DSGVO und Gesundheitsdaten: Klartext, Praxisfälle und Schutzmaßnahmen

DSGVO und Gesundheitsdaten: Klartext, Praxisfälle und Schutzmaßnahmen

Inhaltsverzeichnis

Einführung: Warum Gesundheitsdaten besondere Schutzbedürftigkeit haben

Die Symbiose von DSGVO und Gesundheitsdaten stellt eine der größten Herausforderungen im modernen Datenschutz dar. Gesundheitsdaten sind gemäß Artikel 4 Nr. 15 der Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch) „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Diese Informationen sind zutiefst persönlich und sensibel. Ein unbefugter Zugriff oder Missbrauch kann für Betroffene gravierende Folgen haben, von sozialer Stigmatisierung und Diskriminierung am Arbeitsplatz bis hin zu finanziellen Nachteilen bei Versicherungen. Aus diesem Grund stuft die DSGVO sie in Artikel 9 als „besondere Kategorien personenbezogener Daten“ ein und unterwirft ihre Verarbeitung einem grundsätzlichen Verbot mit eng gefassten Ausnahmen. Für Datenschutzbeauftragte, Gesundheitsanbieter und IT-Verantwortliche ist ein tiefgreifendes Verständnis der rechtlichen Anforderungen unerlässlich, um Compliance sicherzustellen und das Vertrauen der Patienten zu wahren.

Kurzfassung

Gesundheitsdaten sind alle Informationen über Ihre Gesundheit, zum Beispiel Diagnosen vom Arzt, Röntgenbilder oder Informationen zu Allergien. Weil diese Daten sehr persönlich sind, werden sie von der Datenschutz-Grundverordnung (DSGVO) besonders stark geschützt. Die Verarbeitung (also das Sammeln, Speichern oder Nutzen) dieser Daten ist grundsätzlich verboten. Es gibt aber wichtige Ausnahmen, zum Beispiel für die medizinische Behandlung durch Ärzte und Krankenhäuser. Organisationen, die Gesundheitsdaten verarbeiten, müssen sehr hohe Sicherheitsstandards einhalten. Dazu gehören technische Maßnahmen wie Verschlüsselung und organisatorische Regeln wie Schulungen für Mitarbeiter. Ziel ist es, sicherzustellen, dass Ihre sensiblen Gesundheitsinformationen immer vertraulich und sicher bleiben.

Rechtliche Einordnung: Erwägungsgrund 35 versus Artikel 9 DSGVO

Um die Vorschriften für DSGVO und Gesundheitsdaten korrekt zu operationalisieren, ist das Zusammenspiel von Erwägungsgrund 35 und Artikel 9 DSGVO zu verstehen. Erwägungsgrund 35 liefert die Begründung für den strengen Schutz: Er stellt fest, dass die Verarbeitung besonderer Datenkategorien, einschließlich Gesundheitsdaten, „erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann“. Er fungiert als Leitplanke für die Risikobewertung. Artikel 9 DSGVO setzt dies in eine konkrete Rechtsnorm um: Er statuiert in Absatz 1 ein grundsätzliches Verarbeitungsverbot. Absatz 2 listet abschließend die Ausnahmetatbestände auf, die eine Verarbeitung dennoch erlauben. Es handelt sich also nicht um eine Abwägung, sondern um eine strikte „Verbot-mit-Erlaubnisvorbehalt“-Regelung.

Rechtmäßige Verarbeitungsgrundlagen für Gesundheitsdaten (Art. 6 und Art. 9)

Jede Verarbeitung von Gesundheitsdaten benötigt eine doppelte Rechtfertigung: eine allgemeine Rechtsgrundlage nach Artikel 6 DSGVO und einen spezifischen Ausnahmetatbestand nach Artikel 9 Abs. 2 DSGVO. Die bloße Erfüllung eines Behandlungsvertrages (Art. 6 Abs. 1 lit. b) reicht allein nicht aus.

