Bei Gesundheitsdaten handelt es sich um besondere personenbezogene Daten, die einem besonderen Datenschutz unterliegen. Unter besondere personenbezogenen Daten gem. Art. 9 DSGVO fallen Angaben über die rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben. Krankenhäuser und Arztpraxen befassen sich in erster Linie mit den Gesundheitsdaten ihrer Patient:innen, weshalb ein Datenschutzkonzept für sie besonders wichtig ist. Durch die Digitalisierung, die online Arztgespräche und Atteste über das Internet möglich macht, wird immer wichtiger, ein gutes und sicheres Datenschutzkonzept zu haben.
Inhalte
- Welche Daten gehören zu den Gesundheitsdaten?
- Dürfen Gesundheitsdaten gespeichert werden?
- Dürfen Gesundheitsdaten an Dritte weitergegeben werden?
- Datenschutz im Krankenhaus das ist zu beachten
- Wer könnte Interesse an Ihren Daten haben?
- Bekannte Fälle von Datenmissbrauch im Gesundheitswesen
- Wann ist eine Datenschutzfolgeabschätzung, notwendig?
Dürfen wir Ihnen ein wenig Zeit schenken?
Die Komplettlösung für einfaches, zuverlässiges und rechtssicheres E-Learning – maximale Risikominimierung.
Welche Daten gehören zu Gesundheitsdaten?
Gesundheitsdaten gehören in die Kategorie der besonderen personenbezogenen Daten. Die Definition von Gesundheitsdaten findet sich in Art. 4 Nr. 15 DSGVO. Demnach sind Gesundheitsdaten Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. Aufgrund der Sensibilität und Bedeutung der Daten für die betroffene Person gilt hierbei ein besonderer Schutzbedarf. Aufgrund dessen ist die Verarbeitung nur unter bestimmten Voraussetzungen möglich.
Dürfen Gesundheitsdaten gespeichert werden?
Gesundheitsdaten dürfen nur in Ausnahmen gespeichert, verarbeitet oder genutzt werden. Darüber hinaus ist die Verarbeitung von Gesundheitsdaten nur mit Zustimmung der Person möglich oder wenn es gesetzlich erlaubt ist. Dies ist zum Beispiel der Fall, wenn sich eine Person in einer lebensgefährlichen Situation befindet.
Dürfen Gesundheitsdaten an Dritte weitergegeben werden?
Die Weitergabe von Gesundheitsdaten an Dritte ist in der Regel verboten. Die Daten unterliegen dem Arztgeheimnis bzw. Berufsgeheimnis und somit einer Schweigepflicht. Bei einem Verstoß droht dem Verletzer eine strafrechtliche Verfolgung gem. § 203 StGB.
Datenschutz im Krankenhaus das ist zu beachten
In einem Krankenhaus muss ein Datenschutzkonzept vorliegen, da hier oft eine umfangreichere Datenerfassung als in Arztpraxen erfolgt. Regelmäßige Schulungen des Personals sind außerdem sehr wichtig.
Zu beachten ist, dass Angehörige nur Informationen bei Entbindung der Schweigepflicht oder Einwilligung der Weitergabe der Daten an Dritte erhalten. Eine Ausnahme darf nur dann gemacht werden, wenn der Patient nicht selbst in der Lage ist gewisse Entscheidungen zu treffen. Dies ist allerdings oft sehr belastend für Angehörige. Eine Patientenverfügung kann das Problem lösen.
In Art. 30 DSGVO ist außerdem geregelt, dass jeder Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten führen muss. Dies ist auf Art. 13 DSGVO zurückzuführen, aus dem sich die Informationspflichten der Verantwortlichen ergeben. Denn Betroffene müssen die Möglichkeit haben, Auskünfte über die Verarbeitung ihrer Daten zu bekommen. In Art. 15 der DSGVO ist dieses umfassende Auskunftsrecht für Betroffene normiert, welches der Verantwortliche bei Anfrage auch erfüllen muss.
