Bei rechtswidriger Verarbeitung oder Datenpannen drohen empfindliche Geldbußen und hohe Ansprüche Betroffener. Lassen Sie sich im Zweifel immer individuell beraten, wenn Sie mit Gesundheitsdaten in Kontakt kommen.
Wie empfindlich die Strafen der Datenschutzbehörden ausfallen können, musste gerade auch ein italienisches Gesundheitsunternehmen feststellen. Denn trotz intensiver Zusammenarbeit mit der Aufsichtsbehörde zahlte es ein Bußgeld in Höhe von 120.000,00 Euro. Hintergrund ist, dass in 48 Fällen versehentlich Gesundheitsdaten an die Hausärzte der Patienten übermittelt wurden – entgegen deren ausdrücklichen Willen. Grund für die rechtswidrige Weitergabe der Daten war ein einfacher Softwarefehler, aufgrund dessen der Patientenwille nicht zutreffend gespeichert wurde. Doch diesen Fehler hätte man im Vorfeld erkennen müssen, so die Begründung der Aufsichtsbehörde für das hohe Bußgeld.
Hohe Anforderungen an die Verarbeitung von Gesundheitsdaten
Art 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten ein. Damit verbunden sind besonders hohe Anforderungen an ihre Verarbeitung. Begründung dafür ist, dass eine unberechtigte Verarbeitung von Gesundheitsdaten oder sogar dem Zugriff Unbefugter auf solche, für den Betroffenen zu nicht wiedergutzumachenden Folgen führen kann. Denn hier steht ein besonders schwerer Eingriff in das Allgemeine Persönlichkeitsrecht aus Art 2 Abs. 1, 1 Abs. 1 Grundgesetz (GG) im Raum. Im Folgenden, klären wir Sie darüber auf, wie mit Gesundheitsdaten zu verfahren ist.
Begriff der Gesundheitsdaten
Eine Definition des Begriffes der Gesundheitsdaten findet sich in Art. 4 Nr. 15 DSGVO. Danach sind Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Dieses sehr weitreichende Verständnis führt dazu, dass nicht etwa nur ärztliche Diagnosen oder Laborbefunde als Gesundheitsdaten einzustufen sind. Auch Informationen, die mittelbar Rückschlüsse auf den Gesundheitszustand einer Person zulassen, sind dieser Datenkategorie zuzuordnen. So etwa das Tragen einer Brille als Indiz für eine Sehbehinderung oder die Nutzung von Hautpflegeprodukten in Bezug auf das Vorliegen von Hauterkrankungen.
Zulässigkeit der Verarbeitung von Gesundheitsdaten
Die Verarbeitung von Gesundheitsdaten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Und dies gilt nur dann nicht, wenn einer der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO eingreift (so genanntes Verbot mit Erlaubnisvorbehalt). Ein wesentlicher Zulässigkeitsgrund ist die Einwilligung der betroffenen Person in die Datenverarbeitung. Daneben befindet man sich unternehmensintern häufig im Bereich der Erforderlichkeit der Datenverarbeitung, „damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.“
Erforderlichkeit einer Datenschutz-Folgenabschätzung
Nach Art. 35 Abs. 3b) DSGVO ist bei der umfangreichen Verarbeitung von Gesundheitsdaten eine Datenschutzfolgenabschätzung durchzuführen. Diese nimmt der Verantwortliche gemeinsam mit dem Datenschutzbeauftragten vor. Für den Fall aufsichtsbehördlicher Überprüfungen sollten Sie diesen Vorgang detailliert dokumentieren. Daher sollte eine Datenschutzfolgenabschätzung folgende vier Schritte beinhalten:
- Schritt 1: Beschreibung der Verarbeitungsvorgänge und -zwecke
Es ist genau zu dokumentieren, auf welchem Wege und in welchem Umfang die Gesundheitsdaten verarbeitet werden sollen. Beispielsweise wäre anzuführen, dass die Daten gespeichert werden und für wie lange diese Speicherung erfolgt. Ferner ist festzulegen, zu welchem Zweck diese Verarbeitung erfolgt. So beispielsweise zum Zweck einer medizinischen Behandlung oder der Beurteilung, ob ein Mitarbeiter für eine bestimmte Tätigkeit geeignet ist.
- Schritt 2: Beurteilung der Verhältnismäßigkeit
Prüfen Sie, inwiefern die Datenverarbeitung geeignet und erforderlich ist, um dem jeweiligen Verarbeitungszweck gerecht zu werden. Dabei spielt es auch eine wichtige Rolle, ob andere Maßnahmen möglich wären, die einen geringeren Eingriff in den Datenschutz des Betroffenen bedeuten würden. Unterlassen Sie jede für den Verarbeitungszweck nicht zwingend erforderliche Verarbeitungstätigkeit. Und verarbeiten Sie nicht mehr Daten als unbedingt benötigt werden (Grundsatz der Datensparsamkeit).
- Schritt 2: Risikoanalyse
möglicher Schadenshöhe.
- Schritt 4: Maßnahmenplanung
Im letzten Schritt sind Maßnahmen zu eruieren, um das Risiko eines Schadens für den von der Datenverarbeitung Betroffenen zu minimieren. Insbesondere technische und organisatorische Maßnahmen wie technische Sicherheitsvorkehrungen oder Zugriffskonzepte spielen hier eine wichtige Rolle. Daher gilt: Legen Sie ferner fest, wie im Notfallszenario zu verfahren ist, also dem wirklichen Eintritt eines Schadensfalles oder einer Gefährdungslage. Hier bietet sich ein Notfallkonzept und eine klare Verteilung von Verantwortlichkeiten an.
Besondere Sensibilisierung für Gesundheitsdaten
Insgesamt ist ein besonderes Augenmerk auf die Verarbeitung von Gesundheitsdaten zu legen. Zuerst sollten Sie Mitarbeiter und sonstige Beschäftigte besonders sensibilisieren. Der Datenschutzbeauftragte schult Ihr Personal explizit zum Umgang mit Gesundheitsdaten. Machen Sie Ihren Mitarbeitern bewusst, dass unrechtmäßige Verarbeitungen und Datenpannen mitunter besonders schwerwiegende Eingriffe in das Recht des Betroffenen auf Datenschutz darstellen. Und somit auch in das Allgemeines Persönlichkeitsrecht aus Art 2 Abs. 1, 1 Abs. 1 GG.