Personenbezogene Daten im Gesundheitswesen: Praxisleitfaden

Personenbezogene Daten im Gesundheitswesen: Praxisleitfaden

Leitfaden 2025: Personenbezogene Daten in der Gesundheitsbranche sicher verwalten

Inhaltsverzeichnis

Einleitung: Warum Gesundheitsdaten besondere Schutzbedürftigkeit haben

Personenbezogene Daten in der Gesundheitsbranche gehören zu den sensibelsten Informationen überhaupt. Sie offenbaren intimste Details über den physischen und psychischen Zustand eines Menschen. Ein unsachgemäßer Umgang kann gravierende Folgen haben – von sozialer Stigmatisierung bis hin zu Nachteilen bei Versicherungen oder im Berufsleben. Aus diesem Grund unterliegen sie einem besonders hohen Schutzniveau, das durch die Datenschutz-Grundverordnung (DSGVO (GDPR auf Englisch)) und nationale Gesetze wie das Digitale-Dienste-Gesetz (DDG) streng reguliert wird. Dieser Leitfaden bietet Praxisleitungen, Datenschutzbeauftragten und medizinischem Personal eine praxisorientierte Hilfestellung, um den rechtlichen Anforderungen gerecht zu werden und das Vertrauen der Patienten zu sichern.

Kurzüberblick: Relevante Rechtsgrundlagen nach DSGVO und nationales Recht

Die Verarbeitung personenbezogener Daten in der Gesundheitsbranche stützt sich auf ein komplexes Geflecht aus europäischen und nationalen Vorschriften. Die zentralen rechtlichen Pfeiler sind:

  • Datenschutz-Grundverordnung (DSGVO): Als europäische Verordnung setzt sie den Rahmen für den Datenschutz in der EU. Besonders relevant sind Art. 6 (Rechtmäßigkeit der Verarbeitung) und Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten).
  • Bundesdatenschutzgesetz (BDSG): Es ergänzt und konkretisiert die DSGVO auf nationaler Ebene, insbesondere in Bereichen, in denen die DSGVO den Mitgliedstaaten Öffnungsklauseln lässt.
  • Digitale-Dienste-Gesetz (DDG): Das DDG, welches aus dem Telemediengesetz (TMG) hervorgegangen ist, regelt spezifische Datenschutzanforderungen für digitale Dienste, was beispielsweise bei der Nutzung von Praxis-Webseiten oder Online-Terminbuchungstools relevant wird.
  • Sozialgesetzbuch (SGB V und X): Diese Gesetze enthalten spezielle Regelungen zum Sozialgeheimnis und zur Datenverarbeitung im Rahmen der gesetzlichen Krankenversicherung.
  • Landesspezifische Krankenhaus- und Gesundheitsgesetze: Die einzelnen Bundesländer haben eigene Gesetze, die zusätzliche Vorgaben für den Datenschutz in Kliniken und anderen Gesundheitseinrichtungen enthalten können.

Kategorien besonderer Daten nach Art. 9 DSGVO und praktische Folgen

Gesundheitsdaten fallen unter die „besonderen Kategorien personenbezogener Daten“ gemäß Art. 9 Abs. 1 DSGVO. Dazu zählen alle Informationen, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Praktische Folgen des Schutzstatus

Die Verarbeitung dieser Daten ist grundsätzlich verboten. Ausnahmen sind nur unter den strengen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Für den Klinik- und Praxisalltag sind vor allem folgende Ausnahmen relevant:

  • Ausdrückliche Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO).
  • Verarbeitung ist für Zwecke der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich (Art. 9 Abs. 2 lit. h DSGVO). Dies ist die häufigste Rechtsgrundlage im Behandlungsalltag.
  • Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich (Art. 9 Abs. 2 lit. i DSGVO), z. B. bei der Bekämpfung von Pandemien.
  • Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken (Art. 9 Abs. 2 lit. j DSGVO) unter Einhaltung strenger Schutzmaßnahmen.

