Gesundheitsdaten sind besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) und unterliegen einem grundsätzlichen Verarbeitungsverbot mit strengen Ausnahmen.
Was sind Gesundheitsdaten?
Alle Daten, die sich auf die körperliche oder geistige Gesundheit beziehen (Art. 4 Nr. 15 DSGVO). Dazu zählen: Diagnosen, Medikamentenverordnungen, Krankheitstage, Schwerbehindertenstatus, Ergebnisse von Drogen- oder Alkoholtests, Patientenakten, Fitness-Tracker-Daten. Wichtig: Alkoholkonsum allein ist kein Gesundheitsdatum - Alkoholabhängigkeit hingegen schon.
Zuläßige Verarbeitung
Im Gesundheitswesen am häufigsten: Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsvorsorge, medizinische Diagnostik, Versorgung oder Behandlung) in Verbindung mit Paragraph 22 Abs. 1 Nr. 1 lit. b BDSG. Voraußetzung: Die Verarbeitung erfolgt durch ärztliches Personal oder Personen, die einer Geheimhaltungspflicht unterliegen (Art. 9 Abs. 3 DSGVO).
Besondere Schutzmassnahmen
Paragraph 22 Abs. 2 BDSG verlangt angemessene und spezifische Maßnahmen, darunter: Pseudonymisierung, Verschlüßelung, Zugangsbeschränkung, Protokollierung, Sensibilisierung der Beschäftigten und regelmäßige Überprüfung der TOM.
DSFA-Pflicht
Bei umfangreicher Verarbeitung von Gesundheitsdaten (z.B. Krankenhaus, Krankenkasse) ist regelmäßig eine DSFA erforderlich (Art. 35 Abs. 3 lit. b DSGVO).
E-Mail-Verschlüßelung
Gesundheitsdaten erfordern wegen des hohen Risikos eine Ende-zu-Ende-Verschlüßelung bei E-Mail-Versand (DSK OH E-Mail-Verschlüßelung).