Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO

Im Gesundheitswesen sind medizinische Daten besonders geschützt. Diese umfassen nicht nur persönliche Informationen, sondern fallen gemäß Artikel 9 Absatz 1 der DSGVO in die Kategorie der besonderen Daten.

Dies betrifft nicht nur Gesundheitsdaten, sondern auch die „Verarbeitung von genetischen [und] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person“. Grundsätzlich ist die Erfassung solcher Daten untersagt, es sei denn, es liegen ausdrückliche Einwilligungen oder gesetzliche Erlaubnisse vor, wie in Artikel 9 Absatz 2 der EU DSGVO festgelegt.

Praxis-Übersetzung:
„Besonders geschützt“ heißt nicht, dass Gesundheitsdaten nie verarbeitet werden dürfen – sondern dass Sie klar begründen und besonders gut absichern müssen:

• Wofür werden die Daten benötigt (Zweck)?
• Welche Rechtsgrundlage greift (Art. 6 + Art. 9)?
• Wer darf zugreifen (Rollen/Rechte)?
• Wie lange werden Daten benötigt (Aufbewahrung/Löschung)?
• Wie werden sie geschützt (TOMs, Protokollierung, Schulung)?

DSGVO-Beratung – pragmatisch von Risiko zu Maßnahmenplan

Wenn Sie z. B. neue Tools einführen (Patientenportal, Online-Anamnese, Cloud-Services) oder Audits/Fragen aus der Organisation anstehen, hilft ein klarer Maßnahmenplan: Rechtsgrundlagen, DSFA-Trigger, TOMs, Zuständigkeiten – ohne Overengineering.

Datenschutzberatung anfragen

Gesundheitsdatenschutz: Herausforderungen im Umgang mit medizinischen Daten

Für medizinisches Personal in allen Bereich der Gesundheitsbranche gelten die allgemeinen Grundsätze der DSGVO, jedoch mit verschärften Anforderungen im Umgang mit den Gesundheitsdaten der Patienten. Hier sind drei spezielle Herausforderungen im Gesundheitsdatenschutz zu beachten: ‍

Geeignete Maßnahmen und Folgenabschätzungen

‍Krankenhäuser und Arztpraxen müssen technisch und organisatorisch geeignete Prozesse entwickeln, um Compliance im Healthcare-Bereich zu gewährleisten. Dies erfordert oft spezielles Personal und die Durchführung von Datenschutz-Folgenabschätzungen, da etwa Ärzte oder Pflegepersonal selten auf dem komplexen Gebiet geschult oder bewandert sind.

Praxis-Beispiel: Eine neue Termin-/Anamnesesoftware erfasst Gesundheitsangaben online. Ohne klares Berechtigungskonzept und AV-Vertrag entstehen schnell unnötige Risiken (und offene Fragen bei Betroffenenanfragen).

Verschwiegenheitspflicht und Zusammenarbeit mit Dienstleistern

‍Die Zusammenarbeit mit externen Dienstleistern, auch für digitale Leistungen, erfordert besondere Aufmerksamkeit. Medizinische Daten unterliegen nicht nur der DSGVO, sondern auch der ärztlichen Verschwiegenheitspflicht. In der digitalen Welt betrifft das etwa das Speichern von derartigen Daten auf den Servern Dritter.

Praxis-Beispiel: Ein IT-Dienstleister hat „Admin-Zugriff“ auf Praxisserver. Ohne geregelte Support-Zugriffe (Freigabeprozess, Protokollierung, zeitliche Begrenzung) ist das ein Klassiker für Audit-Findings.

Meldepflichten und Auskunft geben

‍Es gibt Meldepflichten für bestimmte Krankheitsbilder, denen das Gesundheitspersonal anonymisiert und pseudonymisiert nachkommen muss. Die Weitergabe von Informationen an Krankenkassen, Behörden oder Angehörige erfordert eine sorgfältige Prüfung der Berechtigung.

Gerade die Auskunft an Angehörige führt oft zu Konflikten. Sie ist nicht von Grund auf gestattet, wie so oft vorausgesetzt wird. Ärzte dürfen auch Angehörigen nur bei einer Einwilligung des Patienten Auskunft erteilen.

Praxis-Beispiel: Am Telefon fragt ein Angehöriger nach dem Behandlungsstand. Ohne standardisierte Identitätsprüfung und definierte „Was dürfen wir sagen?“-Regeln passieren hier schnell Datenschutzverstöße.

Kurzvergleich: Wo Datenschutz im Gesundheitswesen typischerweise kippt (je Bereich)

Hinweis zur Abgrenzung: Die Tabelle bleibt bewusst auf „Management-Ebene“ und ersetzt keine einrichtungsspezifische Detailanalyse.

Datenschutz-Management mit System (statt Excel und Zuruf)

Für Compliance-Teams wird Datenschutz im Gesundheitswesen deutlich leichter, wenn Aufgaben, Nachweise und Verantwortlichkeiten zentral steuerbar sind (Status, Dokumentation, Workflows, wiederkehrende Pflichten).

