DSGVO und Gesundheitsdaten: Praxisleitfaden für Gesundheitswesen

DSGVO und Gesundheitsdaten: Praxisleitfaden für Gesundheitswesen

Inhaltsverzeichnis

Zusammenfassung in einfacher Sprache

Die DSGVO und Gesundheitsdaten sind ein sensibles Thema. Gesundheitsdaten sind Informationen über den körperlichen oder geistigen Zustand einer Person, zum Beispiel Diagnosen vom Arzt, Blutwerte oder genetische Informationen. Da diese Daten sehr persönlich sind, schützt die Datenschutz-Grundverordnung (DSGVO) sie besonders stark. Die Verarbeitung, also das Sammeln, Speichern oder Weitergeben, ist grundsätzlich verboten. Es gibt jedoch Ausnahmen, zum Beispiel wenn die Patientin oder der Patient ausdrücklich zustimmt, wenn es für die medizinische Behandlung notwendig ist oder ein Gesetz es vorschreibt. Unternehmen und Praxen im Gesundheitswesen müssen strenge technische und organisatorische Regeln befolgen, um diese Daten zu sichern. Dazu gehören sichere Speicherung, Zugriffskontrollen und klare Löschkonzepte. Dieser Leitfaden erklärt die wichtigsten Regeln und gibt praktische Tipps für den korrekten Umgang mit Gesundheitsdaten.

Was versteht man unter Gesundheitsdaten? Konkrete Beispiele

Gemäß Art. 4 Nr. 15 DSGVO sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Es handelt sich also um eine der besonderen Kategorien personenbezogener Daten. Das Spektrum ist dabei sehr weit gefasst und geht über klassische medizinische Akten hinaus.

Konkrete Beispiele für Gesundheitsdaten umfassen:

  • Klinische Daten: Diagnosen, Symptome, Anamnesen, Befunde, Laborwerte, Röntgenbilder, OP-Berichte.
  • Genetische und biometrische Daten: Ergebnisse aus DNA-Analysen, Fingerabdrücke oder Iris-Scans, sofern sie zur eindeutigen Identifizierung einer Person im Gesundheitskontext genutzt werden.
  • Administrative Daten mit Gesundheitsbezug: Krankschreibungen, Abrechnungsdaten mit Leistungsziffern (z. B. GOÄ, EBM), die Rückschlüsse auf eine Behandlung zulassen, Termine bei Fachärzten (z. B. Psychotherapeut, Onkologe).
  • Daten aus digitalen Anwendungen: Werte aus Gesundheits-Apps, Daten von Fitness-Trackern oder Wearables (z. B. Herzfrequenz, Schlafmuster), Daten aus der elektronischen Patientenakte (ePA).
  • Informationen zum Lebensstil mit direktem Gesundheitsbezug: Angaben zu Allergien, Suchterkrankungen (Alkohol, Nikotin) oder dem Impfstatus.

Art. 9 DSGVO kurz erklärt: Wann gilt ein erhöhtes Schutzniveau?

Artikel 9 DSGVO etabliert ein grundsätzliches Verarbeitungsverbot mit Erlaubnisvorbehalt für besondere Kategorien personenbezogener Daten. Gesundheitsdaten fallen explizit unter diese Kategorie. Das bedeutet, ihre Verarbeitung ist per se untersagt, es sei denn, eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift. Dieses erhöhte Schutzniveau ist der besonderen Sensibilität dieser Informationen geschuldet, deren Missbrauch zu erheblicher Diskriminierung oder Beeinträchtigung der Betroffenen führen kann.

Die Kernbotschaft von Art. 9 ist klar: Der Umgang mit Gesundheitsdaten erfordert eine explizite und legitime Rechtsgrundlage. Ein pauschaler Verweis auf betriebliche Notwendigkeiten oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) ist hierfür in der Regel nicht ausreichend.