Die folgende Rechtsmapping-Matrix veranschaulicht gängige Verarbeitungszwecke und deren korrekte rechtliche Verankerung:

Verarbeitungszweck Rechtsgrundlage Art. 6 DSGVO Ausnahmebedingung Art. 9 Abs. 2 DSGVO Wichtige Voraussetzungen
Medizinische Behandlung und Diagnostik Art. 6 (1) lit. c i.V.m. Behandlungsvertrag (§ 630a BGB) Art. 9 (2) lit. h (Gesundheitsvorsorge, medizinische Diagnostik) Verarbeitung durch Fachpersonal, das der Schweigepflicht unterliegt.
Abrechnung mit Krankenkassen Art. 6 (1) lit. c i.V.m. SGB V Art. 9 (2) lit. h (Verwaltung von Systemen im Gesundheitsbereich) Gesetzliche Verpflichtung zur Datenübermittlung.
Wissenschaftliche Forschung Art. 6 (1) lit. a (Einwilligung) oder lit. e (öffentliches Interesse) Art. 9 (2) lit. a (ausdrückliche Einwilligung) oder lit. j (Forschungszwecke) Strenge Zweckbindung, oft Pseudonymisierung oder Anonymisierung erforderlich.
Schutz lebenswichtiger Interessen Art. 6 (1) lit. d Art. 9 (2) lit. c Patient ist physisch oder rechtlich außerstande, seine Einwilligung zu geben (z.B. Notfall).

Konkrete Beispiele: Elektronische Patientenakte, genetische Diagnostik, Telemedizin

Die Theorie wird erst in der Praxis greifbar. Die folgenden Fallstudien zeigen, wie sich die Anforderungen der DSGVO auf konkrete Anwendungen im Gesundheitswesen auswirken.

Elektronische Patientenakte (ePA)

Die ePA bündelt medizinische Daten an einem zentralen Ort und birgt daher immense Risiken, aber auch Chancen. Eine datenschutzkonforme Umsetzung ist entscheidend.

Konform Nicht Konform
Der Patient hat die alleinige Hoheit über die Zugriffsrechte und kann granular steuern, welcher Arzt welche Dokumente einsehen darf (“Patient-in-Control”). Ein zentrales System gewährt Ärzten oder Krankenkassen pauschalen Zugriff ohne explizite, fallbezogene Freigabe durch den Patienten.
Alle Daten werden Ende-zu-Ende-verschlüsselt übertragen und auf den Servern verschlüsselt gespeichert (“State-of-the-Art”-Verschlüsselung). Daten werden während der Übertragung oder auf dem Server unverschlüsselt gespeichert, was Man-in-the-Middle-Angriffe ermöglicht.

Empfohlene Maßnahmen: Implementierung einer Zwei-Faktor-Authentifizierung (2FA) für alle Zugriffe, lückenlose und revisionssichere Protokollierung jeder Datenverarbeitung und jedes Zugriffsversuchs, regelmäßige Penetrationstests der Infrastruktur.

Genetische Diagnostik

Genetische Daten sind aufgrund ihrer Unveränderlichkeit und ihrer Aussagekraft über Familienmitglieder extrem sensibel.

Konform Nicht Konform
Es liegt eine ausdrückliche und informierte Einwilligung des Patienten vor, die den Zweck der Analyse exakt beschreibt (z.B. nur zur Abklärung einer spezifischen Erbkrankheit). Eine pauschale Einwilligung wird eingeholt, die zukünftige, noch unbestimmte Forschungen oder die Weitergabe an Dritte (z.B. Versicherungen) erlaubt.
Proben und Analyseergebnisse werden nach Abschluss der Diagnostik und Ablauf der gesetzlichen Aufbewahrungsfristen sicher und nachweislich gelöscht oder vollständig anonymisiert. Daten und Proben werden auf unbestimmte Zeit aufbewahrt, ohne dass hierfür eine Rechtsgrundlage besteht.

Empfohlene Maßnahmen: Strikte Pseudonymisierung der Proben im Laborprozess, getrennte Speicherung von identifizierenden und genetischen Daten, Implementierung strenger physischer und logischer Zugriffskontrollen auf die Laborsysteme.

Telemedizin

Die Verlagerung der Arzt-Patienten-Kommunikation in den digitalen Raum erfordert sichere Kanäle.

Konform Nicht Konform
Verwendung von zertifizierten und Ende-zu-Ende-verschlüsselten Videodienstanbietern, die speziell für den Gesundheitssektor entwickelt wurden. Nutzung von allgemeinen Consumer-Messengern wie WhatsApp oder unverschlüsselten Videokonferenz-Tools für die virtuelle Sprechstunde.
Der Austausch von Dokumenten (z.B. Befunde, Rezepte) erfolgt über ein gesichertes Patientenportal mit starker Authentifizierung. Der Versand sensibler medizinischer Dokumente erfolgt per unverschlüsselter E-Mail.

Empfohlene Maßnahmen: Einsatz von Software, die den Anforderungen der Aufsichtsbehörden genügt (z.B. KBV-Zertifizierung), sichere Identitätsprüfung der Patienten vor Beginn der telemedizinischen Sitzung, transparente Information der Patienten über die genutzte Technik und deren Sicherheitsmerkmale.

Technische und organisatorische Maßnahmen (TOMs) für Gesundheitsdaten

Artikel 32 DSGVO fordert “geeignete technische und organisatorische Maßnahmen” (TOMs, TOMs auf Englisch), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Gesundheitsdaten bedeutet dies die Implementierung besonders robuster Vorkehrungen:

  • Verschlüsselung: Sowohl bei der Übertragung (“in transit”, z.B. mittels TLS 1.3) als auch bei der Speicherung (“at rest”, z.B. Festplatten- oder Datenbankverschlüsselung) ist Verschlüsselung nach dem Stand der Technik obligatorisch.
  • Zugriffskontrolle: Ein strenges Rollen- und Berechtigungskonzept nach dem Need-to-know-Prinzip muss sicherstellen, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre jeweilige Aufgabe benötigen.
  • Pseudonymisierung: Wo immer möglich, sollten personenbezogene Daten durch Pseudonyme ersetzt werden, um das Risiko bei einer Datenpanne zu minimieren.
  • Protokollierung: Alle Zugriffe auf Gesundheitsdaten müssen lückenlos protokolliert werden, um unberechtigte Zugriffe nachvollziehen und aufklären zu können.
  • Mitarbeitersensibilisierung: Regelmäßige und verpflichtende Schulungen zum Thema DSGVO und Gesundheitsdaten sind unerlässlich, um menschliches Fehlverhalten als Risikofaktor zu minimieren.
  • Sicherheit der IT-Systeme: Regelmäßige Updates, Patch-Management, Firewalls und Virenschutzprogramme sind die grundlegende Basis für den Schutz der Daten.

Pseudonymisierung und Anonymisierung: Nutzen und Grenzen

Pseudonymisierung (Art. 4 Nr. 5 DSGVO) ersetzt direkte Identifikatoren (wie Namen) durch ein Pseudonym (z.B. eine Patientennummer). Die Zuordnung zum ursprünglichen Datensatz ist über eine separat gespeicherte Information weiterhin möglich. Pseudonymisierte Daten sind daher weiterhin personenbezogene Daten und unterliegen der DSGVO. Sie sind jedoch eine wichtige Schutzmaßnahme, da sie das Risiko bei einem Datenleck erheblich reduzieren.

Anonymisierung bezeichnet die Veränderung von Daten derart, dass ein Personenbezug nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Echte anonymisierte Daten fallen nicht mehr in den Anwendungsbereich der DSGVO. Die Herausforderung liegt jedoch in der sicheren Umsetzung. Insbesondere bei komplexen Datensätzen (z.B. genetische Daten) ist das Risiko einer Re-Identifizierung hoch.

DSFA: Wann, wie und welche Risiken berücksichtigt werden müssen

Eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO ist immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die umfangreiche Verarbeitung von Gesundheitsdaten (Art. 35 Abs. 3 lit. b) löst diese Pflicht regelmäßig aus, beispielsweise bei der Einführung eines neuen Krankenhausinformationssystems (KIS) oder einer Telemedizin-Plattform.

Schritte einer DSFA

  1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
  3. Bewertung der Risiken für die Betroffenen (z.B. Risiko der Diskriminierung, des Identitätsdiebstahls, der gesellschaftlichen Stigmatisierung).
  4. Planung von Abhilfemaßnahmen (TOMs), um die Risiken zu minimieren.

Die DSFA ist ein lebendes Dokument, das bei Änderungen an der Verarbeitung aktualisiert werden muss.

Datenübermittlungen und grenzüberschreitender Datentransfer

Die Übermittlung von Gesundheitsdaten an Dritte (z.B. Labore, Abrechnungsstellen, andere Ärzte) bedarf stets einer spezifischen Rechtsgrundlage. Innerhalb der EU/des EWR ist dies unter den gleichen Voraussetzungen wie eine nationale Übermittlung möglich.

Besondere Vorsicht ist bei der Übermittlung in Drittländer (z.B. USA) geboten. Nach dem Schrems-II-Urteil des EuGH reicht der Abschluss von Standardvertragsklauseln (SCCs) allein nicht mehr aus. Verantwortliche müssen zusätzlich eine Einzelfallprüfung (Transfer Impact Assessment, TIA) durchführen und prüfen, ob die Gesetze des Drittlandes (z.B. Überwachungsgesetze) den Schutz der Daten untergraben. Für Gesundheitsdaten ist dies eine extrem hohe Hürde. Es wird dringend empfohlen, auf europäische Anbieter zurückzugreifen.

Auftragsverarbeitung: Vertragsinhalte und Kontrollpunkte

Wenn externe Dienstleister (z.B. Software-Anbieter, Cloud-Hoster, Aktenvernichter) im Auftrag Gesundheitsdaten verarbeiten, liegt eine Auftragsverarbeitung vor. Hierfür ist ein Vertrag nach Artikel 28 DSGVO (AV-Vertrag) zwingend erforderlich. Der Verantwortliche (z.B. die Arztpraxis) bleibt vollumfänglich für den Datenschutz verantwortlich.

Wichtige Vertragsinhalte und Kontrollpunkte:

  • Klare Definition von Gegenstand, Dauer, Art und Zweck der Verarbeitung.
  • Verpflichtung des Auftragsverarbeiters zur Vertraulichkeit.
  • Festlegung der implementierten TOMs beim Auftragsverarbeiter.
  • Regelungen zur Einschaltung von Sub-Auftragsverarbeitern (nur mit Genehmigung).
  • Weitreichende Kontroll- und Auditrechte für den Auftraggeber.

Es ist entscheidend, nicht nur einen Vertrag abzuschließen, sondern die Einhaltung der Vorgaben auch aktiv zu überprüfen, z.B. durch Audits oder die Anforderung von Zertifikaten.

Kommunikation mit Patienten: E-Mail, SMS und Messenger

Die schnelle und unkomplizierte Kommunikation birgt erhebliche Risiken im Kontext von DSGVO und Gesundheitsdaten.

  • Unverschlüsselte E-Mail/SMS: Sind mit einer Postkarte vergleichbar. Die Übermittlung sensibler Gesundheitsdaten über diese Kanäle ist ein klarer Verstoß gegen die DSGVO, da die Vertraulichkeit nicht gewährleistet ist.
  • Standard-Messenger (z.B. WhatsApp): Sind aus mehreren Gründen ungeeignet. Es mangelt an Transparenz über die Datenverarbeitung (z.B. Metadaten), es besteht oft eine Übermittlung von Kontaktdaten an US-Server und es fehlt ein AV-Vertrag.

Konforme Alternativen für Strategien ab 2026:

  • Sichere Patientenportale: Web-basierte Plattformen mit Login, über die Nachrichten und Dokumente sicher ausgetauscht werden können.
  • Spezialisierte Messenger für das Gesundheitswesen: Anbieter, die Ende-zu-Ende-Verschlüsselung, Konformität mit der DSGVO und die Möglichkeit zum Abschluss eines AV-Vertrags bieten.
  • Verschlüsselte E-Mail: Nur wenn sowohl Sender als auch Empfänger eine Ende-zu-Ende-Verschlüsselung (z.B. S/MIME oder PGP) nutzen, was in der Praxis oft an der technischen Umsetzung beim Patienten scheitert.

Aufbewahrung, Löschung und Dokumentation von Verarbeitungen

Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Im Gesundheitswesen kollidiert dieser Grundsatz oft mit gesetzlichen Aufbewahrungspflichten (z.B. 10 Jahre für Patientenakten nach § 630f BGB). Die gesetzliche Aufbewahrungspflicht hat in diesem Fall Vorrang. Nach Ablauf der Frist müssen die Daten jedoch sicher gelöscht werden. Dies erfordert ein systematisches Löschkonzept. Jede Verarbeitungstätigkeit muss zudem im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) detailliert dokumentiert werden.

Auditnachweise und Compliance-Monitoring

Nach der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen können. Dies geschieht durch:

  • Ein lückenloses Verzeichnis von Verarbeitungstätigkeiten.
  • Durchgeführte Datenschutz-Folgenabschätzungen.
  • Abgeschlossene AV-Verträge.
  • Dokumentation der TOMs.
  • Protokolle von Mitarbeiterschulungen.
  • Nachweise über durchgeführte interne oder externe Audits.

Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der regelmäßiges Monitoring erfordert.

Praktische Checkliste: Sofortmaßnahmen und Prüfpunkte

  • Verarbeitungsverzeichnis prüfen: Sind alle Verarbeitungen von Gesundheitsdaten erfasst und die Rechtsgrundlagen nach Art. 6 und Art. 9 korrekt zugeordnet?
  • AV-Verträge auditieren: Sind mit allen Dienstleistern gültige Verträge nach Art. 28 DSGVO geschlossen? Wurde deren Einhaltung kürzlich überprüft?
  • Zugriffsberechtigungen kontrollieren: Entspricht das Berechtigungskonzept strikt dem “Need-to-know”-Prinzip? Werden Berechtigungen bei einem Wechsel von Mitarbeitern umgehend entzogen?
  • DPIA-Bedarf ermitteln: Wurde für alle risikoreichen Verarbeitungen (z.B. neue Software, Forschungsprojekte) eine DPIA durchgeführt?
  • Kommunikationskanäle bewerten: Werden unsichere Kanäle (E-Mail, WhatsApp) für den Austausch von Gesundheitsdaten genutzt? Wenn ja, sofort abstellen und sichere Alternativen etablieren.
  • Löschkonzept implementieren: Gibt es einen definierten Prozess zur Löschung von Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen?

Beispielklauseln und Formulierungsbeispiele

Für Datenschutzhinweise (Art. 13/14 DSGVO)

“Wir verarbeiten Ihre Gesundheitsdaten (z.B. Anamnesedaten, Diagnosen, Therapievorschläge) auf Grundlage von Artikel 9 Abs. 2 lit. h DSGVO in Verbindung mit dem Behandlungsvertrag und unseren gesetzlichen Pflichten (insbesondere § 630f BGB zur Dokumentation). Diese Verarbeitung ist zur Durchführung der Behandlung und zur Erfüllung unserer rechtlichen Verpflichtungen zwingend erforderlich.”

Für eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO)

“Ich willige hiermit ausdrücklich ein, dass [Name des Verantwortlichen] meine [genaue Auflistung der Gesundheitsdaten, z.B. Blutwerte, genetische Sequenzdaten] für den folgenden, klar definierten Zweck verarbeitet: [präzise und verständliche Beschreibung des Zwecks, z.B. ‘Teilnahme an der klinischen Studie XY zur Erforschung von Medikament Z’]. Mir ist bekannt, dass diese Einwilligung freiwillig ist und ich sie jederzeit mit Wirkung für die Zukunft ohne Angabe von Gründen widerrufen kann.”

Häufige Fehlannahmen und wie man sie vermeidet

  • Fehlannahme 1: “Für Gesundheitsdaten braucht man immer eine Einwilligung.”
    Falsch. Die häufigste Rechtsgrundlage im Behandungskontext ist Art. 9 Abs. 2 lit. h DSGVO. Eine Einwilligung ist nur dann erforderlich, wenn keine andere Rechtsgrundlage greift (z.B. bei vielen Forschungsvorhaben oder Marketingmaßnahmen).
  • Fehlannahme 2: “Verschlüsselung allein macht die Verarbeitung sicher.”
    Falsch. Verschlüsselung ist nur ein Teil der TOMs. Wenn das Schlüsselmanagement unsicher ist, Berechtigungen zu weit gefasst sind oder Mitarbeiter ungeschult sind, bleiben erhebliche Risiken bestehen. Datenschutz erfordert ein ganzheitliches Konzept.
  • Fehlannahme 3: “Ein US-Cloud-Anbieter ist mit Standardvertragsklauseln (SCCs) sicher nutzbar.”
    Hochriskant. Insbesondere bei Gesundheitsdaten ist nach Schrems II eine Nutzung von US-Diensten, die dem CLOUD Act unterliegen, kaum noch rechtskonform darstellbar, da der Zugriff durch US-Behörden nicht wirksam ausgeschlossen werden kann.

Anhang: Weiterführende offizielle Quellen und Hinweise

Für vertiefende Informationen und offizielle Leitlinien empfehlen wir die Webseiten der zuständigen Aufsichtsbehörden und Ministerien.

Der korrekte Umgang mit DSGVO und Gesundheitsdaten ist komplex, aber unumgänglich. Er schützt nicht nur die Patienten, sondern auch die Integrität und Reputation Ihrer Organisation. Bei MUNAS Consulting unterstützen wir Sie mit Expertise und pragmatischen Lösungen, um Compliance nachhaltig sicherzustellen. Besuchen Sie unsere Webseite für weitere Informationen.

Weiterführende Beiträge