Datenschutz in Gesundheitsdaten: Technik, Prozesse, DPIA-Check

Leitfaden zum Datenschutz in Gesundheitsdaten für Entwickler und Anbieter 2025

Inhaltsverzeichnis

• 1. Einseitige Zusammenfassung und Quick-Start-Checkliste
• 2. Kurzüberblick: Warum Gesundheitsdaten besonders schutzbedürftig sind
• 3. Spezifische Datenkategorien im Gesundheitsbereich und ihre Risikoeinstufung
• 4. Datenschutz-Folgenabschätzung (DSFA) Schritt für Schritt
• 5. Technische Baselines: Verschlüsselung, Schlüsselmanagement und Datenpartitionierung
• 6. Access Governance: Rollen, Least-Privilege und Protokollierung
• 7. Integrationsszenarien: Abrechnungsprozesse und externe Dienstleister
• 8. Einwilligung und Einwilligungsmanagement
• 9. Sichere Kommunikation mit Patientinnen und Patienten
• 10. Praktische Vertragsklauseln für die Auftragsverarbeitung (AVV)
• 11. Testing und Audit: Prüfliste für Entwickler und Datenschutzbeauftragte
• 12. Drei kurze Fallstudien aus der Praxis
• 13. Compliance-Matrix: Von der Anforderung zur Implementierung
• 14. Vorlagenanhang zur direkten Anwendung
• 15. Versionierung und Veröffentlichungsdatum

1. Einseitige Zusammenfassung und Quick-Start-Checkliste

Der Datenschutz in Gesundheitsdaten ist keine Option, sondern eine zwingende rechtliche und ethische Anforderung für alle digitalen Gesundheitsprodukte. Gesundheitsdaten gehören gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich untersagt und nur unter strengen Voraussetzungen zulässig. Dieser Leitfaden bietet Entwicklern, IT-Architekten und Datenschutzbeauftragten einen praxisorientierten und technisch fundierten Überblick über die wesentlichen Anforderungen und liefert direkt anwendbare Artefakte für die Umsetzung.

Quick-Start-Checkliste für den Datenschutz in Gesundheitsdaten

• Rechtsgrundlage prüfen: Ist die Verarbeitung durch eine explizite Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder eine andere gesetzliche Erlaubnis (z.B. für die Gesundheitsvorsorge, Art. 9 Abs. 2 lit. h DSGVO) gedeckt?
• Datenschutz-Folgenabschätzung (DSFA) durchführen: Bei jeder Verarbeitung von Gesundheitsdaten in großem Umfang oder mit neuen Technologien ist eine DSFA nach Art. 35 DSGVO obligatorisch.
• Privacy by Design & by Default umsetzen: Integrieren Sie Datenschutzmaßnahmen von Beginn an in die Systemarchitektur. Das Least-Privilege-Prinzip und die Datenminimierung sind fundamental.
• Technische und Organisatorische Maßnahmen (TOMs) definieren: Implementieren Sie starke Verschlüsselung (in-transit und at-rest), ein robustes Zugriffskonzept und eine lückenlose Protokollierung.
• Auftragsverarbeiter (AV) sorgfältig auswählen: Schließen Sie mit allen externen Dienstleistern, die Gesundheitsdaten verarbeiten (z.B. Hoster, Softwareanbieter), einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ab.
• Transparenz schaffen: Informieren Sie Patientinnen und Patienten klar und verständlich über die Datenverarbeitung (Art. 13/14 DSGVO) und gestalten Sie Einwilligungsprozesse nachvollziehbar.

2. Kurzüberblick: Warum Gesundheitsdaten besonders schutzbedürftig sind

Gesundheitsdaten sind Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer natürlichen Person beziehen. Dazu gehören Diagnosen, Laborwerte, genetische Daten, Medikationspläne oder Informationen aus einem Behandlungsvertrag. Die DSGVO stuft sie in Artikel 9 als besonders sensibel ein, da ihre unrechtmäßige Verarbeitung zu erheblicher Diskriminierung oder Beeinträchtigung der Grundrechte und Grundfreiheiten der Betroffenen führen kann. Der Datenschutz in Gesundheitsdaten erfordert daher ein außergewöhnlich hohes Schutzniveau.

Rechtlicher Rahmen

Die zentralen rechtlichen Grundlagen für den Datenschutz in Gesundheitsdaten in Deutschland sind:

• Die Datenschutz-Grundverordnung (DSGVO): Insbesondere Art. 5 (Grundsätze), Art. 6 (Rechtmäßigkeit), Art. 9 (Besondere Kategorien), Art. 25 (Privacy by Design/Default) und Art. 32 (Sicherheit der Verarbeitung).
• Das Bundesdatenschutzgesetz (BDSG): Enthält spezifische Regelungen, die die DSGVO ergänzen, beispielsweise im Kontext von Beschäftigtendaten oder für wissenschaftliche Forschungszwecke.
• Sektorspezifische Gesetze: Dazu zählen das Fünfte Buch Sozialgesetzbuch (SGB V) für die gesetzliche Krankenversicherung, die ärztlichen Berufsordnungen (§ 203 StGB – Verletzung von Privatgeheimnissen) und digitale Gesundheitsgesetze wie das Digitale-Versorgung-Gesetz (DVG).

Eine umfassende Orientierungshilfe zum Gesundheitsdatenschutz bietet das Bundesministerium für Wirtschaft und Klimaschutz (BMWK).

3. Spezifische Datenkategorien im Gesundheitsbereich und ihre Risikoeinstufung

Nicht alle Gesundheitsdaten bergen das gleiche Risiko. Eine differenzierte Betrachtung hilft bei der Priorisierung von Schutzmaßnahmen.

4. Datenschutz-Folgenabschätzung (DSFA) Schritt für Schritt

Eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), ist gemäß Art. 35 DSGVO für Verarbeitungen erforderlich, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Bei der Verarbeitung von Gesundheitsdaten ist dies fast immer der Fall.

Ablauf einer DSFA

1. Systematische Beschreibung der Verarbeitung: Beschreiben Sie den Zweck, die verarbeiteten Datenkategorien, die Empfänger und die Dauer der Speicherung.
2. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Begründen Sie, warum die Verarbeitung zur Erreichung des Zwecks erforderlich ist und ob die Maßnahmen verhältnismäßig sind.
3. Risikobewertung: Identifizieren Sie potenzielle Risiken für die Betroffenen (z.B. unbefugter Zugriff, Datenverlust, Diskriminierung). Bewerten Sie die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens.
4. Planung von Abhilfemaßnahmen: Definieren Sie technische und organisatorische Maßnahmen (TOMs), um die identifizierten Risiken zu minimieren. Dazu gehören Verschlüsselung, Zugriffskonzepte, Schulungen und vertragliche Regelungen.
5. Dokumentation und Überprüfung: Halten Sie den gesamten Prozess schriftlich fest. Die DSFA ist ein lebendes Dokument und muss bei Änderungen der Verarbeitung aktualisiert werden.

Eine Vorlage für eine DSFA finden Sie im Anhang dieses Artikels.

5. Technische Baselines: Verschlüsselung, Schlüsselmanagement und Datenpartitionierung

Ein robuster Datenschutz in Gesundheitsdaten basiert auf einem soliden technischen Fundament. Ab 2025 sollten folgende Standards als Mindestanforderung gelten:

Verschlüsselung

• Verschlüsselung in-transit: Jegliche Datenübertragung muss über Transport Layer Security (TLS) in der Version 1.3 oder höher erfolgen. Interne API-Aufrufe sind ebenfalls abzusichern.
• Verschlüsselung at-rest: Alle auf Speichermedien (Datenbanken, Backups, Dateisysteme) abgelegten Gesundheitsdaten müssen verschlüsselt werden. Empfohlene Algorithmen sind AES-256 oder Chiffren vergleichbarer Stärke.
• Clientseitige Verschlüsselung/Ende-zu-Ende-Verschlüsselung (E2EE): Für hochsensible Kommunikation (z.B. in Messenger-Diensten oder Telemedizin-Plattformen) sollte E2EE implementiert werden, sodass der Anbieter selbst keinen Zugriff auf die Inhalte hat.

Schlüsselmanagement

Die Sicherheit der Verschlüsselung hängt von der Sicherheit der kryptografischen Schlüssel ab. Nutzen Sie dedizierte Hardware Security Modules (HSM) oder etablierte Cloud-Dienste (z.B. AWS KMS, Azure Key Vault) zur Speicherung und Verwaltung von Schlüsseln. Implementieren Sie eine strikte Trennung zwischen den Schlüsseln und den verschlüsselten Daten.

Datenpartitionierung (Siloing)

Speichern Sie unterschiedliche Datenkategorien logisch oder physisch getrennt. Beispielsweise sollten identifizierende Stammdaten (Name, Adresse) von den medizinischen Daten getrennt gehalten und nur über eine Pseudonym-ID verknüpft werden. Dies minimiert den Schaden im Falle eines Datenlecks in einem Teilsystem.

6. Access Governance: Rollen, Least-Privilege und Protokollierung

Wer darf wann und warum auf welche Daten zugreifen? Eine klare Access Governance ist entscheidend.

• Rollenbasiertes Zugriffskonzept (RBAC): Definieren Sie Rollen (z.B. „Behandelnder Arzt“, „Abrechnung“, „Systemadministrator“) mit spezifischen Berechtigungen. Ein Nutzer erhält nur die Rechte, die für seine Rolle zwingend erforderlich sind.
• Least-Privilege-Prinzip: Jeder Nutzer und jedes System sollte nur die minimal notwendigen Berechtigungen erhalten, um seine Aufgabe zu erfüllen. Dies gilt auch für technische Service-Accounts.
• Lückenlose Protokollierung (Logging): Jeder Zugriff auf Gesundheitsdaten (Lesen, Schreiben, Löschen) muss protokolliert werden. Die Logs sollten Informationen über den Nutzer, den Zeitpunkt, die betroffenen Daten und die Art des Zugriffs enthalten. Diese Protokolle sind manipulationssicher zu speichern und regelmäßig auszuwerten.
• Segregation of Duties (SoD): Trennen Sie kritische Funktionen, um Missbrauch zu verhindern. Beispielsweise sollte ein Administrator, der Nutzerkonten anlegt, nicht gleichzeitig die Berechtigungen für diese Konten vergeben können.

7. Integrationsszenarien: Abrechnungsprozesse und externe Dienstleister

Digitale Gesundheitsanwendungen agieren selten isoliert. Die sichere Integration in bestehende Systeme und die Zusammenarbeit mit Partnern sind zentrale Herausforderungen für den Datenschutz in Gesundheitsdaten.

Abrechnungsprozesse

Für die Abrechnung mit Krankenkassen oder Privatversicherungen dürfen nur die absolut notwendigen Daten übermittelt werden (Grundsatz der Datenminimierung). Die Übertragungswege müssen gesichert sein (z.B. über KV-Connect oder vergleichbare Standards). Stellen Sie sicher, dass die Rechtsgrundlage für die Übermittlung eindeutig ist (z.B. SGB V).

Einbindung externer Dienstleister

Wenn Sie Cloud-Hoster, Analyse-Tools oder externe Entwickler einsetzen, die potenziell Zugriff auf Gesundheitsdaten haben, agieren diese als Auftragsverarbeiter. Sie benötigen zwingend einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Prüfen Sie den Dienstleister sorgfältig auf seine technischen und organisatorischen Maßnahmen. Insbesondere bei Dienstleistern außerhalb der EU (Drittlandtransfer) sind zusätzliche Garantien wie Standardvertragsklauseln (SVK) und eine Transfer-Folgenabschätzung (TFA) erforderlich.

8. Einwilligung und Einwilligungsmanagement

Oft ist die ausdrückliche Einwilligung der Patientin oder des Patienten die einzige tragfähige Rechtsgrundlage für die Datenverarbeitung. An diese Einwilligung stellt Art. 9 DSGVO hohe Anforderungen:

• Freiwillig: Die betroffene Person darf nicht unter Druck gesetzt werden.
• Informiert: Der Zweck der Verarbeitung muss klar, verständlich und präzise beschrieben werden. Pauschale Einwilligungen sind unwirksam.
• Spezifisch: Die Einwilligung muss sich auf einen oder mehrere bestimmte Zwecke beziehen.
• Unmissverständlich: Es muss eine aktive, bestätigende Handlung erfolgen (z.B. aktives Ankreuzen einer Checkbox).
• Nachweisbar und widerrufbar: Sie müssen die erteilte Einwilligung dokumentieren und nachweisen können. Der Widerruf muss ebenso einfach sein wie die Erteilung.

Implementieren Sie ein robustes Einwilligungsmanagement-System (Consent Management), das Versionierung, Dokumentation und den Widerrufsprozess sicher abbildet.

9. Sichere Kommunikation mit Patientinnen und Patienten

Die Kommunikation von Gesundheitsinformationen über unsichere Kanäle wie unverschlüsselte E-Mails, SMS oder gängige Messenger-Dienste stellt ein hohes Datenschutzrisiko dar. Solche Kanäle sollten für die Übermittlung sensibler Daten gemieden werden.

Sichere Alternativen

• Sichere Patientenportale: Web-Plattformen mit Zwei-Faktor-Authentifizierung (2FA), auf denen Nachrichten und Dokumente sicher ausgetauscht werden können.
• Spezialisierte Gesundheits-Messenger: Anwendungen, die Ende-zu-Ende-Verschlüsselung bieten und speziell für den Gesundheitssektor konzipiert sind.
• Verschlüsselte E-Mails: Nur wenn sowohl Sender als auch Empfänger Standards wie S/MIME oder PGP nutzen, kann eine sichere E-Mail-Kommunikation gewährleistet werden. In der Praxis ist dies oft schwer umsetzbar.

10. Praktische Vertragsklauseln für die Auftragsverarbeitung (AVV)

Ein AVV muss präzise Regelungen enthalten. Achten Sie als Verantwortlicher auf folgende Klauseln:

• Gegenstand und Dauer der Verarbeitung: Exakte Beschreibung der Dienstleistung.
• Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten: Detaillierte Auflistung, welche Gesundheitsdaten zu welchem Zweck verarbeitet werden.
• Technische und organisatorische Maßnahmen (TOMs): Konkrete Beschreibung der Sicherheitsmaßnahmen des Auftragsverarbeiters (Anhang zum AVV).
• Einsatz von Unterauftragsverarbeitern: Regelungen, ob und unter welchen Bedingungen der Dienstleister weitere Subunternehmer einsetzen darf (Zustimmungserfordernis).
• Weisungsrechte des Verantwortlichen: Klare Festlegung, dass der Auftragsverarbeiter nur auf dokumentierte Weisung handelt.
• Prüf- und Kontrollrechte: Ihr Recht, die Einhaltung der Datenschutzpflichten beim Dienstleister zu überprüfen (Audits, Anforderung von Zertifikaten).

11. Testing und Audit: Prüfliste für Entwickler und Datenschutzbeauftragte

Regelmäßige Überprüfungen sind unerlässlich, um den Datenschutz in Gesundheitsdaten dauerhaft zu gewährleisten.

Checkliste für die technische Prüfung

• Code Reviews: Werden Datenschutzprinzipien (z.B. Datenminimierung) im Code umgesetzt? Gibt es Schwachstellen wie hartcodierte Zugangsdaten?
• Penetrationstests: Regelmäßige simulierte Angriffe auf die Anwendung, um Sicherheitslücken zu identifizieren.
• Konfigurations-Audits: Sind Datenbanken, Server und Cloud-Dienste sicher konfiguriert? Sind Standardpasswörter geändert und unnötige Ports geschlossen?
• Zugriffsprotokolle prüfen: Werden alle Zugriffe korrekt geloggt? Gibt es auffällige Zugriffsmuster?
• Backup- und Wiederherstellungstests: Funktionieren die verschlüsselten Backups und kann der Datenbestand im Notfall sicher wiederhergestellt werden?

Weitere Informationen und Ressourcen bieten der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie Fachverbände wie die Gesellschaft für Datenschutz und Datensicherheit (GDD).

12. Drei kurze Fallstudien aus der Praxis

Fallstudie 1: Gesundheits-App

Eine App trackt Blutzuckerwerte. Herausforderung: Die Daten werden in einer Cloud gespeichert. Lösung: Clientseitige Verschlüsselung der Werte, bevor sie das Gerät verlassen. Der Cloud-Anbieter (Auftragsverarbeiter) hat keinen Zugriff auf die Klardaten. Die Einwilligung zur Verarbeitung wird direkt in der App eingeholt und protokolliert.

Fallstudie 2: Telemedizin-Plattform

Eine Plattform ermöglicht Video-Sprechstunden zwischen Ärzten und Patienten. Herausforderung: Schutz der audiovisuellen Kommunikation. Lösung: Einsatz von Ende-zu-Ende-Verschlüsselung für die Videoströme. Authentifizierung beider Parteien über sichere Verfahren (z.B. 2FA). Durchführung einer DSFA vor Inbetriebnahme.

Fallstudie 3: Anbieter von Abrechnungsdiensten

Ein Dienstleister verarbeitet für Arztpraxen Abrechnungsdaten. Herausforderung: Verarbeitung von Daten vieler verschiedener Verantwortlicher. Lösung: Strikte mandantenfähige Datenhaltung (logische Trennung). Implementierung eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO 27001. Detaillierte AVVs mit jeder Praxis.

13. Compliance-Matrix: Von der Anforderung zur Implementierung

Diese Matrix verknüpft rechtliche Anforderungen direkt mit konkreten technischen Umsetzungsschritten.

14. Vorlagenanhang zur direkten Anwendung

Die folgenden Textblöcke dienen als anpassbare Vorlagen für Ihre Dokumentation.

Vorlage: Struktur einer Datenschutz-Folgenabschätzung (DSFA)

1. BESCHREIBUNG DER VERARBEITUNG   1.1. Art, Umfang, Kontext und Zwecke   1.2. Verarbeitete personenbezogene Daten   1.3. Empfänger der Daten   1.4. Speicherdauer und Löschkonzept   1.5. Beschreibung der Technologie2. NOTWENDIGKEIT UND VERHÄLTNISMÄSSIGKEIT   2.1. Rechtsgrundlage der Verarbeitung   2.2. Nachweis der Erforderlichkeit   2.3. Maßnahmen zur Gewährleistung der Betroffenenrechte3. RISIKOANALYSE   3.1. Identifizierung der Bedrohungen und Risiken   3.2. Bewertung der Eintrittswahrscheinlichkeit und Schwere   3.3. Liste der identifizierten Risiken4. ABHILFEMASSNAHMEN   4.1. Geplante technische Maßnahmen (z.B. Verschlüsselung)   4.2. Geplante organisatorische Maßnahmen (z.B. Schulungen)   4.3. Restrisikobewertung5. STELLUNGNAHME DES DSB UND GENEHMIGUNG

Vorlage: Textbaustein für eine ausdrückliche Einwilligung

[ ] Ja, ich willige ausdrücklich ein, dass [Name des Unternehmens/der Anwendung] meine folgenden Gesundheitsdaten: [z.B. Blutzuckerwerte, Medikationsplan, Diagnosen] zum Zweck der [z.B. Bereitstellung personalisierter Gesundheitstipps, Dokumentation meines Behandlungsverlaufs] verarbeitet.Mir ist bewusst, dass es sich hierbei um besonders sensible Daten handelt. Ich wurde über mein Recht informiert, diese Einwilligung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft zu widerrufen. Ein Widerruf kann per E-Mail an [E-Mail-Adresse] oder über die Einstellungen in meinem Profil erfolgen.Weitere Informationen zur Verarbeitung meiner Daten finde ich in der [Link zur Datenschutzerklärung].

15. Versionierung und Veröffentlichungsdatum

Version: 1.0

Veröffentlichungsdatum: 01. Januar 2025

Änderungsprotokoll: Ersterstellung des Leitfadens.