Gesundheitsdaten: Besonderheiten im Umgang mit Risiken
Geschrieben von Alexander Hönsch, veröffentlicht am 01.11.2019Gesundheitsdaten und Patientendaten sind nach der DSGVO sensible Daten und folgerichtig besonders schützenswert. Welche Besonderheiten dabei zu beachten und welche Maßnahmen zu ihrem Schutz zu ergreifen sind, erfahren Sie in diesem Beitrag.
Rechtliche Einordnung
Art. 9 Abs. 1 DSGVO besagt, dass die Verarbeitung sensibler Daten, dem Wortlaut des Gesetzes nach „besondere Kategorien personenbezogener Daten“, grundsätzlich untersagt ist (sog. generelles Verarbeitungsverbot). Hierunter fallen auch Gesundheits- und somit Patientendaten. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur ausnahmsweise erlaubt, wenn eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmetatbestände vorliegt.
Danach sind Ausnahmen zum Verarbeitungsverbot beispielsweise die ausdrückliche Einwilligung des Betroffenen, die Verarbeitung im Interesse der öffentlichen Gesundheit oder die Verarbeitung zum Schutz lebenswichtiger Interessen. Im Bereich der Gesundheitsvorsorge oder Arbeitsmedizin gibt es sogar noch eine zusätzliche Schranke zu beachten. Denn gem. Art. 9 Abs. 3 DSGVO ist eine Verarbeitung für diese Zwecke nur erlaubt, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden. Hieraus wird deutlich, dass Gesundheitsdaten gegenüber anderen besonderen Kategorien personenbezogener Daten, wie zum Beispiel Gewerkschaftszugehörigkeit oder politische Meinungen, strengeren Anforderungen unterliegen. Das hat einen einfachen Grund, denn wenn Gesundheitsdaten in falsche Hände gelangen, ist das Risiko für die Rechte und Freiheiten der Betroffenen besonders hoch – und das dies geschieht, ist keine Seltenheit.
Vorfälle und Datenpannen im Gesundheitssektor
Obwohl der Gesetzgeber höhere Anforderungen an die Verarbeitung sensibler Daten geknüpft hat, häufen sich Fälle, in denen Unbefugte an sensible Daten gelangen. Der Grund hierfür ist in der Regel eine unzureichende Sicherheitsinfrastruktur.
Aus einem Bericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Prof. Dr. Dieter Kugelmann, geht z.B. hervor wie verwundbar Krankenhäuser mit der zunehmenden Digitalisierung ihrer Abläufe werden und welchen Risiken ihre IT-Strukturen und Behandlungsprozesse dabei ausgesetzt sind. Anlass zum Erstellen dieses Berichts war ein Sicherheitsvorfall in den Einrichtungen der DRK Trägergesellschaft Südwest. Die Einrichtung war Ziel eines Angriffs mit Schadsoftware, was zu einer weitreichenden Beeinträchtigung des Krankenhausbetriebs führte. Die Arbeit in der Klinik, vor allem die Versorgung der Patienten, wurde auf diese Weise massiv beeinträchtigt und zum Teil unmöglich gemacht.
Außerdem wurde Mitte des Jahres ein Notebook mit rund 5.000 Patientendaten aus der Orthopädischen Klinik Hessisch Lichtenau entwendet. Dieser Datensatz enthielt nicht nur Name, Geschlecht und Geburtsdatum sondern auch Informationen zur medizinischen Behandlung des jeweiligen Patienten.
Wenig später wurde aufgrund von Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica bekannt, dass Datensätze von weltweit mehreren Millionen Patienten auf ungeschützten Servern gespeichert wurden und somit über einen längeren Zeitraum theoretisch für jedermann zugänglich waren.
Geeignete Schutz- und Präventionsmaßnahmen
Um sensible Daten vor unrechtmäßigem Zugriff oder Abhandenkommen zu schützen ist es unbedingt erforderlich ein aktuelles, das heißt ein „dem letzten Stand der Technik“ entsprechendes IT-Sicherheits– und Datenschutzkonzept zu implementieren. Hierzu gehören nicht nur technische Maßnahmen gem. Art. 32 DSGVO sondern auch organisatorische, wie etwa die Sensibilisierung des Fachpersonals auf die Besonderheiten im Umgang mit besonderen Kategorien personenbezogener Daten. Im Zuge dieser Schulungen empfiehlt es sich das Fachpersonal auf die Vertraulichkeit im Umgang mit sensiblen Daten zu verpflichten und auch beide Maßnahmen einmal jährlich zu wiederholen und zu dokumentieren.
Auch eine Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO ist in diesem Zusammenhang nicht nur empfehlenswert, sondern nach Art. 35 Abs. 3 lit. b) DSGVO gesetzlich angezeigt, sofern eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten stattfindet. Eine Datenschutz-Folgenabschätzung durchzuführen ist unter anderem auch deshalb ratsam, weil man sich dadurch bereits im Vorfeld mit den Risiken der geplanten Verarbeitung auseinandersetzt und angemessene Schutzmaßnahmen planen kann.
Fazit
Wer Gesundheitsdaten verarbeitet ist einem höheren Risiko ausgesetzt, Ziel von Angriffen zu werden. Darauf müssen sich die Verantwortlichen einstellen und vorbereiten. Hierzu empfehlen wir immer die Implementierung eines ausgeklügelten IT-Sicherheits- und Datenschutz-Konzepts sowie eine umfangreiche Sensibilisierung des Fachpersonals. Zur richtigen Einordnung des Risikos und zur zielgenauen Definition von erforderlichen Maßnahmen ist zudem eine Datenschutz-Folgenabschätzung durchzuführen – nur so können Sie dem Risiko ein angemessenes Schutzniveau gegenüberstellen.
Falls Sie Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung benötigen, stehen wir Ihnen gerne zur Verfügung.