DSGVO Datenschutz im Gesundheitswesen

Autor / Redakteur: Kathrin Schürmann* / Ira Zahorsky

Im Gesundheitswesen werden besonders sensible Daten verarbeitet. Verantwortlichen und Mitarbeitern soll ein Überblick über die wichtigsten datenschutzrechtlichen Regelungen im Gesundheitswesen verschafft werden. Außerdem gibt es Tipps zur Umsetzung.

Anbieter zum Thema

Nach Einführung der DSGVO gibt es im Gesundheitswesen besondere Pflichten zum Datenschutz.
Nach Einführung der DSGVO gibt es im Gesundheitswesen besondere Pflichten zum Datenschutz.
(Bild: HNFOTO - stock.adobe.com)

Gesundheitsdaten enthalten besonders sensible personenbezogene Informationen über Patienten und sind außerdem von wirtschaftlichem Interesse für Pharmaunternehmen und Versicherungen. Daher sind beispielsweise die Gesundheitsdaten aus Krankenhäusern zunehmend Ziel von Hackerangriffen.Daten unterliegen im Gesundheitswesen nicht nur der Verschwiegenheitspflicht, sondern auch komplexen datenschutzrechtlichen Bestimmungen. Auch unter der Datenschutz-Grundverordnung (DSGVO) sind Gesundheitsdaten besonders schutzwürdig, denn sie enthalten oft intime Bezüge zur betroffenen Person.

Wann ist die Verarbeitung von Gesundheitsdaten nach der DSGVO zulässig?

Ursprünglich war in der DSGVO eine spezielle Vorschrift nur für Gesundheitsdaten beziehungsweise das Gesundheitswesen vorgesehen. Diese hat allerdings in der endgültigen Fassung keinen Eingang gefunden. Dennoch fallen Gesundheitsdaten unter spezielle Regelungen. Sie gelten gemäß Artikel 9 als „besondere Kategorien“ personenbezogener Daten und sind daher besonders geschützt. Es besteht ein deutlicher Unterschied zur Verarbeitung sonstiger personenbezogener Daten: Letztere können nach der DSGVO vor allem bei Einwilligung, gesetzlicher Erlaubnis und Überwiegen der Interessen der verarbeitenden Stelle gegenüber den Interessen der betroffenen Person verarbeitet werden. Das Überwiegen von Interessen scheidet im Falle von Gesundheitsdaten aber als Rechtsgrundlage aus.

Ein schlichtes Überwiegen beispielsweise von Unternehmensinteressen kann wegen des besonderen Charakters von Gesundheitsdaten nicht angenommen werden. Vielmehr kommt neben der Einwilligung des Betroffenen vor allem die gesetzliche Erlaubnis als Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Betracht. Dabei regelt etwa die DSGVO selbst spezielle Fälle der Interessenabwägung. So ist die Verarbeitung von Gesundheitsdaten etwa dann zulässig, wenn Lebensgefahren oder Gefahren für die Gesundheit der Bevölkerung drohen. In diesen Fällen ist quasi gesetzlich geregelt, wann das Interesse des Betroffenen am Schutz seiner Daten gegenüber den Interessen des Verarbeitenden zurückstehen muss. In jedem Fall gilt aber, dass die Verarbeitung von Gesundheitsdaten nur soweit zulässig ist, wie sie für den jeweiligen Zweck (Behandlung, Diagnostik, Schutz vor Epidemien etc.) erforderlich ist.

