14.06.2019
Digitalisierung im Gesundheitswesen und Datenschutz – Zwei, die sich gut verstehen?
Jacqueline Neiazy
Director Datenschutz
Digitalstaatsministerin Dorothee Bär gab am 23.12.2018 der Welt am Sonntag ein Interview, in dem sie erklärte, dass die Digitalisierung im Gesundheitswesen unter anderem durch eine Lockerung der datenschutzrechtlichen Vorgaben erreicht werden könne.
„Wir haben in Deutschland mit die strengsten Datenschutzgesetze weltweit und die höchsten Anforderungen an den Schutz der Privatsphäre. Das blockiert viele Entwicklungen im Gesundheitswesen, deshalb müssen wir da auch an der einen oder anderen Stelle abrüsten, einige Regeln streichen und andere lockern“. Insbesondere die Einführung der elektronischen Gesundheitsakte bis 2021 nahm die Staatsministerin dabei in den Blick.
Unabhängig davon, ob tatsächlich ein Kausalzusammenhang zwischen Datenschutz und verlangsamter Digitalisierung besteht, stellt sich die Frage, ob datenschutzrechtliche Vorgaben in Deutschland einfach so „gelockert“ werden können oder überhaupt gelockert werden müssen!
Die Datenschutz-Grundverordnung regelt die Verarbeitung von Gesundheitsdaten an verschiedenen Stellen und ist daher bei allen Überlegungen zur Digitalisierung im Gesundheitswesen zu berücksichtigen. Dieser Artikel soll einen Überblick über die datenschutzrechtlichen Anforderungen der DSGVO im Gesundheitswesen liefern und mögliche Bereiche für eigene nationale Regelungen der Mitgliedstaaten darstellen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Hintergrund: Regelungen zum Gesundheitswesen in der DSGVO
Die DSGVO regelt das Gesundheitswesen nicht ausdrücklich. Ursprünglich war in der DSGVO ein Artikel 81 „Verarbeitung personenbezogener Daten für Gesundheitszwecke“ vorgesehen, dieser entfiel jedoch nach den Beratungen zur letzten Fassung. Dennoch sind in der DSGVO Regelungen enthalten, die sich speziell auf Gesundheitsdaten beziehen und sich damit entscheidend auf die Digitalisierung im Gesundheitswesen auswirken.
Eine Datenverarbeitung, d.h. die Verarbeitung personenbezogener Daten, ist nach der Datenschutz-Grundverordnung grundsätzlich verboten, aber gemäß Artikel 6 Abs.1 lit. (a) zum Beispiel dann erlaubt, wenn der Betroffene in diese Verarbeitung einwilligt. Darüber hinaus ist – neben anderen Erlaubnisgründen – eine Datenverarbeitung auch dann zulässig, wenn eine Abwägung aller beteiligten Interessen zu dem Ergebnis führt, dass eine Datenverarbeitung überwiegenden Interessen (etwa eines Unternehmens) dient. Für Gesundheitsdaten sieht Artikel 9 DSGVO jedoch Spezialregelungen vor. Gesundheitsdaten gelten nach Maßgabe des Artikels 9 als besonders schutzwürdig, weil sie besonders sensibel sind. Ihre Verarbeitung ist daher aufgrund der Sensibilität der Daten nur nach den engen Maßgaben des Artikels 9 Abs. 2 DSGVO in Verbindung mit Artikel 6 DSGVO zulässig.
Die Anwendungsbereiche des Artikels 9 Abs. 2 DSGVO
Unternehmen ist dringend zu raten, die Gesetzgebung der EU und der Mitgliedstaaten genau zu verfolgen, da Artikel 9 Abs. 2 lit. (a) den jeweiligen Gesetzgebern die Möglichkeit gibt, bestimmte Bereiche der Verarbeitung von Gesundheitsdaten „einwilligungsfest“ zu machen. Machen die Gesetzgeber von dieser Möglichkeit Gebrauch, wäre die Verarbeitung von bestimmten Gesundheitsdaten trotz einer Einwilligung unrechtmäßig, da Artikel 9 DSGVO eine vertragliche Grundlage für eine Verarbeitung nicht vorsieht.
Bis zu einer nationalen Regelung bleibt es aber dabei, dass Einwilligungen, die den Voraussetzungen des Artikels 9 DSGVO entsprechen als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten dienen können. Vor allem im Zusammenhang mit der Verwendung von Gesundheitsapps werden solche Einwilligungen relevant.
Gesundheitsapps
Ein wichtiger Anwendungsfall bei der Verarbeitung von Gesundheitsdaten im Bereich der Digitalisierung sind Gesundheitsapps, wie Herzfrequenzmesser oder Sporttracker. Zunächst ermöglicht Artikel 9 Abs. 2 lit. (a) DSGVO die Verarbeitung personenbezogener Daten durch eine Einwilligung des Betroffenen. Dabei ist auf die umfangreichen Informations- und Transparenzpflichten der DSGVO zu achten. Der Betroffene muss zu jeder Zeit wissen, was mit seinen Daten passiert. Ohne seine Einwilligung dürfen Gesundheitsdaten nicht an Dritte (etwa Versicherungen) weitergegeben werden.
