Datenschutz in der Telemedizin: Praxisnaher Leitfaden für Verantwortliche

Datenschutz in der Telemedizin: Praxisnaher Leitfaden für Verantwortliche

Inhaltsverzeichnis

Einleitung: Besonderheiten des Datenschutzes in der Telemedizin

Die Digitalisierung des Gesundheitswesens schreitet unaufhaltsam voran. Telemedizinische Anwendungen, von der Videosprechstunde bis zur Fernüberwachung chronischer Krankheiten, sind aus dem modernen Versorgungsalltag nicht mehr wegzudenken. Diese Entwicklung bietet enorme Chancen für eine effizientere und zugänglichere Patientenversorgung. Gleichzeitig rückt sie eine zentrale Herausforderung in den Fokus: den Datenschutz in der Telemedizin. Im Gegensatz zu vielen anderen Branchen werden hier nicht nur einfache personenbezogene Daten, sondern hochsensible Gesundheitsdaten verarbeitet. Ein lückenloses Schutzkonzept ist daher keine Option, sondern eine zwingende rechtliche und ethische Verpflichtung.

Dieser Leitfaden richtet sich an Ärztinnen und Ärzte, Betreiber von Telemedizinplattformen, Datenschutzbeauftragte und Praxisleitungen. Er bietet praxisorientierte Hinweise, wie der Datenschutz in der Telemedizin rechtssicher und patientenorientiert umgesetzt werden kann. Wir beleuchten die rechtlichen Rahmenbedingungen, technische Anforderungen und organisatorische Maßnahmen, um Ihnen konkrete Werkzeuge für den Praxisalltag an die Hand zu geben. Ziel ist es, Sie zu befähigen, häufige Fehler zu vermeiden und einen robusten Datenschutz als Qualitätsmerkmal Ihrer telemedizinischen Angebote zu etablieren.

Rechtlicher Rahmen: DSGVO, nationale Vorgaben und § 5 DDG

Ein solides Verständnis der rechtlichen Grundlagen ist die Basis für jeden Aspekt des Datenschutzes in der Telemedizin. Die regulatorische Landschaft ist vielschichtig und setzt sich aus europäischen und nationalen Gesetzen zusammen.

Die Datenschutz-Grundverordnung (DSGVO) als Fundament

Die Datenschutz-Grundverordnung (DSGVO), oder General Data Protection Regulation (GDPR auf Englisch), bildet den zentralen Rechtsrahmen für den Datenschutz in der gesamten Europäischen Union. Für die Telemedizin sind insbesondere folgende Grundsätze relevant:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a): Jede Datenverarbeitung benötigt eine klare Rechtsgrundlage, meist die Einwilligung des Patienten oder ein Behandlungsvertrag.
  • Zweckbindung (Art. 5 Abs. 1 lit. b): Gesundheitsdaten dürfen nur für die festgelegten, eindeutigen und legitimen Zwecke der Behandlung erhoben und verarbeitet werden. Eine Weiterverwendung für andere Zwecke, wie Marketing, ist nur mit expliziter Einwilligung zulässig.
  • Datenminimierung (Art. 5 Abs. 1 lit. c): Es dürfen nur die Daten erhoben und gespeichert werden, die für den Behandlungszweck unbedingt erforderlich sind.
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Daten müssen durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt werden. Dies ist der Kern des operativen Datenschutzes in der Telemedizin.

Nationale Vorgaben und Berufsrecht

Neben der DSGVO müssen nationale Gesetze beachtet werden. Dazu gehören das Sozialgesetzbuch (SGB V), das die Abrechnung telemedizinischer Leistungen regelt, sowie die Berufsordnungen der Landesärztekammern, die die ärztliche Schweigepflicht (§ 203 StGB) auch auf digitale Kommunikationswege ausweiten. Diese Vorgaben konkretisieren, wie der Datenschutz in der Telemedizin im deutschen Gesundheitssystem zu verankern ist.

