Datenschutz und die EU-DSGVO im Gesundheitswesen18 | 10 | 17

Datenschutz und EU-DSGVO im Gesundheitswesen und Sozialwesen

Die Anwendung EU-Datenschutz-Grundverordnung (EU-DSGVO) steht kurz bevor und es ist an der Zeit, das Thema Datenschutz vermehrt in den Blick zu nehmen. Vor allem Organisationen im Sozial- und Gesundheitswesen müssen sich jetzt auf die neuen Anforderungen einstellen.

Einrichtungen, die Gesundheitsdaten erheben, verarbeiten oder nutzen müssen hier besonders aufmerksam mit den sensiblen Daten von PatientInnen umgehen. Auch in der EU-DSGVO nehmen diese Daten eine besondere Stellung ein. Nimmt man vor allem Einrichtungen der stationären Pflege und Krankenhäuser in den Blick, muss zwischen den Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden: Für erstere gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Für letztere gilt es, insbesondere den Umgang mit Gesundheitsdaten vor dem Hintergrund der EU-DSGVO nochmals zu überprüfen.

Welche Informationen gehören zu den Gesundheitsdaten?

In der DSGVO (Art. 4 Nr.  15) sind diese erläutert:

„Gesundheitsdaten“ sind demnach personenbezogene Daten,

„die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.

Gesundheitsdaten gehören nach dem BDSG und auch nach der EU-DSGVO zu der besonderen Kategorie personenbezogener Daten. Hier hat sich durch die EU-DSGVO nicht viel an der Definition geändert. Neu hinzugekommen sind allerdings genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für alle Daten dieser Kategorien, also auch für Gesundheitsdaten, gilt eine besondere Schutzbedürftigkeit.

Hieraus ergibt sich ein grundsätzliches Verbot der Verarbeitung dieser Daten. Die Verarbeitung ist nur unter bestimmten Vorrausetzungen möglich (Art. 9 2a-j DSGVO). Entweder willigt die betroffene Person ein oder es bestehen gesetzliche Rechtfertigungsmöglichkeiten. Beispielsweise finden sich im genannten Artikel Erlaubnistatbestände für das Gesundheitswesen.

5 Schritte für den EU-DSGVO-konformen Datenschutz

Was müssen Einrichtungen im Sozial- und Gesundheitswesen, wie Alten- und Pflegeheime oder Krankenhäuser für den Umgang mit sensiblen Gesundheitsdaten zukünftig beachten?

Erfahren Sie hier die fünf wichtigsten Schritte für den EU-DSGVO-konformen Datenschutz:

Bestellen Sie einen Datenschutzbeauftragten. Bei umfangreicher Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO muss auf jeden Fall ein Datenschutzbeauftragter bestellt werden!
Führen Sie eine Datenschutz-Folgeabschätzung (Art. 35 Abs. 3 b DSGVO) durch. Diese ist notwendig, wenn ein potenzieller Datenverlust ein hohes Risiko für die Persönlichkeitsrechte der betroffenen Person zur Folge hat. Dies ist bei Gesundheitsdaten der Fall.
Verstecken Sie sich nicht: Bei Datenpannen sollten zum einen die verschärften Regeln im Rahmen der DSGVO beachtet werden. Hier gilt die Pflicht zur Selbstanzeige innerhalb von 72 Stunden!
Denken Sie an die im Rahmen der Umstellung auf die DSGVO massiv erhöhten Bußgelder. Bei der Entscheidung über mögliche Sanktionen werden auch die Kategorien von Daten berücksichtigt. Da Gesundheitsdaten zu den besonders schützenswerten gehören, fallen die Strafen voraussichtlich eher hoch aus.
Legen Sie Wert auf Datensicherheit! Mit der zunehmenden Digitalisierung – auch von Patientendaten – ist dieses Thema bei der elektronischen Verarbeitung und Speicherung von sensiblen Daten besonders wichtig. Angaben finden sich in der DSGVO beispielsweise in Artikel 32.

Was ist eine Datenschutz-Folgeabschätzung?

Durch das hohe Schutzniveau von Gesundheitsdaten ist nach der EU-DSGVO die Durchführung einer Datenschutz-Folgeabschätzung notwendig. Diese kann ggf. zu mehr Aufwand in Einrichtungen des Gesundheitswesens führen. Hier gibt es Parallelen zu der im Bundesdatenschutzgesetz (BDSG) bekannten Vorabkontrolle.

