Datenverarbeitung im Gesundheitswesen: DSFA und Umsetzungs‑Guide

Datenverarbeitung im Gesundheitswesen: DSFA und Umsetzungs‑Guide

Leitfaden zur Datenverarbeitung im Gesundheitswesen: DSGVO-Konformität für KMU und Startups

Die Datenverarbeitung im Gesundheitswesen stellt Entwickler, Anbieter und Verantwortliche vor besondere Herausforderungen. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und genießen daher unter der Datenschutz-Grundverordnung (DSGVO) einen speziellen Schutz. Dieser Leitfaden bietet einen praxisorientierten Überblick für kleine und mittlere Unternehmen (KMU) sowie Startups, um digitale Gesundheitsprodukte rechtskonform zu gestalten. Er fokussiert auf technische Umsetzbarkeit, pragmatische Entscheidungshilfen und die Minimierung rechtlicher Risiken.

Inhaltsverzeichnis

Kurzüberblick für Entwickler und Entscheider (TL;DR)

Die Datenverarbeitung im Gesundheitswesen unterliegt strengsten Regeln. Gesundheitsdaten sind gemäß Artikel 9 DSGVO besonders geschützt, ihre Verarbeitung ist grundsätzlich verboten. Ausnahmen erfordern eine explizite Rechtsgrundlage, meist eine ausdrückliche Einwilligung des Nutzers. Für fast jede Anwendung, die Gesundheitsdaten im größeren Stil verarbeitet, ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch. Technische Sicherheit durch Verschlüsselung (Ende-zu-Ende und at-rest), ein rigides Zugriffsmanagement und die sorgfältige Auswahl von Drittanbietern (SDKs, Hoster) sind nicht verhandelbar. Der Fokus muss auf Datensparsamkeit, Zweckbindung und Transparenz liegen.

Rechtsrahmen knapp erklärt: Relevante DSGVO-Artikel und besondere Schutzbedürftigkeit nach Art. 9

Der zentrale Anker für die Datenverarbeitung im Gesundheitswesen ist die Datenschutz-Grundverordnung (DSGVO). Zwei Artikel sind hierbei von herausragender Bedeutung:

  • Artikel 6 DSGVO: Rechtmäßigkeit der Verarbeitung
    Dieser Artikel listet die allgemeinen Rechtsgrundlagen für jede Datenverarbeitung auf, wie z. B. die Einwilligung, die Erfüllung eines Vertrags oder berechtigte Interessen.
  • Artikel 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
    Dieser Artikel stellt Gesundheitsdaten unter einen besonderen Schutz. Ihre Verarbeitung ist grundsätzlich untersagt. Eine Ausnahme von diesem Verbot ist nur unter strengen Voraussetzungen zulässig, beispielsweise bei einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a) oder wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Behandlung erforderlich ist (Art. 9 Abs. 2 lit. h).

Für Anbieter digitaler Gesundheitslösungen bedeutet dies, dass eine allgemeine Rechtsgrundlage nach Art. 6 DSGVO nicht ausreicht. Es muss zusätzlich ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO erfüllt sein.

Welche Daten zählen als Gesundheitsdaten? Klassifikation und Beispiele

Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Beispiele für Gesundheitsdaten:

  • Klassische medizinische Daten: Diagnosen, Anamnesen, Laborwerte, Medikationspläne, Röntgenbilder.
  • Daten aus Gesundheits- und Fitness-Apps: Herzfrequenz, Schlafmuster, Kalorienverbrauch, Blutzuckerwerte, Menstruationszyklus-Daten.
  • Genetische und biometrische Daten zur eindeutigen Identifizierung einer Person im Gesundheitskontext.
  • Informationen über Krankheiten, Behinderungen oder gesundheitliche Risiken.
  • Daten, aus denen indirekt ein Gesundheitszustand abgeleitet werden kann (z. B. häufige Arztbesuche, die über eine Termin-App gebucht werden).

Rechtliche Grundpfeiler für die Verarbeitung: Entscheidungshilfe

Für die rechtmäßige Datenverarbeitung in Gesundheitswesen muss eine gültige Rechtsgrundlage vorliegen. Die Wahl der richtigen Grundlage ist entscheidend.

