Auf einen Blick: Datenschutz und Gesundheitsdatenmanagement in Deutschland

Auf einen Blick: Datenschutz und Gesundheitsdatenmanagement in Deutschland

Datenschutz und Verwaltung

Definition von „Gesundheitsdaten“

Was sind „Gesundheitsdaten“? Gibt es eine Definition für „anonymisierte“ Gesundheitsdaten?

Gesundheitsdaten sind in § 46 Abs. 3 Bundesdatenschutzgesetz (BDSG) definiert. Danach sind Informationen über die geistige und körperliche Gesundheit einer natürlichen Person sowie über die in Anspruch genommenen Gesundheitsleistungen Gesundheitsdaten, wenn sich daraus Informationen über einen Gesundheitszustand ableiten lassen. Diese Definition entspricht jedoch wörtlich der Definition von Gesundheitsdaten in Art. 4 Nr. 15 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) (DSGVO). Gleiches gilt für genetische und biometrische Daten.

Eine Definition der Anonymisierung findet sich auch im BDSG nicht. In der deutschen Rechtslehre wird unter Bezugnahme auf die Rechtsgrundlagen der EU darauf hingewiesen, dass es sich bei der Pseudonymisierung um eine erhöhte Form der Unkenntlichmachung des Einzelnen handelt. Eine solche Form der Anonymisierung ist grundsätzlich nur je nach Art der Gesundheitsdaten möglich. Beispielsweise ist die Anonymisierung genetischer Daten per Definition nicht möglich.

Datenschutzgesetz

Welchen rechtlichen Schutz genießen Gesundheitsdaten in Ihrer Gerichtsbarkeit? Ist das Schutzniveau höher als bei anderen personenbezogenen Daten?

Das Schutzniveau von Gesundheitsdaten entspricht grundsätzlich dem von der Europäischen Union vorgegebenen Standard. Der Schutz von Gesundheitsdaten unterscheidet sich dabei insbesondere vom Schutzniveau von Daten, die nicht zu den besonderen Kategorien personenbezogener Daten zählen. Abweichend oder ergänzend zu dieser europäischen Norm kann jedoch einerseits auf eine Modifikation der Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO durch § 22 BDSG hingewiesen werden. Danach dürfen gesundheitsbezogene Daten in Deutschland auch von nichtöffentlichen oder öffentlichen Stellen verarbeitet werden, u.a. wenn dies sozialversicherungsrechtlich erforderlich ist, zu Zwecken der Gesundheitsvorsorge und Gesundheitsvorsorge durch medizinisches oder pflegebedürftiges Personal entsprechenden Geheimhaltungspflichten. , oder wenn das öffentliche Interesse dies erfordert. So sehen beispielsweise mehrere Bundesgesetze wie das Infektionsschutzgesetz, das Medizinproduktegesetz oder das Sozialgesetzbuch (SGB) V Ausnahmen zugunsten der Verarbeitung personenbezogener Daten vor. In diesem Zusammenhang müssen angemessene Maßnahmen zum Schutz personenbezogener Daten getroffen werden.

Ein solcher Bedarf an geeigneten Maßnahmen ist sowohl in den gesetzlichen Sonderregelungen zum Datenschutz im SGB V zu sehen, insbesondere bei der Umsetzung der Telematikinfrastruktur des Gesundheitssystems (IT), der Anwendung Digitale Gesundheit (DiGA) und der Digitalen Versorgung Bewerbungssysteme in Deutschland.

Das SGB V widmet dem Datenschutz in der Gesetzlichen Krankenversicherung (GKV) ein eigenes 10. Kapitel. Die voraussichtlich von den Krankenkassen und den angeschlossenen Ärzten zu verarbeitenden Daten sind zweckgebunden geregelt.

Im Hinblick auf IT-Komponenten und Anwendungen ist in den §§ 306 ff. SGB V geregelt, dass die Gesamtstruktur nur mit solchen Komponenten betrieben werden darf, die die Anforderungen des Datenschutzes gewährleisten können. Da es sich bei den in der IT verarbeiteten Daten voraussichtlich um besondere Datenkategorien handelt, sind die Anforderungen an die Datensicherheit entsprechend hoch (siehe hierzu die explizite Regelung in § 306 Abs. 3 SGB V). Insbesondere wird durch die vollständige Subsidiarität der Datenhaftung für die Verarbeitung in der IT ein umfassendes Schutzniveau sichergestellt. § 306 Abs. 5 SGB V besagt, dass die gematik GmbH für die Verarbeitung personenbezogener Daten verantwortlich ist, soweit sie die Verarbeitungsmittel bestimmt und sich aus gesetzlichen Vorschriften kein anderer Verantwortlicher für einen bestimmten Fall ergibt.

