Datenschutz in elektronischen Gesundheitssystemen: Praxisleitfaden

Datenschutz in elektronischen Gesundheitssystemen: Praxisleitfaden

Datenschutz in elektronischen Gesundheitssystemen: Ein Leitfaden

Inhaltsverzeichnis

Einleitung: Warum Datenschutz in digitalen Gesundheitsdiensten anders ist

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Elektronische Patientenakten, digitale Gesundheitsanwendungen und telemedizinische Dienste sind längst keine Zukunftsmusik mehr. Sie versprechen eine effizientere, vernetzte und patientenzentrierte Versorgung. Doch mit den Chancen wachsen auch die Herausforderungen, insbesondere beim Datenschutz in elektronischen Gesundheitssystemen. Gesundheitsdaten sind keine gewöhnlichen Informationen. Sie geben tiefste Einblicke in die physische und psychische Verfassung eines Menschen und sind daher besonders schutzwürdig. Ein unzureichender Schutz kann nicht nur zu Diskriminierung bei Versicherungen oder am Arbeitsplatz führen, sondern auch das Vertrauensverhältnis zwischen Patient und Behandler nachhaltig stören. Dieser Artikel beleuchtet die rechtlichen, technischen und praktischen Aspekte, die für einen sicheren Umgang mit Gesundheitsdaten unerlässlich sind.

Rechtsrahmen kurz erklärt: DSGVO Art. 9, BDSG und ihre Relevanz

Die rechtliche Grundlage für den Schutz von Gesundheitsdaten ist streng und vielschichtig. Im Zentrum steht die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Artikel 9 DSGVO klassifiziert Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der explizit genannten Ausnahmen trifft zu. Die wichtigsten Ausnahmen im Gesundheitskontext sind:

  • Die ausdrückliche Einwilligung der betroffenen Person.
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich.
  • Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig.

Ergänzt wird die DSGVO durch nationale Gesetze. In Deutschland sind das vor allem das Bundesdatenschutzgesetz (BDSG) und bereichsspezifische Regelungen wie das Fünfte Buch Sozialgesetzbuch (SGB V), das die gesetzliche Krankenversicherung regelt und spezifische Vorgaben für die Telematikinfrastruktur macht. Diese Gesetze konkretisieren die Anforderungen an den Datenschutz in elektronischen Gesundheitssystemen und schaffen einen verbindlichen Rahmen für alle Akteure.

Kernbegriffe leicht verständlich

Um die Diskussion zu verstehen, ist es wichtig, einige zentrale Begriffe zu kennen.

Besondere Kategorien personenbezogener Daten

Hierzu gehören laut Art. 9 DSGVO unter anderem Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ganz zentral in diesem Kontext sind Gesundheitsdaten, genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer Person.

Verantwortlicher

Der Verantwortliche ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In einem Krankenhaus ist dies in der Regel das Krankenhaus selbst. In einer Arztpraxis ist es der Praxisinhaber. Der Verantwortliche trägt die Hauptverantwortung für die Einhaltung der Datenschutzvorschriften.

Auftragsverarbeiter

Ein Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Typische Beispiele sind IT-Dienstleister, die die Praxissoftware hosten, Cloud-Anbieter oder externe Abrechnungsstellen. Die Zusammenarbeit muss durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt sein, der die Pflichten des Dienstleisters klar festlegt.

Die Elektronische Patientenakte (ePA): Ihre Daten, Ihre Rechte

Die Elektronische Patientenakte (ePA) ist ein zentrales Element der digitalen Gesundheitsversorgung in Deutschland. Sie ermöglicht es Versicherten, ihre medizinischen Dokumente wie Befunde, Arztbriefe oder den Medikationsplan digital zu speichern und Ärzten oder Krankenhäusern bei Bedarf Zugriff zu gewähren.

Nutzung und typische Verarbeitungsprozesse

Die Nutzung der ePA ist für Versicherte freiwillig. Sie allein entscheiden, welche Daten in der ePA gespeichert und welche Ärzte oder Einrichtungen darauf zugreifen dürfen. Ein typischer Prozess sieht so aus: Ein Arzt stellt mit Zustimmung des Patienten einen Befund in die ePA ein. Ein anderer Arzt kann diesen Befund – wiederum nur mit expliziter Freigabe durch den Patienten – einsehen. Der Datenaustausch erfolgt über die hochsichere Telematikinfrastruktur.

Rechte der Patientinnen und Patienten

Als Nutzer der ePA haben Sie weitreichende Kontrollmöglichkeiten:

  • Granulare Zugriffssteuerung: Sie können für jedes einzelne Dokument festlegen, wer es sehen darf und für wie lange.
  • Protokolleinsicht: Sie können jederzeit nachverfolgen, wer auf Ihre ePA zugegriffen hat.
  • Recht auf Löschung: Sie können Dokumente oder die gesamte ePA unwiderruflich löschen.
  • Recht auf Widerspruch und Sperrung: Sie können der Datenverarbeitung jederzeit widersprechen und Ihre ePA sperren lassen.

Technische Schutzmaßnahmen: Das Fundament für den Datenschutz

Der rechtliche Rahmen wäre wirkungslos ohne robuste technische und organisatorische Maßnahmen (TOMs). Der Datenschutz in elektronischen Gesundheitssystemen stützt sich auf mehrere technologische Säulen.

Verschlüsselung, Schlüsselmanagement und TLS

Alle Gesundheitsdaten müssen sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) stark verschlüsselt werden. Für die Übertragung im Internet ist TLS (Transport Layer Security) in aktuellen Versionen (z. B. 1.3) der Standard. Die Daten in der ePA sind mehrfach verschlüsselt. Das Schlüsselmanagement ist hierbei kritisch: Nur der Patient besitzt den Hauptschlüssel für seine Akte. Ärzte erhalten nur temporäre Zugriffsschlüssel, die nach Ablauf der Berechtigung ungültig werden.

Ende-zu-Ende-Konzepte erklärt

Bei einer Ende-zu-Ende-Verschlüsselung (E2EE) werden Daten direkt beim Absender ver- und erst beim rechtmäßigen Empfänger wieder entschlüsselt. Der Betreiber der Plattform oder des Übertragungsdienstes hat selbst keinen Zugriff auf die Klartextdaten. Dieses Konzept ist der Goldstandard für vertrauliche Kommunikation und wird beispielsweise bei sicheren Messengern und zunehmend auch in Videodiensten für die Telemedizin eingesetzt.

Protokollierung und Audit-Logging: Wer hat was getan?

Jeder Zugriff auf elektronische Gesundheitsdaten muss lückenlos protokolliert werden (Audit-Logging). Diese Protokolle sind entscheidend für die Nachvollziehbarkeit und die Aufklärung von Sicherheitsvorfällen. Sie müssen mindestens folgende Informationen enthalten:

  • Wer hat zugegriffen (eindeutige Benutzerkennung)?
  • Wann erfolgte der Zugriff (Datum und Uhrzeit)?
  • Auf welche Daten wurde zugegriffen (Patienten-ID, Dokumenten-ID)?
  • Welche Art von Zugriff fand statt (Lesen, Schreiben, Löschen)?

Diese Protokolle müssen sicher und manipulationsgeschützt gespeichert werden und dürfen nur von autorisierten Personen (z. B. Datenschutzbeauftragten) eingesehen werden.

Third-Party und Cloud-Szenarien im Gesundheitswesen

Kaum eine Arztpraxis oder ein Krankenhaus betreibt heute seine IT vollständig autark. Die Einbindung von externen Dienstleistern, insbesondere Cloud-Anbietern, ist alltäglich. Hierbei ist die Einhaltung der Regeln zur Auftragsverarbeitung (AV) zwingend. Der Verantwortliche (z. B. die Praxis) muss einen AV-Vertrag mit dem Dienstleister schließen, der sicherstellt, dass dieser die Daten nur auf Weisung und nach den gleichen hohen Sicherheitsstandards verarbeitet. Bei einer Datenübermittlung in Länder außerhalb der EU/EWR müssen zusätzliche Garantien wie die Standardvertragsklauseln (SCCs auf Englisch) vereinbart werden, um ein angemessenes Datenschutzniveau zu gewährleisten.

Aufbewahrung, Löschung und Dokumentation

Für medizinische Unterlagen gelten gesetzliche Aufbewahrungsfristen, die in der Regel 10 Jahre nach Abschluss der Behandlung betragen, in Einzelfällen aber auch länger sein können. Nach Ablauf dieser Fristen müssen die Daten sicher gelöscht werden. Verantwortliche benötigen ein dokumentiertes Löschkonzept, das regelt, wann welche Daten wie gelöscht werden. Die Einhaltung der Datenschutzpflichten muss zudem nachweisbar sein (Rechenschaftspflicht), was eine sorgfältige Dokumentation aller Prozesse und Entscheidungen erfordert.

Datenschutz-Folgenabschätzung (DSFA) im Gesundheitsbereich

Bei der Einführung neuer Technologien oder Verarbeitungsprozesse, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen. Dies ist bei der Verarbeitung von Gesundheitsdaten in großem Umfang, wie bei der Einführung eines neuen Krankenhausinformationssystems oder einer Telemedizin-Plattform, regelmäßig der Fall. Eine DSFA analysiert systematisch die Risiken und legt Maßnahmen zu deren Minimierung fest.

Praxisfälle: Datenschutz in der Anwendung

Abrechnungssysteme

Patientendaten werden zur Abrechnung an Kassenärztliche Vereinigungen oder private Verrechnungsstellen übermittelt. Diese Übermittlung muss auf einer klaren Rechtsgrundlage (z. B. SGB V) basieren und technisch abgesichert sein. Werden externe Dienstleister genutzt, liegt eine Auftragsverarbeitung vor.

DiGA/DiPA (Digitale Gesundheitsanwendungen)

Apps auf Rezept, sogenannte DiGA, unterliegen einem strengen Prüfverfahren durch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM). Ein zentraler Prüfpunkt ist der Datenschutz. Hersteller müssen nachweisen, dass ihre App die Vorgaben der DSGVO erfüllt, Daten sicher verarbeitet und keine unzulässigen Datenübermittlungen, z. B. zu Werbezwecken, stattfinden.

Telemedizin und Videodienste

Bei Videosprechstunden werden sensible Gesprächsinhalte übertragen. Anbieter von Videodiensten müssen zertifiziert sein und technische Garantien wie eine Ende-zu-Ende-Verschlüsselung bieten. Zudem muss sichergestellt sein, dass die Gespräche nicht aufgezeichnet und die Metadaten (wer hat wann mit wem gesprochen) geschützt werden.

Handlungsanleitung für Betroffene: So schützen Sie Ihre Daten

Als Patientin oder Patient sind Sie nicht machtlos. Sie können Ihre Rechte aktiv wahrnehmen:

  • Auskunftsrecht (Art. 15 DSGVO): Fragen Sie bei Ihrer Arztpraxis oder Ihrem Krankenhaus nach, welche Daten über Sie gespeichert sind.
  • Einwilligungen prüfen: Geben Sie Einwilligungen nur nach sorgfältiger Prüfung und bewusst ab. Denken Sie daran: Eine Einwilligung ist jederzeit frei widerrufbar.
  • Zugriffsrechte für die ePA verwalten: Nutzen Sie die ePA-App, um Berechtigungen zu erteilen und zu entziehen. Kontrollieren Sie regelmäßig das Zugriffsprotokoll.
  • ePA sperren: Wenn Sie Bedenken haben oder die ePA nicht mehr nutzen möchten, können Sie diese jederzeit sperren oder die Löschung bei Ihrer Krankenkasse beauftragen.

Was tun bei einer Datenschutzverletzung?

Wenn Sie vermuten, dass Ihre Gesundheitsdaten in falsche Hände geraten sind (z. B. durch einen Hackerangriff oder eine Fehlversendung), sollten Sie handeln.

  1. Kontaktieren Sie den Verantwortlichen: Wenden Sie sich an die Praxis oder das Krankenhaus und fordern Sie Aufklärung.
  2. Melden Sie den Vorfall der Aufsichtsbehörde: Jedes Bundesland hat eine eigene Datenschutzaufsichtsbehörde. Sie können dort eine Beschwerde einreichen. Die zuständige Behörde finden Sie auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
  3. Dokumentieren Sie alles: Halten Sie die Kommunikation und alle relevanten Informationen schriftlich fest.

Mustertext für eine Anfrage:https://www.bfdi.bund.de/
„Sehr geehrte Damen und Herren, ich habe Grund zur Annahme, dass eine Verletzung des Schutzes meiner personenbezogenen Daten stattgefunden hat. Ich fordere Sie hiermit gemäß Art. 34 DSGVO auf, mich unverzüglich über die Art der Verletzung, die betroffenen Datenkategorien und die ergriffenen Maßnahmen zu informieren.“

Checklisten für Leistungserbringer und Verwaltung

Für einen systematischen Datenschutz in elektronischen Gesundheitssystemen sollten Organisationen ab 2025 folgende Punkte regelmäßig prüfen:

Technische Maßnahmen

  • Sind alle Systeme auf dem aktuellen Patch-Level?
  • Erfolgt die Datenübertragung ausschließlich über verschlüsselte Verbindungen (z. B. TLS 1.3)?
  • Sind alle Datenbanken und Datenträger mit Gesundheitsdaten verschlüsselt?
  • Existiert ein robustes Berechtigungskonzept nach dem Need-to-know-Prinzip?
  • Wird die Protokollierung aller Zugriffe sichergestellt und regelmäßig ausgewertet?

Organisatorische Maßnahmen

  • Ist ein Datenschutzbeauftragter benannt und in alle relevanten Prozesse eingebunden?
  • Werden Mitarbeitende regelmäßig zum Thema Datenschutz geschult?
  • Gibt es ein dokumentiertes Verfahren für den Umgang mit Betroffenenrechten?
  • Existiert ein Notfallplan für den Fall einer Datenschutzverletzung?
  • Sind alle Verarbeitungstätigkeiten im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert?

Vertragliche Maßnahmen

  • Sind mit allen externen Dienstleistern (Auftragsverarbeitern) gültige AV-Verträge geschlossen?
  • Wurden die Dienstleister vor Vertragsabschluss und werden sie regelmäßig auf die Einhaltung der Datenschutzpflichten überprüft?
  • Sind bei Datenübermittlungen in Drittstaaten die notwendigen Garantien (z. B. Standardvertragsklauseln) vorhanden?

Vorlage: Audit-Checkliste und Musterprotokoll

Ein internes Audit hilft, Schwachstellen aufzudecken. Die folgende Tabelle kann als einfache Vorlage für eine Prüfung dienen.

Prüfpunkt Status (OK / Mangel) Beschreibung des Mangels / Maßnahme Verantwortlich Frist
AV-Verträge mit allen IT-Dienstleistern vorhanden?
Datenschutz-Folgenabschätzung für Telemedizin-Plattform durchgeführt?
Löschkonzept für Altdaten umgesetzt?
Letzte Mitarbeiterschulung zum Datenschutz?
Protokolldaten-Analyse auf unbefugte Zugriffe erfolgt?

FAQ und Mustersätze

Frage: Muss ich als Patient der Nutzung meiner Daten für Forschungszwecke zustimmen?
Antwort: Ja, für die Nutzung Ihrer Daten über die reine Behandlung hinaus, z. B. für Forschungsprojekte, ist in der Regel eine separate, informierte und freiwillige Einwilligung erforderlich.

Frage: Wer haftet bei einem Datenleck?
Antwort: Primär haftet der Verantwortliche, also die Praxis, das Krankenhaus oder der Betreiber der Gesundheitsanwendung. Er kann jedoch unter Umständen den Auftragsverarbeiter in Regress nehmen, wenn dieser seine vertraglichen Pflichten verletzt hat.

Muster für eine Einwilligungserklärung (gekürzt):
„Ich willige hiermit freiwillig ein, dass [Name der Praxis/des Krankenhauses] meine Gesundheitsdaten [genaue Beschreibung der Daten] zum Zweck der [genauer Zweck, z. B. Teilnahme an Studie XY] verarbeitet. Mir ist bekannt, dass ich diese Einwilligung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen kann.“

Muster für eine Information nach Art. 13 DSGVO (Auszug):
„Wir, [Name des Verantwortlichen, Kontaktdaten], verarbeiten Ihre Gesundheitsdaten auf Grundlage von Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit [z. B. § 22 Abs. 1 Nr. 1 b) BDSG] zum Zwecke Ihrer medizinischen Behandlung. Weitere Informationen, insbesondere zu Ihren Rechten, finden Sie in unserer ausführlichen Datenschutzerklärung auf [Webseite] oder als Aushang in unseren Räumlichkeiten.“

Für weiterführende allgemeine Informationen stehen Organisationen wie die GDD Gesellschaft für Datenschutz und Datensicherheit oder der BvD Berufsverband der Datenschutzbeauftragten Deutschlands zur Verfügung. Technische Spezifikationen sind oft im gematik Fachportal zu finden. Für individuelle Datenschutzanliegen oder Fragen stehen wir Ihnen gerne zur Verfügung.