Der besondere Schutz von Gesundheitsdaten durch die DSGVO

Als besonders sensible Daten stehen Gesundheitsdaten unter einem besonderen Schutz der Datenschutzgrundverordnung (DSGVO).

Durchschnittliche Lesezeit: 4 Minuten

Ein Arzt nimmt Gesundheitsdaten einer Patientin auf.

Bei rechtswidriger Verarbeitung oder Datenpannen drohen empfindliche Geldbußen und hohe Ansprüche Betroffener. Lassen Sie sich im Zweifel immer individuell beraten, wenn Sie mit Gesundheitsdaten in Kontakt kommen.

Wie empfindlich die Strafen der Datenschutzbehörden ausfallen können, musste gerade auch ein italienisches Gesundheitsunternehmen feststellen. Denn trotz intensiver Zusammenarbeit mit der Aufsichtsbehörde zahlte es ein Bußgeld in Höhe von 120.000,00 Euro. Hintergrund ist, dass in 48 Fällen versehentlich Gesundheitsdaten an die Hausärzte der Patienten übermittelt wurden – entgegen deren ausdrücklichen Willen. Grund für die rechtswidrige Weitergabe der Daten war ein einfacher Softwarefehler, aufgrund dessen der Patientenwille nicht zutreffend gespeichert wurde. Doch diesen Fehler hätte man im Vorfeld erkennen müssen, so die Begründung der Aufsichtsbehörde für das hohe Bußgeld.

Hohe Anforderungen an die Verarbeitung von Gesundheitsdaten

Art 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten ein. Damit verbunden sind besonders hohe Anforderungen an ihre Verarbeitung. Begründung dafür ist, dass eine unberechtigte Verarbeitung von Gesundheitsdaten oder sogar dem Zugriff Unbefugter auf solche, für den Betroffenen zu nicht wiedergutzumachenden Folgen führen kann. Denn hier steht ein besonders schwerer Eingriff in das Allgemeine Persönlichkeitsrecht aus Art 2 Abs. 1, 1 Abs. 1 Grundgesetz (GG) im Raum. Im Folgenden, klären wir Sie darüber auf, wie mit Gesundheitsdaten zu verfahren ist.

Begriff der Gesundheitsdaten

Eine Definition des Begriffes der Gesundheitsdaten findet sich in Art. 4 Nr. 15 DSGVO. Danach sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Dieses sehr weitreichende Verständnis führt dazu, dass nicht etwa nur ärztliche Diagnosen oder Laborbefunde als Gesundheitsdaten einzustufen sind. Auch Informationen, die mittelbar Rückschlüsse auf den Gesundheitszustand einer Person zulassen, sind dieser Datenkategorie zuzuordnen. So etwa das Tragen einer Brille als Indiz für eine Sehbehinderung oder die Nutzung von Hautpflegeprodukten in Bezug auf das Vorliegen von Hauterkrankungen.

Zulässigkeit der Verarbeitung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Und dies gilt nur dann nicht, wenn einer der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO eingreift (so genanntes Verbot mit Erlaubnisvorbehalt). Ein wesentlicher Zulässigkeitsgrund ist die Einwilligung der betroffenen Person in die Datenverarbeitung. Daneben befindet man sich unternehmensintern häufig im Bereich der Erforderlichkeit der Datenverarbeitung, „damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.“

Erforderlichkeit einer Datenschutz-Folgenabschätzung

Nach Art. 35 Abs. 3b) DSGVO ist bei der umfangreichen Verarbeitung von Gesundheitsdaten eine Datenschutzfolgenabschätzung durchzuführen. Diese nimmt der Verantwortliche gemeinsam mit dem Datenschutzbeauftragten vor. Für den Fall aufsichtsbehördlicher Überprüfungen sollten Sie diesen Vorgang detailliert dokumentieren. Daher sollte eine Datenschutzfolgenabschätzung folgende vier Schritte beinhalten:

Schritt 1: Beschreibung der Verarbeitungsvorgänge und -zwecke

Es ist genau zu dokumentieren, auf welchem Wege und in welchem Umfang die Gesundheitsdaten verarbeitet werden sollen. Beispielsweise wäre anzuführen, dass die Daten gespeichert werden und für wie lange diese Speicherung erfolgt. Ferner ist festzulegen, zu welchem Zweck diese Verarbeitung erfolgt. So beispielsweise zum Zweck einer medizinischen Behandlung oder der Beurteilung, ob ein Mitarbeiter für eine bestimmte Tätigkeit geeignet ist.

