Sensible Gesundheitsdaten sicher verarbeiten nach DSGVO

Sensible Gesundheitsdaten sicher verarbeiten nach DSGVO

Sensible Gesundheitsdaten sicher verwalten: Ein Praxisleitfaden 2025

Inhaltsverzeichnis

Einleitung: Warum sensible Gesundheitsdaten besonderen Schutz genießen

Sensible Gesundheitsdaten gehören gemäß der Datenschutz-Grundverordnung (DSGVO) zu den „besonderen Kategorien personenbezogener Daten“. Ob in einer Wohnungsverwaltung, einem Sportverein oder einer Kfz-Werkstatt – sobald Informationen verarbeitet werden, die Rückschlüsse auf die körperliche oder geistige Gesundheit einer Person zulassen, gelten höchste Schutzanforderungen. Ein falsch adressierter Befund, eine unzureichend gesicherte Datenbank oder eine unbedachte Notiz können für Betroffene gravierende Folgen haben, von Stigmatisierung bis hin zu Nachteilen im Berufsleben.

Dieser Leitfaden richtet sich an Datenschutzbeauftragte, Vereinsvorstände, IT-Verantwortliche und Geschäftsführer, die in ihrem Arbeitsalltag mit Gesundheitsdaten konfrontiert sind. Er bietet praxisnahe Anleitungen und umsetzbare Strategien für 2025 und darüber hinaus, um sensible Gesundheitsdaten rechtssicher und verantwortungsvoll zu verarbeiten und die Risiken empfindlicher Bußgelder zu minimieren.

Rechtsrahmen kurz erklärt: Art. 9 DSGVO und BDSG

Die rechtliche Grundlage für den Umgang mit Gesundheitsdaten bildet primär Artikel 9 der DSGVO. Er stellt ein grundsätzliches Verarbeitungsverbot für diese Datenkategorie auf. Eine Verarbeitung ist nur dann zulässig, wenn eine der spezifischen Ausnahmen greift. Die wichtigsten für die Praxis sind:

  • Ausdrückliche Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO).
  • Erforderlichkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. f).
  • Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin (lit. h).

Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und konkretisiert diese Regelungen. Insbesondere § 22 BDSG schafft weitere Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten. Die genauen Gesetzestexte sind eine wichtige Ressource und können auf der Webseite Gesetze im Internet eingesehen werden.

Elektronische Patientenakte (ePA): Risiken und Schnittstellen

Die Elektronische Patientenakte (ePA) wird die digitale Gesundheitsversorgung ab 2025 maßgeblich prägen. Auch wenn Sie nicht direkt als Arztpraxis agieren, können Sie mit Daten aus der ePA in Berührung kommen, etwa über Schnittstellen zu Dienstleistern im Gesundheitswesen. Die Risiken sind erheblich:

  • Unbefugter Zugriff: Schwachstellen in der Schnittstellen-Software können Einfallstore für Angreifer sein.
  • Datenintegrität: Fehlerhafte Übertragungen können Gesundheitsinformationen verfälschen.
  • Rechteverwaltung: Ein unzureichendes Berechtigungskonzept kann dazu führen, dass Mitarbeiter mehr Daten einsehen als für ihre Aufgabe notwendig ist.

Stellen Sie sicher, dass jede Anbindung an Systeme, die mit der ePA interagieren, durch eine Datenschutz-Folgenabschätzung (DSFA) geprüft und vertraglich über einen Auftragsverarbeitungsvertrag (AVV) abgesichert ist.

DSFA für Gesundheitsdaten: Praktische Schritte und Entscheidungsmatrix

Eine Datenschutz-Folgenabschätzung (DSFA) ist bei der Verarbeitung von Gesundheitsdaten in großem Umfang oder bei Einsatz neuer Technologien fast immer Pflicht. Sie ist kein bürokratisches Hindernis, sondern ein wertvolles Werkzeug zur Risikominimierung.

Praktische Schritte zur Durchführung einer DSFA:

  1. Beschreibung der Verarbeitung: Was genau passiert mit den Daten? Wer hat Zugriff? Wie lange werden sie gespeichert?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung für den Zweck wirklich erforderlich? Gibt es datensparsamere Alternativen?
  3. Risikoanalyse: Identifizieren Sie potenzielle Risiken für die Betroffenen (z. B. Datenverlust, Diskriminierung). Bewerten Sie die Eintrittswahrscheinlichkeit und die mögliche Schwere des Schadens.
  4. Abhilfemaßnahmen: Definieren Sie konkrete technische und organisatorische Maßnahmen (TOM), um die identifizierten Risiken zu minimieren (z. B. Verschlüsselung, Pseudonymisierung, Zugriffskontrollen).

Entscheidungsmatrix: Wann ist eine DSFA erforderlich?

Kriterium Beispiel DSFA erforderlich?
Umfangreiche Verarbeitung von Gesundheitsdaten Betrieb eines Fitnessstudios mit Gesundheitschecks für 500+ Mitglieder Ja
Einsatz neuer Technologien Einführung einer App zur Erfassung von Vitaldaten von Mitarbeitern Ja
Systematische Überwachung Videoüberwachung im Eingangsbereich einer Pflegeeinrichtung Ja
Einzelfallverarbeitung mit Einwilligung Notiz über eine Lebensmittelallergie eines Mieters für das Sommerfest Nein (aber Schutzpflichten bleiben)

Abrechnungsprozesse und externe Dienstleister

Häufig werden Abrechnungen, die sensible Gesundheitsdaten enthalten, an externe Dienstleister (z. B. Steuerberater, Abrechnungsstellen) ausgelagert. Hier ist ein wasserdichter Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO unerlässlich. Achten Sie auf folgende Punkte:

  • Klare Definition der Weisungsbefugnisse: Der Dienstleister darf die Daten nur nach Ihren Anweisungen verarbeiten.
  • Spezifikation der TOM: Der Vertrag muss konkrete technische und organisatorische Schutzmaßnahmen des Dienstleisters enthalten. Fordern Sie Nachweise an!
  • Regelungen zur Unterbeauftragung: Der Dienstleister darf nicht ohne Ihre Zustimmung weitere Subunternehmer einschalten.
  • Standort der Datenverarbeitung: Stellen Sie sicher, dass die Verarbeitung innerhalb der EU/des EWR stattfindet oder ein angemessenes Datenschutzniveau garantiert ist.

Kommunikation mit Betroffenen: E-Mail, WhatsApp und SMS sicher gestalten

Die schnelle Kommunikation über digitale Kanäle ist praktisch, aber riskant. Sensible Gesundheitsdaten haben in unverschlüsselten E-Mails oder Standard-Messengern wie WhatsApp nichts zu suchen. Die Gründe:

  • Fehlende Ende-zu-Ende-Verschlüsselung (bei Standard-E-Mail): E-Mails können auf dem Übertragungsweg wie eine Postkarte mitgelesen werden.
  • Metadatenanalyse und Drittlandtransfer (bei US-Diensten): Anbieter wie Meta (WhatsApp) analysieren Metadaten und übermitteln diese in die USA, wo kein der DSGVO gleichwertiges Datenschutzniveau herrscht.

Sichere Alternativen für 2025:

  • Ende-zu-Ende-verschlüsselte E-Mails: Nutzen Sie S/MIME oder PGP oder bieten Sie ein sicheres Kontaktformular auf Ihrer Webseite an.
  • Spezialisierte Messenger-Dienste: Setzen Sie auf Lösungen, die für den professionellen Einsatz konzipiert sind und DSGVO-Konformität garantieren.
  • Patienten- oder Kundenportale: Ein passwortgeschützter Bereich auf Ihrer Webseite ist oft der sicherste Weg, um Dokumente auszutauschen.

Mitgliederverwaltung in Vereinen: Kinder- und Jugenddaten

Sportvereine oder andere Organisationen müssen oft Gesundheitsinformationen ihrer Mitglieder verarbeiten, etwa Allergien für Freizeiten oder sportmedizinische Atteste. Bei Minderjährigen ist die Einwilligung der Erziehungsberechtigten zwingend erforderlich. Wichtig ist hier strikte Zweckbindung und Datensparsamkeit: Fragen Sie nur die Daten ab, die für die sichere Durchführung des Angebots unerlässlich sind. Ein Vermerk über eine Erdnussallergie für das Zeltlager ist notwendig, eine komplette Krankengeschichte hingegen nicht.

Mieterdaten, Bonitätsprüfungen und Auskunfteien

Als Wohnungsverwaltung kommen Sie mit Gesundheitsdaten in Kontakt, wenn ein Mieter beispielsweise einen behindertengerechten Umbau beantragt oder einen Pflegegrad nachweist. Diese Informationen unterliegen dem höchsten Schutz. Sie dürfen nur für diesen spezifischen Zweck verarbeitet und müssen sicher aufbewahrt werden. Bei Bonitätsprüfungen über Auskunfteien dürfen Gesundheitsdaten grundsätzlich keine Rolle spielen. Die Anfrage und deren Ergebnis müssen lückenlos dokumentiert werden, um die Rechtmäßigkeit nachweisen zu können.

Videoüberwachung: Notwendigkeitstest und Schutzmaßnahmen

Videoüberwachung auf Betriebsgeländen oder in Wohnanlagen stellt einen erheblichen Eingriff in die Grundrechte dar. Wenn potenziell auch sensible Gesundheitsdaten erfasst werden könnten (z. B. eine Person im Rollstuhl, der Gang einer Person), ist die Hürde für die Rechtfertigung extrem hoch. Führen Sie einen strengen Notwendigkeitstest durch:

  • Welches konkrete Ziel wird verfolgt (z. B. Schutz vor Vandalismus)?
  • Gibt es mildere, gleich wirksame Mittel (z. B. bessere Beleuchtung, Schließanlagen)?
  • Ist die Überwachung auf das absolut notwendige Maß beschränkt (räumlich und zeitlich)?

Dokumentieren Sie diese Abwägung sorgfältig, idealerweise im Rahmen einer DSFA.

Kfz-Werkstattbeispiele: Reparaturaufträge und sensible Daten

Selbst in einer Kfz-Werkstatt können sensible Gesundheitsdaten anfallen. Beispiele:

  • Ein Kunde bestellt den Einbau eines behindertengerechten Fahrhilfesystems. Der Auftrag enthält somit sensible Informationen.
  • Moderne Fahrzeuge speichern Daten, die Rückschlüsse auf den Gesundheitszustand zulassen (z. B. über gekoppelte Gesundheits-Apps oder Notrufsysteme).

Diese Informationen müssen im Werkstattsystem als besonders schutzwürdig gekennzeichnet und der Zugriff darauf auf die zuständigen Mitarbeiter beschränkt werden. Nach Abschluss des Auftrags sind diese spezifischen Gesundheitsdaten, sofern nicht für Gewährleistungsansprüche relevant, unverzüglich zu löschen.

Datensparsamkeit und Aufbewahrungsfristen: Praxisbeispiele

Verarbeiten Sie nur so viele Daten wie nötig und speichern Sie diese nur so lange wie erforderlich. Gesetzliche Aufbewahrungsfristen geben oft eine Mindestdauer vor, aber keine unbegrenzte Erlaubnis zur Speicherung.

Daten Art Zweck Typische Aufbewahrungsfrist Rechtsgrundlage (Beispiel)
Medizinische Gutachten (z.B. für Versicherung) Dokumentation, Rechtsansprüche 10 Jahre Bürgerliches Gesetzbuch (BGB)
Allergiehinweis (Vereinsmitglied) Sicherheit bei Veranstaltungen Bis zum Ende der Mitgliedschaft Einwilligung / Vertragserfüllung
Arbeitsunfähigkeitsbescheinigung Lohnfortzahlung, Personalakte Bis zu 10 Jahre (steuerliche Relevanz) Entgeltfortzahlungsgesetz, Abgabenordnung (AO)

Technische und organisatorische Maßnahmen (TOM): Prioritäten für KMU

Ein angemessenes Schutzniveau muss nicht teuer sein. Konzentrieren Sie sich auf die Grundlagen:

Hohe Priorität:

  • Zugriffskontrolle: Stellen Sie sicher, dass nur befugte Personen auf sensible Gesundheitsdaten zugreifen können (Rollen- und Berechtigungskonzept).
  • Verschlüsselung: Festplatten von Laptops und Servern sollten standardmäßig verschlüsselt sein. Nutzen Sie verschlüsselte Übertragungswege (HTTPS, SFTP).
  • Regelmäßige Backups: Erstellen Sie regelmäßig verschlüsselte Backups und testen Sie deren Wiederherstellbarkeit.