Entscheidungshilfe zur Wahl der Rechtsgrundlage:

  • Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO): Dies ist die häufigste und sicherste Grundlage für die meisten digitalen Gesundheitsanwendungen (DiGA, Wellness-Apps). Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Der Nutzer muss aktiv zustimmen (z. B. durch Setzen eines Hakens) und die Einwilligung jederzeit widerrufen können.
  • Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO): Diese Grundlage ist relevant, wenn die Verarbeitung durch Fachpersonal (Ärzte, Therapeuten) oder unter deren Verantwortung erfolgt und für die Diagnose, Versorgung oder Behandlung notwendig ist. Dies betrifft typischerweise Praxisverwaltungssoftware oder Krankenhausinformationssysteme.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Diese Rechtsgrundlage ist für die Verarbeitung von Gesundheitsdaten gemäß Art. 9 DSGVO nahezu ausgeschlossen, da die Schutzinteressen der betroffenen Person in der Regel überwiegen. Verlassen Sie sich niemals auf diese Grundlage für die Kernverarbeitung von Gesundheitsdaten.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend?

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang erfüllt dieses Kriterium fast immer.

Schritt-für-Schritt zur DSFA-Entscheidung:

  1. Prüfung der Verarbeitungstätigkeit: Verarbeiten Sie Gesundheitsdaten (Art. 9) oder Daten von schutzbedürftigen Personen (Patienten)?
  2. Prüfung des Umfangs: Handelt es sich um eine umfangreiche Verarbeitung? Eine genaue Zahl gibt es nicht, aber eine App mit Tausenden Nutzern fällt definitiv darunter.
  3. Prüfung der Technologie: Setzen Sie neue Technologien ein (z. B. KI-gestützte Diagnostik, IoT-Sensoren)?
  4. Entscheidung: Trifft mindestens einer der oberen Punkte zu, ist eine DSFA zwingend durchzuführen, bevor die Verarbeitung beginnt. Im Gesundheitswesen lautet die Faustregel: Im Zweifel immer eine DSFA durchführen.

Praktische DSFA-Vorlage: Kernfragen und Risikobewertung

Eine DSFA ist ein systematischer Prozess zur Beschreibung und Bewertung von Risiken. Ihre Dokumentation ist entscheidend.

Musterstruktur einer DSFA:

  • 1. Beschreibung der geplanten Verarbeitungsvorgänge:
    • Welche Daten werden erfasst? (Datenfelder, Kategorien)
    • Was ist der Zweck der Verarbeitung? (z. B. Symptom-Tracking, Therapieunterstützung)
    • Wer sind die beteiligten Akteure? (Nutzer, Ärzte, Administratoren, Drittanbieter)
    • Welche Technologien und Systeme werden eingesetzt? (Cloud-Provider, Datenbanken, APIs)
  • 2. Bewertung der Notwendigkeit und Verhältnismäßigkeit:
    • Warum ist diese spezifische Verarbeitung zur Erreichung des Zwecks notwendig?
    • Gibt es datensparsamere Alternativen?
    • Wie werden die Datenschutzgrundsätze (Zweckbindung, Datenminimierung) umgesetzt?
  • 3. Risikobewertung für die betroffenen Personen:
    • Identifikation potenzieller Risiken (z. B. unbefugter Zugriff, Datenverlust, Diskriminierung durch Daten-Leak, Re-Identifizierung).
    • Bewertung der Eintrittswahrscheinlichkeit und der Schwere des potenziellen Schadens.
  • 4. Geplante Abhilfemaßnahmen:
    • Technische und organisatorische Maßnahmen (TOMs) zur Risikominderung (z. B. Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Schulungen).
    • Dokumentation der verbleibenden Restrisiken.

Drittlandübermittlungen: Risikoabschätzung und Maßnahmen

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/des EWR (Drittländer) ist eine Hochrisiko-Aktivität. Nach dem “Schrems II”-Urteil des EuGH sind einfache Standardvertragsklauseln (SCCs) oft nicht ausreichend.

Strategien für 2025 und darüber hinaus müssen einen robusten Prozess zur Prüfung von Drittlandübermittlungen beinhalten:

  • 1. Angemessenheitsbeschluss prüfen: Gibt es einen Angemessenheitsbeschluss der EU-Kommission für das Zielland? Wenn ja, ist die Übermittlung einfacher.
  • 2. Geeignete Garantien: Wenn nein, sind Standardvertragsklauseln (SCCs) abzuschließen.
  • 3. Transfer Impact Assessment (TIA): Es muss eine Einzelfallprüfung (TIA) durchgeführt werden, ob die Gesetze und Praktiken im Drittland (insb. Zugriffsrechte von Behörden) den Schutz der SCCs untergraben.
  • 4. Ergänzende Maßnahmen: Falls das TIA Risiken aufdeckt, müssen zusätzliche technische (z. B. clientseitige Verschlüsselung, bei der der Anbieter keinen Zugriff auf die Schlüssel hat) oder organisatorische Maßnahmen ergriffen werden.

Für KMU bedeutet das: Bevorzugen Sie Hosting-Anbieter mit ausschließlichem Serverstandort und Firmensitz innerhalb der EU.

Technische Mindestanforderungen für Gesundheits-Apps

Die technischen und organisatorischen Maßnahmen (TOMs) sind das Rückgrat der Sicherheit bei der Datenverarbeitung in Gesundheitswesen.

Checkliste der Mindestanforderungen:

  • Verschlüsselung: Starke Ende-zu-Ende-Verschlüsselung für alle Datenübertragungen (TLS 1.2+). Starke Verschlüsselung für gespeicherte Daten (at-rest), z. B. mit AES-256.
  • Logging: Zugriffsprotokollierung (wer hat wann auf welche Daten zugegriffen?), die revisionssicher ist, aber keine Gesundheitsdaten in den Logs selbst speichert.
  • Lokale Speicherung: Werden Daten auf dem Endgerät gespeichert, muss dies in einem verschlüsselten Container (z. B. iOS Keychain, Android Keystore) erfolgen.
  • Telemetrie und Analyse: Nutzungsdaten dürfen nur mit expliziter Einwilligung und nur pseudonymisiert oder anonymisiert erfasst werden. Gesundheitsdaten dürfen nicht für allgemeine Produktanalysen verwendet werden.

Drittparteien und SDKs: Prüfcheckliste für Integrationen

Jede externe Komponente (Software Development Kit – SDK) ist ein potenzielles Datenschutzrisiko.

Checkliste vor der Integration:

  • Datenflüsse: Welche Daten sammelt das SDK und wohin werden sie gesendet? (Prüfung mit Tools wie Mitmproxy)
  • Zweck: Dient das SDK einem notwendigen Zweck oder nur “Nice-to-have”-Analysen?
  • AVV: Ist ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter erforderlich und verfügbar?
  • Datenschutzrichtlinie: Entspricht die Datenschutzpraxis des SDK-Anbieters der DSGVO?
  • Sicherheit: Gibt es bekannte Sicherheitslücken in dem SDK?

Spezifische Hinweise zu Kommunikationskanälen

Die Wahl des Kommunikationskanals ist kritisch.

  • E-Mail und SMS: Standard-E-Mails und SMS sind unverschlüsselt und für den Versand von Gesundheitsdaten ungeeignet. Nutzen Sie sie höchstens für organisatorische Hinweise ohne sensible Inhalte (z. B. Terminerinnerungen ohne Nennung des Behandlungsgrunds).
  • Chatdienste: Consumer-Messenger wie WhatsApp sind tabu. Setzen Sie auf spezialisierte, Ende-zu-Ende-verschlüsselte Kommunikationsplattformen, die für das Gesundheitswesen konzipiert sind.
  • Telemedizin-Tools: Videokonferenzsysteme müssen sicher sein, eine Ende-zu-Ende-Verschlüsselung bieten und idealerweise als Medizinprodukt zertifiziert sein.

Zugriffsberechtigungen und Rollenmodell in Cloud-Architekturen

Ein striktes Berechtigungsmanagement ist unerlässlich.

  • Need-to-Know-Prinzip: Jeder Nutzer (ob Patient, Arzt oder Administrator) darf nur auf die Daten zugreifen, die er für seine jeweilige Aufgabe unbedingt benötigt.
  • Rollenbasiertes Zugriffskontrollsystem (RBAC): Definieren Sie klare Rollen mit fest zugeordneten Rechten. Beispiel: Ein Arzt kann die Akten seiner Patienten einsehen, aber nicht die von Patienten anderer Ärzte. Ein Administrator kann Systeme verwalten, aber keine Patientendaten einsehen.
  • Mandantentrennung: In Cloud-Systemen müssen die Daten verschiedener Kunden (z. B. Arztpraxen) logisch und physisch strikt voneinander getrennt sein.

Prozesse bei Datenlöschung und Zweckbindung

Die Datenverarbeitung im Gesundheitswesen muss den Grundsätzen der Zweckbindung und Speicherbegrenzung folgen.

  • Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie ursprünglich erhoben wurden (z. B. zur Durchführung einer Therapie). Eine Weiterverwendung für andere Zwecke (z. B. Marketing) erfordert eine neue, separate Einwilligung.
  • Löschkonzept: Entwickeln Sie ein Konzept, das festlegt, wann welche Daten gelöscht werden. Nach Zweckerfüllung müssen Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. aus der ärztlichen Berufsordnung) dem entgegenstehen. Der Löschprozess muss technisch sichergestellt und dokumentiert werden.

Dokumentation, Versionierung und Pflege

Datenschutz ist ein kontinuierlicher Prozess, keine einmalige Aufgabe. Führen Sie eine lückenlose Dokumentation, die regelmäßig überprüft und aktualisiert wird.

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Ein zentrales Dokument, das alle Datenverarbeitungsprozesse beschreibt.
  • Technische und organisatorische Maßnahmen (TOMs): Eine detaillierte Beschreibung aller Sicherheitsmaßnahmen.
  • Datenschutz-Folgenabschätzung (DSFA): Muss bei jeder wesentlichen Änderung am Verarbeitungsprozess überprüft werden.
  • Einwilligungsmanagement: Dokumentieren Sie, wer wann wofür seine Einwilligung erteilt hat.

Konkrete Fallstudien aus KMU-Projekten

Fallstudie 1: Startup für eine Tagebuch-App zur psychischen Gesundheit

Ein kleines Team entwickelt eine App, in der Nutzer ihre Stimmung und Gedanken festhalten. Die Einträge sind hochsensible Gesundheitsdaten. Die Lösung: Die Daten werden standardmäßig nur lokal auf dem Gerät des Nutzers gespeichert und verschlüsselt. Eine optionale, Ende-zu-Ende-verschlüsselte Cloud-Synchronisation wird nur nach einer zweiten, expliziten Einwilligung angeboten. Auf Analyse-SDKs von Drittanbietern wird vollständig verzichtet.

Fallstudie 2: KMU für Praxissoftware

Ein Softwareanbieter stellt eine Cloud-Lösung zur Termin- und Patientenverwaltung für Physiotherapeuten bereit. Als Auftragsverarbeiter schließt er mit jeder Praxis einen DSGVO-konformen AV-Vertrag. Die Software verfügt über ein striktes Rollenmodell, das sicherstellt, dass Therapeuten nur die Daten ihrer eigenen Patienten sehen können. Das Hosting erfolgt ausschließlich auf Servern in Deutschland.

Downloadbare Vorlagen und Visualisierungen

Zur Unterstützung Ihrer Prozesse können folgende Dokumente als Vorlage dienen:

  • Checkliste zur Prüfung von Drittanbieter-SDKs: Eine Liste von Kriterien zur Bewertung der Datenschutzkonformität von externen Software-Komponenten.
  • Musterstruktur einer Datenschutz-Folgenabschätzung (DSFA): Ein Gerüst, das die Kernfragen und Bewertungsbereiche einer DSFA abbildet.
  • Entscheidungsbaum zur Wahl der Rechtsgrundlage: Eine visuelle Hilfe, um zu bestimmen, ob eine Einwilligung oder eine andere Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten geeignet ist.

Glossar relevanter Begriffe

  • DSGVO: Datenschutz-Grundverordnung; die zentrale europäische Verordnung zum Schutz personenbezogener Daten.
  • Gesundheitsdaten: Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen (Art. 4 Nr. 15 DSGVO).
  • DSFA: Datenschutz-Folgenabschätzung; eine Analyse zur Abschätzung der Risiken einer Datenverarbeitung für betroffene Personen.
  • Auftragsverarbeitung (AVV): Die Verarbeitung von personenbezogenen Daten durch einen Dienstleister im Auftrag und nach Weisung des Verantwortlichen. Dies erfordert einen Auftragsverarbeitungsvertrag (AVV).
  • TOMs: Technische und organisatorische Maßnahmen; konkrete Sicherheitsvorkehrungen zum Schutz von Daten.

Quellen und weiterführende Links

Anmerkung zur Verantwortungsangabe

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Er wurde auf Basis öffentlich zugänglicher Quellen und fachlicher Expertise von MUNAS Consulting als neutrale Informationsquelle erstellt.