Das Digitale-Dienste-Gesetz (DDG)

Das Digitale-Dienste-Gesetz (DDG) ist der Nachfolger des Telemediengesetzes (TMG) und regelt die rechtlichen Rahmenbedingungen für digitale Dienste in Deutschland. Für Anbieter von Telemedizinplattformen ist insbesondere § 5 DDG (Impressumspflicht) relevant. Diese Vorschrift sichert die Transparenz, indem sie Anbieter verpflichtet, klare und leicht zugängliche Informationen über ihre Identität bereitzustellen. Dies schafft Vertrauen bei den Patientinnen und Patienten und ist ein wichtiger Baustein der rechtlichen Konformität eines digitalen Angebots.

Gesundheitsdaten nach Art. 9 DSGVO: Schutzbedürftigkeit erklären

Der Gesetzgeber erkennt an, dass nicht alle Daten gleich sind. Gesundheitsdaten gehören gemäß Artikel 9 DSGVO zu den „besonderen Kategorien personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, eine der strengen Ausnahmen greift.

Was sind Gesundheitsdaten?

Gesundheitsdaten sind alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer natürlichen Person beziehen. Dazu zählen nicht nur Diagnosen oder Laborwerte, sondern auch:

  • Informationen aus der Anamnese (z. B. Vorerkrankungen, Lebensgewohnheiten)
  • Verschriebene Medikamente oder Therapien
  • Genetische und biometrische Daten
  • Informationen, die im Rahmen einer Videosprechstunde ausgetauscht werden
  • Daten aus Gesundheits-Apps oder Wearables

Aufgrund ihrer Sensibilität können diese Daten bei Missbrauch zu erheblicher Diskriminierung oder Benachteiligung der betroffenen Person führen. Der Datenschutz in der Telemedizin muss diesem hohen Schutzbedarf durch besonders strikte Maßnahmen Rechnung tragen.

Rechtsgrundlagen für die Verarbeitung

Die wichtigste Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten im telemedizinischen Kontext ist Art. 9 Abs. 2 lit. h DSGVO. Diese Norm erlaubt die Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich. Voraussetzung ist, dass die Verarbeitung durch ärztliches Personal oder andere Personen, die einer Geheimhaltungspflicht unterliegen, erfolgt und auf Grundlage eines Behandlungsvertrages stattfindet. Eine explizite Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) ist oft eine zusätzliche Absicherung, insbesondere wenn Daten an Dritte übermittelt werden sollen.

Elektronische Patientenakte und Telekonsultation: Datenschutz im Kernprozess

Zwei zentrale Anwendungsfälle der Telemedizin sind die elektronische Patientenakte (ePA) und die Telekonsultation (z. B. Videosprechstunde). Bei beiden müssen die Datenflüsse genau analysiert und abgesichert werden.

Datenschutz bei der elektronischen Patientenakte (ePA)

Die ePA ermöglicht einen schnellen und umfassenden Zugriff auf Behandlungsdaten. Die Hoheit über die Daten liegt dabei ausschließlich beim Patienten. Dieser entscheidet, welche Ärztin oder welcher Arzt welche Dokumente einsehen darf. Für Praxen bedeutet dies:

  • Zugriffssteuerung: Der Zugriff auf die ePA darf nur nach expliziter Freigabe durch den Patienten erfolgen. Die technischen Systeme müssen dies sicherstellen.
  • Protokollierung: Jeder Zugriff muss lückenlos protokolliert werden, um nachvollziehen zu können, wer wann welche Daten eingesehen hat.
  • Datensicherheit: Die Verbindung zur Telematikinfrastruktur muss höchsten Sicherheitsstandards entsprechen.

Sicherheit bei der Telekonsultation

Bei einer Videosprechstunde werden sensible Informationen in Echtzeit übertragen. Der Schutz dieser Kommunikation ist essenziell. Folgende Punkte sind entscheidend für den Datenschutz in der Telemedizin bei Videosprechstunden:

  • Ende-zu-Ende-Verschlüsselung: Die gesamte Kommunikation zwischen Arzt und Patient muss so verschlüsselt sein, dass selbst der Anbieter der Plattform keinen Zugriff auf die Inhalte hat.
  • Zertifizierte Anbieter: Es sollten nur Videodienstanbieter genutzt werden, die nach den Vorgaben der Kassenärztlichen Bundesvereinigung (KBV) zertifiziert sind. Diese Anbieter gewährleisten die Einhaltung technischer und datenschutzrechtlicher Standards.
  • Sichere Umgebung: Sowohl Arzt als auch Patient sollten die Sprechstunde in einer privaten, störungsfreien Umgebung durchführen, um ein Mithören durch Dritte zu verhindern.

