Um Gesundheitsdaten handelt es sich immer dann, wenn Sie Daten verwenden, die sich auf

  • eine identifizierbare natürliche Person (Personenbezug) sowie
  • die Gesundheit dieser Person beziehen, aus denen Informationen über ihren Gesundheitszustand hervorgehen (Gesundheitsbezug).

Das Datenschutzrecht behandelt Gesundheitsdaten per se als eine „besondere Kategorie“ personenbezogener Daten und stellt mitunter höhere Anforderungen an ihre Verarbeitung als bei „normalen“ Daten. Näheres hierzu finden Sie in Teil 1 I. der Orientierungshilfe (PDF, 3MB).

Bei Gesundheitsdaten gelten strengere Regeln als bei „normalen“ personenbezogenen Daten. Wenn Sie Gesundheitsdaten verwenden möchten, müssen Sie sicherstellen, dass ein spezifischer Ausnahmetatbestand erfüllt ist und Sie eine Rechtsgrundlage vorweisen können. Ohne eine derartige „doppelte“ Rechtfertigung ist die Verarbeitung von Gesundheitsdaten rechtswidrig und kann sanktioniert werden.

Ob Sie Gesundheitsdaten verwenden dürfen, sollten Sie daher in zwei Schritten prüfen:

Schritt 1: Können Sie die geplante Verwendung von Gesundheitsdaten auf einen der Ausnahmetatbestände in Artikel 9 Abs. 2-4 DSGVO, wie zum Beispiel eine ausdrückliche Einwilligung der betroffenen Person, stützen? Wenn nein, ist die geplante Datenverarbeitung verboten. Wenn ja, weiter mit Schritt 2.

Schritt 2: Sind zusätzlich die Voraussetzungen einer Rechtsgrundlage für die Datenverarbeitung nach Artikel 6 DSGVO erfüllt? Wenn nein, ist die geplante Verwendung der Daten verboten. Wenn ja, ist die Datenverarbeitung erlaubt.

Näheres hierzu finden Sie in Teil 2 A.I. der Orientierungshilfe (PDF, 3MB).

Wenn Ihr Unternehmen Gesundheitsdaten verwendet, müssen Sie die Unternehmens-Organisation vor allem in folgenden Punkten anpassen:

  • Alle Beschäftigten sollten zur Wahrung des Datengeheimnisses und zur Beachtung der geltenden datenschutzrechtlichen Anforderungen verpflichtet werden.
  • Sie müssen prüfen, ob Ihr Unternehmen zur Bestellung einer beziehungsweise eines Datenschutzbeauftragen gesetzlich verpflichtet ist, und sodann gegebenenfalls eine geeignete Person mit dieser Aufgabe betrauen.
  • Ihr Unternehmen muss die zur Einhaltung der DSGVO erforderlichen Prozesse implementieren und nachweisen beziehungsweise dokumentieren, insbesondere durch ein Verarbeitungsverzeichnis. Ein Verarbeitungsverzeichnis kann auch dann zu erstellen sein, wenn Ihr Unternehmen nicht selbst verantwortlich ist, sondern als Auftragsverarbeiter für ein anderes Unternehmen tätig ist.

Näheres hierzu finden Sie in Teil 2 A.II. der Orientierungshilfe (PDF, 3MB).

Ärzte und Angehörige anderer Heilberufe unterliegen einer Schweigepflicht, die das besondere Vertrauensverhältnis zum Patienten schützen soll. Mit dieser gesetzlichen Schweigepflicht korrespondiert das durch § 203 StGB geschützte Berufsträgergeheimnis, das Verstöße gegen die Verschwiegenheitspflicht strafrechtlich sanktioniert. Die datenschutzrechtlichen Vorschriften der DSGVO stehen grundsätzlich unabhängig neben diesen strafrechtlichen Vorgaben.

Wenn Sie Daten, die dem Berufsträgergeheimnis unterfallen, an externe Hilfspersonen (wie zum Beispiel Cloud-Dienste) weiterleiten möchten, müssen Sie daher die sogenannte 2-Stufen-Prüfung vornehmen:

Stufe 1: Ist die geplante Weitergabe der Daten datenschutzrechtlich zulässig? Wenn nein, ist die Verarbeitung verboten. Wenn ja, weiter mit Stufe 2.

Stufe 2: Ist die geplante Verarbeitung auch strafrechtlich nach Maßgabe des § 203 StGB zulässig?

Näheres hierzu finden Sie in Teil 2 B. der Orientierungshilfe (PDF, 3MB).

Sie dürfen nur solche Dienstleister auswählen, die (auch gerade in datenschutzrechtlicher Hinsicht) zuverlässig sind. Außerdem müssen Sie einen Auftragsverarbeitungs-Vertrag mit dem Dienstleister abschließen. Der Inhalt dieses Vertrages muss den zwingenden Anforderungen genügen, die in Artikel 28 Abs. 3 DSGVO vorgegeben sind. Sie sollten möglichst einen der in der Orientierungshilfe verlinkten Muster-Auftragsverarbeitungsverträge als Grundlage verwenden.

Vorsicht ist schließlich geboten, wenn Sie Dienstleister außerhalb der EU beauftragen möchten, da hier zusätzliche Vorgaben bestehen können.

Näheres hierzu finden Sie in Teil 2 C. der Orientierungshilfe (PDF, 3MB).

Grundsätzlich gelten für Gesundheits-Apps die gleichen datenschutzrechtlichen Anforderungen wie bei jeder anderen Verwendung von Gesundheitsdaten. Daneben sollten Unternehmen, die Apps im Bereich eHealth (beziehungsweise mHealth) entwickeln oder anbieten wollen, jedoch einige datenschutzrechtlichen Besonderheiten beachten. Das betrifft vor allem die Themen Zulässigkeit der Datenverarbeitung (zum Beispiel bei Tracking und Profiling), Datensicherheit, Informationspflichten (Stichwort: Datenschutzerklärung) und Anforderungen der App-Stores. Außerdem sollten Sie auf folgende Punkte achten:

  • Datenschutz durch Technikgestaltung: Anwendungen und Systeme müssen von Beginn an schutzbedarfs- beziehungsweise risikoorientiert konzipiert und technisch umgesetzt werden. Diesen Ansatz nennt man Datenschutz by Design.
  • Datenschutzfreundliche Voreinstellungen: Zudem soll nach dem Prinzip „Datenschutz durch datenschutzfreundliche Voreinstellungen“ ein angemessenes Datenschutzniveau für Nutzer durch datenschutzfreundliche Grundeinstellungen gewährleistet werden (Datenschutz by Default).

Näheres hierzu finden Sie in Teil 2 D. der Orientierungshilfe (PDF, 3MB).

Wenn Sie KI-Lösungen im Zusammenhang mit Gesundheitsdaten nutzen, müssen Sie in datenschutzrechtlicher Hinsicht vor allem darauf achten, ob durch die Datenanalyse Persönlichkeitsprofile von Personen erstellt werden (Stichwort: Profiling) und ob zum Beispiel durch Algorithmen computerbasierte Entscheidungen gegenüber der jeweiligen Person getroffen werden sollen (Stichwort: automatisierte Einzelentscheidungen). In diesen Fällen müssen Sie folgende Punkte prüfen:

Schritt 1: Zunächst müssen Sie die allgemeinen datenschutzrechtlichen Anforderungen beachten, die bei jeder Verwendung von Profiling beziehungsweise automatisierter Entscheidung gelten. Besonderheiten ergeben sich insofern vor allem bezüglich der Zulässigkeit der Verwendung der Gesundheitsdaten und bezüglich der Betroffenenrechte.

Schritt 2: Zusätzliche Anforderungen gelten für automatisierte Entscheidungen immer dann, wenn sie ohne menschliches Eingreifen ergehen. Sofern solche automatisierten Entscheidungen gegenüber den betroffenen Personen rechtliche Wirkungen entfalten oder sie in ähnlicher Weise beeinträchtigen, ist die Verwendung automatisierter Entscheidungen bei der Verarbeitung von Gesundheitsdaten nur zulässig, wenn alle folgenden Voraussetzungen erfüllt sind:

  • Die der automatisierten Entscheidung zugrundeliegende Verwendung der Gesundheitsdaten muss von einer ausdrücklichen Einwilligung des Betroffenen gedeckt sein oder auf der Grundlage eines Spezial-Gesetzes, das der Wahrung eines erheblichen öffentlichen Interesses dient, erfolgen.
  • Die automatisierte Entscheidung muss (a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und Ihrem Unternehmen erforderlich sein, oder (b) aufgrund besonderer Rechtsvorschriften zulässig sein oder (c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgen.
  • Sie müssen angemessene Maßnahmen ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren.

Näheres hierzu finden Sie in Teil 2 E. der Orientierungshilfe (PDF, 3MB).

Da bei der Datenanalyse mittels Big Data eine Vielzahl von Gesundheitsdaten analysiert wird, stellen sich besondere Herausforderungen bei der Einhaltung der datenschutzrechtlichen Vorgaben. Sie müssen daher vor allem auf folgende Punkte achten:

  • Zulässigkeit der Datenanalyse. Als mögliche gesetzliche Grundlage kommt auch hier eine ausdrückliche Einwilligung der betroffenen Personen in Betracht. Für Forschungszwecke können die Betroffenen durch den sog. „broad consent“ ihre Einwilligung für ganze Bereiche wissenschaftlicher Forschung geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Zudem kann sich die Zulässigkeit auch daraus ergeben, dass die Gesundheitsdaten bewusst öffentlich gemacht wurden oder die Datenverarbeitung wissenschaftlichen Forschungszwecken bzw. statistischen Zwecken dient.
  • Betroffenenrechte. Die Einhaltung der Rechte der von der Datenverarbeitung betroffenen Personen stellt angesichts der typischerweise zu analysierenden Datenmengen eine besondere Herausforderung dar.
  • Kombination mit KI-Lösungen. Zusätzlich sind gegebenenfalls die Voraussetzungen für Profiling und automatisierte Entscheidungen zu berücksichtigen (siehe auch FAQ Frage 7).

Alternativ können Sie prüfen, ob es möglich ist, im Rahmen der Big Data-Analyse mit anonymisierten Datenbeständen zu arbeiten. Anonymisierte (Gesundheits-) Daten fallen nicht in den Anwendungsbereich des Datenschutzrechts und können daher auch ohne Einhaltung der datenschutzrechtlichen Vorgaben ausgewertet werden. Die hierzu notwendige Anonymisierung, also die Aufhebung des Personenbezugs, ist bei Gesundheitsdaten jedoch besonders schwierig, da Gesundheitsdaten sehr individuell sein können und die betroffene Person daher häufig anhand weniger Zusatzinformationen identifiziert werden kann. Auch der Vorgang der Anonymisierung stellt zudem eine Datenverarbeitung dar, für die bei Gesundheitsdaten eine Ausnahme vom Verbot der Datenverarbeitung sowie eine Rechtsgrundlage erforderlich ist.

Näheres hierzu finden Sie in Teil 2 F. der Orientierungshilfe (PDF, 3MB).

Die Sicherheit der personenbezogenen (Gesundheits-)Daten kommt in der DSGVO eine besonders hohe Bedeutung zu. Um die gesetzlichen Pflichten bezüglich Datensicherheit einzuhalten, muss Ihr Unternehmen geeignete technische und organisatorische Schutzmaßnahmen im Wege einer eigenständigen Risikobewertung festlegen und ein angemessenes Schutzniveau gewährleisten.

Im ersten Schritt müssen Sie hierzu anhand des Schutzbedarfs der Daten ermitteln, welches Schutzniveau für die Daten angemessen ist. Dabei müssen Sie eine Balance zwischen Aufwand und Risiko (zum Beispiel Folgen einer Datenpanne) finden. Im zweiten Schritt müssen Sie die Maßnahmen, die zur Gewährleistung dieses angemessenen Schutzniveaus notwendig sind, implementieren und dokumentieren.

Näheres hierzu finden Sie in Teil 2 A. IV. der Orientierungshilfe (PDF, 3MB).

Sie können eine Zertifizierung einholen. Bei einer Zertifzierung überprüft ein objektiver Dritter (die sogenannte Zertifizierungsstelle), ob Ihr Unternehmen die datenschutzrechtlichen Anforderungen einhält, und stellt eine entsprechende Bescheinigung aus. Folgende zwei Arten der Zertifizierung sind zu unterscheiden:

  • Besonders vorteilhaft sind die in der DSGVO genannten Zertifizierungen durch eine akkreditierte Zertifizierungsstelle. Denn solche Zertifizierungen sind im Gesetz ausdrücklich als wichtiger Anhaltspunkt für die Erfüllung der datenschutzrechtlichen Pflichten anerkannt. Derzeit sind aber solche Zertifizierungen noch nicht erhältlich.
  • Gegenwärtig sind lediglich sonstige Datenschutzsiegel, -prüfzeichen oder
    -zertifierungen möglich. Auch diese haben verschiedene Vorteile für den Nachweis, dass Ihr Unternehmen im Einklang mit dem geltenden Datenschutzrecht agiert ("Compliance"). Sie sind jedoch nicht gesetzlich anerkannt und entfalten daher auch nicht die gleiche Wirkung wie Zertifizierungen von einer akkreditierten Zertifizierungsstelle.

Näheres hierzu finden Sie in Teil 3 der Orientierungshilfe (PDF, 3MB).