Rechtsgrundlagen in der Praxis: Einordnung von Datenarten

Die Wahl der korrekten Rechtsgrundlage ist entscheidend für eine konforme Verarbeitung. Die wichtigsten Ausnahmen des Verarbeitungsverbots nach Art. 9 Abs. 2 DSGVO im Gesundheitskontext sind:

  • Lit. a: Ausdrückliche Einwilligung: Die betroffene Person hat für einen oder mehrere festgelegte Zwecke ausdrücklich in die Verarbeitung eingewilligt. Diese Einwilligung muss freiwillig, informiert und unmissverständlich sein und kann jederzeit widerrufen werden. Ideal für Wahlleistungen oder die Teilnahme an Studien.
  • Lit. h: Medizinische Behandlung und Verwaltung von Systemen im Gesundheitsbereich: Die Verarbeitung ist für die Gesundheitsvorsorge, die Arbeitsmedizin, die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich. Dies ist die zentrale Rechtsgrundlage für Krankenhäuser, Arztpraxen und Pflegeeinrichtungen im Rahmen des Behandlungsvertrags. Voraussetzung ist, dass die Verarbeitung durch Fachpersonal erfolgt, das einer Geheimhaltungspflicht unterliegt.
  • Lit. i: Öffentliches Interesse im Bereich der öffentlichen Gesundheit: Dies betrifft Maßnahmen zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards. Beispiele sind die Meldepflichten nach dem Infektionsschutzgesetz.
  • Lit. c: Schutz lebenswichtiger Interessen: Die Verarbeitung ist erforderlich, um vitale Interessen der betroffenen oder einer anderen Person zu schützen, falls die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (z. B. Notfallversorgung eines bewusstlosen Patienten).

Praktische Fallbeispiele: EHR, Laborwerte, Genetische Daten, Telemedizin und Wearables

Elektronische Gesundheitsakte (EHR)

Die Verarbeitung von Daten in einer elektronischen Gesundheitsakte (auf Englisch Electronic Health Record, EHR) oder einer elektronischen Patientenakte (ePA) stützt sich primär auf Art. 9 Abs. 2 lit. h DSGVO (Behandlungsvertrag) sowie auf die ausdrückliche Einwilligung (lit. a) des Patienten, insbesondere wenn es um den Zugriff durch Dritte (z. B. andere Ärzte, Apotheken) geht.

Laborwerte und Genetische Daten

Die Übermittlung von Proben an ein Labor und die Rückübermittlung der Ergebnisse an den behandelnden Arzt ist durch den Behandlungsvertrag (Art. 9 Abs. 2 lit. h DSGVO) gedeckt. Für genetische Untersuchungen, die über die unmittelbare Diagnostik hinausgehen, ist oft eine separate, ausdrückliche Einwilligung (lit. a) nach dem Gendiagnostikgesetz (GenDG) erforderlich.

Telemedizin und Wearables

Bei telemedizinischen Konsultationen erfolgt die Datenverarbeitung auf Basis von Art. 9 Abs. 2 lit. h DSGVO. Werden jedoch Daten von Wearables oder Gesundheits-Apps des Patienten einbezogen, die dieser freiwillig zur Verfügung stellt, ist eine ausdrückliche Einwilligung (lit. a) die sicherste Rechtsgrundlage, da der Patient hier aktiv die Datenübertragung initiiert.

DSFA-Indikatoren und Vorlagen: Wann ist eine Folgenabschätzung nötig?

Eine Datenschutz-Folgenabschätzung (DSFA), oft auch DPIA (Data Protection Impact Assessment auf Englisch) genannt, ist nach Art. 35 DSGVO immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Gesundheitsdaten ist diese Schwelle schnell erreicht.

Konkrete Trigger für eine DSFA im Gesundheitswesen sind:

  • Einführung eines neuen Krankenhausinformationssystems (KIS) oder einer neuen Praxisverwaltungssoftware (PVS).
  • Umfangreiche Verarbeitung genetischer oder biometrischer Daten.
  • Einsatz von künstlicher Intelligenz zur Diagnosestellung oder Therapieplanung.
  • Einführung von telemedizinischen Plattformen, die eine systematische und umfangreiche Überwachung von Patienten ermöglichen.
  • Zentralisierung von Patientendaten in einer landesweiten oder trägerübergreifenden elektronischen Akte.
  • Verarbeitung von Gesundheitsdaten in großem Umfang (z. B. durch ein großes Klinikum oder einen Verbund).

Die Aufsichtsbehörden stellen oft Muster und Listen (sogenannte „Blacklists“) mit Verarbeitungsvorgängen bereit, die eine DSFA zwingend erfordern.

Technische und organisatorische Maßnahmen: Pseudonymisierung, Zugriffskontrollen, Protokollierung

Verantwortliche müssen gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOMs) umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Kontext von DSGVO und Gesundheitsdaten sind dies insbesondere:

  • Pseudonymisierung und Verschlüsselung: Wo immer möglich, sollten Daten pseudonymisiert werden, sodass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Eine durchgehende Verschlüsselung von Datenbanken und Übertragungswegen (Ende-zu-Ende) ist obligatorisch.
  • Zugriffskontrollen: Der Zugriff auf Gesundheitsdaten muss streng nach dem Need-to-know-Prinzip (Erforderlichkeitsprinzip) geregelt sein. Rollenbasierte Zugriffskonzepte stellen sicher, dass beispielsweise Verwaltungspersonal keinen Zugriff auf medizinische Befunde hat. Jeder Zugriff muss authentifiziert und autorisiert werden.
  • Protokollierung (Logging): Alle Zugriffe (Lese-, Schreib-, Löschvorgänge) auf Gesundheitsdaten müssen lückenlos protokolliert werden. Diese Protokolle müssen revisionssicher gespeichert und regelmäßig ausgewertet werden, um unberechtigte Zugriffe zu erkennen.
  • Integrität und Verfügbarkeit: Systeme müssen gegen unbefugte Veränderung (Integrität) und Ausfall (Verfügbarkeit) gesichert sein, z. B. durch regelmäßige Backups und Notfallkonzepte.

Aufbewahrung, Datenminimierung und Löschkonzepte im Gesundheitsbereich

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass nur die Daten verarbeitet werden, die für den Zweck unbedingt erforderlich sind. Gleichzeitig stehen dem oft gesetzliche Aufbewahrungspflichten entgegen (z. B. aus dem BGB, SGB V oder der Berufsordnung), die eine Aufbewahrung von Patientenakten für mindestens 10 Jahre vorschreiben.

Ein funktionierendes Löschkonzept muss diese Anforderungen in Einklang bringen:

  1. Identifikation der Datenarten und der für sie geltenden Aufbewahrungsfristen.
  2. Festlegung von Löschregeln: Automatisierte oder manuelle Prozesse zur Löschung oder Anonymisierung der Daten nach Fristablauf.
  3. Sperrung statt sofortiger Löschung: Daten, die der Aufbewahrungspflicht unterliegen, aber nicht mehr für die aktive Behandlung benötigt werden, sollten für den regulären Zugriff gesperrt werden.
  4. Dokumentation der Löschprozesse und -fristen.

Externe Dienstleister und Abrechnungsprozesse: Auftragsverarbeitung und Nachweispflichten

Werden externe Dienstleister für die Verarbeitung von Gesundheitsdaten eingesetzt (z. B. externe Abrechnungsstellen, IT-Wartungsfirmen, Cloud-Anbieter für Praxissoftware), liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Dies erfordert zwingend den Abschluss eines Auftragsverarbeitungsvertrags (AVV).

Der Verantwortliche (z. B. die Arztpraxis) bleibt vollumfänglich für den Datenschutz verantwortlich und muss sich von der Eignung des Dienstleisters überzeugen. Wichtige Aspekte bei der Auswahl und Steuerung sind:

  • Sorgfältige Auswahl des Auftragsverarbeiters: Überprüfung von Zertifizierungen (z. B. ISO 27001) und Nachweisen über die implementierten TOMs.
  • Inhalt des AVV: Der Vertrag muss alle in Art. 28 Abs. 3 DSGVO geforderten Punkte enthalten, insbesondere Weisungsrechte, Vertraulichkeitsverpflichtungen und die Pflicht zur Unterstützung bei Betroffenenrechten.
  • Kontrollrechte: Der Verantwortliche muss sich das Recht vorbehalten, die Einhaltung der Datenschutzpflichten beim Dienstleister zu überprüfen (Auditrecht).

Kommunikation mit Patientinnen und Patienten: E-Mail, SMS, Messenger – Chancen und Risiken

Die digitale Kommunikation bietet Effizienzvorteile, birgt aber hohe Risiken für Gesundheitsdaten. Grundsätzlich gilt:

  • Ungesicherte E-Mail/SMS: Die Übermittlung von Gesundheitsdaten per unverschlüsselter E-Mail oder SMS ist unzulässig, da die Vertraulichkeit nicht gewährleistet ist. Sie ist vergleichbar mit einer Postkarte.
  • Messenger-Dienste: Die Nutzung von Standard-Messengern (z. B. WhatsApp) ist für die Übermittlung von Gesundheitsdaten problematisch, da oft unklar ist, was mit den Metadaten geschieht und ob eine sichere Ende-zu-Ende-Verschlüsselung dauerhaft gewährleistet ist.
  • Sichere Alternativen: Für eine datenschutzkonforme Kommunikation eignen sich verschlüsselte E-Mails (z. B. via S/MIME oder PGP) oder sichere Patientenportale, bei denen sich der Patient authentifizieren muss, um Nachrichten und Dokumente abzurufen. Eine Nutzung unsicherer Kanäle ist nur auf ausdrücklichen Wunsch und nach umfassender Risikoaufklärung des Patienten denkbar (Einwilligung).

Grenzüberschreitende Versorgung und Datentransfer: Interoperabilität und rechtliche Fallstricke

Im Rahmen der EU-Patientenmobilitätsrichtlinie werden Gesundheitsdaten zunehmend grenzüberschreitend ausgetauscht. Ein Datentransfer in Drittländer (außerhalb der EU/EWR) ist nach der DSGVO nur unter strengen Voraussetzungen zulässig (Kapitel V DSGVO).

Herausforderungen und Lösungsansätze für 2025 und darüber hinaus:

  • Interoperabilität: Technische Standards wie HL7 FHIR sind entscheidend, damit Systeme verschiedener Länder sicher und verständlich kommunizieren können.
  • Rechtsgrundlagen für den Transfer: Für Länder ohne Angemessenheitsbeschluss der EU-Kommission sind geeignete Garantien wie Standardvertragsklauseln (SCCs) plus eine Transfer-Folgenabschätzung (TIA) erforderlich.
  • European Health Data Space (EHDS): Die geplante Initiative der EU zielt darauf ab, einen einheitlichen Rechtsrahmen für die Primär- (Behandlung) und Sekundärnutzung (Forschung) von Gesundheitsdaten in Europa zu schaffen und so den sicheren Austausch zu erleichtern.

