01.02.2019

Gesundheitsdaten nach der DSGVO

Blog

Background

01.02.2019

Gesundheitsdaten nach der DSGVO

Auch in der Gesundheitswirtschaft - einer der größten Wirtschaftssektoren - spielt die Digitalisierung eine zunehmende Rolle. Seit Inkrafttreten der neuen Datenschutzgrundverordnung (DSGVO) steht die Gesundheitswirtschaft vor neuen Herausforderungen. Gesundheitsdaten werden im Datenschutz als äußerst sensibel eingestuft und sind umfassend zu schützen. Das Bundesministerium für Wirtschaft und Energie hat eine Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht. Diese soll Entwicklern und Anbietern von digitalen Gesundheitsprodukten einen Einstieg in diesen wichtigen Bereich ermöglichen. Die nachfolgenden Ausführungen stellen einen Überblick über die wesentlichen Aussagen dieser Orientierungshilfe dar.
 

Was sind Gesundheitsdaten

Das Datenschutzrecht behandelt Gesundheitsdaten als besonders sensible personenbezogene Daten. Man spricht von Gesundheitsdaten, wenn es sich um Daten handelt, die sich auf eine natürliche Person beziehen (Personenbezug) und diese darüber hinaus Informationen zu deren Gesundheitszustand preisgeben (Gesundheitsbezug). Gesundheitsdaten sind somit alle personenbezogenen Daten, die sich auf die körperliche und geistige Gesundheit einer Person beziehen (Art. 4 Nr. 15 DSGVO).
 

Rechtliche Anforderungen

Um „einfache“ Daten datenschutzkonform zu speichern, zu übermitteln oder anderweitig zu verarbeiten ist nach Art. 6 DSGVO grundsätzlich eine Erlaubnis erforderlich, die entweder aus einer Einwilligung oder einer gesetzlich geregelten Erlaubnis resultieren kann. Bei Gesundheitsdaten gelten hingegen strengere Regeln als bei einfachen personenbezogenen Daten, da es sich hierbei um sensible und besonders schützenswerte Daten handelt. Diese werden im Gesetz als „besondere Kategorie“ personenbezogener Daten behandelt. Die wichtigste Rechtsgrundlage für Unternehmen, die Gesundheitsdaten verarbeiten, ist die Einwilligung der betroffenen Person. Relevant kann auch sein, ob ein Vertrag mit der betroffenen Person abgeschlossen wurde, denn eine erforderliche Verarbeitung der Daten zum Zwecke der Vertragserfüllung ist ebenfalls zulässig. Eine weitere Rechtsgrundlage stellen gesetzliche Verpflichtungen dar, denen der Verantwortliche unterworfen ist und zu deren Erfüllung die Verarbeitung erforderlich ist. Die betroffene Person kann ihre Gesundheitsdaten auch in offensichtlicher Weise öffentlich gemacht haben, so dass eine Verarbeitung auch ohne ihre ausdrückliche Einwilligung oder jedweden sonstigen Kontakt zu ihr erlaubt sein kann. Dies ist z.B. der Fall, wenn ein Patient in frei zugänglichen Internetforen über von ihm erlittene Nebenwirkung eines Medikaments berichtet. Grundsätzlich gilt: Es ist untersagt Gesundheitsdaten zu verarbeiten, es sei denn einer der Ausnahmetatbestände nach Art. 9 Abs. 2-4 DSGVO liegt vor.
 

Ausnahmetatbestände

Es ist grundsätzlich untersagt, dass Gesundheitsdaten ohne Einwilligung der betroffenen Person verarbeitet werden. Sollte jedoch eine der in Art. 9 Abs. 2-4 DSGVO geregelten Ausnahmen greifen, dann wird ein solches Verbot aufgehoben. Ein Beispiel für einen solchen Ausnahmetatbestand könnte das Verarbeiten von Gesundheitsdaten zur Gelendmachung oder Verteidigung von Rechtsansprüchen sein. Jedoch gibt es auch die Möglichkeit, sich auf andere Spezialgesetze außerhalb der DSGVO als Ausnahmetatbestand zu berufen. Solche Spezialgesetze können sich aus dem europäischen Recht (z.B. einer EU-Verordnung) oder dem nationalen Recht des jeweiligen EU-Mitgliedstaates ergeben. Dies ist z.B. dann der Fall, wenn ein Unternehmen Gesundheitsdaten für statistische Zwecke verarbeiten darf, sofern ein Spezialgesetz dies erlaubt (Art. 9 Abs. 2 lit. j DSGVO). Ein solches Spezialgesetz findet sich in § 27 Abs. 1 BDSG-neu. Somit müssen auch die Voraussetzungen des § 27 Abs. 1 BDSG-neu erfüllt sein um einen solchen beispielhaften Ausnahmetatbestand zu erreichen.
 

Umgang mit Daten, die dem Berufsgeheimnis unterfallen

Ein Sonderfall liegt bei Berufsgeheimnisträgern vor. Ärzte und Angehörige anderer Heilberufe unterliegen einer Schweigepflicht, um das besondere Vertrauensverhältnis zum Patienten zu schützen. Der Schutz solcher Berufsgeheimnisse wird gesetzlich in § 203 StGB geregelt. Verstöße gegen die Verschwiegenheitspflicht werden hiernach strafrechtlich sanktioniert. Die datenschutzrechtlichen Vorschriften der DSGVO stehen grundsätzlich unabhängig neben diesen strafrechtlichen Vorgaben. Unternehmen müssen sich bei der Datenweiterleitung an externe Unternehmen oder Hilfspersonal immer vor Augen führen, ob die geplante Weitergabe der Daten datenschutzrechtlich zulässig ist. Sollte dies der Fall sein, dann muss man weiterhin prüfen, ob die geplante Verarbeitung auch nach den strafrechtlichen Maßgaben des § 203 StGB zulässig ist. Bei der Einschaltung von externen Dienstleistern sollte zudem zwingend ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen werden. Der Inhalt dieses Vertrages muss den zwingenden Anforderungen genügen, die in Art. 28 Abs. 3 DSGVO vorgegeben sind. Sollten Dienstleister außerhalb der europäischen Union beauftragt werden, sind hier zusätzliche Vorgaben zu beachten.
 

Sicherheitsanforderungen

Um die gesetzlichen Pflichten bezüglich Datensicherheit einzuhalten müssen die geeigneten technischen und organisatorischen Schutzmaßnahmen im Wege einer eigenständigen Risikobewertung sowie die Gewährleistung eines angemessenen Schutzniveaus sichergestellt werden. Technische und organisatorische Schutzmaßnahmen sind Vorkehrungen, die sich auf den Vorgang der Verarbeitung von Daten erstrecken, wie z.B. Vorrichtungen, die den Zutritt Unbefugter verhindern durch Verschlüsselung oder Passwortsicherung. Organisatorische Maßnahmen beziehen sich u.a. auf die äußeren Rahmenbedingungen zur Gestaltung des technischen Verarbeitungsprozesses, z.B. durch die Einhaltung eines Vieraugenprinzips. Hierzu gehören auch Schulungen der Mitarbeiter, insbesondere solche in denen auch der Umgang mit Daten oder Datenpannen geschult wird. Zunächst sollte ermittelt werden, welches Schutzniveau für die Daten angemessen ist. Es muss dabei eine Balance zwischen Aufwand und Risiko (z.B. Folgen einer Datenpanne) gefunden werden. Des Weiteren müssen die hierfür notwendigen Maßnahmen die zur Gewährleistung dieses angemessenen Schutzniveaus notwendig sind, implementiert und dokumentiert werden.

Der Umgang mit Gesundheitsdaten stellt also ein lukratives Geschäft und einen bedeutenden Teil der Wirtschaft dar, jedoch sollten sich die wirtschaftlichen Akteure ihrer Verantwortung und ihrer rechtlichen Verpflichtungen gerade im Hinblick auf die Sensibilität dieser besonderen Datenkategorie bewusst sein: Es handelt sich um eine parallel zu der Schutzbedürftigkeit der Daten ansteigende Verantwortung, die sich infolge der erhöhten Zugriffsmöglichkeiten durch die Digitalisierung stetig erhöht.

Wie ein aktueller Fall aus Portugal gezeigt hat, müssen verantwortliche Stellen, die Gesundheitsdaten verarbeiten, aufgrund des hohen Grades an Sensibilität der Daten mit wohl deutlich höheren Bußgeldern bei einem Verstoß rechnen. Nach den Meldungen wurde gegen ein Krankenhaus in Portugal eine Geldbuße in Höhe von 400.000,00 EUR verhängt. Der sanktionierte Verstoß lag dabei darin, dass unberechtigte Personen Zugriff auf die Gesundheitsdaten ihrer Patienten hatten. Wie das Beispiel zeigt, stehen gerade solche Unternehmen besonders im Fokus der Aufsichtsbehörden, die entweder sehr viele personenbezogene Daten (z.B. Google oder Facebook) oder besonders sensible Daten verarbeiten.

Wie bei einer Datenpanne umzugehen ist, lesen Sie in unserem Beitrag „Datenpannen – Melden oder nicht melden?

 

 

Sebastian Laoutoumai, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Senior Associate
Luther Rechtsanwaltsgesellschaft mbH
Essen
Telefon +49 201 9220 24810
sebastian.laoutoumai@luther-lawfirm.com

 

Sandra Saling
Wirtschaftsjuristin
Associate
Luther Rechtsanwaltsgesellschaft mbH
Essen
Telefon +49 201 9220 24677
sandra.saling@luther-lawfirm.com