Bei der Verarbeitung von personenbezogenen Daten innerhalb des Gesundheitswesens ist besondere Vorsicht angebracht. Sobald ein Gesundheitsbezug besteht bzw. Gesundheitsdaten mit Personendaten verknüpft werden, gelten striktere Anforderungen an den Datenschutz. Arztpraxen, Kliniken, Unternehmen und andere Organisationen, die im Gesundheitswesen tätig sind, müssen sich daher mit dem Gesundheitsdatenschutz befassen.
Was ist Gesundheitsdatenschutz?
Personenbezogene Daten, die zugleich über einen Gesundheitsbezug verfügen, werden als „besondere Arten von personenbezogenen Daten“ eingestuft und unterliegen damit der höchsten Stufe im Datenschutz.
Der Begriff „Gesundheitsdatenschutz“ ist allerdings nicht im Bundesdatenschutzgesetzt verankert. Vielmehr handelt es sich um eine allgemeine Bezeichnung, die schlichtweg deutlich machen soll, dass es um den Schutz von personenbezogenen Daten mit Gesundheitsbezug geht und somit besondere Vorsicht angebracht ist.
Aufgepasst beim Umgang mit Gesundheitsdaten
Weil der Gesundheitsdatenschutz jedoch nicht explizit im Gesetz behandelt wird, gelten die allgemeinen Regelungen des Datenschutzes – insbesondere im Zusammenhang mit dem Schutz „besonderer Arten von personenbezogenen Daten.“
Warum muss es Datenschutz im Gesundeitswesen geben?
Konzepte und Schutzmaßnahmen werden geschaffen, um die Privatsphäre der Betroffenen zu wahren. Sollten personenbezogene Daten in die falschen Hände geraten, kann dies für betroffene Personen äußerst unangenehme Konsequenzen haben. Handelt es sich um Daten mit Gesundheitsbezug ist das Gefahrenpotential noch größer, weil die Personen, die Zugriff auf diese Daten haben, z.B. über Erkrankungen oder andere gesundheitliche Auffälligkeiten Bescheid wissen.
Eine der wichtigsten Aufgaben im Gesundheitsdatenschutz besteht deshalb darin, alle Personen, die relevante Daten erheben oder verarbeiten, entsprechend zu sensibilisieren. Egal ob Arzt, Arzthelfer oder Praktikant: Alle müssen sich ihrer Verantwortung bewusst sein und zugleich wissen, wie sie mit Patientendaten umzugehen haben, damit sich keine Verstöße gegen die Datenschutzbestimmungen ereignen.
In Anbetracht dieser Tragweite werden selbst in kleinen Organisationen, wie zum Beispiel Arztpraxen, vergleichsweise umfassende Datenschutzkonzepte entwickelt und umgesetzt. Weil das erforderliche Know-how für den datenschutzkonformen Umgang mit Patientendaten nur selten unmittelbar zur Verfügung steht, wird in den allermeisten Fällen die Entscheidung getroffen, einen Datenschutzbeauftragten zu bestellen.
Gesundheitsdatenschutz außerhalb des Gesundheitswesens
Das Gesundheitswesen besteht primär aus Experten, die Patienten medizinisch betreuen. Hinzu kommen Spezialisten, die für die Versorgung mit Medikamenten verantwortlich sind sowie im weiteren Sinne auch Einrichtungen, die forschen und Wirkstoffe entwickeln.
Aber nicht nur dort werden Personendaten mit Gesundheitsbezug erfasst und verarbeitet. Neben dem Gesundheitswesen existiert die Gesundheitsbranche, in der ebenfalls sensible Daten erfasst und verarbeitet werden. Selbstverständlich ist auch dort ein strenger Datenschutz gefragt. Nachfolgend möchten wir anhand von drei Beispielen verdeutlichen, wie breit das Spektrum an Unternehmen und Organisationen ist, die ebenfalls dem Gesundheitsdatenschutz verpflichtet sind.
- Pandemie COVID 19: Bedingt durch die pandemische Situation können Unternehmen mit sensiblen Angaben zur Gesundheit ihrer Mitarbeiter oder Kunden in Berührung kommen. Im Rahmen von Zutrittskontrollen und Schnelltests im Unternehmen sind besondere Maßnahmen zum Schutz der erhobenen Daten zu treffen.
- Personaldatenschutz: Im Rahmen des ohnehin schon sensiblen Bereichs des Beschäftigtendatenschutzes gilt es gesondert auf die besonderen Datenkategorien einzugehen und deren Schutz zu gewährleisten (z.B. BEM-Akten, Angaben zu körperlichen Einschränkungen etc.)
- Handel mit Gesundheitsartikeln: Selbst wenn gar keine Medikamente verkauft werden, sondern beispielsweise nur Sanitätsartikel, werden oftmals personenbezogene Kundendaten erfasst, die ergänzend einen Gesundheitsbezug aufweisen.
- Digitale Services: Fitness-Apps, Fitness-Tracker und ähnliche Angebote erfreuen sich einer immens großen Beliebtheit. Startups und andere Unternehmen, die entsprechende Daten von ihren Kunden erfassen, sollten genau prüfen, ob sie der höchsten Schutzstufe im Datenschutz verpflichtet sind.
- Vereinswesen: Es gibt zahlreiche Vereine mit engem Bezug zum Thema Gesundheit, weil sich beispielsweise Erkrankte oder Angehörige von Kranken zusammenschließen und in dieser Form organisieren. Je nach Umfang der Datenerfassung können auch hier strikte Anforderungen an den Datenschutz gelten.
Was kann ein externer Datenschutzbeauftragter tun?
Im Gesundheitswesen sind vergleichsweise viele „Organisationen“ anzutreffen, die nur wenige Mitglieder oder Mitarbeiter umfassen. Ein typisches Beispiel sind Arztpraxen, häufig zählen sie nicht mehr als vier bis fünf Mitarbeiter. Diese haben üblicherweise hochgradig spezialisierte Ausbildungen durchlaufen. Umfassende Qualifikationen im Datenschutz werden jedoch nur selten erlangt, weshalb es in den meisten Fällen am sinnvollsten ist, kein Risiko einzugehen und einen externen Datenschutzbeauftragten zu bestellen.
Es wird zunächst ein Datenschutzkonzept entwickelt, d.h. alle relevanten Bereiche werden ermittelt und daraufhin die erforderlichen Maßnahmen ableitet. Es wird sichergestellt, dass die Anforderungen an den Datenschutz im Gesundheitswesen fortlaufend erfüllt werden und somit ein hohes Maß an Sicherheit gewährleistet ist. Zugleich werden Haftungsrisiken minimiert, d.h. die Praxis ist besser abgesichert.
Wenn auch Sie im Gesundheitswesen oder in der Gesundheitsbranche tätig sind und nach Möglichkeiten der Absicherung im Gesundheitsdatenschutz suchen, sind Sie bei uns genau richtig. Am besten Sie nehmen direkt Kontakt zu uns auf – wir freuen uns auf Ihre Anfrage.