Verarbeitung von Gesundheitsdaten im Kontext der DSGVO

Im nachfolgenden Artikel möchten wir Ihnen die Grundlagen der Verarbeitung von Gesundheitsdaten im Kontext der DSGVO vermitteln. Die neue DSGVO deckt zahlreiche Themen im Bereich IT Security, Organisation und Recht ab, wobei alle Teile einen wesentlichen Aspekt eines nachhaltigen Datenschutz-Managementsystem darstellen – lesen Sie unseren initialen DSGVO-Blog unter: EU-DSGVO – Neuerung im Bereich Datenschutz

Was muss bei der Verarbeitung von medizinische Daten laut DSGVO beachtet werden?

Medizinische Daten bzw. Gesundheitsdaten gehören laut DSGVO zur besonderen Kategorie personenbezogener Daten. Diese Kategorie beinhaltet folgende Daten:

  • rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetischen Daten
  • biometrischen Daten zur eindeutigen Identifizierung
  • Gesundheitsdaten (z.B. auch Sozialversicherungsnummer)
  • Daten zum Sexualleben oder der sexuellen Orientierung

Diese Kategorien dürfen laut DSGVO grundsätzlich nicht verarbeitet werden. Es gibt jedoch Ausnahmen, die eine Verarbeitung rechtfertigen. Die folgenden Rechtmäßigkeiten stellen eine Ausnahme für dieses Verbot dar.

Die Rechtmäßigkeit der Verarbeitung dokumentieren (siehe Artikel 9)

Alle Verarbeitungsvorgänge müssen in einem Verzeichnis dokumentiert werden. Bei medizinischen Daten müssen dabei eine der folgenden Rechtmäßigkeiten mitdokumentiert werden:

Einwilligung - Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt.

Gesetzliche Grundlage - Die Verarbeitung ist erforderlich, damit Rechte ausgeübt und Pflichten nachgekommen werden kann, die aus Arbeitsrecht, Recht der sozialen Sicherheit und Sozialschutz hervorgehen.

Lebenswichtiges Interesse - Die Verarbeitung ist zum Schutz lebenswichtiger Interessen einer natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.

Rechtsansprüche - Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.

Öffentliches Interesse - Die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich, wie zum Beispiel Schutz vor Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten.

Gesundheitsvorsorge/Arbeitsmedizin - Die Verarbeitung ist beispielsweise für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich. Die Personen welche diese Verarbeitung durchführen müssen dem Berufsgeheimnis oder zumindest einer Geheimhaltungspflicht unterliegen.

Archivzwecke – Die Verarbeitung ist im öffentlichen Interesse für Archivzwecke der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke erforderlich.

Hervorzuheben ist, dass vor allem bei der Verarbeitung von personenbezogenen Daten besonderer Kategorie die Rechtmäßigkeit nachweislich sichergestellt und dokumentiert werden muss. Eine Verarbeitung dieser Daten, sollte grundsätzlich nur gemacht werden, wenn dies unbedingt notwendig ist und es keinen anderen Weg zum Ziel der Verarbeitung gibt (z.B. Identifikation der Person über die Sozialversicherungsnummer).

Technische und organisatorische Maßnahmen planen und umsetzen

Für die Verarbeitung der medizinischen Daten sind wirksame Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen zu treffen. Im Sinne der Informations- bzw. Datensicherheit sollten immer die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität gewahrt bleiben. Dabei sollte man sich jeweils die folgenden Fragen stellen:

  • Verfügbarkeit: Wie wird sichergestellt, dass der Zugriff auf die Daten verfügbar bleibt?
  • Vertraulichkeit: Wie wird sichergestellt, dass der Zugriff auf die Daten nur durch berechtigte Personen erfolgt?
  • Integrität: Wie wird sichergestellt, dass Daten nicht (mutwillig) verändert wurden?

Beispiele für solch technische und organisatorische Maßnahmen sind ein sicheres Back-Up Konzept basierend auf den Geschäftsanforderungen, Zutrittssicherung und die Verwendung sicherer Passwörter.

Dieser Blog-Artikel wurde in Zusammenarbeit mit unserem Kooperationspartner VACE ENGINEERING GMBH verfasst. Kontaktieren Sie uns - office@rnb-consulting.at – oder direkt einen unserer VACE-Kooperationspartner – team - falls sich zu diesem Thema weiterführende Fragen ergeben.

This website uses cookies for visitor traffic analysis. By using the website, you agree with storing the cookies on your computer.More information