Zweckbindung bei der Verarbeitung

Die Befugnis zur Verarbeitung von Daten im Gesundheitswesen ergibt sich in der Regel durch den Behandlungsvertrag (auf Grundlage von Art. 9 Abs. 2 Buchstabe h) DSGVO). Allerdings ist gerade hier der enge Zweckbindungsgrundsatz zu berücksichtigen. So deckt der Behandlungsvertrag in der Regel keine Datenweitergabe an private Verrechnungsstellen oder Terminerinnerungen ab. Hierfür sind gesonderte Einwilligungen erforderlich. Für die Weitergabe der Daten an Dritte gelten darüber hinaus die normalen Anforderungen der DSGVO. So ist sie etwa dann zulässig, wenn Epidemien vermieden werden sollen, unter Umständen aber nur in pseudonymisierter Form. Auch bei der Weitergabe von Gesundheitsdaten an Angehörige ist grundsätzlich eine gesonderte Einwilligung des Patienten erforderlich.

Als Verarbeiter gelten im Gesundheitswesen in erster Linie die Leistungserbringer, so zum Beispiel Betreiber von Arztpraxen, Apotheken und Krankenhäuser. Sie trifft daher auch die Dokumentations- und Nachweispflicht für das Vorliegen von Einwilligungen. Obwohl die DSGVO hierfür keine Schriftform verlangt, ist diese im Gesundheitswesen dringend ratsam – insbesondere wegen der Beweislastumkehr zulasten der Verantwortlichen. Das Einreichen der elektronischen Gesundheitskarte allein stellt dabei noch keine Einwilligung dar.

Welche Transparenz- und Informationspflichten bestehen gegenüber dem Patienten?

Insgesamt ändern sich mit der DSGVO die Anforderungen an die Art und Weise der Einwilligung im Vergleich zur bisherigen Rechtslage erheblich, worauf insbesondere im Gesundheitswesen zu achten ist. Allgemein sind die Informationspflichten gegenüber der betroffenen Person im Vergleich zum alten BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person vor allem die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung, z.B. jede Untersuchung gesondert) und die Dauer der Datenverarbeitung mitgeteilt werden müssen. Auch alle Betroffenenrechte ebenso wie die Rechtsgrundlage der Datenverarbeitung gehören zur Informationspflicht. Die Mitteilung kann in der Regel durch eine Datenschutzerklärung im Rahmen der ersten Patientenbefragung oder Patientenanamnese im Wartezimmer erfolgen. Das Unabhängige Landesamt für Datenschutz Schleswig-Holstein empfiehlt dabei die Verteilung von Flyern im Wartezimmer. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Welche weiteren Vorschriften der DSGVO sind im Gesundheitswesen relevant?

Aufgrund der Natur der verarbeiteten Daten ist im Gesundheitswesen vor allem Artikel 32 DSGVO („Datensicherheit der Verarbeitung“) von großer Bedeutung. So haben Krankenhäuser, Ärzte, Krankenversicherungen etc. „unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen“ zu treffen, um den Schutz der verarbeiteten Daten vor Zerstörung, unrechtmäßiger Verarbeitung und Offenlegung zu gewährleisten. Im Falle der Auftragsdatenverarbeitung, die gerade für Krankenhäuser (z.B. bei der Abwicklung von Zahlungen durch externe Dienstleister) immer relevanter wird, ist eine gemeinsame Risikoabschätzung durch Krankenhaus und Auftragsverarbeiter und eine gemeinsame Erarbeitung und Umsetzung entsprechender Maßnahmen zu empfehlen. Spätestens an dieser Stelle sollte ein regelmäßiger Austausch der Datenschutzbeauftragten stattfinden.

Gleiches gilt bezüglich der Vorgaben der DSGVO, wonach Datenschutz auch bei der technischen Ausrichtung von Websites und anderen elektronischen Eingabemöglichkeiten von Daten zu befolgen ist (Privacy by Design). Das Konzept des Privacy by Design ist vor allem auch im Rahmen der aktuellen Diskussion um Datenaustauschplattformen (sog. „Patientenportale“) zu berücksichtigen. Vor allem im Falle der Auftragsdatenverarbeitung ist zudem eine Datenschutzfolgenabschätzung durchzuführen, die zugleich mit Kosten-Nutzen-Überlegungen und der weiteren Strategieplanung von Krankenhäusern verknüpft werden kann. Auf diese Weise bietet die DSGVO bei rechtzeitiger rechtlicher Beratung eine echte Chance auf Prozessoptimierung.