Entsprechend dieser Standards sind die Anforderungen an den Schutz gesundheitsbezogener Daten bei der Nutzung digitaler Gesundheitsangebote in der GKV stark reglementiert. Eine Aufnahme in das Verzeichnis nach § 139e SGB V ist derzeit nur möglich, wenn DiGA die Datensicherheit gewährleisten kann.

Anonymisierte Gesundheitsdaten

Unterliegen anonymisierte Gesundheitsdaten besonderen Vorschriften oder Richtlinien?

Die Anonymisierung von Gesundheitsdaten unterliegt keiner besonderen gesetzlichen Regelung. Wie bereits aus EU-Vorgaben hervorgeht, ist die Anwendung des Datenschutzrechts auch bei besonderen Kategorien personenbezogener Daten nicht sachgerecht, wenn aufgrund der vorliegenden Daten keine Identifizierung der Person möglich ist, auch wenn Informationen Dritter herangezogen werden. Allerdings argumentiert insbesondere das Bundesministerium für Wirtschaft und Energie, dass es schwierig sei, Gesundheitsdaten vollständig zu anonymisieren.

Aus diesem Grund wurde 2018 ein Leitfaden zur Anonymisierung von Gesundheitsdaten veröffentlicht. Das Bundesministerium weist zwar auch darauf hin, dass nur im Einzelfall entschieden werden kann, wann die Anonymisierung erfolgreich war, gibt aber dennoch Handlungsleitlinien. Empfehlenswert sind beispielsweise Randomisierung, Generalisierung, Löschung seltener Attribute (seltene Erkrankungen) und insbesondere die Kombination dieser Techniken.

Durchsetzung

Wie werden die Datenschutzgesetze in Ihrer Gerichtsbarkeit in Bezug auf Gesundheitsdaten durchgesetzt? Gab es nennenswerte regulatorische oder private Maßnahmen in Bezug auf digitale Gesundheitstechnologien?

Nach § 9 BDSG sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und der Ausschuss der Unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder für die Anwendung der datenschutzrechtlichen Bestimmungen zuständig. Während der BfDI für die Aufsicht über öffentliche Stellen und private Unternehmen zuständig ist, sind die Datenschutzbehörden der Länder für die Aufsicht über natürliche und juristische Personen im nichtöffentlichen Bereich zuständig. Sowohl der BfDI als auch die Datenschutzbehörden der Länder haben nach den Bestimmungen der DSGVO, insbesondere den Artikeln 57 und 58, entsprechende Befugnisse zur Überwachung und Durchsetzung der datenschutzrechtlichen Bestimmungen. Dies gilt insbesondere auch für Gesundheitsdaten.

Das BDSG sieht auch strafrechtliche Vorschriften für den gewerbsmäßigen Verstoß gegen Datenschutzvorschriften vor. Die Annahme von Entgelten oder die Absicht, sich oder einen Dritten durch Verletzung datenschutzrechtlicher Bestimmungen zu bereichern, sind strafbar.

Hinsichtlich der Verletzung von Gesundheitsdaten im Rahmen des Einsatzes von Gesundheitstechnologien sind bisher keine einschlägigen Entscheidungen der Datenschutzbehörden der Länder oder des BfDI bekannt.

Internet-Sicherheit

Welche Cybersicherheitsgesetze und Best Practices sind für digitale Gesundheitsangebote relevant?

Cybersicherheit im Rahmen der Nutzung von DiGA ist bereits im SGB V sowie in der DiGA-V geregelt. Sowohl das SGB V als auch die DiGA-Gesetzesverordnungen (DiGA-V) fordern die Umsetzung ausreichender Maßnahmen zur Wahrung der Datensicherheit nach dem Stand der Technik. Darüber hinaus müssen DiGA-Hersteller ab dem 1. Januar 2023 die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik gemäß § 139e (10) SGB V erfüllen und das entsprechende Zertifikat erwerben. Das Bundesamt für Sicherheit in der Informationstechnik gibt bereits unter der Technischen Richtlinie BSI TR-03161 Vorgaben zur Umsetzung von Datenschutzanforderungen. Allerdings wird die Richtlinie noch daraufhin geprüft, ob die darin enthaltenen Anforderungen und Prüfverfahren ausreichend sind.

