Bei der Verarbeitung von personenbezogenen Daten innerhalb des Gesundheitswesens ist besondere Vorsicht angebracht. Sobald ein Gesundheitsbezug besteht bzw. Gesundheitsdaten mit Personendaten verknüpft werden, gelten striktere Anforderungen an den Datenschutz. Arztpraxen, Unternehmen und andere Organisationen, die im Gesundheitswesen tätig sind, müssen sich daher mit dem Gesundheitsdatenschutz befassen.
Was ist Gesundheitsdatenschutz?
Personenbezogene Daten, die außerdem über einen Gesundheitsbezug verfügen, werden als „besondere Arten von personenbezogenen Daten“ eingestuft und unterliegen damit der höchsten Stufe im Datenschutz.
Der Begriff „Gesundheitsdatenschutz“ ist allerdings nicht im Bundesdatenschutzgesetzt verankert. Vielmehr handelt es sich um eine allgemeine Bezeichnung, die schlichtweg deutlich machen soll, dass es um den Schutz von personenbezogenen Daten mit Gesundheitsbezug geht und somit besondere Vorsicht angebracht ist.
Weil der Gesundheitsdatenschutz jedoch nicht explizit im Gesetz behandelt wird, gelten die allgemeinen Regelungen des Datenschutzes – insbesondere im Zusammenhang mit dem Schutz „besonderer Arten von personenbezogenen Daten.“
Warum muss es Datenschutz im Gesundeitswesen geben?
Konzepte und Schutzmaßnahmen werden geschaffen, um die Privatsphäre der Betroffenen zu wahren. Sollten personenbezogene Daten in die falschen Hände geraten, kann dies für betroffene Personen äußerst unangenehme Konsequenzen haben. Handelt es sich um Daten mit Gesundheitsbezug ist das Gefahrenpotential noch größer, weil die Personen, die Zugriff auf diese Daten haben, z.B. über Erkrankungen oder andere gesundheitliche Auffälligkeiten Bescheid wissen.
Eine der wichtigsten Aufgaben im Gesundheitsdatenschutz besteht deshalb darin, alle Personen, die relevante Daten erheben oder verarbeiten, entsprechend zu sensibilisieren. Egal ob Arzt, Arzthelfer oder Praktikant: Alle müssen sich ihrer Verantwortung bewusst sein und zugleich wissen, wie sie mit den Daten umzugehen haben, damit sich keine Verstöße gegen die Datenschutzbestimmungen ereignen.
In Anbetracht dieser Tragweite werden selbst in kleinen Organisationen, wie zum Beispiel Arztpraxen, vergleichsweise umfassende Datenschutzkonzepte entwickelt und umgesetzt. Weil das erforderliche Knowhow nur selten unmittelbar zur Verfügung steht, wird in den allermeisten Fällen die Entscheidung getroffen, einen Datenschutzbeauftragten zu bestellen.
Gesundheitsdatenschutz außerhalb des Gesundheitswesens
Das Gesundheitswesen besteht primär aus Experten, die Patienten medizinisch betreuen. Hinzu kommen Spezialisten, die für die Versorgung mit Medikamenten verantwortlich sind sowie im weiteren Sinne auch Einrichtungen, die forschen und Wirkstoffe entwickeln.
Aber nicht nur dort werden Personendaten mit Gesundheitsbezug erfasst und verarbeitet. Neben dem Gesundheitswesen existiert die Gesundheitsbranche, in der ebenfalls sensible Daten erfasst und verarbeitet werden. Selbstverständlich muss auch dort ein strenger Datenschutz gelten. Nachfolgend möchten wir anhand von drei Beispielen verdeutlichen, wie breit das Spektrum an Unternehmen und Organisationen ist, die ebenfalls dem Gesundheitsdatenschutz verpflichtet sind.
- Handel mit Gesundheitsartikeln: Selbst wenn gar keine Medikamente verkauft werden, sondern beispielsweise nur Sanitätsartikel, werden oftmals personenbezogene Kundendaten erfasst, die ergänzend einen Gesundheitsbezug aufweisen.
- Digitale Services: Fitness-Apps, Fitness-Tracker und ähnliche Angebote erfreuen sich einer immens großen Beliebtheit. Startups und andere Unternehmen, die entsprechende Daten von ihren Kunden erfassen, sollten genau prüfen, ob sie der höchsten Schutzstufe im Datenschutz verpflichtet sind.
- Vereinswesen: Es gibt zahlreiche Vereine mit engem Bezug zum Thema Gesundheit, weil sich beispielsweise Erkrankte oder Angehörige von Kranken zusammenschließen und in dieser Form organisieren. Je nach Umfang der Datenerfassung können auch hier strikte Anforderungen an den Datenschutz gelten.
Es wurde bereits angedeutet, dass im Gesundheitswesen vergleichsweise viele „Organisationen“ anzutreffen sind, die nur wenige Mitglieder oder Mitarbeiter umfassen. Ein sehr typisches Beispiel sind Arztpraxen, häufig zählen sie nicht mehr als vier bis fünf Mitarbeiter. Diese haben wiederum hochgradig spezialisierte Ausbildungen durchlaufen. Umfassende Qualifikationen im Datenschutz werden jedoch nur selten erlangt, weshalb es in den meisten Fällen am sinnvollsten ist, kein Risiko einzugehen und deshalb einen externen Datenschutzbeauftragten zu bestellen.
Es wird zunächst ein Datenschutzkonzept entwickeln, d.h. alle relevanten Bereiche ermitteln und daraufhin die erforderlichen Maßnahmen ableiten. Es wird sichergestellt, dass die Anforderungen an den Gesundheitsdatenschutz fortlaufend erfüllt werden und somit ein hohes Maß an Sicherheit gewährleistet ist. Zugleich übernimmt er auch die Haftung, d.h. die Praxis selbst ist vollständig abgesichert.