Verarbeitungsszenarien in Kliniken und Praxen

Die Verarbeitung personenbezogener Daten in der Gesundheitsbranche findet in zahlreichen Prozessen statt. Hier einige typische Beispiele:

  • Elektronische Patientenakte (ePA): Speicherung von Diagnosen, Medikationsplänen, Arztbriefen und Befunden.
  • Abrechnung: Übermittlung von Leistungsdaten an Krankenkassen und privatärztliche Verrechnungsstellen.
  • Forschung: Nutzung von anonymisierten oder pseudonymisierten Patientendaten für klinische Studien.
  • Qualitätssicherung: Interne Auswertungen zur Verbesserung von Behandlungsprozessen.
  • Terminmanagement: Erhebung von Kontaktdaten und Behandlungsgrund bei der Terminvereinbarung.
  • Telemedizin: Verarbeitung von Gesundheitsdaten im Rahmen von Videosprechstunden.

Rechtsgrundlage-Matrix: Wann welche Rechtsgrundlage greift?

Die Wahl der korrekten Rechtsgrundlage ist entscheidend. Die folgende Tabelle gibt einen vereinfachten Überblick:

Verarbeitungsszenario Primäre Rechtsgrundlage (Art. 9 DSGVO) Zusätzliche Rechtsgrundlage (Art. 6 DSGVO)
Medizinische Behandlung und Diagnostik lit. h (Versorgung/Behandlung) lit. b (Behandlungsvertrag)
Abrechnung mit GKV/PKV lit. h (Verwaltung von Systemen) lit. c (gesetzliche Verpflichtung, z.B. SGB V)
Teilnahme an einer klinischen Studie lit. a (ausdrückliche Einwilligung) lit. a (Einwilligung)
Versand eines Praxis-Newsletters Nicht anwendbar (keine Gesundheitsdaten) lit. a (Einwilligung)
Meldung einer Infektionskrankheit lit. i (öffentliches Interesse) lit. c (gesetzliche Verpflichtung, z.B. IfSG)

Technische Schutzmaßnahmen: Verschlüsselung, Zugriffssteuerung, Protokollierung

Technische und organisatorische Maßnahmen (TOMs) sind das Rückgrat des Datenschutzes. Unverzichtbare technische Maßnahmen umfassen:

  • Verschlüsselung: Sowohl „at rest“ (auf Festplatten und Servern) als auch „in transit“ (bei der Datenübertragung, z. B. über TLS). Dies stellt sicher, dass Daten bei einem Diebstahl oder Abfangen unlesbar sind.
  • Zugriffssteuerung: Implementierung eines rollenbasierten Berechtigungskonzepts. Pflegepersonal sollte nur Zugriff auf die Daten der Patienten ihrer Station haben, Ärzte auf die ihrer Fachabteilung. Jede Berechtigung muss nach dem Need-to-know-Prinzip vergeben werden.
  • Protokollierung (Logging): Lückenlose Aufzeichnung aller Zugriffe (wer, wann, was) auf Patientendaten. Diese Protokolle müssen regelmäßig überprüft werden, um unberechtigte Zugriffe zu erkennen.
  • Netzwerksicherheit: Einsatz von Firewalls, sicheren WLAN-Konfigurationen und Segmentierung des Netzwerks, um sensible Bereiche abzuschotten.

Organisatorische TOMs: Rollen, Zugriffsprozesse und Schulungen

Technik allein reicht nicht aus. Organisatorische Maßnahmen stellen sicher, dass die Technik korrekt genutzt wird.

  • Klare Rollen und Verantwortlichkeiten: Benennung eines Datenschutzbeauftragten und Definition klarer Zuständigkeiten für den Datenschutz in jeder Abteilung.
  • Definierte Zugriffsprozesse: Ein formalisierter Prozess zur Beantragung, Genehmigung und Entziehung von Zugriffsrechten.
  • Regelmäßige Schulungen: Sensibilisierung aller Mitarbeitenden für den Umgang mit personenbezogenen Daten in der Gesundheitsbranche. Schulungen sollten praxisnah und auf die jeweilige Rolle zugeschnitten sein und ab 2025 jährlich wiederholt werden.
  • Richtlinien und Arbeitsanweisungen: Schriftliche Vorgaben zum Umgang mit mobilen Geräten, zur sicheren Passwortvergabe und zur Meldung von Datenschutzvorfällen.

Pseudonymisierung versus Anonymisierung: Praxisregeln für Analysen

Für Forschung und Analysen ist es oft nicht notwendig, direkt identifizierbare Daten zu verwenden.

  • Pseudonymisierung: Die direkten Identifikatoren (z. B. Name, Geburtsdatum) werden durch ein Pseudonym (z. B. eine zufällige Nummer) ersetzt. Die Zuordnungstabelle, die eine Re-Identifizierung ermöglichen würde, wird getrennt und sicher aufbewahrt. Pseudonymisierte Daten sind weiterhin personenbezogene Daten und fallen unter die DSGVO.
  • Anonymisierung: Die Daten werden so verändert, dass ein Rückschluss auf eine Person nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand möglich ist. Echte anonyme Daten fallen nicht mehr unter den Anwendungsbereich der DSGVO.

Praxisregel: Für die meisten internen Auswertungen und viele Forschungsprojekte ist die Pseudonymisierung der sicherere und oft ausreichende Weg. Eine echte Anonymisierung ist technisch anspruchsvoll und muss sorgfältig geprüft werden.

DPIA: Trigger, Ablauf und angepasste Vorlage

Eine Datenschutz-Folgenabschätzung (DSFA (DPIA auf Englisch)) ist immer dann erforderlich, wenn eine geplante Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang ist ein klassischer Auslöser.

Typische Trigger in der Gesundheitsbranche

  • Einführung eines neuen Krankenhausinformationssystems (KIS).
  • Implementierung einer zentralen elektronischen Patientenakte.
  • Nutzung von KI-basierten Diagnosetools.
  • Großangelegte Forschungsprojekte mit sensiblen Daten.

Ablauf einer DPIA

  1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
  3. Bewertung der Risiken für die Betroffenen (z. B. Risiko der unbefugten Offenlegung).
  4. Planung von Abhilfemaßnahmen zur Risikominimierung (technisch und organisatorisch).

Auftragsverarbeitung (AVV): Pflichtinhalte und Prüfpunkte

Sobald ein externer Dienstleister im Auftrag Ihrer Einrichtung personenbezogene Daten verarbeitet (z. B. ein Rechenzentrum, ein Software-Anbieter oder eine externe Abrechnungsstelle), ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.

Wichtige Prüfpunkte im AVV

  • Gegenstand und Dauer der Verarbeitung: Was genau wird wie lange gemacht?
  • Art und Zweck der Verarbeitung: Z. B. „Hosting des KIS zur Patientenverwaltung“.
  • Art der personenbezogenen Daten: Z. B. Gesundheitsdaten, Kontaktdaten.
  • Kategorien betroffener Personen: Z. B. Patienten, Mitarbeitende.
  • Technische und organisatorische Maßnahmen des Dienstleisters.
  • Pflicht zur Meldung von Datenschutzverletzungen an den Auftraggeber.
  • Regelungen zur Einschaltung von Subunternehmern.
  • Weisungsgebundenheit des Auftragnehmers.

Grenzüberschreitende Datenübermittlungen

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/des EWR (Drittländer) ist streng geregelt. Sie ist nur zulässig, wenn ein angemessenes Datenschutzniveau im Zielland sichergestellt ist. Empfehlungen für das Hosting:

  • Hosting innerhalb der EU/EWR bevorzugen: Dies ist die rechtlich sicherste Variante.
  • Angemessenheitsbeschluss: Für einige Länder (z. B. Schweiz, Kanada) hat die EU-Kommission ein angemessenes Datenschutzniveau festgestellt.
  • Standardvertragsklauseln (SCCs): Bei Übermittlungen in andere Länder (z. B. USA) müssen Standardvertragsklauseln abgeschlossen und ggf. zusätzliche Schutzmaßnahmen ergriffen werden.

Patientenkommunikation: Sichere E-Mail, Messenger und Einwilligungen

Die Kommunikation mit Patienten muss ebenfalls datenschutzkonform gestaltet werden.

  • E-Mail: Der Versand unverschlüsselter E-Mails mit sensiblen Gesundheitsdaten ist nicht zulässig. Nutzen Sie Ende-zu-Ende-verschlüsselte Kommunikationsportale oder holen Sie eine explizite, informierte Einwilligung des Patienten für den unverschlüsselten Versand ein, nachdem Sie ihn über die Risiken aufgeklärt haben.
  • Messenger-Dienste: Die Nutzung von gängigen Messengern wie WhatsApp ist für die Übermittlung von Patientendaten in der Regel unzulässig, da oft unklar ist, was mit den Metadaten geschieht und wo die Server stehen. Setzen Sie auf spezialisierte, sichere Messenger für den Gesundheitsbereich.
  • Einwilligungen: Jede Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Sie muss protokolliert werden und kann jederzeit widerrufen werden.