Darüber hinaus kann auch aufgrund der Einstufung des Gesundheitssektors als Bestandteil einer KRITIS-Zone die Anwendung besonderer Regelungen erforderlich sein. Das Gesundheitswesen gilt zwar grundsätzlich als Kritischer-Infrastruktur-Bereich im Sinne des § 6 BSI-Kritikalitätsverordnung, die Nutzung von DiGAs ist jedoch nicht unmittelbar davon erfasst. Der Einsatz beispielsweise im Rahmen einer Krankenhausbehandlung unterliegt jedoch sehr stark den BSI-Regelungen zur Kritikalität. In einem solchen Fall gilt § 8a BSIG, der den Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme, Komponenten und Prozesse zu gewährleisten. Als Bestandteile dieser Strukturen können insbesondere digitale Gesundheitsanwendungen und IT-Dienste und -Anwendungen relevant sein.

Das Artificial Intelligence Act wurde im April 2021 angekündigt und muss noch vom Europäischen Parlament und den EU-Mitgliedstaaten verabschiedet werden. Es bietet neue Vorschriften und Sicherheitsanforderungen für künstliche Intelligenz auf der Grundlage von vier Risikoklassen.

Gute Praktiken und praktische Tipps

Welche Best Practices und praktischen Tipps würden Sie empfehlen, um den Besitz, die Nutzung und den Austausch von rohen und anonymisierten Benutzerdaten sowie die Ausgabe von digitalen Gesundheitslösungen effektiv zu verwalten?

Bei der Verarbeitung von Gesundheitsdaten ist zunächst eine strukturierte Registrierung des Verantwortlichen nach der Definition der DSGVO erforderlich. Insbesondere setzt die gemeinsame Verarbeitung voraus, dass Verantwortlichkeiten in einer vertraglichen Vereinbarung explizit getrennt werden. Nach deutschem Recht gibt es kein Eigentum an Gesundheitsdaten, daher müssen die individuellen Verantwortlichkeiten zwischen den Parteien klar geregelt werden.

Bereits vor der Verarbeitung personenbezogener Daten, insbesondere besonderer Kategorien von Daten, sollte die Einrichtung technisch sicherer und belastbarer Systeme als zwingend erachtet werden. Dies entspricht den gesetzlichen Anforderungen für Zulassungen sowohl im IT-Kontext als auch für Zulassungen digitaler Gesundheits- und Pflegeanwendungen.

Schließlich empfiehlt es sich im Hinblick auf eine spätere Zweitnutzung von Gesundheitsdaten, ggf. zu Forschungszwecken, zu Beginn der Datenverarbeitung eine weitgehende Einwilligung der betroffenen Person einzuholen. Die Möglichkeit einer solchen Verarbeitung auf Grundlage der informierten Einwilligung der betroffenen Person wurde auf der Datenschutzkonferenz (Ausschuss unabhängiger Datenschutzaufsichtsbehörden des Bundes und der Länder) am 15.04.2020 geschaffen. Im Rahmen der Konferenz wurde eine standardisierte Vorlage für Patienten Zustimmung wurde im Rahmen der Beschlussfassung erteilt.

Mareike Engel

"Freiberuflicher Kommunikator. Hardcore-Web-Praktiker. Unternehmer. Totaler Student. Bier-Ninja."

Related Posts

Die Rolle Deutschlands und Japans in der globalen Gesundheit IV

Die Rolle Deutschlands und Japans in der globalen Gesundheit IV

GrüßeDr. Julia MÜNCH (Generalsekretärin, JDZB) WillkommenswortSE Hidenao YANAGI (Botschafter, Botschaft Japans in Deutschland) Dr. Thomas STEFFEN (Staatssekretär, Bundesministerium für Gesundheit) Vorstellung der HauptorganisatorenVorstellung der Moderatoren durch Professor Dr. Ilona KICKBUSCH (Vorstandsvorsitzende, WHS) und Herrn Akio OKAWARA (Präsident und CEO, JCIE)

Die Rolle Deutschlands und Japans in der globalen Gesundheit IV

Die Rolle Deutschlands und Japans in der globalen Gesundheit IV

GrüßeDr. Julia MÜNCH (Generalsekretärin, JDZB) WillkommenswortSE Hidenao YANAGI (Botschafter, Botschaft Japans in Deutschland) Dr. Thomas STEFFEN (Staatssekretär, Bundesministerium für Gesundheit) Vorstellung der HauptorganisatorenVorstellung der Moderatoren durch Professor Dr. Ilona KICKBUSCH (Vorstandsvorsitzende, WHS) und Herrn Akio OKAWARA (Präsident und CEO, JCIE)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert