Die aktuellen Ereignisse rund um die COVID-19 (Corona SARS-CoV-2) Pandemie stellen neben den Leben der Menschen auch Gesetze und Verordnungen auf eine besondere Belastungsprobe. So kommt das Virus auch immer wieder mit dem Datenschutz in Konfrontation. Schließlich schützt die Datenschutz-Grundverordnung die Verarbeitung der personenbezogenen Daten, die wiederrum in bestimmten Konstellationen, wie beispielsweise bei einer Infektion, offengelegt werden sollten. Doch wo knüpft der Schutz an und wo hört er auf? Die Verarbeitung von personenbezogenen Daten im Gesundheitswesen ist Thema des heutigen Beitrages.
Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO legal definiert und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Der Begriff kann noch in einfache und besondere Kategorien aufgetrennt werden. Unter einfache personenbezogene Daten lassen sich beispielsweise der Name und Vorname, das Geburtsdatum sowie das Bild einer natürlichen Person subsummieren.
Die Verarbeitung besonderer Kategorien personenbezogener Daten ist in Art. 9 DSGVO geregelt. Mit besonderen Kategorien personenbezogener Daten sind solche gemeint, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten natürlicher Personen besonders sensibel sind. Nach Erwägungsgrund 51 verdienen diese Daten somit einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der natürlichen Personen auftreten können.
Die Norm zählt in Art. 9 Abs. 1 DSGVO die Kategorien von sensiblen Daten auf. Diese Aufzählung ist als abschließend zu betrachten und darunter fallen nachfolgende Datenkategorien:
Zu beachten ist allerdings, dass die aufgezählten besonderen Kategorien einmal nach dem Wortlaut erfasst sind und zum anderen werden auch solche Daten erfasst, aus denen die genannten Merkmale hervorgehen. Des Weiteren stellt Art. 9 Abs. 1 DSGVO alle vorgenannten Datenkategorien unter ein grundsätzliches Verarbeitungsverbot, von dem wiederum in Fällen des Art. 9 Abs. 2 lit. a bis j DSGVO Ausnahmen vom Grundsatz gemacht werden dürfen.
Ausnahmen sind in einem eng auszulegenden Rahmen bei folgenden Fallkonstellationen gem. Art. 9 Abs. 2 DSGVO zulässig:
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten kommen nach Erwägungsgrund 51 die allgemeinen Grundsätze und andere Vorgaben aus der DSGVO zur Anwendung. Allerdings ist bei besonders schutzbedürftigen Daten die Eingriffsintensität regelmäßig höher, weshalb der Verantwortliche höhere Anforderungen an die Rechtfertigung des Eingriffs zu stellen hat. Dies hat zur Folge, dass Art. 9 DSGVO neben den Grundsätzen in Art. 6 DSGVO zur Anwendung kommt, d.h. dass die Voraussetzungen aus Art. 6 DSGVO und Art. 9 DSGVO erfüllt sein müssen.
Aufzeigen und näher verdeutlichen lässt sich das mit dem Ausnahmetatbestand aus Art. 9 Abs. 1 lit. e DSGVO. Person A veröffentlicht Ihren detaillierten Krankheitsverlauf im Zuge einer Infektion auf einer Internetseite. Ein Unternehmen verarbeitet die veröffentlichten Symptome sowie den Namen der Person A und möchte potentielle Betroffene über mögliche Beschwerden während des Krankheitsverlaufes aufklären. Die Person A und das Unternehmen stehen zunächst in keinem engeren Verhältnis. Würde vorliegend nur Art. 9 DSGVO zur Anwendung kommen, wäre eine Verarbeitung von sensiblen Daten ab Zeitpunkt der Veröffentlichung erlaubt. In Art. 6 DSGVO ist eine solche Erlaubnis gerade nicht vorgesehen, was wiederrum bedeutet, dass einfache personenbezogenen Daten nicht ab Zeitpunkt der Veröffentlichung verarbeitet werden dürften. Die Schranke für die Verarbeitung von besonderen Kategorien personenbezogener Daten wäre somit niedriger. Dies kann nicht im Sinne des Verordnungsgebers gewesen sein.
Bei der Prüfung der Rechtmäßigkeit einer Verarbeitung hat sich das Vorgehen also stets zuerst an Art. 6 DSGVO auszurichten. Nur wenn hier eine Rechtmäßigkeit der Verarbeitung positiv festgestellt werden kann, darf ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO geprüft werden. Im vorangegangenen Beispiel müsste das Unternehmen somit erst einmal eine Einwilligung des Betroffenen (Person A) einholen, bevor es die veröffentlichte Krankenakte weiterverarbeiten darf.
Werden die in Art. 9 DSGVO genannten Vorraussetzungen beachtet, ist erst einmal jede natürliche Person berechtigt, die erfassten Daten zu verarbeiten. Für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Gesundheitswesen normiert Art. 9 Abs. 3 DSGVO allerdings spezielle Anforderungen an das Personal. Demnach dürfen die personenbezogenen Daten nur von Personen verarbeitet werden, die der ärztlichen Schweigepflicht unterliegen. Aus diesem Grund muss auch das medizinische Verwaltungspersonal den ärztlichen Geheimhaltungspflichten, insbesondere denen aus § 203 Abs. 1 Nr. 1 StGB, bei Begründung eines Arbeitsverhältnisses unterworfen werden.
Neben der umfangreichen Geheimhaltungsvereinbarung müssen Verantwortliche aus dem Gesundheitswesen nach Art. 37 Abs. 1 lit. c DSGVO bei der Verarbeitung von personenbezogenen Daten aus Art. 9 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen. Aus diesem Grund werden Datenschutzbeauftragte immer unabhängig der jeweiligen Größe des Unternehmens beispielsweise in Krankenkassen, in Krankenhäuser oder in Arztpraxen benannt. Aber auch in Apotheken, Pflege- und Altenheimen, Physiotherapien und bei Lieferanten wie den Herstellern von Arzneimitteln, Medizinprodukten oder speziellen Informationssysteme für die Gesundheitsversorgung muss ein entsprechend ausgebildeter Datenschutzbeauftragter benannt werden.
Die Mindest-Aufgaben sowie die Anforderungen an einen Datenschutzbeauftragten sind allgemein in Art. 39 DSGVO geregelt. Grundlage für die Benennung eines Datenschutzbeauftragten sollte auf jeden Fall sein, dass die zu benennende Person die Qualifikation und insbesondere die nötigte Fachkunde der jeweiligen Branche und Abteilung besitzt.
Bei Datenschutzbeauftragten im Gesundheitswesen sind das wiederum ganz spezielle Herausforderungen. Im besten Fall bringt der Datenschutzbeauftragte ein abgeschlossenes Medizin-, Informatik-, Betriebswirtschaft- und ein rechtswissenschaftliches Studium mit. In der Praxis existiert solch eine Person nicht. Von daher genügt, wenn der zuständige Datenschutzbeauftragte Teilbereiche abdecken kann und ihm für weitere Themen entsprechend fachkundige Mitarbeiter des Unternehmens zur Seite gestellt werden. Auch die Möglichkeit, bei besonders komplizierten Herausforderungen externe Kompetenzen hinzuzuziehen, kann im Einzelfall eine unzureichende Qualifikation auf einem Teilgebiet des Datenschutzbeauftragten ausgleichen.
DSGVO Datenschutz besondereKategorien Datenschutzbeauftragter Datensicherheit