Ihre Experten für Datenschutz im Gesundheitswesen

Dem Datenschutz im Gesundheitswesen kommt eine besondere Bedeutung zu. Gesundheitsdaten sind aufgrund ihrer Sensibilität gut zu schützen. Für einen ausreichenden Schutz ist eine dem Stand der Technik entsprechende Datensicherheit essenziell. Ein Zusammenspiel aus technischen und organisatorischen Maßnahmen kann Ihrem Unternehmen die Einhaltung der Vorgaben des Datenschutzrechts und der DSGVO ermöglichen. Verarbeitungen in der Gesundheitsbranche sind aufgrund der Natur der Sache tendenziell risikobehaftet und können auch Datenschutz-Folgenabschätzungen erfordern.

Seit Anwendbarkeit der DSGVO geraten Krankenhäuser und Arztpraxen immer wieder in den Fokus von Aufsichtsbehörden. Es sind mehrere Fälle bekannt, in denen Patientendaten nicht hinreichend geschützt wurden. Wertet man die Vorfälle aus, zeichnet sich folgendes Bild ab: Entweder haben die eingesetzten Datenbanken, Systeme und Anwendungen keine ausreichenden Schutzvorkehrungen, sodass sie zum Gegenstand von Hacker-Angriffen werden und die Angreifer eine große Zahl an Patientendaten erbeuten. Oder es liegt kein geeignetes und angemessenes Berechtigungskonzept vor, sodass zu viele Mitarbeiter des Verantwortlichen Zugriff auf sensible Informationen haben.

Eine unrechtmäßige Verarbeitung von Gesundheitsdaten kann schwerwiegende Folgen für betroffene Personen haben. EG 75 DSGVO spricht hier von physischen, materiellen oder immateriellen Schäden. Es sind Risiken denkbar, die von einer Rufschädigung oder Diskriminierung bis hin zu einer Gefährdung der Gesundheit oder des Lebens von Patienten reichen. Es genügt, sich vor Augen zu führen, welche dramatischen Folgen eine Manipulation des Medikamentenplans eines Patienten haben könnte. Oder das erfolgreiche Aufsetzen eines Verschlüsselungs-Trojaners, sodass wichtige Informationen zur Versorgung von Patienten nicht mehr zugänglich sind.

Es steht viel mehr auf dem Spiel als „abstrakte“ personenbezogene Daten. Jedes Datum hat seine eigene Bedeutung und Wichtigkeit. Bereits bestehende, aber auch neue Systeme und Anwendungen müssen aus der Perspektive des Datenschutzes und der Informationssicherheit kritisch betrachtet werden. Die Risiken der Verarbeitung müssen sorgfältig herausgearbeitet werden, damit geeignete und angemessene technische und organisatorische Maßnahmen implementiert werden können.

Aber nicht nur primär medizinische Einrichtungen tragen diese Verantwortung. Auch Pharma-Unternehmen, die für die Entwicklung von Medikamenten und Heilmitteln Gesundheitsdaten verarbeiten sind gleichermaßen verpflichtet, für einen angemessenen Schutz zu sorgen. Oder Unternehmen, die Produkte und Dienstleistungen anbieten, bei denen die Verarbeitung von Gesundheitsdaten einen wichtigen Bestandteil darstellt. Dies können bspw. Hersteller von Sportgeräten und Sportartikeln, Lebensmittelunternehmen, Ernährungsberater oder Fitness-Studios sein. Auch solche Unternehmen sind dazu verpflichtet, Gesundheitsdaten, die sie für ihre Zwecke benötigen, rechtmäßig zu verarbeiten und hinreichend zu schützen.

Selbst Hersteller von elektronischen Geräten (Smartwatches, Fitness-Armbänder etc.) sowie Software-Hersteller müssen bereits in der Produktentwicklung datenschutzrechtliche Erwägungen einfließen lassen. Gemeint sind hier die Anforderungen an Privacy by Design und Privacy by Default aus Art. 25 DSGVO. Anwendungen, die Gesundheitsdaten verarbeiten, müssen so programmiert werden, dass durch einfache Einstellungen die Datenschutzgrundsätze durch den Anwender eingehalten werden können.

Diese Einstellungen können ihrerseits wiederum technische und organisatorische Maßnahmen darstellen. Gemeint sind bspw. Berechtigungskonzepte, Löschroutinen, Zugriffsschutz (bspw. Zwei-Faktor-Authentifizierung) oder Protokollierungen von Verarbeitungen. Solche Maßnahmen können dazu beitragen, dass die Verarbeitung rechtmäßig und sicher erfolgt.

Wir unterstützen Ihr Unternehmen, Ihre Arztpraxis, Ihr Krankenhaus oder Ihr Labor, wenn es darum geht, die anspruchsvollen datenschutzrechtlichen Vorgaben an die rechtmäßige Verarbeitung von Gesundheitsdaten zu erfüllen. Wir arbeiten für Sie nicht nur die passenden technischen und organisatorischen Maßnahmen heraus und helfen Ihnen bei ihrer Implementierung, sondern zeigen Ihnen auch die möglichen Vorteile und Begünstigungen, die Sie als gemeinnützige Organisation in Bezug auf die Datenverarbeitung haben können. Denn die DSGVO fördert in gewisser Weise Verarbeitungen, die bspw. zu wissenschaftlichen Forschungszwecken für das Allgemeinwohl durchgeführt werden.

Kontaktieren Sie uns für ein unverbindliches Angebot.

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten