Zur Übersicht Spezialthemen

Was ist bei der Verarbeitung von Gesundheitsdaten zu beachten?

Art. 9 DSGVOParagraph 22 BDSGArt. 32 DSGVOArt. 35 DSGVO

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO und unterliegen dem grundsätzlichen Verarbeitungsverbot.

Definition: Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO alle personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Dies umfasst Diagnosen, Behandlungen, Medikamente, Laborwerte, Arztberichte, aber auch Informationen wie Brillenstärke, Allergien oder Krankheitstage.

Zuläßige Ausnahmen (Art. 9 Abs. 2 DSGVO):

  • Ausdrückliche Einwilligung (lit. a): Die Einwilligung muss ausdrücklich - also besonders deutlich - erteilt werden. Konkludentes Verhalten genügt nicht.
  • Arbeitsrecht (lit. b): Paragraph 26 Abs. 3 BDSG erlaubt die Verarbeitung für arbeits- und sozialrechtliche Zwecke.
  • Gesundheitsvorsorge und medizinische Versorgung (lit. h): Durch ärztliches oder sonstiges dem Berufsgeheimnis unterliegendes Personal (Art. 9 Abs. 3 DSGVO). Paragraph 22 Abs. 1 Nr. 1 lit. b BDSG konkretisiert dies.
  • Öffentliche Gesundheit (lit. i): Z.B. bei Epidemiebekämpfung.
  • Forschung (lit. j): Paragraph 27 BDSG erlaubt die Verarbeitung für Forschungszwecke mit erheblich überwiegenden Interessen und Anonymisierungspflicht.

Schutzmassnahmen (Paragraph 22 Abs. 2 BDSG): Bei jeder Verarbeitung von Gesundheitsdaten sind angemessene und spezifische Maßnahmen erforderlich: Zugangs- und Zugriffsbeschränkungen, Pseudonymisierung, Verschlüßelung, Sensibilisierung der Beteiligten, regelmäßige Überprüfung der TOM.

Krankenhausinformationssysteme: Die DSK-OH Krankenhausinformationssysteme (2014) verlangt rollenbasierte Berechtigungskonzepte, Zugriff nur im Rahmen des Behandlungsfalls, Protokollierung aller Zugriffe und Trennung von laufenden und archivierten Fällen.

Messenger im Krankenhaus: WhatsApp und Consumer-Messenger sind für Patientendaten ungeeignet (DSK-Whitepaper Messenger-Dienste, 2019). Ende-zu-Ende-Verschlüßelung und eigene Authentifizierung sind Pflicht.

DSFA: Bei umfangreicher Verarbeitung von Gesundheitsdaten ist eine DSFA nach Art. 35 Abs. 3 lit. b DSGVO regelmäßig erforderlich.

Quellen

Art. 4 Nr. 15 DSGVO, Art. 9 DSGVO, Paragraph 22 BDSG, Paragraph 27 BDSG, Art. 32 DSGVO, Art. 35 DSGVO, DSK-OH Krankenhausinformationssysteme (2014), DSK-Whitepaper Messenger-Dienste (2019), DSK-Kurzpapier Nr. 17

Verwandte Fragen

Pflichten

Welche besonderen Pflichten gelten im Umgang mit Gesundheitsdaten?

 Beschäftigte

Darf der Arbeitgeber Krankheitsdaten verarbeiten?

 Rechtsgrundlagen

Was sind "besondere Kategorien personenbezogener Daten" und was gilt für sie?