetatbestände auf, die eine Verarbeitung von Gesundheitsdaten zulassen oder eine gesetzliche Grundlage im Datenschutzrecht gegeben ist. Zudem gilt es zu berücksichtigen, dass in der EU Gesundheitsdaten unterschiedlichem Schutzniveau unterliegen. Der Artikel 9 Abs. 2 räumt, mit den Öffnungsklauseln, weitreichende Freiräume und Ausnahmen für die europäischen Mitgliedstaaten zum Umgang mit Gesundheitsdaten ein.

Die gängigste Lösung ist die Einwilligung der betroffenen Person. Der Patient hat der Verarbeitung seiner Daten freiwillig und zu einem oder mehrerer bestimmter Zwecke ausdrücklich und bis auf Widerruf zugestimmt. Die Freiwilligkeit kann nur bestehen, wenn eine echte Wahlmöglichkeit gegeben ist. Die Zustimmung gegenüber dem Leistungserbringer kann in mündlicher oder schriftlicher Form erfolgen, Stillschweigen oder konkludente Handlungen werden in diesem Falle nicht als Einwilligung gewertet. Gemäß dem Erwägungsgrund Transparenzgrundsatz der DSGVO bestehen vollumfängliche Informationspflichten. Es müssen alle wichtigen Informationen zur Verarbeitung der Gesundheitsdaten in verständlicher Sprache und einfach zugänglich zur Prüfung vorgelegt werden. Weitere Erlaubnistatbestände sind der Schutz der lebenswichtigen Interessen, beispielsweise von bewusstlosen Personen oder der Geltendmachung von Rechtsansprüchen.

Der Zweck der Datenverarbeitung muss im Zuge der Legitimation bekannt sein. Eine weitere Ausnahme bildet der Erwägungsgrund 33 Datenschutzgrundverordnung. Bei der Durchführung von Forschungsprojekten kann die endgültige Verwendung der Gesundheitsdaten unter Umständen noch nicht im Detail prognostiziert werden. In diesem Fall reicht die Erteilung einer allgemeine Einverständniserklärung für die Verarbeitung der Daten im Forschungsbereich aus, „wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“(vgl. Erwägungsgrund 33 DSGVO). Eine Beschreibung und das Ziel der Forschungsstudie sollte hingegeben bekanntwerden.

Zudem dürfen Gesundheitsdaten in den Ausnahmefällen verarbeitet werden, wenn ein erhebliches öffentliches Interesse besteht. Die Verarbeitung der Informationen und Daten zur Gefahrenabwehr, beispielsweise in Zeiten von Pandemien, ist in diesen Sonderfällen erlaubt.

Die Verarbeitung von Gesundheitsdaten im Zuge des Arbeitsrechts, der Erhaltung der Arbeitsfähigkeit, Gesundheitsversorgung, Gesundheitsvorsorge und ggf. vom Arbeitgeber angeordnete und begründete Einstellungsuntersuchungen können zudem in konkretem Einzelfall unverzichtbar sein. Dies betrifft unter anderem die Einsicht in Arbeitsunfähigkeitsbescheinigungen oder die Initialisierung von Wiedereingliederungsmaßnahmen, sowie der Schutz des Gesundheitszustandes der gesamten Mitarbeiterschaft.

Technische und Organisatorische Maßnahmen zum Gesundheitsdatenschutz

Das Bekanntwerden von Gesundheitsdaten kann für den betroffenen Menschen und für deren Angehörige zu erheblichen physischen, materiellen und immateriellen Risiken und Beschränkungen der Grundrechte und Grundfreiheiten führen. Somit müssen alle Verantwortliche, egal ob im Gesundheits- oder Sozialbereich, wie ebenso bei der Entwicklung und dem Betrieb von digitalen Produkten, auf einen umfassenden Datenschutz dieser sensiblen Informationen und damit auf die Anwendung und Wahrung des Datenschutzrechts achten. Es müssen alle notwendigen Sicherheitsmaßnahmen zum Schutz der sensiblen Daten ergriffen werden. Diese Pflichten, Bestimmungen und Sicherheitsvorkehrungen können unter Umständen zu einem erhöhten Aufwand bei den Beschäftigten in der Verwaltung und der Organisation führen.

Die Verarbeitung besonderer Kategorien von Daten beinhaltet jeglichen Tätigkeiten im Umgang mit Informationen über den Gesundheitszustand einer natürlichen Person. Hierzu zählen, die Erfassung und der Zugriff, die Abfrage, die Änderungen, Speicherung und Weiterleitung, sowie die Archivierung oder Löschung von Daten. Somit müssen in allen Institutionen geeignete Prozesse und zum Schutz vor Missbrauch, Datenpannen, unbefugter Offenlegung und unerlaubter Weitergabe, sowie dem Verlust von Gesundheitsdaten entwickelt und implementiert werden. Gemäß Artikel 30 DSGVOist ein Verzeichnis von Verarbeitungstätigkeiten zu führen, welche alle Tätigkeiten aufzeigt, bei denen personenbezogener Daten verarbeitet werden. Diese Maßnahmen werden in dem TOM (technischen und organisatorischen Maßnahmen) – Verzeichnis zusammengefasst.

Artikel 32 DSGVO konkretisiert die zu ergreifenden Maßnahmen. Demnach müssen, „[…] nach dem Stand der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“ (vgl. Art. 32 DSGVO) entwickelt werden.

Hierzu zählen Pseudonymisierung, Integrität und Verschlüsselung personenbezogener Daten, Gewährleistung der Vertraulichkeit, die dauerhafte Sicherstellung der uneingeschränkten Funktionalität der Systeme zur Datenverarbeitung, die Fähigkeit Daten nach einem physischen oder technischen Zwischenfall wiederherzustellen, zudem muss ein Monitoringsystem installiert werden, das zur regelmäßigen Überprüfung, Bewertung und Evaluierung der fortwährenden Funktion und Effektivität aller Maßnahmen dient.

Die Erstellung, Einführung und Einhaltung dieser Prozesse und des Verzeichnisses reichen jedoch nicht aus. Auch müssen Anfragen der Datenschutzbehörde zum Nachweis Folge geleistet werden, um Sanktionen auszuschließen.

Bestellung eines Datenschutzbeauftragten

Gemäß DSGVO muss eine interne datenschutzbeauftragte Person oder ein externen Datenschutzbeauftragter benannt werden. Dies betrifft größere Praxen mit vielen Mitarbeitern, die mit der ständigen Haupttätigkeit der Verarbeitung von personenbezogenen Daten und Patientendaten betraut sind.

Patientenrechte nach DSVGO

Neben dem oben erwähnten Recht zur vollständigen und barrierefreien Information über die Erfassung seiner Daten, bestehen weitere Rechte im Zusammenhang mit Systemen der Datenverarbeitung personenbezogener Informationen. Zunächst regelt der Art. 15 DSVGO das Recht auf Auskunft über die gespeicherten Daten, Korrektur seiner Daten (Art. 16 DSVGO), Löschung „Recht auf Vergessenwerden“ (Art. 17 DSVGO), Einschränkung (Art. 19 DSVGO), Übertragung an einen anderen Verantwortlichen (Art. 20 DSVGO), Widerspruch (Art. 21 DSVGO).

Verstöße gegen die Datenschutzgrundverordnung

Die Überwachung der Vorschriften über die Sanktionen bei Verletzung des Datenschutzes obliegt gemäß Art. 51 DSVGOden Mitgliedsstatten der Europäischen Union. In Deutschland sind damit die unabhängigen Datenschutzbeauftragten der Länder und der Bundesbeauftrage für Datenschutz und die Informationsfreiheit (BfDI) betraut. Dabei entscheiden die Behörden über die Höhe und den Umfang der verhängten Strafen. Gemäß Artikel 84 DSGVO müssen „diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein“

Bei der Verhängung von Geldstrafen, werden Schwere, Art, Dauer, Vorsätzlichkeit, bereits ergriffene Gegenmaßnahmen zum Schutz des Betroffenen, Grad der Verantwortung, frühere Verstöße, Kategorie der Daten, Kooperationsbereitschaft, Einhaltung der Verhaltensregeln und sonstige erschwerende oder mildernde Umstände berücksichtigt. Im einschlägigen Artikel 83 des DSGVO wird eine Geldstrafe für materielle Verstöße von 10.000.000 – 20.000.000 Euro oder, im Falle eines Unternehmens, bis zu 4 % seines weltweiten Jahresumsatzes benannt. Bei besonders gravierenden Verstößen von Ärzten und Vertreter anderer Heilberufe , die einem besonderen Berufsgeheimnis unterliegen, kann auch eine Freiheitsstrafe (§ 203 Strafgesetzbuch) verhängt werden.

Zusammenfassung und Schlussbetrachtung

Zum Abschluss der Hinweis, dass dem Schutz bei der Verarbeitung von Gesundheitsdaten und sensiblen Patientendaten, im Rahmen der Verhältnismäßigkeit, individuelle und ausdrückliche Aufmerksamkeit gewidmet werden sollte. Die ärztliche Geheimhaltungspflicht oder die Wahrung des Berufsgeheimnisses sollte Pflicht eines jeden Umgangs mit Gesundheitsdaten sein. Die vorgenannten Verordnungen und Gesetze regeln den Umgang mit einem lückenlosen System zum Datenschutz.

Doch können aus der freiwilligen Zurverfügungstellung unserer Daten neue Chancen erwachsen. Wenn unsere Daten anonymisiert für Forschungsprojekte im Gesundheitswesen zur Verfügung gestellt werden, leisten wir einen wertvollen Beitrag für unsere gemeinsame und lebenswerte Zukunft.

Hier finden sich einige Beispiele zu aktuellen Forschungsprojekten.

Weiterführende Links

DSGVO

BDSG