Zur Datenschutzsoftware

Welche Daten dürfen im Gesundheitswesen nach DSGVO gespeichert werden?

Gemäß Artikel 4 Nummer 15 der DSGVO umfassen Gesundheitsdaten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen“. Diese dürfen nur mit Einwilligung des Patienten oder gesetzlicher Erlaubnis gespeichert werden. Auch andere personenbezogene Daten wie Name oder Kontaktdaten unterliegen den Bestimmungen der DSGVO und dürfen nur mit rechtlicher Grundlage oder Einwilligung verarbeitet werden.

So wird’s in der Praxis handhabbar (ohne Papier-Tiger):

• Legt pro Prozess fest: Zweck → Datenkategorien → Zugriff → Empfänger → Speicherdauer → TOMs → Rechtsgrundlage.
• Verknüpft das mit eurem Verzeichnis von Verarbeitungstätigkeiten (VVT), damit Betroffenenanfragen, Audits und Vorfälle nicht jedes Mal „bei Null“ starten.

Aufbewahrung & Löschung von Daten im Gesundheitswesen

Gerade im Gesundheitswesen treffen Dokumentationspflichten auf das Prinzip der Speicherbegrenzung. Das führt häufig zu Unsicherheit: „Dürfen wir löschen? Müssen wir aufbewahren? Wer entscheidet das?“

Wenn Sie das Thema sauber lösen wollen, brauchen Sie ein Lösch- und Aufbewahrungskonzept (inkl. Verantwortlichkeiten und Umsetzung in Systemen).

Für den Deep Dive können SIe im Beitrag Aufbwahrungs- und Löschfristen anschließen.

DSFA im Gesundheitswesen: Wann ist sie nötig und wie pragmatisch vorgehen

Eine DSFA ist sinnvoll (und teils erforderlich), wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt – im Gesundheitskontext ist das aufgrund der Sensibilität der Daten besonders häufig ein Thema.

Typische DSFA-Auslöser im Gesundheitswesen (praxisnah)

• Neue Tools/Plattformen zur Erhebung von Gesundheitsangaben (z. B. Online-Anamnese, Patientenportale)
• Umfangreiche Verarbeitung von Gesundheitsdaten (z. B. große Einrichtungen, viele Betroffene, viele Systeme)
• Systematische Auswertungen/Profiling oder riskante Kombinationen von Daten
• Cloud-/Outsourcing-Setups mit komplexen Zugriffsketten oder vielen Dienstleistern

Pragmatischer DSFA-Ablauf in der Gesundheitsbranche in 5 Schritten (ohne Overengineering)

1. Verarbeitung beschreiben (Zweck, Ablauf, Systeme, Datenkategorien, Betroffene)
2. Notwendigkeit & Verhältnismäßigkeit prüfen (Datenminimierung, Zugriffskreise, Alternativen)
3. Risiken identifizieren (z. B. unberechtigter Zugriff, Fehlversand, Datenpannen, unklare Verantwortlichkeiten)
4. Maßnahmen festlegen (TOMs, Rollen/Rechte, Protokollierung, Schulungen, Prozesse, Verträge)
5. Rest-Risiko bewerten & dokumentieren (inkl. Freigabeprozess; ggf. Konsultation)

Ist ein Datenschutzbeauftragter Pflicht?

Die Frage, ob in Arztpraxen, Krankenhäusern oder Apotheken ein Datenschutzbeauftragter erforderlich ist, hängt von verschiedenen Faktoren ab. In Deutschland kann eine Verpflichtung z. B. bestehen, wenn mehr als 20 Personen ständig mit personenbezogenen Daten arbeiten (betrifft nicht nur Patientendaten, sondern auch Beschäftigtendaten). Auch bei Gemeinschaftspraxen kann ein Datenschutzbeauftragter notwendig werden.

Es ist erlaubt, einen externen Datenschutzbeauftragten zu bestellen, um ein effektives Datenschutzmanagement sicherzustellen.

Externer Datenschutzbeauftragter für Gesundheitsdaten

Sie möchten Datenschutz im Gesundheitswesen laufend steuern (VVT, AV-Verträge, DSFA-Routine, Schulungen, Vorfallprozesse) und dabei eine verlässliche Ansprechperson haben – ohne intern zusätzliche Kapazitäten aufzubauen.

Externen Datenschutzbeauftragten anfragen

Wann es sich lohnt, extern oder mit Software zu unterstützen

• Sie möchten Datenschutz nachweisbar steuern (VVT, DSFA, AV-Verträge, TOMs, Mitarbeiterschulungen)
• Sie brauchen klare Zuständigkeiten und einen verlässlichen „Single Point of Contact“
• Sie wollen weniger Risiko bei Audits, Betroffenenanfragen und Datenschutzvorfällen

Weitere Quellen: 

• BFDI
• BDSG