Datenschutz bei Gesundheitsdaten: Praxisleitfaden von MUNAS Consulting

Datenschutz bei Gesundheitsdaten: Praxisleitfaden von MUNAS Consulting

Inhaltsverzeichnis

Einleitung und Ziel des Leitfadens

Der Datenschutz in Gesundheitsdaten stellt für Arztpraxen, Kliniken, Labore und andere Einrichtungen im Gesundheitswesen eine zentrale Herausforderung dar. Die fortschreitende Digitalisierung, von der elektronischen Patientenakte (ePA) bis zur telemedizinischen Anwendung, eröffnet enorme Chancen für die Patientenversorgung, erhöht aber zugleich die Komplexität der datenschutzrechtlichen Anforderungen. Verstöße können nicht nur zu empfindlichen Bußgeldern führen, sondern auch das Vertrauensverhältnis zu den Patientinnen und Patienten nachhaltig beschädigen. Dieser Leitfaden richtet sich an Datenschutzbeauftragte, IT-Verantwortliche sowie Praxis- und Klinikleitungen. Er hat zum Ziel, die komplexen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und nationaler Gesetze verständlich aufzubereiten und Ihnen konkrete, praxisnahe Handlungsempfehlungen für die Umsetzung eines robusten Datenschutzmanagements an die Hand zu geben.

Warum Gesundheitsdaten besonders schutzwürdig sind (Art. 9 DSGVO)

Gesundheitsdaten genießen nach der DSGVO einen besonderen Schutzstatus. Sie gehören zu den besonderen Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO. Darunter fallen alle Informationen, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen. Dazu zählen beispielsweise:

  • Diagnosen und Befunde
  • Anamnesedaten
  • Medikationspläne
  • Laborwerte
  • Genetische Daten
  • Angaben zu Krankmeldungen

Die Verarbeitung dieser Daten ist grundsätzlich untersagt. Eine Ausnahme besteht nur dann, wenn eine explizite Rechtsgrundlage vorliegt. Für den Gesundheitssektor ist hier vor allem Artikel 9 Absatz 2 Buchstabe h DSGVO relevant, der die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erlaubt. Diese Verarbeitung muss jedoch durch Fachpersonal oder eine andere dem Berufsgeheimnis unterliegende Person erfolgen. Der hohe Schutzbedarf ergibt sich aus dem potenziellen Risiko für die Grundrechte und Grundfreiheiten der Betroffenen, sollte es zu einer unrechtmäßigen Offenlegung oder einem Missbrauch dieser sensiblen Informationen kommen.

Elektronische Patientenakte: rechtliche Prämissen und technische Anforderungen

Die elektronische Patientenakte (ePA) ist ein zentrales Element der Digitalisierungsstrategie im deutschen Gesundheitswesen. Ihre Einführung und Nutzung unterliegen strengen datenschutzrechtlichen Rahmenbedingungen, die primär im Fünften Buch Sozialgesetzbuch (SGB V) und im Patientendaten-Schutz-Gesetz (PDSG) geregelt sind. Der grundlegende Pfeiler für den Datenschutz in Gesundheitsdaten im Kontext der ePA ist die Freiwilligkeit und informationelle Selbstbestimmung der Versicherten. Patientinnen und Patienten entscheiden selbst, ob sie eine ePA anlegen lassen, welche Daten darin gespeichert werden und wer darauf zugreifen darf.

Technische und rechtliche Kernanforderungen

  • Einwilligungsmanagement: Jede Speicherung von Daten und jeder Zugriff durch Leistungserbringer (Ärzte, Krankenhäuser) erfordert eine aktive, informierte und freiwillige Einwilligung des Patienten. Diese muss granular sein, das heißt, der Patient kann Berechtigungen für einzelne Dokumente oder Dokumentenkategorien erteilen oder widerrufen.
  • Starke Authentifizierung: Sowohl Versicherte als auch Leistungserbringer müssen sich sicher identifizieren. Dies geschieht in der Regel über die elektronische Gesundheitskarte (eGK) in Verbindung mit einer PIN oder über spezielle elektronische Heilberufsausweise (eHBA).
  • Ende-zu-Ende-Verschlüsselung: Alle in der ePA gespeicherten Daten müssen so verschlüsselt sein, dass nur der Patient und die von ihm autorisierten Personen die Inhalte entschlüsseln können. Der Betreiber der ePA-Akte (die Krankenkasse) hat keinen Zugriff auf die medizinischen Inhalte.
  • Protokollierung: Jeder Zugriff auf die ePA wird lückenlos protokolliert. Versicherte können jederzeit nachvollziehen, wer wann auf welche ihrer Daten zugegriffen hat.

Für Praxen und Kliniken bedeutet dies, dass die technischen und organisatorischen Prozesse sicherstellen müssen, dass Zugriffe nur nachweislich nach einer gültigen Einwilligung erfolgen und das Personal im Umgang mit dem System geschult ist.

Einwilligung, Informationspflichten und Alternativen zur Einwilligung

Die Einwilligung ist eine der wichtigsten Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten. Damit sie wirksam ist, muss sie gemäß Artikel 7 DSGVO mehrere Kriterien erfüllen:

  • Freiwilligkeit: Die betroffene Person darf nicht unter Druck gesetzt werden.
  • Informiertheit: Vor der Einwilligung müssen umfassende Informationen über den Zweck, den Umfang und die Dauer der Datenverarbeitung bereitgestellt werden.
  • Spezifität: Die Einwilligung muss sich auf einen oder mehrere bestimmte Zwecke beziehen. Pauschale Einwilligungen sind unwirksam.
  • Eindeutigkeit: Sie muss durch eine eindeutige bestätigende Handlung erfolgen (z. B. aktives Ankreuzen einer Checkbox, Unterschrift).
  • Nachweisbarkeit: Der Verantwortliche muss die erteilte Einwilligung nachweisen können.
  • Widerruflichkeit: Die betroffene Person muss darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit widerrufen kann.

Parallel zur Einwilligung bestehen umfassende Informationspflichten nach Artikel 13 und 14 DSGVO. Patientinnen und Patienten müssen transparent darüber informiert werden, wer ihre Daten zu welchem Zweck verarbeitet, wie lange sie gespeichert werden und welche Rechte sie haben (Auskunft, Berichtigung, Löschung etc.).

In vielen Fällen des Praxis- und Klinikalltags ist jedoch nicht die Einwilligung, sondern der Behandlungsvertrag in Verbindung mit Artikel 9 Absatz 2 Buchstabe h DSGVO die primäre Rechtsgrundlage. Die Verarbeitung von Diagnosedaten, Anamnese oder Therapieplänen ist zur medizinischen Behandlung erforderlich und bedarf keiner separaten Einwilligung. Eine Einwilligung wird jedoch typischerweise dann relevant, wenn Daten für Zwecke verarbeitet werden, die über die reine Behandlung hinausgehen, wie z.B. die Teilnahme an einer wissenschaftlichen Studie oder die Weitergabe von Daten an nicht direkt an der Behandlung beteiligte Dritte.

Auftragsverarbeitung mit externen Dienstleistern und Prüfpunkte

Kaum eine medizinische Einrichtung kommt heute ohne externe Dienstleister aus. Ob es sich um die Praxisverwaltungssoftware aus der Cloud, externe Labore, IT-Wartungsfirmen oder Aktenvernichter handelt – sobald ein Dritter im Auftrag und auf Weisung der Praxis oder Klinik personenbezogene Daten (insbesondere Gesundheitsdaten) verarbeitet, liegt eine Auftragsverarbeitung vor. Gemäß Artikel 28 DSGVO ist dafür ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich.

Checkliste zur Auswahl und Überprüfung von Dienstleistern

Bevor Sie einen Dienstleister beauftragen, prüfen Sie sorgfältig dessen Eignung im Hinblick auf den Datenschutz in Gesundheitsdaten. Folgende Punkte sind entscheidend:

  • Vertragliche Grundlage: Liegt ein DSGVO-konformer AVV vor? Dieser muss u. a. die Weisungsgebundenheit des Auftragnehmers, die implementierten technischen und organisatorischen Maßnahmen (TOMs) und die Regelungen zur Einbindung von Subunternehmern festschreiben.
  • Standort der Datenverarbeitung: Werden die Daten ausschließlich innerhalb der EU/des EWR verarbeitet? Bei einer Übermittlung in Drittländer (z. B. bei Nutzung von US-Cloud-Anbietern) müssen zusätzliche Garantien wie Standardvertragsklauseln und eine Transfer-Folgenabschätzung vorliegen.
  • Technische und Organisatorische Maßnahmen (TOMs): Kann der Dienstleister ausreichende Garantien für die Sicherheit der Daten bieten? Fordern Sie eine Dokumentation der TOMs an und prüfen Sie diese auf Plausibilität (z. B. Verschlüsselung, Zugriffskontrollen, Zertifizierungen wie ISO 27001).
  • Kontrollrechte: Stellt der AVV sicher, dass Sie als Auftraggeber Ihre Kontrollrechte wahrnehmen können, beispielsweise durch Inspektionen oder die Anforderung von Nachweisen?
  • Umgang mit Subunternehmern: Werden Subunternehmer eingesetzt? Wenn ja, müssen diese im AVV benannt sein und denselben Datenschutzpflichten unterliegen wie der Hauptauftragnehmer. Eine Beauftragung von Subunternehmern bedarf Ihrer Genehmigung.

Kommunikation mit Patientinnen und Patienten: E-Mail, WhatsApp, SMS – Risiken und Empfehlungen

Die schnelle und unkomplizierte Kommunikation mit Patientinnen und Patienten ist essenziell, birgt jedoch erhebliche Datenschutzrisiken. Die Nutzung von Standard-Kommunikationskanälen für den Austausch von Gesundheitsdaten ist hochproblematisch.

  • E-Mail: Unverschlüsselte E-Mails sind mit einer Postkarte vergleichbar. Der Inhalt kann auf dem Übertragungsweg von Dritten mitgelesen werden. Für die Übermittlung von Befunden oder Diagnosen ist eine unverschlüsselte E-Mail daher unzulässig. Eine sichere Alternative ist die Ende-zu-Ende-Verschlüsselung (z. B. via PGP oder S/MIME) oder die Nutzung sicherer Patientenportale.
  • WhatsApp und andere Messenger: Auch wenn viele Messenger eine Ende-zu-Ende-Verschlüsselung bieten, bleibt die Nutzung im professionellen Kontext kritisch. Oftmals werden Metadaten (wer kommuniziert wann mit wem?) an Server in den USA übertragen. Zudem greifen diese Apps häufig auf das Adressbuch des Smartphones zu, was zu einer unzulässigen Datenübermittlung von Kontaktdaten Dritter führt. Der Einsatz von WhatsApp für die Patientenkommunikation ist daher strikt abzulehnen.
  • SMS: Die SMS ist unverschlüsselt und eignet sich daher nur für allgemeine, nicht-sensible Informationen wie Terminerinnerungen, die keinen Rückschluss auf den Gesundheitszustand erlauben (z. B. “Ihr Termin in unserer Praxis am [Datum] um [Uhrzeit]”).

Empfehlung für 2025 und darüber hinaus: Implementieren Sie ein sicheres Patientenportal oder eine dedizierte Kommunikations-App, die speziell für den Gesundheitssektor entwickelt wurde und alle Anforderungen an den Datenschutz in Gesundheitsdaten erfüllt. Für die E-Mail-Kommunikation sollten Sie standardmäßig Transportverschlüsselung (TLS) erzwingen und für sensible Inhalte eine Inhaltsverschlüsselung anbieten.

Datenschutz-Folgenabschätzung (DSFA): Wann sie nötig ist und ein Musterablauf

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Artikel 35 DSGVO immer dann durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang oder der Einsatz neuer Technologien im Gesundheitswesen löst diese Pflicht regelmäßig aus.

Typische Anwendungsfälle im Gesundheitswesen, die eine DSFA erfordern:

  • Einführung eines neuen Krankenhausinformationssystems (KIS) oder einer Praxisverwaltungssoftware (PVS).
  • Einsatz der elektronischen Patientenakte (ePA).
  • Implementierung von telemedizinischen Anwendungen oder Gesundheits-Apps.
  • Umfangreiche Forschungsprojekte mit Patientendaten.

Beispiel-DSFA für den Einsatz einer elektronischen Patientenakte

Ein strukturierter Ablauf einer DSFA könnte wie folgt aussehen:

  1. Systematische Beschreibung der Verarbeitung:
    • Art der Verarbeitung: Verwaltung und Bereitstellung einer ePA für Patienten der Klinik. Dies umfasst das Erheben, Speichern, Abrufen und Übermitteln von medizinischen Dokumenten (Befunde, Arztbriefe etc.).
    • Umfang: Betroffen sind alle Patienten, die sich für eine ePA entscheiden. Verarbeitet werden sämtliche Arten von Gesundheitsdaten.
    • Kontext: Die Verarbeitung erfolgt im Rahmen der gesetzlichen Vorgaben (SGB V, PDSG) zur Verbesserung der Patientenversorgung und -sicherheit.
    • Zweck: Zentraler, patientengesteuerter Zugriff auf Gesundheitsinformationen zur Vermeidung von Doppeluntersuchungen und zur Verbesserung der Behandlungsqualität.
  2. Notwendigkeit und Verhältnismäßigkeit:
    • Rechtsgrundlage: Die Verarbeitung basiert auf der expliziten Einwilligung der Patienten (Art. 9 Abs. 2 lit. a DSGVO) und den gesetzlichen Regelungen im SGB V.
    • Zweckbindung: Die Daten werden ausschließlich für die in der Einwilligung genannten Zwecke der Behandlung und Dokumentation verwendet.
    • Datenminimierung: Es werden nur die Daten in die ePA eingestellt, die vom Patienten freigegeben werden. Der Zugriff ist granular steuerbar.
  3. Risikobewertung für die Betroffenen:
    • Identifizierte Risiken: Unbefugter Zugriff auf sensible Daten durch Dritte, Datenverlust durch technischen Defekt, fehlerhafte Zuordnung von Dokumenten, Missbrauch von Zugriffsrechten durch Personal.
    • Ursache: Menschliches Versagen (z. B. Phishing), Sicherheitslücken in der Software, unzureichende Zugriffskontrollen.
    • Eintrittswahrscheinlichkeit und Schwere: Das Risiko eines unbefugten Zugriffs wird als mittel wahrscheinlich, aber mit sehr hoher Schwere (Diskriminierung, Stigmatisierung) bewertet.
  4. Geplante Abhilfemaßnahmen:
    • Technische Maßnahmen: Strikte Ende-zu-Ende-Verschlüsselung, Zwei-Faktor-Authentifizierung für alle Zugriffe (eHBA, eGK mit PIN), lückenlose Protokollierung, regelmäßige Penetrationstests.
    • Organisatorische Maßnahmen: Schulung aller Mitarbeitenden zum Umgang mit der ePA, klares Berechtigungskonzept nach dem Need-to-know-Prinzip, Prozess zur schnellen Reaktion auf Datenschutzvorfälle.
    • Restrisiko: Nach Umsetzung der Maßnahmen wird das Restrisiko als gering eingeschätzt.
  5. Dokumentation und Konsultation:
    • Das Ergebnis der DPIA wird schriftlich dokumentiert. Der Datenschutzbeauftragte wird in den Prozess einbezogen und gibt seine Stellungnahme ab. Bei einem verbleibenden hohen Risiko müsste die Aufsichtsbehörde konsultiert werden.

Technische und organisatorische Maßnahmen (TOMs) konkret umgesetzt

Der Schutz von Gesundheitsdaten erfordert ein Bündel an technischen und organisatorischen Maßnahmen (TOMs) gemäß Artikel 32 DSGVO. Hier sind konkrete Beispiele für den Praxis- und Klinikalltag:

Maßnahme Konkrete Umsetzung
Zugangskontrolle Abschließbare Praxis- und Serverräume, Alarmanlage, sorgfältige Schlüsselverwaltung.
Zugriffskontrolle Individuelle Benutzerkonten mit starken, regelmäßig zu ändernden Passwörtern. Implementierung eines Rollen- und Berechtigungskonzepts, sodass Mitarbeitende nur auf die Daten zugreifen können, die sie für ihre Aufgabe benötigen.
Weitergabekontrolle Verschlüsselung von Datenträgern (z. B. USB-Sticks, Laptops) und bei der Datenübertragung (z. B. E-Mail, VPN). Sichere Löschung von Daten vor der Entsorgung von Hardware.
Eingabekontrolle Protokollierung von Dateneingaben, -änderungen und -löschungen im PVS/KIS, um Nachvollziehbarkeit zu gewährleisten.
Verfügbarkeitskontrolle Regelmäßige Datensicherungen (Backups) mit Test der Wiederherstellbarkeit, Einsatz von unterbrechungsfreier Stromversorgung (USV) und Firewalls. Entwicklung eines Notfallplans für 2025 und Folgejahre.
Pseudonymisierung/Anonymisierung Wo immer möglich, sollten Daten für Auswertungen oder Forschungszwecke pseudonymisiert werden, sodass ein direkter Rückschluss auf die Person ohne Zusatzinformationen nicht möglich ist.

Umgang mit Kindern und Jugendlichen in Vereinen und Praxen

Die Verarbeitung von Gesundheitsdaten von Kindern und Jugendlichen erfordert besondere Sorgfalt. Bei der Einwilligung in die Datenverarbeitung ist die Einsichtsfähigkeit des Minderjährigen entscheidend. Eine feste Altersgrenze gibt es im Gesundheitsrecht nicht, jedoch wird oft eine Orientierung am Alter von 14 bis 16 Jahren vorgenommen. Im Zweifel sollte die Einwilligung sowohl vom Jugendlichen als auch von den Sorgeberechtigten eingeholt werden. Die Informationspflichten müssen in einer für das Kind verständlichen Sprache formuliert sein.

Foto- und Videoaufnahmen bei Veranstaltungen: Einwilligung und Dokumentation

Bei Veranstaltungen wie einem “Tag der offenen Tür” in einer Klinik oder Praxis dürfen Foto- und Videoaufnahmen von Patientinnen, Patienten oder Mitarbeitenden nur mit einer ausdrücklichen und informierten Einwilligung angefertigt und veröffentlicht werden. Es muss klar sein, für welchen Zweck (z. B. Webseite, Social Media, Pressemitteilung) und wie lange die Aufnahmen verwendet werden. Es empfiehlt sich, diese Einwilligung schriftlich zu dokumentieren. Bei größeren Gruppenaufnahmen sollte im Vorfeld deutlich auf die Anfertigung von Aufnahmen hingewiesen werden und die Möglichkeit bestehen, sich diesen zu entziehen.

Verzeichnis von Verarbeitungstätigkeiten und Dokumentationspflichten

Jede Praxis und jede Klinik muss als Verantwortlicher ein Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Artikel 30 DSGVO führen. Dieses Dokument ist das Herzstück der Rechenschaftspflicht und muss auf Anfrage der Aufsichtsbehörde vorgelegt werden. Es dient dazu, einen Überblick über alle Datenverarbeitungsprozesse im Unternehmen zu gewinnen.

Ein VVT muss mindestens folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten.
  • Zwecke der Verarbeitung (z. B. Patientenbehandlung, Abrechnung, Personalverwaltung).
  • Beschreibung der Kategorien betroffener Personen (z. B. Patienten, Mitarbeitende, Lieferanten).
  • Beschreibung der Kategorien personenbezogener Daten (z. B. Kontaktdaten, Gesundheitsdaten, Bankdaten).
  • Empfänger, an die die Daten weitergegeben werden (z. B. Kassenärztliche Vereinigung, Labore, externe Dienstleister).
  • Ggf. Übermittlung von Daten an Drittländer.
  • Geplante Fristen für die Löschung der verschiedenen Datenkategorien.
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Häufige Fehler und wie man sie vermeidet (Praxisfälle)

  • Fehler: Patientendaten werden unverschlüsselt per E-Mail an einen weiterbehandelnden Arzt gesendet.
    Vermeidung: Etablieren Sie sichere Übertragungswege wie verschlüsselte E-Mails, sichere Online-Portale oder den direkten Austausch über die Telematikinfrastruktur.
  • Fehler: Alte Patientenakten in Papierform werden einfach im Hausmüll entsorgt.
    Vermeidung: Beauftragen Sie einen zertifizierten Dienstleister für die datenschutzkonforme Aktenvernichtung nach DIN 66399.
  • Fehler: Der Computer im Behandlungszimmer bleibt ungesperrt, während der Raum verlassen wird.
    Vermeidung: Schulen Sie Personal, den Bildschirm bei jedem Verlassen des Arbeitsplatzes zu sperren (z. B. via [Win]+[L]). Richten Sie eine automatische Bildschirmsperre nach kurzer Inaktivität ein.
  • Fehler: Es existiert kein Auftragsverarbeitungsvertrag (AVV) mit dem externen IT-Dienstleister, der Fernwartungszugriff auf das PVS hat.
    Vermeidung: Führen Sie ein Register Ihrer Dienstleister und schließen Sie mit allen Auftragsverarbeitern einen DSGVO-konformen AVV ab, bevor die Zusammenarbeit beginnt.

Checklisten, Mustervorlagen und weiterführende Ressourcen

Ein systematischer Ansatz ist der Schlüssel für einen wirksamen Datenschutz in Gesundheitsdaten. Nutzen Sie Checklisten, um Ihre Prozesse regelmäßig zu überprüfen. Mustervorlagen für Einwilligungen, AV-Verträge oder das Verzeichnis von Verarbeitungstätigkeiten können eine wertvolle Hilfe sein, müssen aber stets an die individuellen Gegebenheiten Ihrer Einrichtung angepasst werden.

Für vertiefende Informationen und offizielle Handreichungen empfehlen wir die Webseiten der folgenden Institutionen:

  • Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): Die offizielle Webseite der deutschen Bundesdatenschutzbehörde bietet umfassende Informationen und Orientierungshilfen. BfDI Webseite
  • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Ein gemeinnütziger Verein, der praxisnahe Unterstützung und Informationen für Datenschutzbeauftragte bereitstellt. GDD Webseite
  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD): Der Verband vertritt die Interessen von Datenschutzbeauftragten und bietet ebenfalls zahlreiche Publikationen und Hilfestellungen. BvD Webseite

Eine kontinuierliche Auseinandersetzung mit dem Thema und die regelmäßige Schulung Ihrer Mitarbeitenden sind unerlässlich, um das hohe Schutzniveau für Gesundheitsdaten dauerhaft zu gewährleisten und das Vertrauen Ihrer Patientinnen und Patienten zu rechtfertigen.

Ergänzende Artikel zum Thema