Zu einer Datenschutz-Folgeabschätzung gehören vier Aspekte, die Sie entsprechend dokumentieren und verschriftlichen müssen:

Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung der Gesundheitsdaten

Gegebenenfalls müssen hier auch die von dem Verantwortlichen verfolgten, berechtigten Interessen hinzugefügt werden. Hierbei sind (technische) Prozesse, IT-Systeme aber auch Datenflüsse und Systemgrenzen im Detail zu bewerten.

Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Datenerhebung und Speicherung.

Hier geht es um die Einhaltung des Grundsatzes der Datensparsamkeit. Als Mitarbeiter in Einrichtungen des Gesundheitswesens müssen Sie sich die Frage stellen, ob die erhobenen Gesundheitsdaten wirklich in vollem Umfang für Ihre Arbeit notwendig sind.

Risikobewertung

Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Wie hoch ist das Risiko der Beeinträchtigung des Rechtes auf informelle Selbstbestimmung der Patienten?

Maßnamenplanung

Dokumentieren Sie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Hier muss auch auf technische Sicherheitsvorkehrungen und Verfahren eingegangen werden, wie etwa Schutz von Passwörtern, Beschränkung der Zugriffsrechte oder Technologien zur Verschlüsselung.

 

Um die gestiegenen Anforderungen des Datenschutzes nach Anwendung der EU-DSGVO gerecht zu werden, müssen auch die Einrichtungen im Gesundheitswesen den Umgang mit Patientendaten noch einmal überprüfen. Gut ausgebildete Mitarbeiter mit den entsprechenden Fachkenntnissen, sind hier der erste Schritt zu gesetzeskonformen Datenschutz. Und dieser ist wiederum ein Garant für Transparenz und Qualität der Einrichtung.

Für alle, die mehr über die Anforderungen an das Datenschutzmanagement in ihrem Unternehmen erfahren oder selbst Datenschutzbeauftragte/r werden möchten, empfehle ich die Angebote der DGQ zu diesem Thema:

Über den Autor:

Christina Eibert ist studierte Sozialwissenschaftlerin und Produktmanagerin bei der DGQ. Sie verantwortet die Trainings in den Bereichen Compliance, Datenschutz, Statistik und Cyber-Sicherheit. Besonders wichtig ist es ihr, praxisnahe und zukunftsorientierte Weiterbildungen zu entwickeln, von denen Teilnehmer und Unternehmen gleichermaßen profitieren.

8 Kommentare bei “Datenschutz und die EU-DSGVO im Gesundheitswesen”

  1. b0b07026ec9af796a3bd7b4aabcf288a M. A. Adamska-Reiche sagt:

    Bitte korrigieren Sie den technischen Fehler zu diesem Beitrag im RSS-Fee, ich bekomme ihn seit dem 18.10.17 mehrmals täglich, inzwischen über 60 Mal!

    1. Christina Eibert sagt:

      Hallo Frau Adamska-Reiche,
      ich habe das Problem weitergeitet und hoffe es wird zeitnah behoben werden können.
      Beste Grüße
      Christina Eibert

  2. cc97823f41dd54feec10a21a47fde8f8 Andreas Wittwer sagt:

    Kommentar
    Hallo Frau Eibert,
    vielen Dank für Ihren Blogeintrag zur DSGVO.
    Gestatten Sie mir bitte die folgenden Fragen:
    Verarbeitung:
    Was ist unter der Verarbeitung von persönlichen Daten zu verstehen?
    Ist die Erfassung in einem Audit und die bezugnehmende Verknüpfung von Datenobjekten bereits eine Verarbeitung, so dann im Auditbericht?
    Hintergrund ist es, dass ich mit einem digitalen Werkzeug Audits vorbereite und durchführe, die persönlichen Daten sind unmittelbar elektronisch gespeichert. Verpflichtend ist ja sowieso die Patienten-/Bewohner-Einwilligung.

    Daten:
    Was sind die ergänzenden persönlichen Daten wie genetische Angaben und biometrische Daten? Wie werden sie ermittelt und bewertet?

  3. Christina Eibert sagt:

    Hallo Herr Wittwer,
    unter einer Verarbeitung wird nach Art.4 der EUDSGVO „…das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ verstanden. In Ihrem Fall gehört die Erfassung und Verknüpfung zur Verarbeitung personenbezogener Daten. Eine übersichtliche Definition biometrischer und genetischer Daten finden Sie hier: https://www.datenschutzbeauftragter-info.de/besondere-kategorien-personenbezogener-daten-nach-der-dsgvo/
    Ich hoffe ich konnte zur Klärung beitragen.

    Beste Grüße
    Christina Eibert

    1. cc97823f41dd54feec10a21a47fde8f8 Andreas Wittwer sagt:

      Kommentar
      Hallo Frau Eibert,
      meinen besten Dank für den Kommentar und den Link.
      Somit bedeutet es, dass der Eigentümer (Lizenznehmer, Käufer) und Anwender der HW-/SW-Lösung sich seinen Pflichten aus Art. 4 der DSGVO bewusst sein muss.
      Mittels starker Authentifizierung (Login), dem korrekt konfigurierten Benutzer- und Zugriffsmanagement und möglicherweise durch Einsatz der Verschlüsselung muss der Missbrauch und der unberechtigte Zugriff auf die persönlichen Daten verhindert werden.

      Bester Gruß und sonniges WE
      mit Pelz und Pudelmütze!

  4. 8e844ef7cc2462ba66b58e73b1c7f2df Wolfgang sagt:

    Ich habe eine Frage zum Gesundheitshandwerk. „Augenoptiker und Optometristen erbringen Gesundheitsdienstleistungen rund um das Auge und das visuelle System. Die Gesundheitsdienstleistungen beinhalten die Refraktions- und Korrektionsbestimmung, die Sehhilfenanpassung“ Zitat ZVA: Ausbildungsrichtlinie.
    Ferner prüfen einige Augenoptiker den Augenhintergrund. Hierzu sagt die Landesbeauftragte Niedersachsen in einem Download: Zitat „Da aus dem Augenhintergrund auf Krankheiten wie Diabetes oder Bluthochdruck geschlossen werden kann, birgt dIe zentrale Speicherung ein erhebliches Missbrauchs- und Schadenspotential“

    Frage: benötigen Augenoptiker aufgrund der Verarbeitung sensibler Gesundheitsdaten bzw. der Erringung von Gesundheitsdienstleistungen unabhängig von der Mitarbeitetzahl einen Datenschutzbeauftragten

    1. Christina Eibert sagt:

      Hallo Wolfgang,
      wie im Blog-Beitrag beschrieben, gehören auch die von Ihnen genannnten Daten zu den Gesundheitsdaten und somit zu der besonderen Kategorien personenbezogener Daten nach der DSGVO. Wenn laut Artikel 37 Abs. 1 c der DSGVO, „die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (…)“ besteht mus ein Datenschutzbeauftragter benannt werden (unabhängig von der Mitarbeiterzahl). Sie sollten sich aber auf jeden Fall noch einmal bei Ihrer Innung oder der zuständigen Aufsichtbehörde rückversichern, was diese unter „umfangreicher Verarbeitung“ versteht.
      Beste Grüße
      Chrsitina Eibert

      1. 8e844ef7cc2462ba66b58e73b1c7f2df Wolfgang sagt:

        Vielen Dank für die Info. Marktteilnehmer zweifeln daran, dass die Daten in „großem Umfang erhoben werden. Aber das gilt es noch zu kären.
        Die Frage, die ich mir stelle ist, ob aufgrund einer Risikoabschätzung Eibe Datenschutzfolgeabschätzung gemacht werden muss? Dann wäre hieraus – unabhängig von der Menge der Daten – ein Datenschutzbeauftragter zu stellen.

        Dazu nennt die Datenschutz 29-Gruppe zehn Kriterien, die für einen hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sprechen:
        1. Scoring/Profiling
        2. Automatische-Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen
        3. Systematische Überwachung
        4. Sensible Daten (besondere personenbezogene Daten aus Art. 9 DSGVO)
        5. Daten die in großem Umfang verarbeitet werden (Kriterium: Anzahl der Betroffenen, Menge der Daten etc.)
        6. Zusammenführen/ kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden
        7. Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener
        8. Einsatz neuer Technologien oder biometrischer Verfahren
        9. Datentransfer in Länder außerhalb der EU/EWR
        10. Die Datenverarbeitung hindert Betroffene an der Rechtsausübung

        Bei den Augenoptiker würden die Punkte 4 und 7 zum tragen kommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.