Glossar Orientierungshilfe zum Datenschutz für Gesundheitsdaten

Unser Glossar erklärt 24 wichtige Begriffe rund um die Orientierungshilfe zum Gesundheitsdatenschutz.
Von A wie Anonymisierung bis Z wie Zertifizierung.

D

Datenpannen sind Ereignisse, bei denen die Sicherheit personenbezogener Daten verletzt wird, beispielsweise weil Gesundheitsdaten fehlerhaft übermittelt oder gestohlen werden oder weil das verarbeitende Unternehmen „gehackt“ wird. Im Falle einer Datenpanne bestehen für das verantwortliche Unternehmen und Auftragsverarbeiter umfassende Meldepflichten gegenüber der Datenschutzaufsicht und den von der Datenpanne betroffenen Personen.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.V.

Der Datenschutzbeauftragte soll als interne Kontrollinstanz Unternehmen bei der Einhaltung des Datenschutzrechts unterstützen. Die Bestellung eines Datenschutzbeauftragten ist unter der DSGVO für Unternehmen in der gesamten EU unter bestimmten Bedingungen verpflichtend.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.II.2.

Das für eine Verwendung von (Gesundheits-) Daten verantwortliche Unternehmen ist verpflichtet, schon „by Design“, also zum Beispiel bei Konzeptionierung einer App, durch geeignete (insbesondere technische) Maßnahmen, und „by Default“, also durch geeignete Voreinstellungen, zu gewährleisten, dass das Datenschutzrecht eingehalten wird. Hierdurch soll insbesondere gewährleistet werden, dass die Datenschutzgrundsätze Datenminimierung und Zweckbindung wirksam umgesetzt werden.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.X.

Unternehmen müssen gegenüber den betroffenen Personen Transparenz darüber herstellen, wie sie personenbezogene Daten verarbeiten. Sie müssen daher Personen, deren (Gesundheits-) Daten sie verarbeiten, proaktiv bestimmte Informationen über die Datenverarbeitung zur Verfügung stellen. Unternehmen kommen ihren Informationspflichten häufig dadurch nach, dass sie eine Datenschutzerklärung / Privacy Policy zur Verfügung stellen und darin umfassend erläutern, wie und in welchem Umfang personenbezogene Daten verarbeitet werden.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.III.2.

Sind mit einer geplanten Verwendung von (Gesundheits-) Daten hohe Risiken für die betroffene Person verbunden, muss das verantwortliche Unternehmen in bestimmten Fällen vorab eine sog. Datenschutz-Folgenabschätzung (DSFA) durchführen. So erfordert zum Beispiel jede umfangreiche Verarbeitung von Gesundheitsdaten bereits eine DSFA. Die DSFA soll sicherstellen, dass das verantwortliche Unternehmen mögliche Folgen bestimmter kritischer Datenverarbeitungen vorab analysiert und Maßnahmen für den Schutz der betroffenen Personen festlegt, um so das Risiko auf ein angemessenes Maß zu reduzieren.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.VI.

Die europäische Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 nach einer Übergangsphase von zwei Jahren wirksam geworden und bildet seither den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union. Unternehmen müssen ihre Geschäftsabläufe daher an die Rechtslage unter der DSGVO anpassen. Neben der DSGVO können weitere nationale datenschutzrechtliche Vorschriften, wie etwa in Deutschland die des Bundesdatenschutzgesetzes (BDSG), zu beachten sein.

Die DSGVO ist ein wichtiger Schritt zu einem harmonisierten europäischen Binnenmarkt. Ziel der Verordnung ist eine angemessene Balance zwischen Wirtschafts- und Verbraucherinteressen in Zeiten fortschreitender Digitalisierung. Sie stärkt das Grundrecht auf informationelle Selbstbestimmung durch höhere Transparenz und mehr Mitbestimmung der Bürgerinnen und Bürger mit Blick auf ihre Daten. Gleichzeitig schafft die Verordnung einen zukunftsorientierten und forschungsfreundlichen Rechtsrahmen für datenverarbeitende Unternehmen und innovative Geschäftsmodelle.