Wann ist im Gesundheitswesen die Bestellung eines Datenschutzbeauftragten erforderlich?

Mangels expliziter Vorschrift für das Gesundheitswesen in der DSGVO richtet sich die Erforderlichkeit zur Bestellung eines Datenschutzbeauftragten nach den allgemeinen Voraussetzungen. Ein Datenschutzbeauftragter ist also dann zu bestellen, wenn mindestens zehn Mitarbeiter im Schwerpunkt mit der Verarbeitung personenbezogener Daten betraut sind oder wenn eine besonders große Menge an Daten verarbeitet wird. In der Regel sind diese Voraussetzungen bei kleineren Arztpraxen und Apotheken nicht erfüllt, sehr wohl aber bei Krankenhäusern. Bei Gemeinschaftspraxen sind die Voraussetzungen unklar und müssen im Einzelfall ermittelt werden.

Grundsätzlich gilt, dass ein Datenschutzbeauftragter auch dann zu bestellen ist, wenn aufgrund der Datenverarbeitung eine derart große Gefahr für die Rechte und Interessen der betroffenen Person besteht, dass eine Datenschutzfolgenabschätzung erforderlich ist. Diese Gefahr kann bei Gesundheitsdaten zwar nicht bereits aufgrund ihrer Natur ohne weiteres bejaht werden, ist aber eher zu bejahen als bei einer vergleichbaren Bearbeitung von Daten, die nicht besonders schutzwürdig sind. Die Datenschutzkonferenz hat hierzu am 26. April 2018 einen Beschluss gefasst, der die Kriterien für die Benennungspflicht bei Gesundheitsberufen beschreibt (pdf).

Fazit und Handlungsempfehlung

Die DSGVO legt großen Wert auf Transparenz und Information sowie auf Dokumentation. Gelingt es den Verantwortlichen im Gesundheitswesen diese Anforderungen zu erfüllen, sollten die hohen Bußgelder der DSGVO vermieden werden können.

Auf der nächsten Seite finden Sie eine Checkliste zur Umsetzung der Handlungsempfehlungen.

Checkliste: Datenschutz im Gesundheitswesen

  • Eine Verarbeitung von Gesundheitsdaten erfolgt grundsätzlich nur mit Einwilligung. Die Übergabe der elektronischen Gesundheitskarte genügt nicht als eindeutiger Beleg der Einwilligung.
  • Eine Auskunft an Angehörige geht grundsätzlich nur auf der Basis einer Einwilligung.
  • Die Informationen, die der Einwilligung zugrunde liegen (Zweck der Datenerhebung, Weitergabe an Dritte etc.) sollten dem Patienten nachweisbar ausgehändigt werden (Flyer, Kopie des Behandlungsvertrages und der Datenschutzerklärung).
  • Es dürfen nur Daten erhoben werden, die für die Behandlung notwendig sind (nicht dazu gehören idR: Familienstand, Nationalität, Beruf)
  • Bezüglich aller nicht für die Behandlung erforderlichen Daten muss deutlich erkennbar sein, dass die Angaben freiwillig sind.
  • Die Anforderungen an die Datensicherheit (on- und offline) müssen gewahrt werden (Privacy by Design, Default).
  • Bei Weitergabe der Daten an Dritte sind gemeinsame Datenschutzfolgenabschätzungen durch die jeweiligen Datenschutzbeauftragten zu empfehlen.

*Die Autorin, Kathrin Schürmann ist Rechtsanwältin bei der Tech-Kanzlei Schürmann Rosenthal Dreyer und Co-Founder von lawpilots, einem E-Learninganbieter für Mitarbeiter-Trainings zu u.a. Datenschutz im Gesundheitswesen, Informationssicherheit und Compliance.

(ID:45654465)