Schritt 2: Beurteilung der Verhältnismäßigkeit

Prüfen Sie, inwiefern die Datenverarbeitung geeignet und erforderlich ist, um dem jeweiligen Verarbeitungszweck gerecht zu werden. Dabei spielt es auch eine wichtige Rolle, ob andere Maßnahmen möglich wären, die einen geringeren Eingriff in den Datenschutz des Betroffenen bedeuten würden. Unterlassen Sie jede für den Verarbeitungszweck nicht zwingend erforderliche Verarbeitungstätigkeit. Und verarbeiten Sie nicht mehr Daten als unbedingt benötigt werden (Grundsatz der Datensparsamkeit).

Schritt 2: Risikoanalyse

Inhalt der Risikoanalyse ist die Frage nach der Schwere des Eingriffs in die Rechte der betroffenen Person und das Risiko für diese, durch die Verarbeitung einen Schaden zu erleiden. Dem liegt eine einfache Formel zugrunde: Das Risiko ist das Produkt aus Eintrittswahrscheinlichkeit mal

möglicher Schadenshöhe.

Schritt 4: Maßnahmenplanung

Im letzten Schritt sind Maßnahmen zu eruieren, um das Risiko eines Schadens für den von der Datenverarbeitung Betroffenen zu minimieren. Insbesondere technische und organisatorische Maßnahmen wie technische Sicherheitsvorkehrungen oder Zugriffskonzepte spielen hier eine wichtige Rolle. Daher gilt: Legen Sie ferner fest, wie im Notfallszenario zu verfahren ist, also dem wirklichen Eintritt eines Schadensfalles oder einer Gefährdungslage. Hier bietet sich ein Notfallkonzept und eine klare Verteilung von Verantwortlichkeiten an.

Besondere Sensibilisierung für Gesundheitsdaten

Insgesamt ist ein besonderes Augenmerk auf die Verarbeitung von Gesundheitsdaten zu legen. Zuerst sollten Sie Mitarbeiter und sonstige Beschäftigte besonders sensibilisieren. Der Datenschutzbeauftragte schult Ihr Personal explizit zum Umgang mit Gesundheitsdaten. Machen Sie Ihren Mitarbeitern bewusst, dass unrechtmäßige Verarbeitungen und Datenpannen mitunter besonders schwerwiegende Eingriffe in das Recht des Betroffenen auf Datenschutz darstellen. Und somit auch in das Allgemeines Persönlichkeitsrecht aus Art 2 Abs. 1, 1 Abs. 1 GG.

Gut zu wissen!

Gesundheitsdaten werden durch die Datenschutzgrundverordnung (DSGVO) in besonderem Maße geschützt. Eine unrechtmäßige Nutzung von Gesundheitsdaten stellt einen schwerwiegenden Eingriff in das Allgemeine Persönlichkeitsrecht des Betroffenen dar. Für ihre Verarbeitung bestehen daher besonders strenge Vorgaben. Neben einer Sensibilisierung sämtlicher Mitarbeiter auf dieses Thema, erfordert der Umgang mit Gesundheitsdaten in der Regel eine Datenschutz-Folgenabschätzung.

Inhalte Verbergen

1 Hohe Anforderungen an die Verarbeitung von Gesundheitsdaten

2 Begriff der Gesundheitsdaten

3 Zulässigkeit der Verarbeitung von Gesundheitsdaten

4 Erforderlichkeit einer Datenschutz-Folgenabschätzung

5 Besondere Sensibilisierung für Gesundheitsdaten

Unsere Top-Vorlagen zum Thema

Vertrag Auftragsverarbeitung nach DSGVO

Einwilligung Mitarbeiterfotos DSGVO

Einwilligung Verwendung Mitarbeiterfotos DSGVO

Anlage TOM

Das große Datenschutz-Paket

Bestellung Datenschutzbeauftragter

User suchten auch nach folgenden Themen

darf-der-arbeitgeber-einen-corona-test-verlangen

Arbeitsrecht, Corona Blog

Kann mich der Arbeitgeber zum Corona-Test nach dem Urlaub zwingen?

4 Minuten

Seit Beginn der Corona-Krise gelten für eine Vielzahl von Ländern und Regionen offizielle Reisewarnungen der deutschen Bundesregierung. Auch auf das Arbeitsrecht hat dies bedeutsame Auswirkungen. Besonders, wenn der Urlaub in ein Risikogebiet geführt hat.

Eine Frau hält eine Präsentation in ihrem Vorstellungsgespräch auf Englisch

Arbeitsrecht, Unternehmensmanagement

Vorstellungsgespräch auf Englisch – in 4 Schritten richtig vorbereiten!

4 Minuten

Fremdsprachenkenntnisse gewinnen heutzutage immer mehr an Relevanz. So führen zunehmend internationale Unternehmen das Vorstellungsgespräch auf Englisch durch, nicht zuletzt um die Englischkenntnisse der Bewerber abzufragen.

Eine Kaffeetasse und ein leerer Teller stehen auf einem Tisch.

Arbeitsrecht, Unternehmensmanagement

Gesetzliche Pausenregelung – wann Pausen Pflicht sind und wann Bußgeld droht

4 Minuten

Wie lautet eigentlich die gesetzliche Regelung zu Pausenzeiten und stimmt es, dass die vorgeschriebenen Pausen vom Arbeitgeber nicht vergütet werden müssen? Verschaffen Sie sich Klarheit.

zweiter-lockdown-tipps-fuer-arbeitnehmer

Arbeitsrecht, Corona Blog

Lockdown light nach Weihnachten – Tipps für Arbeitnehmer und -geber

3 Minuten

Ab dem 28. Dezember 2021 soll erneut der so genannte „Lockdown light“ in Kraft treten. Bund und Länder haben angesichts der neuen Omikron-Variante des Corona-Virus schärfere Einschränkungen des privaten und öffentlichen Lebens beschlossen. Was heißt das für Arbeitnehmer und sonstige Beschäftigte? Was muss ich als Arbeitgeber zum Schutz meiner Mitarbeiter beachten?

Eine junge Frau macht ehrenamtliche Arbeit, indem Sie Kindern ein Buch vorliest.

Arbeitsrecht

Ehrenamtliche Arbeit – wann ist Freistellung von der regulären Arbeit möglich?

3 Minuten

Nicht selten kommt es vor, dass Arbeitnehmer neben ihrer regulären Arbeit einer weiteren ehrenamtlichen Tätigkeit nachkommen. Diese kann beispielsweise eine Mitgliedschaft bei der Freiwilligen Feuerwehr sein oder auch die Unterstützung von Organisationen, die sich derzeit für humanitäre Hilfe in der Ukraine einsetzen.

Jetzt anfordern und 5 eur gutschein sichern!*

Der kostenlose Formblitz-Newsletter

Der besondere Schutz von Gesundheitsdaten durch die DSGVO

Hohe Anforderungen an die Verarbeitung von Gesundheitsdaten

Begriff der Gesundheitsdaten

Zulässigkeit der Verarbeitung von Gesundheitsdaten

Erforderlichkeit einer Datenschutz-Folgenabschätzung

Besondere Sensibilisierung für Gesundheitsdaten

Unsere Top-Vorlagen zum Thema

User suchten auch nach folgenden Themen