Datensicherheit in Gesundheitsdatenverwaltung: Praktischer Leitfaden

Datensicherheit in Gesundheitsdatenverwaltung: Ein praxisorientierter Leitfaden für 2025

Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran. Während elektronische Patientenakten, Telemedizin und datengestützte Diagnostik enorme Potenziale bieten, wachsen gleichzeitig die Herausforderungen an die Datensicherheit in der Gesundheitsdatenverwaltung. Gesundheitsdaten gehören gemäß der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“ und unterliegen daher höchsten Schutzanforderungen. Dieser Leitfaden richtet sich an Datenschutzbeauftragte, IT-Leiter und Compliance-Verantwortliche im Gesundheitswesen. Er verknüpft die rechtlichen Grundlagen direkt mit dem klinischen und administrativen Alltag und bietet praktische Werkzeuge zur direkten Umsetzung.

Inhaltsverzeichnis

• Rechtliche Grundlagen kompakt: Rechtmäßigkeit nach Art. 6 DSGVO und besondere Kategorien nach Art. 9
• Konkrete Verarbeitungsfälle in der Gesundheitsdatenverwaltung
• Gefährdungsanalyse: Typische Risiken und Priorisierung
• Technische Maßnahmen: Verschlüsselung, Authentifizierung, Protokollierung
• Organisatorische Maßnahmen: Rollen, Zugriffsrechte und Schulungen
• DPIA-Entscheidungspfad und ausführliche DPIA-Checkliste
• Musterklauseln für Auftragsverarbeitung und Prüfanforderungen
• Aufbewahrung und Löschung: Beispiel-Aufbewahrungsplan und Dokumentationspflichten
• Elektronische Patientenakte: Interoperabilität und Sicherheitsanforderungen
• Kommunikation mit Patienten: Vergleich von Kommunikationswegen
• Umgang mit Kindern und Jugendlichen
• Externe Dienstleister: Auswahlkriterien und Auditfragen
• Foto- und Videoaufnahmen in Einrichtungen
• Notfallmanagement: Pläne für den Ernstfall
• Praxisanhang: Zusammenfassende Checklisten
• Weiterführende Quellen und offizielle Verweise

Rechtliche Grundlagen kompakt: Rechtmäßigkeit nach Art. 6 DSGVO und besondere Kategorien nach Art. 9

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Im Gesundheitswesen sind insbesondere zwei Artikel der DSGVO (GDPR auf Englisch) von zentraler Bedeutung:

• Artikel 6 DSGVO – Rechtmäßigkeit der Verarbeitung: Legt die allgemeinen Bedingungen fest, unter denen eine Datenverarbeitung zulässig ist. Im klinischen Kontext ist dies oft der Behandlungsvertrag (Art. 6 Abs. 1 lit. b DSGVO) oder die Erfüllung einer rechtlichen Verpflichtung (lit. c), wie etwa Abrechnungsvorschriften.
• Artikel 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten: Die Verarbeitung von Gesundheitsdaten ist grundsätzlich untersagt. Ausnahmen sind jedoch explizit geregelt. Die wichtigste Ausnahme im Gesundheitssektor ist Art. 9 Abs. 2 lit. h DSGVO. Diese erlaubt die Verarbeitung für Zwecke der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Eine weitere wichtige Grundlage ist die ausdrückliche Einwilligung des Patienten (lit. a).

Die Einhaltung dieser Grundlagen ist die Basis für eine rechtssichere Datensicherheit in der Gesundheitsdatenverwaltung.

Konkrete Verarbeitungsfälle in der Gesundheitsdatenverwaltung

Die Theorie der DSGVO manifestiert sich in alltäglichen Prozessen. Für jeden dieser Fälle müssen die rechtlichen Grundlagen und die notwendigen Schutzmaßnahmen klar definiert sein:

• Patientenaufnahme: Erfassung von Stammdaten und Anamneseinformationen (Rechtsgrundlage: Behandlungsvertrag).
• Diagnostik und Behandlung: Erstellung und Speicherung von Befunden, Laborwerten, Medikationsplänen (Rechtsgrundlage: Art. 9 Abs. 2 lit. h DSGVO).
• Abrechnung: Übermittlung von Leistungsdaten an Krankenkassen und Abrechnungsstellen (Rechtsgrundlage: rechtliche Verpflichtung, z.B. SGB V).
• Kommunikation mit Patienten: Terminvereinbarungen, Befundübermittlung (erfordert oft eine explizite Einwilligung für unsichere Kanäle).
• Datenübermittlung an Dritte: Überweisung an Fachärzte, Datenaustausch mit Laboren oder Krankenhäusern (erfordert eine Rechtsgrundlage und sichere Übertragungswege).

Gefährdungsanalyse: Typische Risiken und Priorisierung

Eine systematische Gefährdungsanalyse ist unerlässlich, um Schutzmaßnahmen gezielt zu planen. Risiken sollten nach Eintrittswahrscheinlichkeit und potenziellem Schaden für die Betroffenen bewertet werden.

Risikotyp	Beispiele	Typische Bedrohung
Externe Angriffe	Ransomware, Phishing, Hacking	Unbefugter Zugriff, Datenverschlüsselung, Datenabfluss
Menschliches Versagen	Fehlversand von E-Mails, Verlust von Datenträgern, schwache Passwörter	Unbeabsichtigte Offenlegung von Daten
Insider-Bedrohungen	Unbefugter Datenzugriff durch Mitarbeiter, Datendiebstahl	Missbrauch von Zugriffsrechten
Technische Fehler	Softwarefehler, Hardwareausfall, fehlerhafte Konfiguration	Datenverlust, Systemausfall, Sicherheitslücken

Technische Maßnahmen: Verschlüsselung, Authentifizierung, Protokollierung

Technische und organisatorische Maßnahmen (TOMs) sind das Herzstück der Datensicherheit in der Gesundheitsdatenverwaltung. Ab 2025 sollten folgende technische Standards als Minimum gelten:

• Verschlüsselung:
  • Transportverschlüsselung (in transit): Einsatz von TLS 1.3 oder höher für jede Datenübertragung (z.B. Webseiten, E-Mail-Transport).
  • Datenverschlüsselung im Ruhezustand (at rest): Verschlüsselung von Datenbanken, Server-Festplatten und Backups.
  • Ende-zu-Ende-Verschlüsselung: Für besonders sensible Kommunikationswege wie sichere Messenger oder E-Mail-Kommunikation mit Patienten (z.B. via S/MIME oder PGP).
• Authentifizierung und Zugriffskontrolle:
  • Zwei-Faktor-Authentifizierung (2FA): Obligatorisch für den Zugriff auf Systeme mit Patientendaten, insbesondere bei Fernzugriff.
  • Starke Passwortrichtlinien: Durchsetzung von komplexen, regelmäßig zu ändernden Passwörtern.
  • Rollenbasiertes Zugriffskonzept (RBAC): Strikte Umsetzung des „Need-to-know“-Prinzips.
• Protokollierung und Überwachung:
  • Lückenlose Protokollierung: Jeder Zugriff auf Gesundheitsdaten muss protokolliert werden (wer, wann, was, warum).
  • Regelmäßige Auswertung: Automatisierte Überprüfung der Protokolldateien auf Anomalien (SIEM-Systeme).

Organisatorische Maßnahmen: Rollen, Zugriffsrechte und Schulungen

Technik allein reicht nicht aus. Organisatorische Maßnahmen schaffen den Rahmen für sichere Prozesse.

• Klare Verantwortlichkeiten: Benennung eines Datenschutzbeauftragten (DSB) und Definition klarer Rollen für die IT-Sicherheit.
• Zugriffskonzept: Schriftliche Dokumentation des rollenbasierten Zugriffskonzepts. Antrags- und Genehmigungsprozesse für neue oder geänderte Rechte müssen etabliert sein.
• Regelmäßige Schulungen: Jährliche, verpflichtende Datenschutz- und Informationssicherheitsschulungen für alle Mitarbeiter. Phishing-Simulationen erhöhen das Bewusstsein.
• Richtlinien und Weisungen: Erstellung und Kommunikation von klaren Richtlinien zur IT-Nutzung, zum Umgang mit mobilen Geräten und zur Datenklassifizierung.

DPIA-Entscheidungspfad und ausführliche DPIA-Checkliste

Eine Datenschutz-Folgenabschätzung (DSFA), oft auch DPIA (Data Protection Impact Assessment auf Englisch) genannt, ist gemäß Art. 35 DSGVO immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der Verarbeitung von Gesundheitsdaten in großem Umfang ist dies regelmäßig der Fall.

