14.03.23 Allgemein

Datenschutz und die DSGVO kurz und knapp erklärt

Was macht Datenschutz im Gesundheitsbereich aus? Was ist der Unterschied zur Datensicherheit? Und was sind Daten der „besonderen Kategorie“? Wir geben einen Überblick.

Schnell wird Datenschutz mit Datensicherheit verwechselt. In beiden Fällen geht es um den Schutz von Daten – aber die Datensicherheit befasst sich damit, wie Daten gesichert werden können. Und zwar unabhängig davon, um welche Form von Daten es geht. Datensicherheit – oder IT-Sicherheit – umfasst das Schloss an der Tür zum Aktenschrank genauso wie die Wahl des passenden Passworts. Und geschützt werden Daten, die man für schützenswert erachtet – wie z. B. Geheimnisse zur geplanten Zukunft einer Firma. Datenschutz hingegen bezieht sich auf den Schutz von personenbezogenen Daten – wie Namen, Adressen, Geburtsdatum, Mailadresse, Fotos von sich oder die IP-Adresse, von der man gerade surft. Datenschutz soll Deine Privatsphäre wahren und Dich vor missbräuchlicher Datenverarbeitung schützen. Ausgehend vom Volkszählungsurteil aus dem Jahr 1983 hast Du ein Recht auf informationelle Selbstbestimmung. Maßgeblich für den Datenschutz in heutigen Zeiten ist die Datenschutz-Grundverordnung (DSGVO).

Die Grundsätze des Datenschutz und der DSGVO

Die Verarbeitung – also das Speichern, das Verwalten sowie die Nutzung – von persönlichen Daten lässt nach der DSGVO vereinfacht in zwei Grundsätzen beschreiben:

Ohne es explizit gestatten zu müssen, dürfen Daten verarbeitet, die für die Erfüllung eines Vertragsrechts benötigt werden. Ohne die Daten, die auf einer Heilmittelverordnung oder einem Transportschein stehen, ließe sich keine Therapie bzw. Krankenfahrt durchführen und bei den Krankenkassen abrechnen. Oder eine zu Beginn geführte Anamnese ist notwendig, damit sich ein:e Physiotherapeut:in oder Logopäd:in im Vorfeld der Behandlung ein genaues Bild machen kann, worauf es bei der Therapie ankommt. Und ohne ein ausführliches Gespräch zwischen Pflegebedürftige:n, Angehörigen und Pflegefachkraft kann ein ambulanter Pflegedienst nicht ermitteln, welche Pflege benötigt wird, und kann keinen Pflegevertrag aufsetzen. Grundsätzlich gilt für diese Form an Daten: Es dürfen hier wirklich nur die für die Ausführung des Auftrags relevanten Daten verarbeitet werden. Und sobald der Zweck der Datenverarbeitung nicht mehr besteht, müssen die Daten automatisch gelöscht werden.
Abseits des vorherigen Grundsatzes dürfen über das Notwendige hinaus auch weitere personenbezogene Daten verarbeitet werden, sofern man die klare Einwilligung dafür gibt. Die Verarbeitung „über das Notwendige hinaus“ ist beispielsweise die Nutzung von Daten für Statistiken, Werbeanrufen, Webseiten-Analysen, Studienzwecke, Terminerinnerungen per SMS, Mailwerbung, postalische Weihnachtspräsente oder den Zweck, anhand von Praxisbeispielen Mitarbeiter zu schulen. Die Datenschutzerklärungen, die Du bei nahezu jedem Vertragsabschluss meist mitunterzeichnest, ist eine solche Einwilligung zur Datenverarbeitung „über das Notwendige hinaus“. Ebenso auch die Bestätigung der Cookie-Nutzung auf Webseiten.

Beispielsweise für die Inhaber eine Heilmittelpraxis eignet sich der Anamnesebogen sehr gut, um zum Behandlungsbeginn alle relevanten Daten aufzunehmen und auch Einwilligungen für eine weitere Verarbeitung der Daten einzuholen. „Wird die Einwilligung wie hier in Zusammenhang mit anderen Erklärungen/Sachverhalten eingeholt, muss sie deutlich von diesen abgegrenzt werden, damit der Patient erkennt, worin er einwilligt“, rät Rebekka Höhl von der Ärzte Zeitung. „Außerdem muss sie in klarer, einfacher Sprache verfasst werden.“ Wer Patienten auch an Termine erinnern will – etwa per Brief, Mail oder SMS – der solle dies noch einmal getrennt von der Einwilligung zur normalen Verarbeitung der Daten in der Praxis-EDV aufführen.

Beachte aber, dass Du Daten nicht auf mögliche zukünftige Anliegen horten darfst. Du musst konkret benennen, wozu die Daten genutzt werden sollen. Und die Rechtsanwältin Ingrid Yeboah rät zudem: „Kontrolliere noch mal den Anmeldebogen in deiner Praxis, ob wirklich alle erhobenen Daten nötig sind, oder eventuell Fragen gestrichen werden können.“

Übrigens: Auch jene, die nicht behandelt oder gepflegt werden oder von einem Fahrdienst befördert werden, müssen ihre Einwilligung zur Datenverarbeitung geben – nämlich dann, wenn diese Deine Webseite besuchen. Abseits Deines hauptsächlichen Geschäftsbereichs darfst Du auch den Datenschutz der Besucher:innen Deiner Website nicht außer Acht lassen. Umfassende Ratgeber bieten hierzu z. B. der Verlag für Rechtsjournalismus unter Datenschutz.org oder die IHK München an.

Datenschutz und die DSGVO kurz und knapp

Gesundheitsdaten sind „besonders“ schützenswert!

Unter Artikel 9 DSGVO werden abseits der „üblichen“ Personendaten wie Namen und Adressen auch jene der „besonderen Kategorien“ hervorgehoben. Hier heißt es, dass die Verarbeitung von bestimmten Daten untersagt ist. Dazu zählen unter anderem die rassische und ethnische Herkunft, religiöse Überzeugungen, genetische Daten oder Daten zum Sexualleben oder der sexuellen Orientierung. Aber auch Gesundheitsdaten! Mit dieser Ausnahme:

„Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge (...), für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich (...) aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs (...) erforderlich.“ (Artikel 9 Abs. 2h DSGVO)

Hierzu gehören beispielsweise Pflegekräfte oder Heilmittelerbringer:innen, die ja zur Durchführung Ihrer Arbeit die Gesundheitsdaten definitiv verarbeiten müssen. Aber aufgrund ihrer Brisanz sind die personenbezogenen Daten „besonderer Kategorien“ auch „besonders“ schützenswert.

Hohe Strafen bei Datenschutzverstößen

Datenschutz spielt also eine sehr große Rolle im Gesundheitswesen. Kein Wunder also, dass der Gesetzgeber den falschen Umgang mit personenbezogenen Daten – vor allem mit besonders schützenswerten Daten – streng im Blick behält. Die Strafen bei Datenschutzverstößen sind nicht zu verachten:

Bußgeld: Wer gegen die DSGVO verstößt, muss mit Geldbußen rechnen, die laut Artikel 83 DSGVO „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Hier geht es also zum einen darum, dass die Schwere des Datenschutzverstoßes individuell beurteilt wird, zum anderen aber auch darum, öffentlich zu präsentieren, dass ein Verstoß finanziell wehtut. Je nach Verstoß kann ein Bußgeld bis zu 4 Prozent des letzten Jahresumsatzes erfolgen. Aber mit Blick auf das „verhältnismäßig“ sind auch mildernde Umstände möglich: „Wer entsprechende Anstrengungen beim Datenschutz vorweisen kann, darf daher auf eine erheblich geringere Buße hoffen“, erklären die Datenschutzexperten von intersoft consulting services.
Freiheitsstrafe: Laut des Bundesdatenschutzgesetz kann bei heftigeren Verstößen auch eine Freiheitsstrafe bis zu drei Jahren möglich sein (vgl. Artikel 84 DSGVO und § 42 BDSG-neu).
Schadenersatz: Artikel 82 DSGVO sagt unabhängig zur üblichen Geldbuße oder zur Freiheitsstrafe: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Die Höhe des Schadenersatz richtet sich dabei nach der Schwere es des materiellen bzw. immateriellen Schadens.

Man sollte es also gar nicht erst dazu kommen lassen, dass personenbezogene Daten und vor allem besonders sensible Gesundheitsdaten falsch verarbeitet werden. Im nächsten Blogartikel rund um das Thema Datenschutz gehen wir deswegen auf mögliche Maßnahmen zum Schutz der personenbezogenen Daten genauer ein.

Allgemeiner Hinweis: Unsere Ratgebertexte zum Datenschutz und zur Datensicherheit dienen lediglich zur Information und bieten einen Überblick über das Thema. Sie stellen keine Rechtsberatung dar. Für konkrete Hilfestellung – angepasst an Deine berufliche Lebenslage – wendest Du Dich bitte an eine:n Fachanwält:in.