Datenschutz-Grundverordnung im Mittelstand

DSGVO verändert die Gesundheitsbranche

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die Datenschutz-Grundverordnung (DSGVO) hat den Bedarf an erhöhtem Schutz für Gesundheitsdaten erkannt und führt Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten.
Die Datenschutz-Grundverordnung (DSGVO) hat den Bedarf an erhöhtem Schutz für Gesundheitsdaten erkannt und führt Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten. (© Kurhan - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) zählt Gesundheitsdaten und genetische Daten zu den besonderen Kategorien personenbezogener Daten, für die spezielle Vorschriften bestehen. Wer im weiten Feld des Gesundheitswesens tätig ist, muss sich insbesondere die Themen Einwilligung, Datensicherheit, automatisierte Entscheidungen und Datenschutz-Folgenabschätzung ganz genau ansehen.

Der weltweite Gesundheitsmarkt wächst in 2018, es ist das Jahr der digitalen Gesundheitstechnologien, wie künstliche Intelligenz (KI), das Internet der Dinge in der Medizin, Big Data Analytics und Robotertechnik, so die Marktforscher von Frost & Sullivan. Das „as-a-Service“ Modell soll neue Einkommensquellen schaffen, die Cloud wird zur wichtigsten Plattform, da sämtliche Beteiligte im Gesundheitswesen ihre Speicherflexibilität ausbauen müssen. Gleichzeitig sehen die Marktforscher, dass sich die Anzahl entsprechender Cyber-Angriffe in 2018 voraussichtlich verdoppeln wird.

Auch der Digitalverband Bitkom sieht den Markt für Digital Health mit großem Wachstumspotenzial (pdf). Gesundheits-Apps, Online-Terminvereinbarungen, Online-Sprechstunden und die digitale Kommunikation der Patienten mit Ärzten und Krankenhäusern sind deutliche Zeichen dafür. Der Bedarf an erhöhtem Schutz für die Gesundheitsdaten liegt auf der Hand. Dies sieht auch die Datenschutz-Grundverordnung (DSGVO) so, denn sie führt genetische Daten und Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten auf.

Besondere Daten brauchen besonderen Schutz

Für die Verarbeitung besonderer Kategorien personenbezogener Daten hat die DSGVO auf den ersten Blick eine Überraschung im Gepäck: Man findet in Artikel 9 DSGVO, dass „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt ist“. Das klingt nach dem Ende von E-Health, ganz so ist es aber nicht.

Der Datenschutz versteht sich generell als „Verbot mit Erlaubnisvorbehalt“, wie im Fall der besonderen Kategorien personenbezogener Daten nochmals deutlich wird. Es gibt also Ausnahmen von dem Verbot. Eine wesentliche Ausnahme kann das Vorliegen der Einwilligung der Patientin oder des Patienten sein. Die Einwilligung darf aber nicht „nebenbei“ erfolgen, die DSGVO nennt als eine mögliche Voraussetzung einer Verarbeitung von Gesundheitsdaten: „Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt“. Dabei ist es wichtig, dass diese Einwilligung auch nachweisbar dokumentiert wird.

Gibt es keine anderen Erlaubnistatbestände (rechtliche Grundlagen für die Verarbeitung), müssen Anbieter in der Gesundheitsbranche die Patienten nach ihrer Einwilligung fragen und sie dabei umfassend und klar informieren und zwar über die genau festgelegten Zwecke. Zweckänderungen, wie sie bei den eingangs als Wachstumstreiber für E-Health genannten Big-Data-Analysen auftreten können, sind also nicht ohne weiteres möglich. Was auch aus ethischen Gründen bei medizinischen Big-Data-Analysen beachtet werden soll, hat der Deutsche Ethikrat veröffentlicht.

Gesundheitsbranche muss erhöhte Anforderungen erfüllen

Sieht man sich weitere Vorgaben aus der DSGVO mit Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten an, stellt man unter anderem fest:

  • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten muss ein Datenschutzbeauftragter bestellt werden.
  • Automatisierte Entscheidungen im Einzelfall einschließlich Profiling dürfen nur in definierten Fällen (Artikel 22 DSGVO) auf besonderen Kategorien personenbezogener Daten beruhen, was erneut die Big-Data-Analysen im Gesundheitswesen betrifft.
  • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten ist eine Datenschutz-Folgenabschätzung erforderlich.
  • Es versteht sich, dass die Sicherheit der Verarbeitung bei besonderen Kategorien personenbezogener Daten höheren Ansprüchen genügen muss, da die Maßnahmen insbesondere unter Berücksichtigung der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen auszuwählen sind.

Anbieter in der Gesundheitsbranche sollten somit für die Umstellung auf die DSGVO nochmals genau prüfen, wie es um die Bestellung eines Datenschutzbeauftragten, um mögliche Datenanalysen, um Datenschutz-Folgenabschätzungen sowie um ihre Datensicherheit steht.

Zusatzhinweis: Arztwechsel und das Recht auf Datenportabilität

Auf einen weiteren Punkt sei noch hingewiesen: Die Aufsichtsbehörden haben in der Vergangenheit gerade bei Fällen, bei denen Praxen an einen neuen Arzt übergeben wurden oder bei denen Patienten die Arztpraxis gewechselt haben, Versäumnisse festgestellt.

Deshalb sei daran erinnert, dass es auch im Gesundheitswesen ein Recht auf Datenübertragbarkeit mit der DSGVO gibt, wenn die Verarbeitung auf einer Einwilligung beruht und automatisiert erfolgt. Der Patient oder die Patientin hat also ein Recht auf die eigenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“. Kopierte Arztbriefe reichen also nicht.

Diesen Beitrag haben wir von unserem Schwesterportal Security-Insider übernommen.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45280642 / Sicherheit/Datenschutz)