DSGVO

Datenschutz im Gesundheitswesen

| Autor / Redakteur: Kathrin Schürmann* / Ira Zahorsky

Nach Einführung der DSGVO gibt es im Gesundheitswesen besondere Pflichten zum Datenschutz.
Nach Einführung der DSGVO gibt es im Gesundheitswesen besondere Pflichten zum Datenschutz. (Bild: HNFOTO - stock.adobe.com)

Im Gesundheitswesen werden besonders sensible Daten verarbeitet. Verantwortlichen und Mitarbeitern soll ein Überblick über die wichtigsten datenschutzrechtlichen Regelungen im Gesundheitswesen verschafft werden. Außerdem gibt es Tipps zur Umsetzung.

Gesundheitsdaten enthalten besonders sensible personenbezogene Informationen über Patienten und sind außerdem von wirtschaftlichem Interesse für Pharmaunternehmen und Versicherungen. Daher sind beispielsweise die Gesundheitsdaten aus Krankenhäusern zunehmend Ziel von Hackerangriffen.Daten unterliegen im Gesundheitswesen nicht nur der Verschwiegenheitspflicht, sondern auch komplexen datenschutzrechtlichen Bestimmungen. Auch unter der Datenschutz-Grundverordnung (DSGVO) sind Gesundheitsdaten besonders schutzwürdig, denn sie enthalten oft intime Bezüge zur betroffenen Person.

Wann ist die Verarbeitung von Gesundheitsdaten nach der DSGVO zulässig?

Ursprünglich war in der DSGVO eine spezielle Vorschrift nur für Gesundheitsdaten beziehungsweise das Gesundheitswesen vorgesehen. Diese hat allerdings in der endgültigen Fassung keinen Eingang gefunden. Dennoch fallen Gesundheitsdaten unter spezielle Regelungen. Sie gelten gemäß Artikel 9 als „besondere Kategorien“ personenbezogener Daten und sind daher besonders geschützt. Es besteht ein deutlicher Unterschied zur Verarbeitung sonstiger personenbezogener Daten: Letztere können nach der DSGVO vor allem bei Einwilligung, gesetzlicher Erlaubnis und Überwiegen der Interessen der verarbeitenden Stelle gegenüber den Interessen der betroffenen Person verarbeitet werden. Das Überwiegen von Interessen scheidet im Falle von Gesundheitsdaten aber als Rechtsgrundlage aus.

Ein schlichtes Überwiegen beispielsweise von Unternehmensinteressen kann wegen des besonderen Charakters von Gesundheitsdaten nicht angenommen werden. Vielmehr kommt neben der Einwilligung des Betroffenen vor allem die gesetzliche Erlaubnis als Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Betracht. Dabei regelt etwa die DSGVO selbst spezielle Fälle der Interessenabwägung. So ist die Verarbeitung von Gesundheitsdaten etwa dann zulässig, wenn Lebensgefahren oder Gefahren für die Gesundheit der Bevölkerung drohen. In diesen Fällen ist quasi gesetzlich geregelt, wann das Interesse des Betroffenen am Schutz seiner Daten gegenüber den Interessen des Verarbeitenden zurückstehen muss. In jedem Fall gilt aber, dass die Verarbeitung von Gesundheitsdaten nur soweit zulässig ist, wie sie für den jeweiligen Zweck (Behandlung, Diagnostik, Schutz vor Epidemien etc.) erforderlich ist.

Zweckbindung bei der Verarbeitung

Die Befugnis zur Verarbeitung von Daten im Gesundheitswesen ergibt sich in der Regel durch den Behandlungsvertrag (auf Grundlage von Art. 9 Abs. 2 Buchstabe h) DSGVO). Allerdings ist gerade hier der enge Zweckbindungsgrundsatz zu berücksichtigen. So deckt der Behandlungsvertrag in der Regel keine Datenweitergabe an private Verrechnungsstellen oder Terminerinnerungen ab. Hierfür sind gesonderte Einwilligungen erforderlich. Für die Weitergabe der Daten an Dritte gelten darüber hinaus die normalen Anforderungen der DSGVO. So ist sie etwa dann zulässig, wenn Epidemien vermieden werden sollen, unter Umständen aber nur in pseudonymisierter Form. Auch bei der Weitergabe von Gesundheitsdaten an Angehörige ist grundsätzlich eine gesonderte Einwilligung des Patienten erforderlich.

Als Verarbeiter gelten im Gesundheitswesen in erster Linie die Leistungserbringer, so zum Beispiel Betreiber von Arztpraxen, Apotheken und Krankenhäuser. Sie trifft daher auch die Dokumentations- und Nachweispflicht für das Vorliegen von Einwilligungen. Obwohl die DSGVO hierfür keine Schriftform verlangt, ist diese im Gesundheitswesen dringend ratsam – insbesondere wegen der Beweislastumkehr zulasten der Verantwortlichen. Das Einreichen der elektronischen Gesundheitskarte allein stellt dabei noch keine Einwilligung dar.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45654465 / Sicherheit/Datenschutz)