DPIA-Entscheidungspfad:

1. Wird eine neue Technologie oder ein neues System zur Verarbeitung von Gesundheitsdaten eingeführt?
2. Erfolgt die Verarbeitung von Gesundheitsdaten in großem Umfang (z.B. Krankenhausinformationssystem)?
3. Werden Daten systematisch überwacht oder für Scoring-/Profiling-Zwecke genutzt?

Wenn eine dieser Fragen mit „Ja“ beantwortet wird, ist eine DPIA zwingend durchzuführen.

DPIA-Checkliste (Auszug):

• Beschreibung der Verarbeitung: Welche Daten werden zu welchem Zweck wie lange verarbeitet? Wer hat Zugriff?
• Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung zur Zweckerreichung erforderlich? Gibt es mildere Mittel?
• Risikobewertung: Identifikation potenzieller Risiken für die Betroffenen (z.B. Diskriminierung, Identitätsdiebstahl, Rufschädigung). Bewertung von Eintrittswahrscheinlichkeit und Schwere.
• Geplante Abhilfemaßnahmen: Beschreibung der geplanten technischen und organisatorischen Maßnahmen zur Risikominimierung (z.B. Pseudonymisierung, Verschlüsselung, Zugriffskontrollen).
• Stellungnahme des DSB: Dokumentierte Einholung und Berücksichtigung des Rats des Datenschutzbeauftragten.

Musterklauseln für Auftragsverarbeitung und Prüfanforderungen

Beim Einsatz externer Dienstleister (z.B. für IT-Wartung, Abrechnung, Cloud-Speicher) ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO unerlässlich. Dieser muss spezifische Klauseln enthalten.

Beispiel-Musterklausel zu Technisch-Organisatorischen Maßnahmen (TOMs):

„Der Auftragnehmer verpflichtet sich zur Einhaltung der in Anhang X dieses Vertrags beschriebenen technischen und organisatorischen Maßnahmen. Diese umfassen insbesondere: (a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; (b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers.“

Prüfanforderungen an Dienstleister: Fordern Sie regelmäßig Nachweise wie Zertifizierungen (z.B. ISO 27001), Auditberichte oder Testimonials an. Definieren Sie im AVV ein Recht auf Vor-Ort-Inspektionen.

Aufbewahrung und Löschung: Beispiel-Aufbewahrungsplan und Dokumentationspflichten

Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Gesetzliche Aufbewahrungspflichten (z.B. aus dem BGB, HGB oder Berufsrecht) sind zu beachten. Ein Löschkonzept ist Pflicht.

Beispiel-Aufbewahrungsplan:

Datenart	Rechtsgrundlage	Aufbewahrungsfrist
Patientenakten (ärztlich)	§ 630f BGB, Berufsordnungen	10 Jahre nach Abschluss der Behandlung
Abrechnungsunterlagen	HGB, AO	10 Jahre
Einwilligungserklärungen	Dokumentationspflicht DSGVO	Mindestens Dauer der Verarbeitung + Verjährungsfristen für Ansprüche
Bewerbungsunterlagen (abgelehnt)	AGG	Maximal 6 Monate nach Abschluss des Verfahrens

Elektronische Patientenakte: Interoperabilität und Sicherheitsanforderungen

Die elektronische Patientenakte (ePA) erfordert ein Höchstmaß an Datensicherheit in der Gesundheitsdatenverwaltung. Die Herausforderungen liegen in der sicheren Anbindung an die Telematikinfrastruktur und der Gewährleistung der Interoperabilität zwischen verschiedenen Systemen, ohne Sicherheitslücken zu schaffen. Schnittstellen (APIs) müssen streng abgesichert und Zugriffe feingranular gesteuert werden.

Kommunikation mit Patienten: Vergleich von Kommunikationswegen

Die Wahl des Kommunikationskanals mit Patienten ist ein kritischer Aspekt der Datensicherheit.

Kanal	Sicherheit	DSGVO-Konformität	Empfehlung
Unverschlüsselte E-Mail	Sehr gering	Nur für allgemeine Infos (z.B. Praxisöffnungszeiten), nach Aufklärung und Einwilligung ggf. für Termine. Niemals für Befunde.	Vermeiden
SMS	Gering	Ähnlich wie E-Mail. Geeignet für Terminerinnerungen ohne sensible Details.	Nur für nicht-sensible Informationen
Messenger (z.B. WhatsApp)	Gering (Metadaten-Thematik)	Hochproblematisch aufgrund von Datenübermittlung in die USA und Adressbuch-Zugriff. Nicht für Patientendaten geeignet.	Nicht verwenden
Sichere Patientenportale	Sehr hoch	Ideal, da Ende-zu-Ende-verschlüsselt und authentifiziert.	Bevorzugte Lösung

Umgang mit Kindern und Jugendlichen

Bei der Verarbeitung von Daten Minderjähriger ist besondere Sorgfalt geboten. Die Einwilligung muss in der Regel von den Sorgeberechtigten erteilt werden. Ab einem gewissen Alter (die DSGVO nennt 16 Jahre für Online-Dienste, im Gesundheitskontext ist die Einsichtsfähigkeit entscheidend) kann der Jugendliche selbst einwilligen. Der Zugang zu Daten sollte dem Alter entsprechend beschränkt werden.

Externe Dienstleister: Auswahlkriterien und Auditfragen

Die Auswahl von Dienstleistern ist ein kritischer Prozess.

• Standort: Bevorzugen Sie Dienstleister mit Serverstandort und Firmensitz in der EU/dem EWR.
• Zertifizierungen: Achten Sie auf relevante Zertifikate wie ISO 27001, C5 (BSI) oder branchenspezifische Siegel.
• Auditfragen (Beispiele):
  • Wie stellen Sie die Trennung der Daten verschiedener Mandanten sicher?
  • Welche Prozesse für das Patch- und Schwachstellenmanagement sind etabliert?
  • Wie schulen Sie Ihre Mitarbeiter im Bereich Datenschutz?
  • Können Sie uns Ihren Notfallplan und die Ergebnisse der letzten Tests vorlegen?

Foto- und Videoaufnahmen in Einrichtungen

Foto- und Videoaufnahmen (z.B. zu Dokumentationszwecken) stellen eine Verarbeitung hochsensibler Daten dar. Sie erfordern eine klare Rechtsgrundlage (meist eine informierte, zweckgebundene Einwilligung) und strenge technische Schutzmaßnahmen wie Verschlüsselung und Zugriffskontrolle.

Notfallmanagement: Pläne für den Ernstfall

Ein Datenleck oder Systemausfall kann im Gesundheitswesen gravierende Folgen haben. Ein Notfallplan ist unerlässlich.

• Meldewege: Klare Anweisungen, wer im Falle einer Datenpanne wann zu informieren ist (intern: IT, Geschäftsführung, DSB; extern: Aufsichtsbehörde innerhalb von 72 Stunden).
• Wiederherstellungspläne: Regelmäßig getestete Backup- und Wiederherstellungsprozesse, um die Verfügbarkeit der Daten sicherzustellen.
• Kommunikationsplan: Vorbereitete Strategie zur Information der betroffenen Patienten.

Praxisanhang: Zusammenfassende Checklisten

Checkliste: Basissicherheit für Gesundheitsdaten

• [ ] Datenschutzbeauftragter benannt und gemeldet.
• [ ] Verzeichnis von Verarbeitungstätigkeiten (VVT) wird geführt und ist aktuell.
• [ ] Alle Mitarbeiter sind nachweislich geschult.
• [ ] Ein rollenbasiertes Zugriffskonzept ist dokumentiert und umgesetzt.
• [ ] Alle Systeme mit Patientendaten erfordern eine Zwei-Faktor-Authentifizierung.
• [ ] Festplatten auf Servern und Laptops sind verschlüsselt.
• [ ] Backups werden regelmäßig erstellt und auf ihre Wiederherstellbarkeit getestet.
• [ ] Mit allen externen Dienstleistern, die Daten verarbeiten, bestehen gültige AV-Verträge.
• [ ] Ein Löschkonzept existiert und wird angewendet.

Weiterführende Quellen und offizielle Verweise

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten der folgenden Institutionen:

• Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
• Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.
• Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.
• Bundesministerium für Gesundheit (BMG)