Datenschutz-Grundverordnung im Mittelstand

DSGVO verändert die Gesundheitsbranche

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die Datenschutz-Grundverordnung (DSGVO) hat den Bedarf an erhöhtem Schutz für Gesundheitsdaten erkannt und führt Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten.
Die Datenschutz-Grundverordnung (DSGVO) hat den Bedarf an erhöhtem Schutz für Gesundheitsdaten erkannt und führt Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten. (© Kurhan - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) zählt Gesundheitsdaten und genetische Daten zu den besonderen Kategorien personenbezogener Daten, für die spezielle Vorschriften bestehen. Wer im weiten Feld des Gesundheitswesens tätig ist, muss sich insbesondere die Themen Einwilligung, Datensicherheit, automatisierte Entscheidungen und Datenschutz-Folgenabschätzung ganz genau ansehen.

Der weltweite Gesundheitsmarkt wächst in 2018, es ist das Jahr der digitalen Gesundheitstechnologien, wie künstliche Intelligenz (KI), das Internet der Dinge in der Medizin, Big Data Analytics und Robotertechnik, so die Marktforscher von Frost & Sullivan. Das „as-a-Service“ Modell soll neue Einkommensquellen schaffen, die Cloud wird zur wichtigsten Plattform, da sämtliche Beteiligte im Gesundheitswesen ihre Speicherflexibilität ausbauen müssen. Gleichzeitig sehen die Marktforscher, dass sich die Anzahl entsprechender Cyber-Angriffe in 2018 voraussichtlich verdoppeln wird.

Auch der Digitalverband Bitkom sieht den Markt für Digital Health mit großem Wachstumspotenzial (pdf). Gesundheits-Apps, Online-Terminvereinbarungen, Online-Sprechstunden und die digitale Kommunikation der Patienten mit Ärzten und Krankenhäusern sind deutliche Zeichen dafür. Der Bedarf an erhöhtem Schutz für die Gesundheitsdaten liegt auf der Hand. Dies sieht auch die Datenschutz-Grundverordnung (DSGVO) so, denn sie führt genetische Daten und Gesundheitsdaten unter den besonderen Kategorien personenbezogener Daten auf.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

09.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf. lesen

Besondere Daten brauchen besonderen Schutz

Für die Verarbeitung besonderer Kategorien personenbezogener Daten hat die DSGVO auf den ersten Blick eine Überraschung im Gepäck: Man findet in Artikel 9 DSGVO, dass „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt ist“. Das klingt nach dem Ende von E-Health, ganz so ist es aber nicht.

Der Datenschutz versteht sich generell als „Verbot mit Erlaubnisvorbehalt“, wie im Fall der besonderen Kategorien personenbezogener Daten nochmals deutlich wird. Es gibt also Ausnahmen von dem Verbot. Eine wesentliche Ausnahme kann das Vorliegen der Einwilligung der Patientin oder des Patienten sein. Die Einwilligung darf aber nicht „nebenbei“ erfolgen, die DSGVO nennt als eine mögliche Voraussetzung einer Verarbeitung von Gesundheitsdaten: „Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt“. Dabei ist es wichtig, dass diese Einwilligung auch nachweisbar dokumentiert wird.

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was KMU jetzt für die DSGVO unbedingt noch tun müssen

19.01.18 - Viele Unternehmen haben Schwierigkeiten mit der Umsetzung der DSGVO, das gilt für kleine und mittlere Unternehmen (KMU) ganz besonders. Weil aber bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammen kommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss. lesen

Gibt es keine anderen Erlaubnistatbestände (rechtliche Grundlagen für die Verarbeitung), müssen Anbieter in der Gesundheitsbranche die Patienten nach ihrer Einwilligung fragen und sie dabei umfassend und klar informieren und zwar über die genau festgelegten Zwecke. Zweckänderungen, wie sie bei den eingangs als Wachstumstreiber für E-Health genannten Big-Data-Analysen auftreten können, sind also nicht ohne weiteres möglich. Was auch aus ethischen Gründen bei medizinischen Big-Data-Analysen beachtet werden soll, hat der Deutsche Ethikrat veröffentlicht.

Gesundheitsbranche muss erhöhte Anforderungen erfüllen

Sieht man sich weitere Vorgaben aus der DSGVO mit Bezug auf die Verarbeitung besonderer Kategorien personenbezogener Daten an, stellt man unter anderem fest:

  • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten muss ein Datenschutzbeauftragter bestellt werden.
  • Automatisierte Entscheidungen im Einzelfall einschließlich Profiling dürfen nur in definierten Fällen (Artikel 22 DSGVO) auf besonderen Kategorien personenbezogener Daten beruhen, was erneut die Big-Data-Analysen im Gesundheitswesen betrifft.
  • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten ist eine Datenschutz-Folgenabschätzung erforderlich.
  • Es versteht sich, dass die Sicherheit der Verarbeitung bei besonderen Kategorien personenbezogener Daten höheren Ansprüchen genügen muss, da die Maßnahmen insbesondere unter Berücksichtigung der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen auszuwählen sind.

Anbieter in der Gesundheitsbranche sollten somit für die Umstellung auf die DSGVO nochmals genau prüfen, wie es um die Bestellung eines Datenschutzbeauftragten, um mögliche Datenanalysen, um Datenschutz-Folgenabschätzungen sowie um ihre Datensicherheit steht.

Was Industrieunternehmen für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Industrieunternehmen für die DSGVO noch tun müssen

05.02.18 - Kein Unternehmen sollte glauben, von der Datenschutz-Grundverordnung höchstens am Rande betroffen zu sein. Auch die Industriebranchen verarbeiten personenbezogene Daten in großem Umfang. Dabei geht es nicht nur um die Daten der Kunden, Lieferanten und Mitarbeiter, es geht auch um die Maschinendaten, die durchaus einen Personenbezug haben können, wie ein Blick in die DSGVO zeigt. lesen

Zusatzhinweis: Arztwechsel und das Recht auf Datenportabilität

Auf einen weiteren Punkt sei noch hingewiesen: Die Aufsichtsbehörden haben in der Vergangenheit gerade bei Fällen, bei denen Praxen an einen neuen Arzt übergeben wurden oder bei denen Patienten die Arztpraxis gewechselt haben, Versäumnisse festgestellt. Deshalb sei daran erinnert, dass es auch im Gesundheitswesen ein Recht auf Datenübertragbarkeit mit der DSGVO gibt, wenn die Verarbeitung auf einer Einwilligung beruht und automatisiert erfolgt. Der Patient oder die Patientin hat also ein Recht auf die eigenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“. Kopierte Arztbriefe reichen also nicht.

Was Online-Shops für die DSGVO noch tun müssen

Datenschutz-Grundverordnung im Mittelstand

Was Online-Shops für die DSGVO noch tun müssen

13.03.18 - Online-Händler beobachten besorgt die Entwicklung rund um die E-Privacy-Verordnung. Doch auch die Datenschutz-Grundverordnung (DSGVO / GDPR) hält Aufgaben bereit, die Online-Shop-Betreiber angehen müssen. Viele Datenschutz-Maßnahmen stehen auch dann an, wenn die Webshop-Lösung nicht als Cloud-Dienst bezogen wird, sondern auf eigenen Servern des Online-Händlers läuft. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45237495 / Compliance und Datenschutz )