Datenschutz bei Gesundheitsdaten: Praxisleitfaden für Anbieter

Datenschutz bei Gesundheitsdaten: Praxisleitfaden für Anbieter

Datenschutz bei Gesundheitsdaten 2025: Der Praxisleitfaden für digitale Gesundheitslösungen

Inhaltsverzeichnis

Kurzüberblick und Top 5 Sofortmaßnahmen (TL;DR)

Der korrekte Datenschutz bei Gesundheitsdaten ist kein optionales Feature, sondern die Geschäftsgrundlage für jede digitale Gesundheitsanwendung. Für Entwickler, Produktmanager und Gründer in KMU und Startups ist das Verständnis der komplexen Anforderungen entscheidend für den Markterfolg und die Vermeidung hoher Bußgelder. Dieser Leitfaden bietet eine praxisorientierte Roadmap von der Konzeption bis zum Launch.

Ihre Top 5 Sofortmaßnahmen:

  • Datenminimierung als Standard: Erheben und verarbeiten Sie nur die Gesundheitsdaten, die für den Zweck Ihrer Anwendung absolut notwendig sind (Grundsatz der Datensparsamkeit).
  • Rechtsgrundlage klären: Identifizieren Sie von Anfang an die exakte Rechtsgrundlage für jede Datenverarbeitung – in den meisten Fällen wird dies eine explizite und informierte Einwilligung nach Art. 9 DSGVO sein.
  • Datenschutz-Folgenabschätzung (DSFA) durchführen: Beginnen Sie frühzeitig mit der DSFA, da die Verarbeitung von Gesundheitsdaten fast immer ein hohes Risiko für die Betroffenen darstellt.
  • Sichere Auftragsverarbeiter wählen: Prüfen Sie jeden externen Dienstleister (z.B. für Hosting oder Analysen) sorgfältig und schließen Sie einen wasserdichten Auftragsverarbeitungsvertrag (AVV) ab.
  • Dokumentation aufbauen: Führen Sie ein lückenloses Verzeichnis von Verarbeitungstätigkeiten (VVT). Eine saubere Dokumentation ist bei Anfragen von Aufsichtsbehörden essenziell.

Rechtliche Grundlagen im Überblick: Art. 6 und Art. 9 DSGVO, nationale Vorgaben

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine spezifische Erlaubnis vor. Beim Datenschutz bei Gesundheitsdaten sind die Hürden besonders hoch.

Die Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO), oder General Data Protection Regulation (GDPR auf Englisch), ist das zentrale Regelwerk. Zwei Artikel sind hierbei von entscheidender Bedeutung:

  • Artikel 6 DSGVO: Rechtmäßigkeit der Verarbeitung. Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Dazu gehören die Einwilligung, die Erfüllung eines Vertrags, rechtliche Verpflichtungen oder berechtigte Interessen.
  • Artikel 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten. Gesundheitsdaten fallen unter diese “besonderen Kategorien”. Ihre Verarbeitung ist strenger geregelt und grundsätzlich untersagt. Ausnahmen sind eng gefasst, wobei die ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) die wichtigste für digitale Gesundheitsprodukte ist.

Nationale Vorgaben

Neben der DSGVO müssen Anbieter in Deutschland weitere Gesetze beachten. Dazu gehören unter anderem das Bundesdatenschutzgesetz (BDSG), landesspezifische Datenschutzgesetze und bereichsspezifische Regelungen wie das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG) oder die ärztliche Schweigepflicht nach § 203 Strafgesetzbuch (StGB).

Auswahl der Rechtsgrundlage: Entscheidungsbaum und Praxisbeispiele

Die Wahl der korrekten Rechtsgrundlage ist eine der ersten und wichtigsten Entscheidungen im Produktentwicklungsprozess. Für Gesundheitsdaten kommt in der Regel nur eine begrenzte Auswahl infrage.