Auditcheckliste: Sofortmaßnahmen und Dokumentationsanforderungen

Zur Überprüfung der eigenen Compliance im Umgang mit DSGVO und Gesundheitsdaten sollten Verantwortliche regelmäßig folgende Punkte auditieren:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Ist es vollständig und aktuell? Sind alle Verarbeitungen von Gesundheitsdaten erfasst?
  • Rechtsgrundlagen: Ist für jede Verarbeitung von Gesundheitsdaten eine gültige Rechtsgrundlage nach Art. 9 DSGVO dokumentiert?
  • Einwilligungen: Sind die Formulare für Patienteneinwilligungen DSGVO-konform und werden die Einwilligungen nachweisbar dokumentiert?
  • Auftragsverarbeitung: Existieren für alle externen Dienstleister gültige und vollständige AV-Verträge?
  • Technische und Organisatorische Maßnahmen (TOMs): Ist das TOM-Dokument aktuell? Werden die Maßnahmen (z. B. Zugriffskonzept, Backup-Tests) regelmäßig überprüft?
  • Datenschutz-Folgenabschätzung (DSFA): Wurden alle risikoreichen Verarbeitungen identifiziert und bei Bedarf eine DSFA durchgeführt?
  • Löschkonzept: Ist das Löschkonzept dokumentiert und wird es in der Praxis umgesetzt?

Häufige Fehler und Compliance-Lücken

  1. Fehlende oder ungültige Einwilligung: Pauschale Einwilligungen, die nicht spezifisch genug sind oder bei denen der Patient nicht über sein Widerrufsrecht aufgeklärt wird.
  2. Unzureichende Zugriffskontrollen: Zu viele Mitarbeiter haben Zugriff auf Patientendaten („Jeder sieht alles“).
  3. Schatten-IT: Nutzung nicht freigegebener Software oder Messenger-Dienste durch Mitarbeiter zur Kommunikation von Patientendaten.
  4. Vergessene Löschpflichten: Alt-Daten werden über die gesetzlichen Fristen hinaus aufbewahrt, ohne dass es dafür eine Rechtsgrundlage gibt.
  5. Mangelhafte AV-Verträge: Dienstleister werden ohne schriftlichen AVV beauftragt oder die Verträge sind unvollständig.

Weiterführende offizielle Quellen und Vorlagen

Für vertiefende Informationen und offizielle Handreichungen zum Thema DSGVO und Gesundheitsdaten empfehlen wir die Webseiten der folgenden Institutionen:

Anhang: Praxis-Checkliste und Musterformulierungen

Praxis-Checkliste für den schnellen Überblick

  • [ ] Haben wir ein aktuelles Verzeichnis aller Verarbeitungstätigkeiten mit Gesundheitsdaten?
  • [ ] Ist für jede Verarbeitung die korrekte Rechtsgrundlage (Art. 9 DSGVO) dokumentiert?
  • [ ] Nutzen wir ein DSGVO-konformes Einwilligungsmanagement?
  • [ ] Sind unsere TOMs (Verschlüsselung, Zugriffskonzept) dokumentiert und wirksam?
  • [ ] Haben wir mit allen relevanten Dienstleistern (IT, Labor, Abrechnung) gültige AV-Verträge?
  • [ ] Existiert ein dokumentiertes Löschkonzept mit definierten Fristen?
  • [ ] Sind unsere Mitarbeiter regelmäßig zum Datenschutz im Gesundheitswesen geschult?

Musterformulierung für eine Einwilligung (gekürzt)

Einwilligung in die Datenverarbeitung für [Zweck eintragen, z. B. Newsletter-Versand]

Ich, [Name des Patienten], willige hiermit ausdrücklich ein, dass die [Name der Praxis/des Krankenhauses] meine folgenden Gesundheitsdaten: [konkrete Datenarten benennen, z. B. E-Mail-Adresse und Information über Terminart] für den Zweck des [konkreten Zweck beschreiben, z. B. Versands von Terminerinnerungen per E-Mail] verarbeitet.

Mir ist bekannt, dass diese Einwilligung freiwillig ist und ich sie jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen kann. Ein Widerruf kann per E-Mail an [E-Mail-Adresse] oder postalisch erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt. Weitere Informationen zur Verarbeitung meiner Daten finde ich in der Datenschutzerklärung.“

Weitere relevante Inhalte