von Niroshann A. George und Emre Akduman
Aufgrund der Tatsache, dass Gesundheitsdaten besonders sensible Daten sind und somit umfassend geschützt werden müssen, spielt der Datenschutz gerade im Gesundheitsbereich eine zentrale Rolle.
Im folgenden Artikel erläutern wir Ihnen die wichtigsten Punkte zum Thema Datenschutz und Datenverarbeitung im Gesundheitswesen.
Was sind Gesundheitsdaten?
Der Datenschutz umfasst mehrere Branchen, jedoch liegt ein wichtiger Schwerpunkt des Datenschutzes im Gesundheitswesen. Informationen über den Gesundheitszustand einer Person sind Gesundheitsdaten und stellen daher eine besondere Art von personenbezogenen Daten dar. Unter Gesundheitsdaten fallen beispielsweise Diagnosen, medizinische Befunde, Laboruntersuchungen oder auch der Gesundheitsstatus/-zustand des Patienten.
Datenpannen, die insbesondere den Verlust von personenbezogenen Daten betreffen, häufen sich in letzter Zeit.
(Wie sicher sind unsere Gesundheitsdaten? (keyed.de) , 2022)
Datenpanne mit Patientendaten in griechischer Poliklinik
Erst vor kurzem ereignete sich eine Datenpanne in Griechenland.
So fehlten beispielsweise entsprechende Patientendaten, die durch die Klinik zuvor erhoben und digital hinterlegt worden sind.
Diese Datenpanne wurde zudem den entsprechenden Aufsichtsbehörden nicht innerhalb der vorgesehenen 72 Stundenfrist gemeldet, sodass gegen die Poliklinik ein hohes Bußgeld verhängt wurde.
Der ganze Sachverhalt kam zum Vorschein, als ein griechischer Patient gegenüber einem Diagnosezentrum einer Poliklinik von seinem Auskunftsrecht gem. Art. 15 DSGVO Gebrauch machte.
Die Poliklinik erteilt dem Patienten allerdings die entsprechende Auskunft über seine hinterlegten Daten nicht. Daraufhin beschwerte sich der Patient bei der zuständigen Aufsichtsbehörde.
Im Untersuchungsverfahren stellte sich heraus, dass das Diagnosezentrum über keine ausreichenden technischen und organisatorischen Maßnahmen (TOM) verfügte.
Durch diesen Umstand konnte kein angemessenes Schutz- und Sicherheitsniveau i.S.d Art. 32 DSGVO bzgl. der personenbezogenen Daten gewährleistet werden.
Laut den Aufsichtsbehörden wurde durch die fehlende Speichermöglichkeit gegen den Grundsatz der Verfügbarkeit von Daten i.S.d. Art. 32 Abs. 1 lit. C DSGVO verstoßen.
Dementsprechend sahen sich die Aufsichtsbehörden gezwungen, den Vorfall zugleich als Verstoß gegen Art. 33 DSGVO zu werten.
Begründet wurde dieses Vorgehen damit, dass das Diagnosezentrum und damit letztlich die Polyklinik Ihrer Meldepflicht nicht nachgekommen sei.
Das Diagnosezentrum bzw. die Poliklinik wäre dazu angehalten gewesen, eine Datenpanne innerhalb von 72 Stunden an die entsprechende Aufsichtsbehörde zu melden.
Dies ist nachweislich nicht geschehen.
Daher wurde gegen die Poliklinik mit dieser Begründung ein Bußgeld in Höhe von 30.000 € verhängt.
(https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-august-2022/, 2022)
Sichere Verarbeitung von Gesundheitsdaten
Gesundheitsdaten dürfen grundsätzlich nicht verarbeitet werden.
Es gilt ein Verarbeitungsverbot von sensiblen Daten, worunter auch die Gesundheitsdaten fallen.
Demzufolge verdienen besonders sensible Daten einen besonderen Schutz, da es mit der Verarbeitung dieser Daten zu schwerwiegenden Beeinträchtigungen der Grundrechte & Grundfreiheiten kommen kann.
Jedoch sieht Art. 9 Abs. 2 lit. H DSGVO auch Ausnahmefälle vom Verarbeitungsverbot vor. Eine solche Ausnahme gilt beispielsweise, wenn die Daten zum Zwecke der medizinischen Diagnostik und der Versorgung oder Behandlung im Gesundheitsbereich benötigt werden. Auch bei der Verwaltung von Systemen und Diensten im Gesundheitsbereich kann die Ausnahme in Kraft treten.
In der Regel werden bei Verarbeitungen von Gesundheitsdaten einige technische Maßnahmen aus dem Bereich der Verschlüsselung eingesetzt. So werden oftmals in Anwendungen keine Daten in Klartext gespeichert, sondern nur „gehasht” – also pseudonymisiert.
(https://www.isico-datenschutz.de/blog/gesundheitswesen-datenschutzmanagement/ , 2022)
Fazit
Dieser Fall verdeutlicht noch einmal, wie wichtig die richtige Aufbewahrung von personenbezogenen Daten, Sozialdaten sowie insbesondere Patientendaten, ist.
Patientendaten fallen als sensible Daten unter die besonders wichtige Kategorie von personenbezogenen Daten. Weiterhin zeigt der Fall, welche finanziellen Auswirkungen ein Fehlverhalten bzgl. der Versäumung der Meldefrist bei Datenpannen hervorrufen kann.