Datenverarbeitung im Gesundheitswesen: DSGVO, FHIR, Praxis

Datenverarbeitung im Gesundheitswesen: DSGVO, FHIR, Praxis

“`html

Leitfaden zur Datenverarbeitung im Gesundheitswesen 2025: Recht, Technik und Praxis

Inhaltsverzeichnis

Kurzüberblick: Relevanz und Zielsetzung

Die Datenverarbeitung im Gesundheitswesen stellt eine der größten Herausforderungen im Spannungsfeld von technologischem Fortschritt, medizinischer Notwendigkeit und dem Grundrecht auf informationelle Selbstbestimmung dar. Gesundheitsdaten gehören gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“ und unterliegen daher einem besonders hohen Schutzniveau. Für IT-Leitungen, Datenschutzverantwortliche und Fachkräfte der Gesundheitsinformatik bedeutet dies, dass sie nicht nur die technischen, sondern auch die komplexen rechtlichen Rahmenbedingungen präzise verstehen und umsetzen müssen.

Dieser Leitfaden verknüpft die rechtlichen Praxisfragen der DSGVO mit konkreten technischen Standards wie HL7 FHIR und DICOM. Er bietet pragmatische Checklisten für die Datenschutz-Folgenabschätzung (DSFA, auf Englisch DPIA) und illustriert die Umsetzung anhand von Fallstudien aus deutschen Kliniken. Ziel ist es, eine Brücke zwischen juristischen Anforderungen und der informationstechnischen Realität in medizinischen Einrichtungen zu schlagen und so eine sichere und konforme Datenverarbeitung im Gesundheitswesen zu gewährleisten.

Rechtliche Grundlagen: DSGVO, Art. 9 und nationale Vorgaben

Die rechtliche Basis für die Verarbeitung von Gesundheitsdaten ist vielschichtig und erfordert eine genaue Betrachtung verschiedener Regelwerke.

Die DSGVO als Fundament

Das zentrale Regelwerk ist die Datenschutz-Grundverordnung (DSGVO). Das Verarbeitungsverbot von Gesundheitsdaten in Artikel 9 Absatz 1 DSGVO wird durch spezifische Ausnahmetatbestände in Absatz 2 aufgehoben. Für Kliniken, Arztpraxen und andere medizinische Einrichtungen ist insbesondere Artikel 9 Absatz 2 Buchstabe h DSGVO relevant. Dieser erlaubt die Verarbeitung, wenn sie für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

Nationale Ergänzungen und Spezialgesetze

Neben der DSGVO müssen nationale Gesetze beachtet werden, die die Regelungen konkretisieren. Dazu gehören:

  • Sozialgesetzbuch (SGB V und SGB X): Regelt den Umgang mit Sozialdaten, wozu auch Gesundheitsdaten im Kontext der gesetzlichen Krankenversicherung zählen.
  • Bundesdatenschutzgesetz (BDSG): Enthält ergänzende Regelungen zur DSGVO.
  • Landeskrankenhausgesetze und Landesdatenschutzgesetze: Spezifizieren die Anforderungen für Krankenhäuser im jeweiligen Bundesland.
  • Patientenrechtegesetz (im BGB verankert): Stärkt die Rechte von Patientinnen und Patienten, insbesondere im Hinblick auf die Einsicht in die Behandlungsdokumentation.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), ist gemäß Artikel 35 DSGVO immer dann durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Verarbeitung von Gesundheitsdaten in großem Umfang, wie sie in einem Krankenhausinformationssystem (KIS) stattfindet, erfüllt dieses Kriterium grundsätzlich.

Eine DSFA ist insbesondere zwingend erforderlich bei:

  • Einführung eines neuen Krankenhausinformationssystems (KIS) oder wesentlicher neuer Module.
  • Implementierung einer elektronischen Patientenakte (ePA).
  • Einsatz von Telemedizin-Plattformen.
  • Verarbeitung genetischer oder biometrischer Daten in großem Umfang.
  • Outsourcing der IT-Infrastruktur an einen Cloud-Anbieter.

DSFA Schritt für Schritt: Methodik und Entscheidungsbaum

Eine strukturierte DSFA hilft, Risiken systematisch zu identifizieren, zu bewerten und durch geeignete Maßnahmen zu minimieren. Der Prozess sollte folgende Schritte umfassen:

  1. Systematische Beschreibung der Verarbeitungsvorgänge: Detaillierte Darstellung der Datenflüsse, der beteiligten Systeme, der Art und des Umfangs der verarbeiteten Daten sowie der Rechtsgrundlagen.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Prüfung, ob die Verarbeitung zur Erreichung des legitimen Zwecks (z. B. Patientenbehandlung) erforderlich ist und ob die Grundsätze der Datenminimierung beachtet werden.
  3. Risikobewertung für die Betroffenen: Identifikation potenzieller Bedrohungen (z. B. unbefugter Zugriff, Datenverlust) und Bewertung der Eintrittswahrscheinlichkeit und der möglichen Schadensschwere für Patienten.
  4. Planung von Abhilfemaßnahmen: Definition von technischen und organisatorischen Maßnahmen (TOMs), um die identifizierten Risiken angemessen zu verringern. Dazu gehören beispielsweise Verschlüsselung, Zugriffskontrollen oder Pseudonymisierungsverfahren.
  5. Dokumentation und Überprüfung: Alle Schritte und Ergebnisse müssen sorgfältig dokumentiert werden. Die DSFA ist kein einmaliger Prozess, sondern muss bei Änderungen der Verarbeitung regelmäßig überprüft werden.

Interoperabilität: HL7 FHIR, DICOM und Schnittstellenmanagement

Eine moderne Datenverarbeitung im Gesundheitswesen lebt vom Austausch von Informationen zwischen verschiedenen Systemen. Hierfür sind standardisierte Protokolle unerlässlich.

HL7 FHIR und DICOM als Standards

  • HL7 FHIR (Fast Healthcare Interoperability Resources): Ein moderner Standard für den Austausch von klinischen und administrativen Gesundheitsdaten. FHIR basiert auf Webtechnologien (RESTful APIs) und ermöglicht eine flexible und granulare Abfrage von Daten, was es ideal für mobile Anwendungen und die Integration heterogener Systeme macht.
  • DICOM (Digital Imaging and Communications in Medicine): Der weltweite Standard für die Speicherung, Übertragung und Darstellung von medizinischen Bilddaten und zugehörigen Informationen. Jedes bildgebende Verfahren (MRT, CT, Röntgen) kommuniziert über DICOM-Schnittstellen.

Die sichere Konfiguration dieser Schnittstellen ist entscheidend. Jede Verbindung zu einem Subsystem (Labor Informationssystem, Radiologie Informationssystem) muss authentifiziert und verschlüsselt sein, um die Vertraulichkeit und Integrität der Daten zu gewährleisten.

Zugriffssteuerung, Rollenmanagement und Auditierung

Der Schutz von Patientendaten beginnt bei der Kontrolle, wer auf welche Informationen zugreifen darf. Ein robustes Berechtigungskonzept ist daher unerlässlich.

Rollenbasiertes Zugriffskonzept (RBAC)

Der Zugriff auf Patientendaten muss streng nach dem „Need-to-Know“-Prinzip erfolgen. Ein rollenbasiertes Zugriffskonzept (RBAC) stellt sicher, dass Mitarbeiter nur die Daten einsehen können, die sie für ihre spezifische Aufgabe benötigen. Die Rolle einer Pflegekraft erfordert andere Berechtigungen als die eines Arztes, eines Verwaltungsmitarbeiters oder eines externen Technikers.

Lückenlose Protokollierung (Auditierung)

Jeder Zugriff auf elektronische Patientenakten muss lückenlos und revisionssicher protokolliert werden (Logging). Die Protokolldaten müssen mindestens folgende Informationen enthalten: Wer hat wann auf welche Patientendaten zugegriffen und welche Aktion (Lesen, Schreiben, Löschen) wurde durchgeführt? Diese Audit-Logs sind entscheidend, um unberechtigte Zugriffe nachzuvollziehen und die Rechenschaftspflicht sicherzustellen.

Sicherheitsmaßnahmen: Verschlüsselung, Backup und Secure Logging

Technische Sicherheitsmaßnahmen sind das Rückgrat jeder sicheren Datenverarbeitung im Gesundheitswesen.

  • Verschlüsselung: Daten müssen sowohl während der Übertragung (in transit), z. B. mittels TLS, als auch im Ruhezustand (at rest), also auf Festplatten und in Datenbanken, stark verschlüsselt werden.
  • Backup und Wiederherstellung: Eine durchdachte Backup-Strategie (z. B. nach der 3-2-1-Regel) ist essenziell, um die Verfügbarkeit der Daten nach einem Systemausfall oder einem Cyberangriff (z. B. Ransomware) sicherzustellen. Backups müssen ebenfalls verschlüsselt und sicher aufbewahrt werden.
  • Secure Logging: Protokolldateien müssen vor Manipulation geschützt und zentral gesammelt werden (z. B. in einem SIEM-System), um Sicherheitsvorfälle zeitnah erkennen und analysieren zu können.

Pseudonymisierung, Anonymisierung und Datenminimierung in der Praxis

Für Zwecke der medizinischen Forschung, der Qualitätssicherung oder der Abrechnung ist es oft nicht notwendig, Daten mit direktem Personenbezug zu verarbeiten.

  • Datenminimierung: Es dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck zwingend erforderlich sind.
  • Pseudonymisierung: Personenidentifizierende Merkmale (z. B. Name, Geburtsdatum) werden durch ein Pseudonym (z. B. eine zufällige Zeichenfolge) ersetzt. Der Schlüssel, der eine Re-Identifizierung ermöglicht, muss getrennt und sicher aufbewahrt werden.
  • Anonymisierung: Die Daten werden so verändert, dass ein Rückschluss auf eine Person nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand möglich ist. Anonymisierte Daten fallen nicht mehr unter den Anwendungsbereich der DSGVO.

Patienteneinwilligungen und Kommunikation via E-Mail, SMS und Messenger

Während die Verarbeitung von Daten zur Behandlung in der Regel auf Basis des Behandlungsvertrags (Art. 9 Abs. 2 lit. h DSGVO) erfolgt, erfordern viele andere Vorgänge eine explizite Einwilligung des Patienten. Dies gilt insbesondere für die Kommunikation über unsichere Kanäle.

Die Nutzung von Standard-E-Mail, SMS oder kommerziellen Messengern für den Versand von Befunden oder Terminerinnerungen ist hochriskant. Eine solche Übermittlung sollte nur auf ausdrücklichen Wunsch und nach umfassender Aufklärung des Patienten über die Risiken (fehlende Ende-zu-Ende-Verschlüsselung) und auf Basis einer dokumentierten Einwilligung erfolgen. Sicherere Alternativen sind dedizierte Patientenportale mit gesichertem Login.

Auftragsverarbeitung und Auswahl externer Dienstleister

Selten betreiben Gesundheitseinrichtungen ihre gesamte IT-Infrastruktur selbst. Bei der Beauftragung externer Dienstleister (z. B. für Rechenzentrums-Services, Software-Wartung oder Aktenvernichtung) handelt es sich um eine Auftragsverarbeitung gemäß Artikel 28 DSGVO.

Die Auswahl des Dienstleisters muss sorgfältig erfolgen. Wichtige Kriterien sind:

  • Standort des Unternehmens und der Server: Idealerweise innerhalb der EU/des EWR.
  • Nachweis über technische und organisatorische Maßnahmen (TOMs): Zertifizierungen wie ISO 27001 oder C5 (BSI) können als Beleg dienen.
  • Abschluss eines Auftragsverarbeitungsvertrags (AVV): Dieser Vertrag regelt die Rechte und Pflichten beider Seiten und muss alle von Art. 28 Abs. 3 DSGVO geforderten Punkte enthalten.

Abrechnungsdaten und Schnittstellen zu Kostenträgern

Abrechnungsdaten enthalten nicht nur administrative, sondern auch diagnostische Informationen und sind somit ebenfalls sensible Gesundheitsdaten. Die Übermittlung an Kostenträger (gesetzliche und private Krankenversicherungen) muss über gesicherte und standardisierte Schnittstellen erfolgen. Die gesetzlichen Anforderungen, insbesondere aus dem SGB V, sind hierbei strikt zu beachten.

Konkrete Klinikfallstudien: Implementierung und Lessons Learned

Szenario: Einführung eines Patientenportals in einem Regionalkrankenhaus

Ein Krankenhaus mit 500 Betten plant die Einführung eines Patientenportals, über das Patienten ab 2025 Termine buchen, Befunde einsehen und sicher mit dem Klinikpersonal kommunizieren können.

Herausforderungen und Lösungen

  • Herausforderung: Sichere Authentifizierung: Wie kann sichergestellt werden, dass nur der richtige Patient auf seine Daten zugreift?
    Lösung: Implementierung einer starken Zwei-Faktor-Authentifizierung (2FA). Die Erstregistrierung erfolgt persönlich vor Ort mit Ausweisprüfung.
  • Herausforderung: Anbindung an das KIS: Die Daten müssen sicher aus dem bestehenden KIS in das Portal fließen.
    Lösung: Entwicklung einer dedizierten Schnittstelle auf Basis von HL7 FHIR. Der Datenaustausch erfolgt ausschließlich über verschlüsselte Verbindungen (mTLS), und es wird ein “Pull”-Prinzip implementiert, bei dem das Portal die Daten nur bei Bedarf aktiv vom KIS anfordert.
  • Herausforderung: Durchführung der DSFA: Das Projekt birgt ein hohes Risiko.
    Lösung: Das Projektteam führte eine umfassende DSFA durch. Ein wesentliches Ergebnis war die Notwendigkeit, die Berechtigungen im Portal granular zu steuern. Patienten müssen aktiv zustimmen, welche Dokumente (z. B. Entlass Brief, Laborwerte) im Portal sichtbar sein sollen (Opt-in-Verfahren).

Prüflisten und Vorlagen: DSFA-Checkliste, Technische Controls, Vertragsklauseln

Tabelle: Vereinfachte DSFA-Checkliste

Prüfpunkt Ja/Nein Anmerkungen und Maßnahmen
Werden Gesundheitsdaten (Art. 9 DSGVO) verarbeitet? Ja DSFA ist obligatorisch.
Ist der Zweck der Verarbeitung klar definiert und legitim? Ja Zweck: Patientenbehandlung und -kommunikation.
Werden die Grundsätze der Datenminimierung beachtet? Ja Nur die für den jeweiligen Prozess notwendigen Daten werden angezeigt.
Sind die Risiken (z.B. unbefugter Zugriff) identifiziert? Ja Risiko: Phishing von Zugangsdaten, Kompromittierung des Endgeräts.
Gibt es ausreichende technische Maßnahmen (Verschlüsselung, 2FA)? Ja Ende-zu-Ende-Verschlüsselung und 2FA sind implementiert.
Sind die Betroffenenrechte (Auskunft, Löschung) umgesetzt? Ja Funktionen zur Datenübersicht und Löschanforderung im Portal integriert.

Wichtige technische Controls

  • Starke Authentifizierungsmechanismen (z.B. 2FA)
  • Durchgängige Verschlüsselung (at rest und in transit)
  • Rollenbasiertes Zugriffskonzept (RBAC)
  • Revisionssichere Protokollierung aller Zugriffe
  • Regelmäßige Penetrationstests und Schwachstellenscans

Wesentliche Klauseln für einen Auftragsverarbeitungsvertrag (AVV)

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Verpflichtung zur Vertraulichkeit
  • Implementierung angemessener technischer und organisatorischer Maßnahmen (TOMs)
  • Regelungen zur Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei der Erfüllung der Betroffenenrechte
  • Löschung oder Rückgabe der Daten nach Beendigung des Auftrags

Glossar technischer und rechtlicher Begriffe

  • DSGVO: Datenschutz-Grundverordnung. EU-weites Gesetz zum Schutz personenbezogener Daten.
  • DSFA/DPIA: Datenschutz-Folgenabschätzung (Data Protection Impact Assessment). Ein Prozess zur Bewertung der Risiken einer Datenverarbeitung.
  • HL7 FHIR: Ein moderner Standard zum Austausch von Daten im Gesundheitswesen.
  • DICOM: Ein Standard für die Verarbeitung medizinischer Bilddaten.
  • Pseudonymisierung: Ersetzen von Identifikatoren durch Pseudonyme, um den direkten Personenbezug aufzuheben. Eine Re-Identifizierung ist mit Zusatz Wissen möglich.
  • Anonymisierung: Unumkehrbare Entfernung des Personenbezugs aus Daten.

Weiterführende Behördenressourcen und Literaturempfehlungen

Für vertiefende Informationen und offizielle Stellungnahmen zur Datenverarbeitung im Gesundheitswesen empfehlen wir die Webseiten der zuständigen Aufsichtsbehörden:

Empfohlene Fachartikel