Artikel 9 Abs. 2 DSGVO enthält eine Vielzahl von weiteren Erlaubnisnormen, die auch Health-Apps greifen können. Ein Beispiel ist etwa die Sicherung lebenswichtiger Interessen, wenn die betroffene Person nicht mehr in der Lage ist eine Einwilligung zu erteilen (z.B. bei Lokalisierung der betroffenen Person bei einem von einer App angezeigten Herzinfarkt). Allerdings muss für diese Erlaubnisnorm tatsächlich und im konkreten Einzelfall ein lebenswichtiges Interesse betroffen sein. Das dauerhafte Tracken von Daten, die (irgendwann) auch ein lebenswichtiges Interesse betreffen können, ist also nicht zulässig. Ebenso stellt die vorherige offensichtliche Veröffentlichung von Daten durch den Betroffenen (etwa das Posten des infolge regelmäßigen Trainings gesenkten Ruhepulses) eine Erlaubnisnorm dar.
Daneben kommt die Sicherung der individuellen und der öffentlichen Gesundheit als Rechtsgrundlage in Betracht. Die individuelle Gesundheit kann es gebieten, bestimmte Krankheiten und Symptome des Betroffenen fachgerecht zu behandeln und dabei auf die hierfür erforderlichen Daten in der App zurückzugreifen. Die öffentliche Gesundheit erfasst vor allem Fälle von sich ausbreitenden Gesundheitsgefahren wie Epidemien, deren Ausbreitung per App getrackt wird. Die Rechtfertigungsnormen der individuellen und öffentlichen Gesundheit für das Betreiben von Health-Apps leiten zu der damit verbundenen Frage nach der Zulässigkeit der elektronischen Patientenakte nach der DSGVO über. Für die Apps besteht jedenfalls auf der Grundlage der DSGVO ausreichend Legitimation, sodass die Lockerung nationaler Datenschutzvorschriften insoweit nicht notwendig erscheint.
Die elektronische Patientenakte
Sowohl Artikel 9 Abs.2 lit. (h) (individuelle Gesundheit) als auch Artikel 9 Abs. 2 lit. (i) (öffentliche Gesundheitsvorsorge) ermöglichen es den Mitgliedstaaten selbst zu bestimmen, wann die Verarbeitung von Gesundheitsdaten für diese beiden Zwecke erforderlich ist. Damit liegen sog. Öffnungsklauseln vor, bei denen Mitgliedstaaten einen Spielraum zum Erlass eigener nationaler Regelungen haben, ohne gegen die DSGVO zu verstoßen. In diesem Rahmen könnten entsprechende Regelungen im Sozialgesetzbuch V (SGB V) eingeführt werden, die eine elektronische Patientenakte nicht nur im Format einer Gesundheitskarte, sondern auch als App auf dem Smartphone zulassen. Die Öffnungsklauseln der DSGVO und des SGB V ermöglichen damit zwar die Einführung der elektronischen Patientenakte, deren jeweilige Benutzung im Einzelfall muss aber stets von der jeweils zu erteilenden Einwilligung des Patienten (oder den sonstigen Erlaubnisnormen des Artikels 9 Abs. 2 DSGVO) abhängig bleiben. Falls Staatsministerin Bär insoweit von einer Lockerung des Datenschutzes zur Einführung und Nutzung der elektronischen Patientenakte gesprochen hat, bleibt mehr als fraglich ob die Nutzung der Patientenakte ohne Einwilligung des Patienten und außerhalb der Vorgaben des Artikels 9 Abs.2 DSGVO zulässig und mit der DSGVO vereinbar wäre.
Der aktuelle Reformvorschlag zu Artikel 305 Abs.1 SGB V sieht eine solche Einwilligungsbedürftigkeit zur Nutzung der elektronischen Patientenakte ausdrücklich vor. Allerdings ist fraglich, ob nach der vorgeschlagenen Version des Artikels 305 Abs.1 SGB V „Anbieter elektronischer Patientenakten“ nicht das Einwilligungserfordernis unterlaufen könnten, weil der aktuelle Wortlaut des Reformvorschlages eine solche Ausnahme zumindest zulässt, indem er für solche Anbieter einen erleichterten Zugriff ermöglicht. Darin dürfte dann ein Verstoß gegen das Einwilligungserfordernis der DSGVO liegen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Big Data
Big Data Analysen von Gesundheitsdaten erfolgen in unterschiedlichen Anwendungsfällen. Zum Beispiel können solche Analysen ebenfalls der Ausbreitung von Krankheiten entgegenwirken und das bedarfsgerechte Angebot an Arzneimitteln und Medizinprodukten optimieren. Aus beiden Gründen können sie daher unter Umständen auf Artikel 9 Abs.2 lit. (i) DSGVO (Schutz der öffentlichen Gesundheit und der Qualität von Arzneimitteln und Medizinprodukten) gestützt werden. Dabei sind aber stets die Betroffenenrechte, wie das Recht auf Widerruf zu berücksichtigen, das bei Big Data Analysen grundsätzlich schwer umzusetzen ist. Um diesen Herausforderungen zu begegnen, müssen die Grundsätze der Pseudonymisierung und Anonymisierung berücksichtigt werden. Dies gilt auch für den Fall, dass sich die Mitgliedstaaten für die Nutzung der auch hier vorhandenen Öffnungsklauseln entscheiden.
Fazit und Handlungsempfehlung
Gesundheitsdaten stellen nach der Wertung der DSGVO besonders sensible und daher besonders schutzwürdige Daten dar. Unabhängig davon ob diese Daten auf der Grundlage des nationalen Rechts oder der DSGVO selbst verarbeitet werden, ist stets darauf zu achten, dass eine Rechtsgrundlage für ihre Verarbeitung vorliegt. Wenn deren Voraussetzungen in jedem Einzelfall vorliegen und ggf. auch ihre DSGVO-Konformität geprüft wurden, ist auch die Verarbeitung von Gesundheitsdaten in neuen digitalen Anwendungen zulässig.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern