Herausforderung im Gesundheitswesen: Verarbeitung besonderer Kategorien personenbezogener Daten

Die aktuellen Ereignisse rund um die COVID-19 (Corona SARS-CoV-2) Pandemie stellen neben den Leben der Menschen auch Gesetze und Verordnungen auf eine besondere Belastungsprobe. So kommt das Virus auch immer wieder mit dem Datenschutz in Konfrontation. Schließlich schützt die Datenschutz-Grundverordnung die Verarbeitung der personenbezogenen Daten, die wiederrum in bestimmten Konstellationen, wie beispielsweise bei einer Infektion, offengelegt werden sollten. Doch wo knüpft der Schutz an und wo hört er auf? Die Verarbeitung von personenbezogenen Daten im Gesundheitswesen ist Thema des heutigen Beitrages.

Der Begriff der personenbezogenen Daten ist in Art. 4 Nr. 1 DSGVO legal definiert und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Der Begriff kann noch in einfache und besondere Kategorien aufgetrennt werden. Unter einfache personenbezogene Daten lassen sich beispielsweise der Name und Vorname, das Geburtsdatum sowie das Bild einer natürlichen Person subsummieren.

Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist in Art. 9 DSGVO geregelt. Mit besonderen Kategorien personenbezogener Daten sind solche gemeint, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten natürlicher Personen besonders sensibel sind. Nach Erwägungsgrund 51 verdienen diese Daten somit einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der natürlichen Personen auftreten können.

Die Norm zählt in Art. 9 Abs. 1 DSGVO die Kategorien von sensiblen Daten auf. Diese Aufzählung ist als abschließend zu betrachten und darunter fallen nachfolgende Datenkategorien:

• rassische und ethnische Herkunft
• politische Meinungen
• religiöse und weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische Daten
• biometrische Daten zur eindeutigen Identifikation
• Gesundheitsdaten
• Daten zum Sexualleben
• sexuelle Orientierung

Zu beachten ist allerdings, dass die aufgezählten besonderen Kategorien einmal nach dem Wortlaut erfasst sind und zum anderen werden auch solche Daten erfasst, aus denen die genannten Merkmale hervorgehen. Des Weiteren stellt Art. 9 Abs. 1 DSGVO alle vorgenannten Datenkategorien unter ein grundsätzliches Verarbeitungsverbot, von dem wiederum in Fällen des Art. 9 Abs. 2 lit. a bis j DSGVO Ausnahmen vom Grundsatz gemacht werden dürfen.

Ausnahmen sind in einem eng auszulegenden Rahmen bei folgenden Fallkonstellationen gem. Art. 9 Abs. 2 DSGVO zulässig:

1. Es liegt eine ausdrückliche Einwilligung der betroffenen Person vor.
2. Die Verarbeitung ist im Rahmen des Arbeits- oder Sozialrechts erforderlich und es gibt eine spezialgesetzliche Regelung auf nationaler Ebene (§ 26 BDSG).
3. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen einer Person erforderlich und diese ist körperlich oder rechtlich außerstande einzuwilligen.
4. Die Verarbeitung erfolgt auf Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten für ihre (ehemaligen) Mitglieder oder Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten und die personenbezogene Daten dürfen nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.
5. Die betroffene Person hat die Daten offensichtlich öffentlich gemacht.
6. Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
7. Die Verarbeitung ist auf einer rechtlichen Grundlage zum Stillen eines erheblichen öffentlichen Interesses erforderlich.
8. Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich, erfolgt durch Berufgeheimnisträger und beruht auf einer rechtlichen Grundlage oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes. Die an der Verarbeitung Beteiligten müssen dem Berufsgeheimnis oder einer vergleichbaren Geheimhaltungspflicht unterliegen.
9. Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, beispielsweise zur Verhinderung von Pandemien oder zur Gewährleistung der Arzneimittelsicherheit, auf einer rechtlichen Grundlage erforderlich.
10. Die Verarbeitung erfolgt auf einer rechtlichen Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche Forschungszwecke oder ist für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO erforderlich.

Anforderungen an die Verarbeitung

Bei der Verarbeitung besonderer Kategorien personenbezogener Daten kommen nach Erwägungsgrund 51 die allgemeinen Grundsätze und andere Vorgaben aus der DSGVO zur Anwendung. Allerdings ist bei besonders schutzbedürftigen Daten die Eingriffsintensität regelmäßig höher, weshalb der Verantwortliche höhere Anforderungen an die Rechtfertigung des Eingriffs zu stellen hat. Dies hat zur Folge, dass Art. 9 DSGVO neben den Grundsätzen in Art. 6 DSGVO zur Anwendung kommt, d.h. dass die Voraussetzungen aus Art. 6 DSGVO und Art. 9 DSGVO erfüllt sein müssen.

Aufzeigen und näher verdeutlichen lässt sich das mit dem Ausnahmetatbestand aus Art. 9 Abs. 1 lit. e DSGVO. Person A veröffentlicht Ihren detaillierten Krankheitsverlauf im Zuge einer Infektion auf einer Internetseite. Ein Unternehmen verarbeitet die veröffentlichten Symptome sowie den Namen der Person A und möchte potentielle Betroffene über mögliche Beschwerden während des Krankheitsverlaufes aufklären. Die Person A und das Unternehmen stehen zunächst in keinem engeren Verhältnis. Würde vorliegend nur Art. 9 DSGVO zur Anwendung kommen, wäre eine Verarbeitung von sensiblen Daten ab Zeitpunkt der Veröffentlichung erlaubt. In Art. 6 DSGVO ist eine solche Erlaubnis gerade nicht vorgesehen, was wiederrum bedeutet, dass einfache personenbezogenen Daten nicht ab Zeitpunkt der Veröffentlichung verarbeitet werden dürften. Die Schranke für die Verarbeitung von besonderen Kategorien personenbezogener Daten wäre somit niedriger. Dies kann nicht im Sinne des Verordnungsgebers gewesen sein.

Bei der Prüfung der Rechtmäßigkeit einer Verarbeitung hat sich das Vorgehen also stets zuerst an Art. 6 DSGVO auszurichten. Nur wenn hier eine Rechtmäßigkeit der Verarbeitung positiv festgestellt werden kann, darf ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO geprüft werden. Im vorangegangenen Beispiel müsste das Unternehmen somit erst einmal eine Einwilligung des Betroffenen (Person A) einholen, bevor es die veröffentlichte Krankenakte weiterverarbeiten darf.

Anforderungen an den Verantwortlichen

Werden die in Art. 9 DSGVO genannten Vorraussetzungen beachtet, ist erst einmal jede natürliche Person berechtigt, die erfassten Daten zu verarbeiten. Für die Verarbeitung von besonderen Kategorien personenbezogener Daten im Gesundheitswesen normiert Art. 9 Abs. 3 DSGVO allerdings spezielle Anforderungen an das Personal. Demnach dürfen die personenbezogenen Daten nur von Personen verarbeitet werden, die der ärztlichen Schweigepflicht unterliegen. Aus diesem Grund muss auch das medizinische Verwaltungspersonal den ärztlichen Geheimhaltungspflichten, insbesondere denen aus § 203 Abs. 1 Nr. 1 StGB, bei Begründung eines Arbeitsverhältnisses unterworfen werden.

Neben der umfangreichen Geheimhaltungsvereinbarung müssen Verantwortliche aus dem Gesundheitswesen nach Art. 37 Abs. 1 lit. c DSGVO bei der Verarbeitung von personenbezogenen Daten aus Art. 9 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen. Aus diesem Grund werden Datenschutzbeauftragte immer unabhängig der jeweiligen Größe des Unternehmens beispielsweise in Krankenkassen, in Krankenhäuser oder in Arztpraxen benannt. Aber auch in Apotheken, Pflege- und Altenheimen, Physiotherapien und bei Lieferanten wie den Herstellern von Arzneimitteln, Medizinprodukten oder speziellen Informationssysteme für die Gesundheitsversorgung muss ein entsprechend ausgebildeter Datenschutzbeauftragter benannt werden.

Die Mindest-Aufgaben sowie die Anforderungen an einen Datenschutzbeauftragten sind allgemein in Art. 39 DSGVO geregelt. Grundlage für die Benennung eines Datenschutzbeauftragten sollte auf jeden Fall sein, dass die zu benennende Person die Qualifikation und insbesondere die nötigte Fachkunde der jeweiligen Branche und Abteilung besitzt.

Bei Datenschutzbeauftragten im Gesundheitswesen sind das wiederum ganz spezielle Herausforderungen. Im besten Fall bringt der Datenschutzbeauftragte ein abgeschlossenes Medizin-, Informatik-, Betriebswirtschaft- und ein rechtswissenschaftliches Studium mit. In der Praxis existiert solch eine Person nicht. Von daher genügt, wenn der zuständige Datenschutzbeauftragte Teilbereiche abdecken kann und ihm für weitere Themen entsprechend fachkundige Mitarbeiter des Unternehmens zur Seite gestellt werden. Auch die Möglichkeit, bei besonders komplizierten Herausforderungen externe Kompetenzen hinzuzuziehen, kann im Einzelfall eine unzureichende Qualifikation auf einem Teilgebiet des Datenschutzbeauftragten ausgleichen.