Entscheidungsbaum (vereinfacht)

  1. Handelt es sich um Gesundheitsdaten nach Art. 4 Nr. 15 DSGVO?
    • Ja: Weiter zu Punkt 2.
    • Nein: Prüfe Rechtsgrundlagen nach Art. 6 DSGVO (z.B. Vertragserfüllung).
  2. Liegt eine der Ausnahmen nach Art. 9 Abs. 2 DSGVO vor?
    • Häufigster Fall für Apps/Plattformen: Ausdrückliche Einwilligung des Nutzers (Art. 9 Abs. 2 lit. a). Dies ist der Standardweg.
    • Andere Fälle (seltener für KMU/Startups): Verarbeitung ist für die Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik oder die Versorgung/Behandlung im Gesundheits- oder Sozialbereich erforderlich (Art. 9 Abs. 2 lit. h). Dies betrifft eher direkt Ärzte oder Kliniken.

Praxisbeispiele

  • Fitness-App mit Symptom-Tagebuch: Die Eingabe von Kopfschmerz-Frequenz oder Blutzuckerwerten stellt die Verarbeitung von Gesundheitsdaten dar. Die einzig saubere Rechtsgrundlage ist die ausdrückliche, informierte und freiwillige Einwilligung des Nutzers.
  • Telemedizin-Plattform: Ein Arzt führt eine Videosprechstunde durch. Hier basiert die Verarbeitung auf dem Behandlungsvertrag und fällt unter Art. 9 Abs. 2 lit. h DSGVO, da sie durch Fachpersonal erfolgt. Dennoch ist oft zusätzlich eine Einwilligung für die Nutzung der spezifischen Plattform-Technologie erforderlich.

Datenklassifikation: Was sind Gesundheitsdaten und wie sind sie zu schützen?

Laut Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“

Das ist ein sehr weiter Begriff und umfasst unter anderem:

  • Diagnosen, ärztliche Befunde und Laborwerte
  • Informationen über Krankheiten, Behinderungen oder genetische Veranlagungen
  • Daten aus einer ärztlichen Untersuchung oder Behandlung
  • Daten, die im Rahmen einer Gesundheits-App erfasst werden (z.B. Blutdruck, Herzfrequenz, Schlafmuster, Menstruationszyklus)
  • Informationen über den Konsum von Medikamenten oder Drogen

Diese Daten genießen einen besonders hohen Schutzstatus. Das bedeutet, dass technische und organisatorische Maßnahmen (TOM) auf höchstem Niveau („State of the Art“) implementiert werden müssen.

DSFA Schritt für Schritt: Wann, wie und mit welcher Tiefe?

Eine Datenschutz-Folgenabschätzung (DSFA), oder Data Protection Impact Assessment (DPIA auf Englisch), ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang erfüllt dieses Kriterium fast immer.

Wann ist eine DSFA durchzuführen?

Führen Sie die DSFA vor Beginn der Verarbeitung durch, idealerweise bereits in der Konzeptionsphase des Produkts. Sie ist ein lebendes Dokument und muss bei Änderungen am Produkt aktualisiert werden.

Wie läuft eine DSFA ab?

  1. Systematische Beschreibung der Verarbeitung: Was wollen Sie tun? Welche Daten werden verarbeitet? Wer hat Zugriff? Wie lange werden die Daten gespeichert?
  2. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Ist die Verarbeitung für den Zweck wirklich notwendig? Gibt es datensparsamere Alternativen?
  3. Risikobewertung: Identifizieren Sie potenzielle Risiken für die Betroffenen (z.B. Datenlecks, unbefugter Zugriff, Diskriminierung). Bewerten Sie die Eintrittswahrscheinlichkeit und die Schwere des möglichen Schadens.
  4. Abhilfemaßnahmen planen: Definieren Sie konkrete technische und organisatorische Maßnahmen, um die identifizierten Risiken zu minimieren (z.B. Verschlüsselung, Zugriffskonzepte, Schulungen).

Muster: Einwilligungsformulierung und Dokumentationspflichten

Eine wirksame Einwilligung für Gesundheitsdaten muss mehrere Kriterien erfüllen.

Checkliste für eine wirksame Einwilligung

  • Freiwilligkeit: Der Nutzer darf nicht unter Druck gesetzt werden. Die Kernfunktion der App darf nicht von der Einwilligung in nicht erforderliche Verarbeitungen abhängig gemacht werden (Kopplungsverbot).
  • Informiertheit: Der Nutzer muss genau wissen, wozu er einwilligt. Erklären Sie in einfacher und verständlicher Sprache:
    • Wer ist der Verantwortliche?
    • Welche konkreten Daten werden zu welchem Zweck verarbeitet?
    • Wer sind die Empfänger der Daten (z.B. externe Dienstleister)?
    • Wie lange werden die Daten gespeichert?
    • Hinweis auf das jederzeitige Widerrufsrecht.
  • Ausdrücklichkeit: Eine implizite Einwilligung (z.B. durch Weiternutzung der App) ist nicht ausreichend. Eine aktive Handlung, wie das Setzen eines Häkchens in einer Checkbox, ist erforderlich. Die Checkbox darf nicht voran gekreuzt sein.
  • Nachweisbarkeit: Sie müssen protokollieren können, wer wann und wozu seine Einwilligung erteilt hat.

Dokumentationspflichten

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist das zentrale Dokument Ihrer Datenschutzorganisation. Es listet alle Prozesse auf, in denen personenbezogene Daten verarbeitet werden, und beschreibt unter anderem die Zwecke, Datenkategorien, Empfänger und Löschfristen. Ein sorgfältig gepflegtes VVT ist für den Nachweis der Einhaltung des Datenschutzes unerlässlich.

Technische Schutzmaßnahmen: Verschlüsselung, Zugriffskontrolle, Logging und Pseudonymisierung

Der Schutz von Gesundheitsdaten erfordert robuste technische Maßnahmen (TOM) nach dem Stand der Technik.

  • Verschlüsselung: Daten müssen sowohl bei der Übertragung (in transit, z.B. via TLS 1.3) als auch bei der Speicherung (at rest, z.B. durch Datenbank- oder Festplattenverschlüsselung) stark verschlüsselt werden. Eine Ende-zu-Ende-Verschlüsselung ist bei Kommunikationsanwendungen der Goldstandard.
  • Zugriffskontrolle: Implementieren Sie ein strenges Rollen- und Berechtigungskonzept (Role-Based Access Control, RBAC). Jeder Mitarbeiter darf nur auf die Daten zugreifen, die er für seine Aufgabe zwingend benötigt (Need-to-know-Prinzip).
  • Logging und Monitoring: Protokollieren Sie alle Zugriffe auf Gesundheitsdaten. So können Sie im Falle eines Vorfalls nachvollziehen, wer wann auf welche Daten zugegriffen hat.
  • Pseudonymisierung und Anonymisierung: Wo immer möglich, sollten Daten pseudonymisiert werden. Das bedeutet, dass direkte Identifikatoren (wie Name oder E-Mail-Adresse) durch ein Pseudonym ersetzt werden. Für statistische Auswertungen sollte eine vollständige Anonymisierung angestrebt werden.

Organisatorische Maßnahmen: Rollen, Schulungen, Protokollführung

Technik allein reicht nicht aus. Der Mensch bleibt ein entscheidender Faktor für einen wirksamen Datenschutz bei Gesundheitsdaten.

  • Klare Rollen und Verantwortlichkeiten: Benennen Sie einen Datenschutzbeauftragten (DSB), falls gesetzlich vorgeschrieben, oder zumindest einen zentralen Ansprechpartner für Datenschutz.
  • Regelmäßige Schulungen: Sensibilisieren Sie alle Mitarbeiter, die mit Gesundheitsdaten in Berührung kommen, regelmäßig für die Besonderheiten und Risiken.
  • Richtlinien und Prozesse: Erstellen Sie interne Richtlinien für den Umgang mit Daten, die Löschung von Daten und das Verhalten bei Datenschutzvorfällen.

Externe Dienstleister und Auftragsverarbeitung: Checkliste für Verträge und Auditpunkte

Wenn Sie einen Cloud-Hoster, einen Analyse-Dienstleister oder andere externe Partner einsetzen, bleiben Sie der Verantwortliche für die Daten. Die Auswahl und Steuerung dieser Dienstleister ist kritisch.

Checkliste für Auftragsverarbeitungsverträge (AVV)

Ein AVV nach Art. 28 DSGVO ist zwingend erforderlich. Prüfen Sie den Vertrag auf folgende Punkte:

  • Gegenstand und Dauer der Verarbeitung: Klare Beschreibung, was der Dienstleister tun darf.
  • Art und Zweck der Verarbeitung: Präzise Definition des Auftrags.
  • Art der personenbezogenen Daten und Kategorien betroffener Personen: Genaue Auflistung.
  • Rechte und Pflichten des Auftraggebers (Ihnen): Ihre Weisungsrechte müssen festgeschrieben sein.
  • Pflichten des Auftragnehmers:
    • Verarbeitung nur auf Weisung.
    • Gewährleistung der Vertraulichkeit.
    • Umsetzung angemessener technischer und organisatorischer Maßnahmen.
    • Keine Einschaltung von Sub-Auftragnehmern ohne Ihre Genehmigung.
    • Unterstützung bei Betroffenenrechten und Meldepflichten.
    • Rückgabe oder Löschung der Daten nach Vertragsende.
    • Ihre Audit- und Kontrollrechte.

Grenzüberschreitende Datenübermittlungen: Angemessenheit, SCCs und Transfer Impact Assessment

Die Übermittlung von Gesundheitsdaten in Länder außerhalb der EU/des EWR (Drittländer) ist eine besondere Herausforderung. Dies ist relevant, wenn Sie z.B. US-amerikanische Cloud-Anbieter nutzen.

  1. Angemessenheitsbeschluss: Prüfen Sie, ob die EU-Kommission für das Zielland einen Angemessenheitsbeschluss erlassen hat. Falls ja, ist die Übermittlung relativ unkompliziert.
  2. Standardvertragsklauseln (SCCs): Gibt es keinen Angemessenheitsbeschluss (z.B. für die USA), müssen Sie Standardvertragsklauseln (Standard Contractual Clauses) mit dem Dienstleister abschließen.
  3. Transfer Impact Assessment (TIA): Zusätzlich zu den SCCs müssen Sie ein TIA durchführen. Dabei bewerten Sie, ob die Gesetze und Praktiken im Zielland den Schutz der Daten untergraben könnten (z.B. durch weitreichende Überwachungsgesetze). Gegebenenfalls müssen Sie zusätzliche Schutzmaßnahmen (z.B. starke Verschlüsselung, bei der der Anbieter keinen Zugriff auf die Schlüssel hat) ergreifen.

Spezifische Anwendungsfälle: mHealth Apps, Telemedizin, Cloud-Hosting

mHealth Apps

Bei mobilen Gesundheits-Apps sind die Einwilligung des Nutzers und die Datensicherheit auf dem Endgerät (z.B. sichere Speicherung) zentral. Achten Sie darauf, keine unnötigen Berechtigungen (z.B. Zugriff auf Kontakte) anzufordern.

Telemedizin

Die Kommunikation zwischen Arzt und Patient muss Ende-zu-Ende-verschlüsselt sein. Die Identität der Teilnehmer muss sichergestellt werden. Der Datenschutz bei Gesundheitsdaten ist hier direkt mit der ärztlichen Schweigepflicht verknüpft.

Cloud-Hosting

Wählen Sie einen Hoster mit Serverstandort in der EU/EWR. Zertifizierungen wie ISO 27001 oder C5 (BSI) können ein Indikator für hohe Sicherheitsstandards sein. Klären Sie im AVV genau, wo und wie Ihre Daten gespeichert werden.

Retention und Löschung: Aufbewahrungsfristen und Automatisierung

Gesundheitsdaten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (Grundsatz der Speicherbegrenzung). Entwickeln Sie ein Löschkonzept:

  • Definieren Sie Aufbewahrungsfristen: Legen Sie fest, wann welche Daten gelöscht werden müssen (z.B. nach Account-Löschung durch den Nutzer, nach Ablauf gesetzlicher Fristen).
  • Automatisieren Sie die Löschung: Manuelle Löschprozesse sind fehleranfällig. Implementieren Sie automatisierte Routinen, um Daten nach Fristablauf sicher zu löschen.
  • Dokumentieren Sie die Löschung: Führen Sie ein Löschprotokoll.

Risiko- und Incident-Handling ohne Dramatisierung: Meldepflichten und Dokumentation

Trotz bester Vorkehrungen kann es zu einem Datenschutzvorfall (Data Breach) kommen. Ein strukturierter Plan ist entscheidend.

  1. Erkennen und Bewerten: Stellen Sie fest, was passiert ist und ob ein Risiko für die Betroffenen besteht.
  2. Melden: Besteht ein Risiko, müssen Sie den Vorfall innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutz-Aufsichtsbehörde melden (Art. 33 DSGVO).
  3. Benachrichtigen: Besteht ein hohes Risiko für die Betroffenen, müssen Sie diese ebenfalls unverzüglich informieren (Art. 34 DSGVO).
  4. Dokumentieren: Dokumentieren Sie jeden Vorfall, seine Auswirkungen und die ergriffenen Abhilfemaßnahmen lückenlos.

Umsetzungsfahrplan für KMU: Launch-Checkliste und Verantwortlichkeiten

Ein erfolgreicher und datenschutzkonformer Launch folgt einem klaren Plan. Der Datenschutz bei Gesundheitsdaten muss von Anfang an mitgedacht werden (Privacy by Design).

Phase 1: Konzeption (Pre-Development)

  • [ ] Zweckbindung und Datenminimierung definieren
  • [ ] Vorläufige Rechtsgrundlagen identifizieren
  • [ ] Start der Datenschutz-Folgenabschätzung (DSFA)
  • [ ] Verantwortlichkeiten für Datenschutz im Team festlegen

Phase 2: Entwicklung (Development and Prototyping)

  • [ ] Umsetzung von Privacy by Design und by Default
  • [ ] Implementierung der technischen Schutzmaßnahmen (Verschlüsselung, Zugriffskontrolle)
  • [ ] Auswahl und Prüfung von externen Dienstleistern (inkl. AVV)
  • [ ] Entwicklung des Einwilligungs- und Widerrufsprozesses

Phase 3: Test und Pre-Launch

  • [ ] Fertigstellung der DSFA
  • [ ] Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT)
  • [ ] Ausformulierung der Datenschutzerklärung
  • [ ] Schulung der Mitarbeiter
  • [ ] Implementierung des Incident-Response-Plans

Phase 4: Launch und Betrieb (Post-Launch)

  • [ ] Regelmäßige Überprüfung der Schutzmaßnahmen
  • [ ] Bearbeitung von Betroffenenanfragen (Auskunft, Löschung)
  • [ ] Laufende Aktualisierung der Dokumentation
  • [ ] Monitoring und Anpassung bei rechtlichen oder technischen Änderungen ab 2025

Anhang und nützliche Ressourcen

Für die praktische Umsetzung sind Vorlagen und Musterdokumente unerlässlich. Offizielle Stellen und Verbände bieten hierzu wertvolle Hilfestellungen. Dazu gehören typischerweise:

  • DSFA-Vorlagen: Strukturierte Formulare zur Durchführung einer Datenschutz-Folgenabschätzung.
  • Muster-AVV: Vorformulierte Verträge zur Auftragsverarbeitung, die als Basis für Verhandlungen mit Dienstleistern dienen können.
  • Beispiel-Einwilligungstexte: Formulierungshilfen für datenschutzkonforme Einwilligungserklärungen.
  • Technische Konfigurationsbeispiele: Best Practices für die sichere Konfiguration von Datenbanken, Servern und Cloud-Diensten.

Quellen und weiterführende offizielle Links

Für vertiefende Informationen und rechtsverbindliche Auskünfte sollten Sie stets auf offizielle Quellen zurückgreifen.

Vertiefende Informationen

Stand: Dezember 2025. Bitte beachten Sie, dass dieser Artikel eine allgemeine Orientierung bietet und keine Rechtsberatung ersetzt.