Mittlere Priorität:

  • Mitarbeitersensibilisierung: Schulen Sie Ihr Team regelmäßig im Umgang mit sensiblen Daten. Ein Klick auf einen Phishing-Link kann verheerend sein.
  • Sichere Passwörter: Erzwingen Sie komplexe Passwörter und, wo immer möglich, eine Zwei-Faktor-Authentifizierung (2FA).

Checklisten und Entscheidungshilfen für den Alltag

5-Punkte-Check vor jeder neuen Verarbeitung von Gesundheitsdaten:

  1. Rechtsgrundlage: Haben wir eine gültige Rechtsgrundlage nach Art. 9 DSGVO (z. B. eine ausdrückliche, informierte Einwilligung)?
  2. Zweckbindung: Ist der Zweck klar definiert und ist die Datenerhebung dafür wirklich notwendig?
  3. Datensparsamkeit: Erheben wir wirklich nur die absolut erforderlichen Daten?
  4. Sicherheit: Sind die Daten während der Übertragung und Speicherung ausreichend geschützt (Verschlüsselung, Zugriffskontrolle)?
  5. Löschkonzept: Wissen wir, wann wir die Daten wieder löschen müssen und haben wir einen Prozess dafür?

Häufige Fehler und wie man sie vermeidet

  • Fehlende oder unzureichende Einwilligung: Eine allgemeine Zustimmung im Kleingedruckten reicht nicht. Die Einwilligung muss freiwillig, informiert und ausdrücklich für einen bestimmten Zweck erfolgen.
  • Datenversand per unverschlüsselter E-Mail: Der Klassiker unter den Datenschutzpannen. Schulen Sie Mitarbeiter und stellen Sie sichere Alternativen bereit.
  • Kein Löschkonzept: Daten werden „für alle Fälle“ aufbewahrt. Dies verstößt gegen den Grundsatz der Speicherbegrenzung und erhöht das Risiko bei einem Datenleck.
  • Unzureichende Verträge mit Dienstleistern: Ein fehlender oder mangelhafter AVV überträgt die Haftung nicht, sondern macht Sie selbst angreifbar.

Für weiterführende offizielle Informationen und Leitlinien können die Webseiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und des Bundesministeriums für Gesundheit konsultiert werden. Fachverbände wie der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) oder die Gesellschaft für Datenschutz und Datensicherheit (GDD) bieten ebenfalls wertvolle Ressourcen.

Anhang: Vorbildliche Formulierungen

Beispiel für einen Verarbeitungshinweis (z.B. in einer Datenschutzerklärung):

Verarbeitung von Gesundheitsdaten auf Grundlage Ihrer Einwilligung

„Sofern Sie uns eine ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO erteilt haben, verarbeiten wir von Ihnen angegebene Gesundheitsdaten (z. B. Informationen zu Allergien, Behinderungen) ausschließlich für den von Ihnen bestimmten Zweck (z. B. zur Berücksichtigung Ihrer Bedürfnisse bei unserer Veranstaltung). Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf kann formlos an [Ihre Kontaktdaten] erfolgen.“

Beispiel für eine interne Arbeitsanweisung:

Interne Richtlinie zum Umgang mit sensiblen Gesundheitsdaten

1. Grundsatz: Gesundheitsdaten von Kunden, Mitgliedern oder Mitarbeitern sind streng vertraulich zu behandeln.
2. Speicherung: Die Speicherung solcher Daten darf ausschließlich in dem dafür vorgesehenen, zugriffsgeschützten Ordner [Pfad angeben] auf dem Firmenserver erfolgen.
3. Kommunikation: Die Übermittlung von Gesundheitsdaten an externe Empfänger (z. B. Dienstleister) darf ausschließlich über den unternehmensweiten, verschlüsselten Datentransferdienst [Name des Tools] erfolgen. Der Versand per Standard-E-Mail ist strengstens untersagt.“

Ergänzende Artikel zum Thema