Sprungmarken-Navigation

Artikel - Wirtschaftsbranchen

Orientierungshilfe zum Datenschutz für Gesundheitsdaten

Einleitung

Für wen ist die Orientierungshilfe gedacht und worin unterstützt Sie die Orientierungshilfe?

Die Gesundheitswirtschaft ist einer der größten deutschen Wirtschaftssektoren. In ihrer Weiterentwicklung spielt die Digitalisierung eine zunehmend bedeutsame Rolle. Etablierte Unternehmen entwickeln neue digitale Lösungen, junge Start-ups treiben kreative Ideen und innovative Geschäftsmodelle voran. Gleichzeitig gilt der erfolgreiche Eintritt in den Gesundheitsmarkt aufgrund der regulatorischen Anforderungen als schwierig und findet nicht immer im gewünschten Umfang statt. Vor diesem Hintergrund bietet die Digitalisierung der Gesundheitswirtschaft ein besonderes Potenzial, dessen Realisierung durch das BMWi aktiv unterstützt werden soll.

Eine besondere Herausforderung für digitale Produkte stellen dabei die datenschutzrechtlichen Anforderungen dar. Das gilt erst recht, seitdem die europäische Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten ist. Der Datenschutz ist im Bereich der Gesundheitswirtschaft besonders bedeutsam, da Gesundheitsdaten sensibel und deswegen umfassend zu schützen sind. Entwickler von digitalen Produkten sollten diese datenschutzrechtlichen Anforderungen frühzeitig berücksichtigen, damit ihre Produkte nicht zu einem späteren Zeitpunkt aufwendig angepasst werden müssen.

Die Orientierungshilfe zum Datenschutz für Gesundheitsdaten soll Entwicklern und Anbietern von digitalen Gesundheitsprodukten daher einen Einstieg in diesen wichtigen Bereich bieten. Sie stellt sowohl die allgemeinen datenschutzrechtlichen Anforderungen als auch die Bestimmungen für besondere Bereiche, wie zum Beispiel die automatisierte Entscheidungsfindung, Big-Data-Anwendungen und die Entwicklung von Apps dar. Um die erforderliche Praxisnähe zu gewährleisten, ist sie in Abstimmung mit Unternehmen aus der Digitalwirtschaft entstanden. Zur Vertiefung wird auf frei erhältliche Darstellungen, Checklisten und Musterformularen von Behörden und Verbänden verwiesen.

Neben der ausführlichen Darstellung in der "Orientierungshilfe zum Datenschutz für Gesundheitsdaten" (PDF, 3MB) und der Einleitung auf dieser Seite erhalten Sie in den FAQs sowie im Glossar weitere Informationen zu den zentralen Begriffen des Datenschutzrechts in der Gesundheitswirtschaft.

Die Darstellung wendet sich an alle Unternehmen, die Gesundheitsdaten erheben und verarbeiten. Dabei wird der Begriff der Gesundheitsdaten sehr weit verstanden, um sensiblen Gesundheitsdaten den bestmöglichen Schutz zuzugestehen (Teil 1 der Orientierungshilfe (PDF, 3MB)).

Fragen und Antworten zur Orientierungshilfe zum Datenschutz für Gesundheitsdaten

1. Handelt es sich bei den von mir verwendeten Daten um Gesundheitsdaten?

Zur Antwort Öffnet Einzelsicht

2. Wann darf ich Gesundheitsdaten verwenden?

Zur Antwort Öffnet Einzelsicht

3. Inwiefern muss ich meine Unternehmens-Organisation anpassen?

Zur Antwort Öffnet Einzelsicht

Allgemeine Anforderungen

Anforderungen für den Umgang mit Gesundheitsdaten

Rechtfertigungsgründe für die Verarbeitung von Gesundheitsdaten

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn besondere Rechtfertigungsgründe vorliegen. Bei sensiblen Gesundheitsdaten gelten neben den allgemeinen datenschutzrechtlichen Anforderungen zusätzliche Voraussetzungen. Die Orientierungshilfe stellt die praxisrelevanten Rechtfertigungsgründe und möglichen Ausnahmetatbestände anhand von konkreten Beispielen vor (Teil 2 A.I der Orientierungshilfe (PDF, 3MB)). Es werden insbesondere die Anforderungen an die in der Praxis überaus bedeutsame Einwilligung erläutert und eine entsprechende Best Practice dargestellt.

Organisatorische Maßnahmen zum Schutz der Gesundheitsdaten

Unternehmen, die mit sensiblen Gesundheitsdaten umgehen, müssen organisatorische Vorkehrungen treffen, um den Schutz dieser Daten zu gewährleisten. Diese Vorkehrungen fangen mit einer Verpflichtung der Beschäftigten auf das Datengeheimnis und der Erstellung eines Verzeichnisses aller Datenverarbeitungsvorgänge an. Eine wesentliche Anforderung ist die Bestellung einer beziehungsweise eines Datenschutzbeauftragten, der das Unternehmen beim Datenschutz berät und den Kontakt mit den zuständigen Aufsichtsbehörden hält (Teil 2 A.II der Orientierungshilfe (PDF, 3MB)).

Welche Maßnahmen konkret zu treffen sind, ist mit Hilfe einer risikobasierten Datenschutz-Folgenabschätzung zu ermitteln. Die Orientierungshilfe stellt das dazu erforderliche Verfahren dar und verweist auf weitere Leitfäden und praktische Anwendungsfälle (Teil 2 A.VI der Orientierungshilfe (PDF, 3MB)).

Maßnahmen zur Wahrung der Nutzerrechte

Zu ihrem Schutz werden den Betroffenen verschiedene Rechte gewährt. Sie müssen von den Unternehmen zunächst durch eine Datenschutzerklärung über die Datenverarbeitung informiert werden. Darüber hinaus können die Betroffenen Auskünfte über ihre Daten verlangen und/oder die Berichtigung oder Löschung ihrer Daten fordern. Sie können der weiteren Verarbeitung ihrer Daten (teilweise) widersprechen oder deren Übertragung an einen anderen Anbieter fordern. Unternehmen müssen deswegen bei der Produktentwicklung sicherstellen, dass sie diesen Rechten der Betroffenen auch entsprechen können. Neben der Erläuterung der einzelnen Betroffenenrechte und deren Bedeutung enthält die Orientierungshilfe zu diesem Zweck auch Vorschläge für entsprechende Konzepte (Teil 2 A.III der Orientierungshilfe (PDF, 3MB)).

Vorgaben zur Datensicherheit

Gerade im Gesundheitsbereich ist die Datensicherheit von entscheidender Bedeutung. Die Betroffenen und die Öffentlichkeit reagieren überaus sensibel, wenn es zu Datenpannen kommt. Durch die DSGVO wird das erforderliche Schutzniveau verbindlich konkretisiert. In der Orientierungshilfe werden diese Vorgaben näher erläutert und Beispiele für geeignete Sicherheitsmaßnahmen, sowie ein Vorgehen und die damit verbundenen Anforderungen bei Datenpannen vorgestellt. Zudem wird auf weitere Leitlinien von Datenschutzbehörden und Verbänden verwiesen (Teil 2 A.IV und A.V der Orientierungshilfe (PDF, 3MB)).

Glossar

Symbolicon für Buch

Von Anonymisierung bis Zertifizierung: Das Glossar erläutert wichtige Begriffe zur Orientierungshilfe zum Gesundheitsdatenschutz.

Übersicht

Arbeitsteilige Datenverarbeitung

Datenverarbeitung durch mehrere Beteiligte

Die zunehmende Komplexität der Datenverarbeitung führt dazu, dass die Verarbeitung in vielen Fällen arbeitsteilig durchgeführt wird.

Gemeinsame Datenverantwortlichkeit

Bei der arbeitsteiligen Datenverarbeitung durch mehrere Beteiligte sind grundsätzlich die allgemeinen datenschutzrechtlichen Anforderungen zu beachten. Die Orientierungshilfe erläutert, wie nach den allgemeinen Regeln eine Vereinbarung über die Zusammenarbeit abgeschlossen und Betroffene entsprechend informiert werden können (Teil 2 A.VII der Orientierungshilfe (PDF, 3MB)).

Auftragsverarbeitung durch spezialisierte Dienstleister

Anders liegt die Sache, wenn sich ein Unternehmen bei der Verarbeitung von Gesundheitsdaten von spezialisierten (technischen) Dienstleistern unterstützen lässt. Das kann insbesondere bei der Nutzung von Cloud-Diensten der Fall sein. Für eine solche Datenverarbeitung durch Dienstleister sieht die DSGVO gewisse Privilegierungen und Ausnahmen von den strengen Voraussetzungen für den Austausch von Gesundheitsdaten mit anderen Unternehmen vor. Um in den Genuss dieser Erleichterungen zu kommen, muss der Dienstleister als weisungsgebundener Auftragsverarbeiter unter Beachtung bestimmter Vorgaben beauftragt werden. Die Orientierungshilfe stellt den Umfang der Privilegierung sowie die Voraussetzungen für diese Auftragsverarbeitung anhand von konkreten Beispielen vor. Ein besonderes Augenmerk wird auf Dienstleister im Ausland gelegt, wobei zwischen dem EU-Ausland, den privilegierten Drittländern, den USA und den sonstigen Drittländern unterschieden wird (Teil 2 C der Orientierungshilfe (PDF, 3MB)).

Besondere Datenarten

Anforderungen bei besonderen Datenarten

Die Anforderungen an den Datenschutz können bei besonderen Datenarten variieren. Während bei Daten, die dem Berufsgeheimnis unterfallen, noch strengere Regeln gelten, können die Vorgaben bei erfolgreich anonymisierten Daten entfallen.

Daten, die dem Berufsträgergeheimnis unterfallen

Besondere Anforderungen sind bei Daten von Ärzten und anderen Heilberufen zu beachten. Denn diese Heilberufe unterliegen besonderen Schweigepflichten, deren Verletzung auch strafrechtlich sanktioniert werden kann. Es muss deswegen neben den datenschutzrechtlichen Vorschriften auch geprüft werden, ob die Verarbeitung von Gesundheitsdaten in diesen Fällen berufsrechtlich zulässig ist (Teil 2 B der Orientierungshilfe (PDF, 3MB)).

Anonymisierung der Daten

Bei anonymen oder anonymisierten Daten entfallen die Vorgaben der DSGVO, weil kein Personenbezug hergestellt werden kann. Es sollte jedoch gerade bei Gesundheitsdaten nicht vorschnell davon ausgegangen werden, dass eine Anonymisierung vorliegt. Die hinter den Daten stehende Person darf nicht mehr mit vertretbarem Aufwand identifizierbar sein. Dabei liegt eine Identifizierbarkeit noch vor, wenn die natürliche Person mittels Informationen von Dritten ermittelt werden kann. Da Informationen über den Gesundheitszustand höchst individuell sind, können Personen gerade auf dieser Datengrundlage vergleichsweise leicht ermittelt werden. Die Orientierungshilfe stellt deswegen unterschiedliche Verfahren vor, mit denen sich Gesundheitsdaten erfolgreich anonymisieren lassen (Teil 2 F.II der Orientierungshilfe (PDF, 3MB)).

Computerchip und Gasfaser zum Thema Digitalisierung; Quelle: Getty Images / Rafe Swan

© Getty Images / Rafe Swan

Den digitalen Wandel gestalten

Zum Artikel

Besondere Produkte

Anforderungen für Apps, Profiling und Big Data

Die datenschutzrechtlichen Anforderungen können auch danach variieren, welche Produktart angeboten wird.

Vorgaben für Apps

Das Angebot von Apps bildet einen wesentlichen Teil der digitalen Gesundheitswirtschaft (mhealth). Mit Hilfe von mobilen Geräten kann der Nutzer Gesundheitsdienste von überall nutzen. Allerdings können damit besondere Risiken für seine Gesundheitsdaten einhergehen. Die Orientierungshilfe stellt dar, welchen datenschutzrechtlichen Anforderungen besondere Aufmerksamkeit gewidmet werden sollte und welche rechtlichen Anforderungen zusätzlich zu berücksichtigen sind (Teil 2 D der Orientierungshilfe (PDF, 3MB)).

Besondere Anforderungen an Profiling und automatisierte Entscheidungsfindung

Innovative digitale Gesundheitsprodukte nutzen häufig Profiling und automatisierte Entscheidungsfindungen zur Unterstützung der Diagnose oder Therapieempfehlung. Es werden bestimmte persönliche Aspekte einer natürlichen Person bewertet, um deren Gesundheit zu analysieren. Theoretisch kann auf dieser Grundlage eine Diagnose ohne Beteiligung eines Menschen erfolgen. Für derartige Anwendungen gelten aufgrund der damit verbundenen Auswirkungen für die Betroffenen jedoch besonders strenge Voraussetzungen. Die Orientierungshilfe erläutert, unter welchen Voraussetzungen die Verwendung derartiger Hilfsmittel zulässig ist und welche Sicherheitsvorkehrungen getroffen werden müssen (Teil 2 E der Orientierungshilfe (PDF, 3MB)).

Big-Data-Auswertungen

Besondere Fortschritte in der Medizin werden aufgrund von Big Data-Anwendungen erwartet. Durch die Analyse einer Vielzahl von Daten können neue Wirkungszusammenhänge erkannt werden. Sofern nicht ausnahmsweise anonymisierte Daten vorliegen, unterliegen derartige Anwendungen jedoch besonderen datenschutzrechtlichen Anforderungen. Die Orientierungshilfe führt in diese Problematik ein und zeigt erste Lösungsmöglichkeiten auf (Teil 2 F.I der Orientierungshilfe (PDF, 3MB)).

Datenschutz-Compliance

Nachweis der Datenschutz-Compliance

Für Unternehmen ist es von entscheidender Bedeutung, im Zweifelsfall die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen zu können. Dafür ist zunächst eine umfassende Dokumentation erforderlich. Darüber hinaus bieten unterschiedliche Stellen eine Prüfung der datenschutzrechtlichen Vorgaben an und erteilen entsprechende Bescheinigungen oder Zertifizierungen. Auf eine Übersicht über derartige Stellen wird in der Orientierungshilfe verwiesen (Teil 3 der Orientierungshilfe (PDF, 3MB)).

Weiterführende Informationen

Frau mit Smart Watch symbolisiert Gesundheitswirtschaft