Bei Verletzungen des Datenschutzes ist in Art. 33, 34 DSGVO eine Meldepflicht festgehalten, die Verantwortliche dazu verpflichtet, jegliche Verletzungen des Datenschutzes von personenbezogenen Daten bei der zuständigen Behörde zu melden. Bei umfangreicher Verarbeitung besonderer personenbezogener Daten, wie Gesundheitsdaten, ist gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung vorzunehmen. Hierbei ist eine ausführliche Bewertung des Risikos nach Art, Umfang und Zwecken der Verarbeitung für die betroffene Person erforderlich.
Außerdem soll der Datenschutz durch das Patiendaten-Schutz-Gesetzes (PDSG) gewährleistet werden. Durch das PDSG sollen Patientendaten bestmöglich geschützt werden, gleichzeitig soll die Nutzung von zum Beispiel der digitalen Patientenakte ermöglicht werden.
Wer könnte Interesse an Ihren Gesundheitsdaten haben?
Es besteht grundsätzlich immer ein großes Risiko, wenn mit sensiblen Daten gearbeitet wird. Verschiedene Akteure können aus unterschiedlichsten Gründen Interesse an Ihren Gesundheitsdaten haben. Hier ein paar Beispiele:
- Arbeitgeber: Diese könnten eine Einstellung verhindern, bei vorherigen Einblicken in die Gesundheitsdaten, zum Beispiel aufgrund einer schlechten gesundheitlichen Verfassung und somit vermutlich Krankheitsanfälligkeit Ihrerseits.
- Versicherungen: Bei einigen Versicherungen, wie privaten Kranken- oder Risikolebensversicherungen sind Sie verpflichtet alle Angaben zu machen, die Ihnen möglich sind, ansonsten kann der Versicherungsschutz im Versicherungsfall erlöschen.
- Partner: Aufgrund eines durchgeführten Vaterschaftstests und hiermit verbundenen Klagen, wie zum Beispiel Klagen auf Kindesunterhalt.
- Sie selbst: Vermutlich möchten Sie ungern, dass solche persönlichen Daten an die Öffentlichkeit kommen.
- Hacker: Diese erpressen Krankenhäuser oder Krankenkassen mit den erhaltenen Daten und zwingen diese somit zur Zahlung von Geldern und drohen mit Veröffentlichung der erlangten Daten im Falle der Nichtzahlung.
Bekannte Fälle von Datenmissbrauch im Gesundheitswesen
Es gibt eine Reihe bekannter Fälle von Datenmissbrauch im Gesundheitswesen. Es wurde in 2014 beispielsweise Michael Schumachers Krankenakte gestohlen und öffentlich zum Kauf angeboten. In 2009 führte die Deutsche Bahn illegale Krankenakten über ihre Mitarbeiter. Bei der englischen Gesundheitsbehörde NHS wurden in 2011 8 Mio. Patientendaten geklaut, in denen Details wie Krankenhausbesuche und Behandlungsprotokolle unverschlüsselt enthalten waren.
Wann ist eine Datenschutzfolgenabschätzung notwendig?
Eine Datenschutzfolgenabschätzung ist immer dann notwendig, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vorliegt. Aufgrund des Zwecks und der Art des Verarbeitungsvorgangs muss eine Bewertung der Notwendigkeit einer Datenschutzfolgenabschätzung vorgenommen werden. Es erfolgt eine Risikobewertung, anhand dessen eine Maßnahmenplanung im Falle einer sog. “Datenpanne” erarbeitet wird.
Einfach. Webbasiert. Individuell.
Wenn Sie Interesse an einer E-Learning-Software haben, einen bestehenden Kurs für Ihre Mitarbeiter buchen möchten, oder einfach mal wissen wollen, wie ein fertiger Kurs aussieht, können Sie sehr gerne Ihre Kontaktdaten im Anfrage-Formular hinterlassen und einer unserer Mitarbeiter wird sich innerhalb von 24 Stunden mit Ihnen in Verbindung setzen.
Gerne erstellen wir Ihnen einen kostenlosen Demozugang mit Zugriff auf einen unserer Kurse.
Herr Nils Möllers ist Gründer und Geschäftsführer der Mitarbeiterschule GmbH und der Keyed GmbH. Neben Expertise im Bereich Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX®-Assessments, beratend tätig.