Technische und organisatorische Maßnahmen (TOMs) für Telemedizinplattformen

Gemäß Artikel 32 DSGVO sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für den Datenschutz in der Telemedizin sind dies keine leeren Phrasen, sondern konkrete Handlungsanweisungen.

Technische Maßnahmen

Technische Maßnahmen beziehen sich auf die IT-Infrastruktur und Software.

Maßnahme Praktische Umsetzung
Verschlüsselung Sowohl die Übertragung (Transportverschlüsselung, z. B. TLS 1.3) als auch die Speicherung von Daten auf Servern (Datenbankverschlüsselung) müssen state-of-the-art sein.
Pseudonymisierung/Anonymisierung Wo immer möglich, sollten Daten pseudonymisiert werden, sodass sie ohne Zusatzinformationen nicht mehr einer Person zugeordnet werden können.
Zugriffskontrolle Implementierung von Rollen- und Berechtigungskonzepten. Ein Pflegemitarbeiter benötigt andere Zugriffsrechte als ein behandelnder Arzt.
Sicherheit der Endgeräte Sicherstellung, dass alle für die Telemedizin genutzten Geräte (PCs, Laptops, Smartphones) durch Firewalls, Antivirensoftware und sichere Passwörter geschützt sind.

Organisatorische Maßnahmen

Organisatorische Maßnahmen betreffen die Abläufe und das Personal.

  • Datenschutzschulungen: Regelmäßige und verpflichtende Schulungen für alle Mitarbeitenden zum korrekten Umgang mit Gesundheitsdaten.
  • Richtlinien und Arbeitsanweisungen: Klare schriftliche Vorgaben, z. B. zur Nutzung privater Endgeräte (BYOD) oder zur Kommunikation mit Patienten.
  • Datenschutz-Management-System: Etablierung eines Systems zur regelmäßigen Überprüfung und Verbesserung der Datenschutzprozesse.
  • Incident-Response-Plan: Ein Notfallplan, der genau festlegt, wie im Falle einer Datenpanne zu reagieren ist (Meldepflichten etc.).

Datenschutz-Folgenabschätzung: Indikatoren und Praxisablauf

Eine Datenschutz-Folgenabschätzung (DSFA), oder Data Protection Impact Assessment (DPIA auf Englisch), ist nach Artikel 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang, wie sie in der Telemedizin stattfindet, macht eine DSFA in der Regel obligatorisch.

Wann ist eine DSFA notwendig?

Indikatoren für die Notwendigkeit einer DSFA sind unter anderem:

  • Systematische und umfassende Bewertung persönlicher Aspekte (z. B. durch KI-gestützte Diagnosetools).
  • Umfangreiche Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten).
  • Systematische Überwachung öffentlich zugänglicher Bereiche (im Gesundheitswesen weniger relevant, aber ein Kriterium der Aufsichtsbehörden).

Die Einführung einer neuen Telemedizinplattform oder einer Gesundheits-App erfordert fast immer eine DSFA.

Ablauf einer DSFA in der Praxis

  1. Systematische Beschreibung der Verarbeitung: Was wird getan? Welche Daten werden wie lange für welchen Zweck verarbeitet?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung für den Behandlungszweck wirklich erforderlich?
  3. Risikobewertung: Identifikation potenzieller Risiken für die Patienten (z. B. unbefugter Zugriff, Datenverlust, Diskriminierung).
  4. Planung von Abhilfemaßnahmen: Entwicklung und Beschreibung der TOMs, die zur Minimierung der identifizierten Risiken ergriffen werden.

Die DSFA ist ein lebendes Dokument, das bei Änderungen der Verarbeitungsprozesse aktualisiert werden muss.

Externe Dienstleister: Auftragsverarbeitung vertraglich und technisch gestalten

Kaum eine Praxis oder Klinik entwickelt ihre Telemedizin-Software selbst. In der Regel werden externe Dienstleister für Plattformen, Cloud-Speicher oder IT-Wartung beauftragt. In diesem Fall liegt eine Auftragsverarbeitung (AV) nach Artikel 28 DSGVO vor.

Der Auftragsverarbeitungsvertrag (AVV)

Die Zusammenarbeit muss durch einen Auftragsverarbeitungsvertrag (AVV) rechtlich abgesichert werden. Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und stellt sicher, dass der Dienstleister die Daten nur auf Weisung des Verantwortlichen (der Praxis/Klinik) verarbeitet. Ein AVV muss unter anderem folgende Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Die technischen und organisatorischen Maßnahmen des Dienstleisters
  • Regelungen zur Einschaltung von Subunternehmern
  • Kontroll- und Weisungsrechte des Auftraggebers

Auswahl des richtigen Dienstleisters

Die Auswahl eines Dienstleisters ist eine kritische Entscheidung für den Datenschutz in der Telemedizin. Prüfende Fragen sollten sein:

  • Serverstandort: Befinden sich die Server innerhalb der EU oder des EWR, um ein angemessenes Datenschutzniveau zu gewährleisten?
  • Zertifizierungen: Verfügt der Anbieter über anerkannte Zertifikate wie ISO 27001 oder spezifische Gesundheits-Zertifizierungen?
  • Transparenz: Stellt der Anbieter klare Informationen über seine Subunternehmer und Sicherheitsmaßnahmen zur Verfügung?

Kommunikation mit Patientinnen und Patienten: E-Mail, Messenger und SMS sicher nutzen

Die digitale Kommunikation ist schnell und bequem, birgt aber erhebliche Risiken für den Datenschutz in der Telemedizin. Standardmäßige, unverschlüsselte Kommunikationskanäle sind für den Austausch von Gesundheitsdaten ungeeignet.

Risiken von Standard-Kommunikation

  • E-Mail: Eine unverschlüsselte E-Mail ist wie eine Postkarte. Sie kann auf dem Übertragungsweg von Dritten mitgelesen werden.
  • Messenger (z. B. WhatsApp): Auch wenn die Übertragung oft Ende-zu-Ende-verschlüsselt ist, liegen die Metadaten (wer kommuniziert wann mit wem) beim Anbieter. Zudem erfolgt die Datenverarbeitung oft in den USA, was datenschutzrechtlich problematisch ist.
  • SMS: SMS sind grundsätzlich unverschlüsselt und für sensible Informationen tabu.

Sichere Alternativen

Für eine datenschutzkonforme Kommunikation sollten Praxen auf sichere Kanäle setzen:

  • Patientenportale: Viele Praxisverwaltungssysteme oder Telemedizinplattformen bieten integrierte, gesicherte Nachrichtenfunktionen an.
  • Verschlüsselte E-Mail: Wenn E-Mail genutzt werden muss, dann nur mit einer Inhaltsverschlüsselung (z. B. S/MIME oder PGP). Dies erfordert jedoch eine entsprechende Einrichtung auf beiden Seiten (Arzt und Patient).
  • Spezialisierte Gesundheits-Messenger: Es gibt Messenger-Dienste, die speziell für den Einsatz im Gesundheitswesen entwickelt wurden und die Anforderungen der DSGVO erfüllen.

Für organisatorische Absprachen (z. B. Terminerinnerungen) ohne sensible Inhalte kann eine SMS nach Einwilligung des Patienten zulässig sein. Der Versand von Befunden oder Diagnosen auf diesem Weg ist jedoch ausgeschlossen.

Zugriffsmanagement und Protokollierung in der Praxis-IT

Innerhalb einer Praxis oder Klinik haben viele Personen potenziell Zugriff auf Patientendaten. Ein strenges Zugriffsmanagement ist daher unerlässlich, um den Grundsatz der Vertraulichkeit zu wahren.

Das Prinzip der geringsten Rechte (Need-to-Know)

Mitarbeitende dürfen nur auf die Daten zugreifen, die sie zur Erfüllung ihrer spezifischen Aufgaben benötigen. Dies wird durch ein Rollen- und Berechtigungskonzept umgesetzt:

  • Rolle „Empfang“: Zugriff auf Stammdaten und Terminkalender. Kein Zugriff auf medizinische Befunde.
  • Rolle „Pflegepersonal“: Zugriff auf Vitaldaten und Pflegedokumentation.
  • Rolle „Arzt/Ärztin“: Umfassender Zugriff auf die Akte der eigenen Patienten.

