Datenschutz und der Umgang mit sensiblen Gesundheitsdaten spielen im Gesundheitswesen eine zentrale Rolle. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union stellt sicher, dass medizinische Informationen besonders geschützt werden. Artikel 9 Absatz 1 DSGVO klassifiziert Gesundheitsdaten als besondere Kategorie personenbezogener Daten und verbietet grundsätzlich deren Verarbeitung, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine gesetzliche Erlaubnis nach Artikel 9 Absatz 2 DSGVO vor.
1. Welche Gesundheitsdaten sind besonders geschützt?
Zu den sensiblen Daten im Gesundheitsbereich gehören:
Persönliche Identifikationsdaten (Name, Anschrift, Kontaktdaten)
Sozialversicherungsnummer (wichtig für Abrechnungen und Versicherungszuordnung)
Krankenkassendaten (zur Abwicklung medizinischer Leistungen)
Pflegestufe (zur Ermittlung des individuellen Pflegebedarfs)
Angaben zu Erkrankungen und Diagnosen (medizinische Vorgeschichte, laufende Behandlungen)
Diese Daten dürfen nur verarbeitet werden, wenn eine ausdrückliche Einwilligung des Patienten vorliegt oder eine gesetzliche Ausnahme gemäß Artikel 9 Absatz 2 DSGVO Anwendung findet.
2. Herausforderungen beim Umgang mit Gesundheitsdaten
a) Einführung der elektronischen Patientenakte (ePA)
Seit 15. Januar 2025 wird die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten automatisch eingerichtet, sofern sie dem nicht aktiv widersprechen. Sie ermöglicht eine zentrale Speicherung und den einfachen Zugriff auf Gesundheitsdaten, was die Behandlungsqualität verbessert und Doppeluntersuchungen vermeidet.
Datenschutz in der ePA:
Datenhoheit bleibt beim Patienten (jeder kann festlegen, wer Zugriff hat und welche Informationen geteilt werden).
Ende-zu-Ende-Verschlüsselung sichert gespeicherte Daten.
Speicherung erfolgt innerhalb der Telematikinfrastruktur (TI).
Herausforderungen für medizinische Einrichtungen:
Sicherstellung der DSGVO-Konformität bei der Nutzung der ePA.
Schulung des medizinischen Personals im Umgang mit digitalen Gesundheitsdaten.
Technische Implementierung sicherer Zugriffssysteme.
b) Gesundheitsdatennutzungsgesetz (GDNG)
Am 26. März 2024 trat das Gesundheitsdatennutzungsgesetz (GDNG) in Kraft. Es soll die Nutzung von Gesundheitsdaten für Forschungs- und Versorgungszwecke erleichtern, während gleichzeitig der Datenschutz sichergestellt wird.
Wichtige Punkte des GDNG:
Einführung einer zentralen Datenzugangs- und Koordinierungsstelle.
Klare Regelungen für die Verarbeitung von Gesundheitsdaten im öffentlichen Interesse.
Strikte Orientierung an Artikel 9 DSGVO, um Datenschutzrechte zu gewährleisten.
3. Technische und organisatorische Maßnahmen zum Schutz von Gesundheitsdaten
a) Datenschutz-Folgenabschätzungen (DSFA)
Nach Artikel 35 DSGVO müssen Krankenhäuser und Arztpraxen Datenschutz-Folgenabschätzungen durchführen, um Risiken für Patienten zu minimieren.
b) Verschwiegenheitspflicht und Zusammenarbeit mit Dienstleistern
Externe IT-Dienstleister müssen DSGVO-konform sein und über einen Auftragsverarbeitungsvertrag (AVV)abgesichert werden.
Speicherung sensibler Gesundheitsdaten außerhalb der EU/EWR ist nur unter strengen Schutzmaßnahmen zulässig.
c) Meldepflichten und Auskunftsrechte
Meldepflichten für Infektionskrankheiten bleiben bestehen, müssen jedoch im Einklang mit dem Datenschutz stehen.
Patienten haben ein erweitertes Recht auf Auskunft nach EuGH-Urteil von 2023: Sie müssen nicht nur erfahren, welche Daten gespeichert sind, sondern auch, wann und warum auf diese Daten zugegriffen wurde.
4. Die Rolle des Datenschutzbeauftragten im Gesundheitswesen
Aufgrund der hohen Sensibilität der Daten ist die Benennung eines Datenschutzbeauftragten (DSB) für Krankenhäuser, größere Arztpraxen und Gesundheitseinrichtungen verpflichtend.
Seine Aufgaben umfassen:
Überwachung der DSGVO-Umsetzung und Schulung von Mitarbeitern.
Beratung bei der Einführung neuer Technologien (z. B. ePA, Cloud-Lösungen).
Durchführung von Datenschutz-Folgenabschätzungen.
Sicherstellung der Meldepflichten bei Datenschutzverstößen.
5. Fazit: Datenschutz als zentrale Anforderung im Gesundheitswesen
Die Einführung der elektronischen Patientenakte (ePA) und das Gesundheitsdatennutzungsgesetz (GDNG) verändern die Datenschutzanforderungen im Gesundheitswesen grundlegend. Medizinische Einrichtungen müssen ihre Datenschutzpraktiken kontinuierlich anpassen, um gesetzeskonform zu bleiben und das Vertrauen der Patienten zu wahren.
Empfohlene Maßnahmen:
Aktualisierung von Datenschutzrichtlinien und internen Prozessen.
Stärkung der IT-Sicherheit und Zugriffskontrollen.
Schulung von Mitarbeitern im Umgang mit digitalen Gesundheitsdaten.
Aktive Einbindung des Datenschutzbeauftragten in strategische Entscheidungen.
Nur durch eine konsequente Umsetzung der Datenschutzvorgaben kann sichergestellt werden, dass Gesundheitsdaten sicher bleiben und Patienten von den Vorteilen der Digitalisierung profitieren.