Spezialfälle: Kinder, Forschungspatienten und Bildmaterial

  • Kinder: Bei der Verarbeitung von Daten von Kindern, die das 16. Lebensjahr noch nicht vollendet haben, ist die Zustimmung der Erziehungsberechtigten erforderlich.
  • Forschungspatienten: Hier sind separate, sehr detaillierte Einwilligungen notwendig, die genau über Zweck, Umfang und Dauer der Datenverwendung im Rahmen der Studie aufklären.
  • Bildmaterial: Fotos oder Videos von Patienten sind Gesundheitsdaten. Ihre Anfertigung und Verwendung (z. B. zur Veröffentlichung oder in Fachvorträgen) erfordert immer eine separate, ausdrückliche Einwilligung.

Einseitige Compliance-Checkliste für Kliniken und Praxen

  • [ ] Datenschutzbeauftragter benannt und den Behörden gemeldet?
  • [ ] Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt und aktuell?
  • [ ] TOMs dokumentiert und auf Wirksamkeit geprüft?
  • [ ] Berechtigungskonzept vorhanden und umgesetzt?
  • [ ] AV-Verträge mit allen relevanten Dienstleistern geschlossen und geprüft?
  • [ ] Mitarbeitende nachweislich (mindestens jährlich ab 2025) geschult und auf das Datengeheimnis verpflichtet?
  • [ ] Prozess zur Bearbeitung von Betroffenenrechten (Auskunft, Löschung) etabliert?
  • [ ] Prozess zur Meldung von Datenschutzpannen an die Aufsichtsbehörde (innerhalb von 72 Stunden) definiert?
  • [ ] Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durchgeführt?
  • [ ] Datenschutzerklärung auf der Webseite aktuell und vollständig?
  • [ ] Einwilligungsformulare DSGVO-konform gestaltet?
  • [ ] Löschkonzept mit definierten Fristen für alle Datenkategorien vorhanden?

Praxisbeispiele und Musterformulierungen

  • Musterformulierung Einwilligung: „Ich willige ausdrücklich ein, dass [Name der Praxis/Klinik] meine folgenden Gesundheitsdaten [genaue Angabe der Daten, z. B. Befunde, Diagnosen] zum Zweck der [genauer Zweck, z. B. Teilnahme an der Studie XY] verarbeitet. Mir ist bekannt, dass diese Einwilligung freiwillig ist und ich sie jederzeit ohne Nachteile widerrufen kann.“
  • Beispiel Löschfrist: Patientendaten im Rahmen des Behandlungsvertrages unterliegen gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre nach § 630f BGB). Nach Ablauf dieser Frist sind die Daten zu löschen oder zu anonymisieren.
  • Vorlage Protokolleintrag: `[Datum/Uhrzeit] | [Benutzer-ID] | [Patienten-ID] | [Aktion: z. B. Lesezugriff] | [Begründung: z. B. Vorbereitung Visite]`

Glossar und weiterführende Behördenlinks

  • Verantwortlicher: Die Klinik oder Praxis, die über die Zwecke und Mittel der Datenverarbeitung entscheidet.
  • Auftragsverarbeiter: Ein externer Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet.
  • Betroffene Person: Der Patient, dessen Daten verarbeitet werden.
  • Datenschutzverletzung: Eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.

Weitere Informationen finden Sie auf den offiziellen Webseiten der Aufsichtsbehörden:

Häufig gestellte Fragen

Darf ich Patientendaten per E-Mail an einen Kollegen weiterleiten?

Nur wenn eine Ende-zu-Ende-Verschlüsselung sichergestellt ist oder es sich um eine verschlüsselte Kommunikation innerhalb des gesicherten Kliniknetzwerks handelt. Der Versand unverschlüsselter Gesundheitsdaten über das öffentliche Internet ist ein hohes Sicherheitsrisiko und in der Regel unzulässig.

Wie lange muss ich Patientendaten aufbewahren?

Die zivilrechtliche Aufbewahrungsfrist beträgt in der Regel 10 Jahre nach Abschluss der Behandlung. Es können jedoch spezialgesetzliche Regelungen (z. B. aus dem Strahlenschutzgesetz) längere Fristen vorschreiben.

Was ist der erste Schritt bei einer Datenpanne?

Intern sofort den Vorfall an den Datenschutzbeauftragten melden. Dieser bewertet das Risiko. Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen, muss der Vorfall innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Bei einem hohen Risiko müssen auch die betroffenen Patienten informiert werden.