Lückenlose Protokollierung

Jeder Zugriff auf elektronische Patientendaten – egal ob lesend, schreibend oder löschend – muss im System protokolliert werden. Diese Protokolldaten müssen mindestens folgende Informationen enthalten:

  • Wer hat zugegriffen? (Benutzeridentifikation)
  • Wann erfolgte der Zugriff? (Zeitstempel)
  • Auf welche Daten wurde zugegriffen? (Patienten-ID, Dokumenten-ID)
  • Welche Art von Zugriff war es? (z. B. Lesen, Ändern)

Diese Protokolle sind entscheidend, um unberechtigte Zugriffe aufzudecken und die Rechenschaftspflicht nach DSGVO zu erfüllen.

Kinder und Jugendliche in telemedizinischen Angeboten: Besondere Anforderungen

Die Behandlung von Minderjährigen stellt besondere Anforderungen an den Datenschutz in der Telemedizin. Hier steht die Frage der Einwilligungsfähigkeit im Mittelpunkt.

Nach Artikel 8 DSGVO ist bei Diensten der Informationsgesellschaft, zu denen Telemedizinplattformen zählen können, die Einwilligung eines Kindes ab 16 Jahren wirksam. Liegt das Alter darunter, ist die Zustimmung der Erziehungsberechtigten erforderlich. In der medizinischen Behandlungspraxis gilt jedoch oft eine differenziertere Betrachtung basierend auf der individuellen Einsichts- und Urteilsfähigkeit des Minderjährigen. Es muss im Einzelfall geprüft werden, ob ein Jugendlicher die Tragweite der Datenverarbeitung und der Behandlung versteht. Im Zweifel sollte immer die Einwilligung der Sorgeberechtigten eingeholt werden. Zudem muss sichergestellt werden, dass die Kommunikation und die Datenschutzinformationen altersgerecht und verständlich aufbereitet sind.

Praktische Checkliste: Sofortmaßnahmen für Praxen und Anbieter

Um den Datenschutz in der Telemedizin schnell und effektiv zu verbessern, können Sie folgende Maßnahmen priorisieren:

  • Auftragsverarbeitungsverträge prüfen: Sind für alle externen IT-Dienstleister (Plattform-Anbieter, Cloud-Speicher, Wartungsfirmen) gültige AV-Verträge vorhanden?
  • Videodienstanbieter verifizieren: Ist der genutzte Anbieter für Videosprechstunden KBV-zertifiziert?
  • Zugriffsberechtigungen kontrollieren: Überprüfen Sie das Rollenkonzept. Haben Mitarbeitende wirklich nur die Rechte, die sie für ihre Arbeit benötigen?
  • Patienteninformation aktualisieren: Informieren Ihre Datenschutzhinweise klar und verständlich über die Datenverarbeitung im Rahmen telemedizinischer Angebote?
  • Mitarbeitende schulen: Planen Sie für 2025 eine verpflichtende Datenschutzschulung mit Fokus auf Telemedizin.
  • Kommunikationskanäle festlegen: Erstellen Sie eine klare Anweisung, welche Kommunikationswege für welche Art von Informationen (organisatorisch vs. medizinisch) genutzt werden dürfen.

Häufige Fallstricke und wie man sie vermeidet

In der Praxis führen oft dieselben Fehler zu Datenschutzverstößen. Kenntnis dieser Fallstricke hilft, sie proaktiv zu vermeiden.

Fallstrick Lösung
Nutzung privater Geräte (BYOD) ohne Regelung Erstellen einer klaren BYOD-Richtlinie, die technische Anforderungen (z. B. Gerätesperre, Container-Apps) und Verhaltensregeln festlegt. Besser: Bereitstellung dedizierter Dienstgeräte.
Unzureichende Einwilligung Einholung einer informierten, freiwilligen und dokumentierten Einwilligung vor Beginn der telemedizinischen Behandlung. Die Information muss den Zweck, Umfang und die Risiken der Datenverarbeitung umfassen.
Fehlende Ende-zu-Ende-Verschlüsselung Ausschließliche Nutzung von Kommunikations- und Plattformdiensten, die eine durchgehende Verschlüsselung nachweislich garantieren.
Vergessene Löschkonzepte Definition von klaren Löschfristen für Patientendaten gemäß den gesetzlichen Aufbewahrungspflichten (z. B. aus dem BGB oder der Berufsordnung). Umsetzung eines technischen Prozesses zur regelmäßigen Löschung.

Rollen, Verantwortlichkeiten und Dokumentationspflichten

Ein funktionierender Datenschutz erfordert klare Zuständigkeiten. Die DSGVO definiert hierfür feste Rollen:

  • Der Verantwortliche (Controller): Dies ist die Praxis, das MVZ oder die Klinik, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Der Verantwortliche trägt die Gesamtverantwortung für die Einhaltung des Datenschutzes.
  • Der Auftragsverarbeiter (Processor): Dies ist der externe Dienstleister (z. B. der Plattform-Anbieter), der die Daten im Auftrag des Verantwortlichen verarbeitet. Er ist an die Weisungen des Verantwortlichen und die vertraglichen Regelungen im AVV gebunden.
  • Der Datenschutzbeauftragte (DSB): Er berät den Verantwortlichen, überwacht die Einhaltung der Datenschutzvorschriften und ist Ansprechpartner für Aufsichtsbehörden und Betroffene. Die Benennung ist ab einer bestimmten Praxisgröße oder bei umfangreicher Verarbeitung sensibler Daten verpflichtend.

Zentral ist die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Der Verantwortliche muss jederzeit nachweisen können, dass er die Datenschutzgrundsätze einhält. Dies erfordert eine lückenlose Dokumentation aller Prozesse, Maßnahmen und Entscheidungen, insbesondere das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT).

Empfehlungen von Munas Consulting in neutraler Darstellung

Aus der Beratungspraxis lässt sich ableiten, dass ein proaktiver und integrierter Ansatz für den Datenschutz in der Telemedizin am erfolgreichsten ist. Munas Consulting empfiehlt, Datenschutz nicht als isoliertes Projekt, sondern als kontinuierlichen Prozess und integralen Bestandteil der Qualitäts- und Risikomanagementsysteme zu betrachten. Es wird nahegelegt, einen risikobasierten Ansatz zu verfolgen: Identifizieren Sie zunächst die Verarbeitungsprozesse mit dem höchsten Risiko für die Patientenrechte – wie die Auswahl einer neuen Plattform oder die Einführung KI-gestützter Analysen – und konzentrieren Sie Ihre Ressourcen auf die Absicherung dieser Kernbereiche. Die regelmäßige Durchführung von internen Audits und die Sensibilisierung des Personals sind dabei als entscheidende Erfolgsfaktoren anzusehen.

Weiterführende Ressourcen und offizielle Links

Für vertiefende Informationen und offizielle Stellungnahmen zum Thema Datenschutz im Gesundheitswesen empfehlen wir die Webseiten der folgenden Institutionen:

Glossar wichtiger Begriffe

  • Auftragsverarbeitung (AV): Die Verarbeitung von personenbezogenen Daten durch einen Dienstleister im Auftrag und auf Weisung des Verantwortlichen, geregelt durch einen AV-Vertrag.
  • Datenschutz-Folgenabschätzung (DSFA): Ein Prozess zur Bewertung und Minimierung von Risiken für die Rechte und Freiheiten von Personen, der bei risikoreichen Verarbeitungsvorgängen verpflichtend ist.
  • DSGVO (Datenschutz-Grundverordnung): Die zentrale europäische Verordnung, die den Schutz personenbezogener Daten regelt.
  • Gesundheitsdaten: Nach Art. 9 DSGVO besonders geschützte Daten, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen.
  • Technische und organisatorische Maßnahmen (TOMs): Konkrete Sicherheitsmaßnahmen (z. B. Verschlüsselung, Schulungen), die zum Schutz personenbezogener Daten ergriffen werden müssen.
  • Verantwortlicher: Die natürliche oder juristische Person (z. B. Arztpraxis), die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.