Die Digitalisierung des Gesundheitswesens schreitet rasant voran. Durch die Pandemie entstanden Apps zur Kontaktverfolgung sowie digitale Impfnachweise. Gleichzeitig entwickelt sich die eHealth-Branche weiter und es werden immer mehr Digital-Health-Apps und Fitness-Apps angeboten. Bereits im Jahr 2019 wurde mit dem Digitale-Versorgung-Gesetz (DVG) der deutsche Gesundheitssektor für Digitale Gesundheitsanwendungen (DiGAs), sogenannte „Apps auf Rezept“, geöffnet.

Da die digitalisierte Gesundheitsversorgung potenziell hohe Risiken für Patienten birgt, erlegt die DS-GVO den Herstellern und Betreibern von Gesundheitsapps aller Art und allen Unternehmen, die Gesundheitsdaten verarbeiten, zusätzliche Pflichten auf. Eine dieser Pflichten ist die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA), um Risiken für die betroffenen Personen zu reduzieren, wenn Gesundheitsdaten in großem Umfang verarbeitet werden, nachdem eine Schwellwert-Analyse durchgeführt wurde. Das Bundesdatenschutzgesetz (BDSG) verpflichtet deutsche Unternehmen, die eine Datenschutz-Folgenabschätzung durchführen müssen, außerdem dazu, einen unparteiischen, meist externen Datenschutzbeauftragten (DSB) zu benennen.

Aber was sind Gesundheitsdaten? Ab wann genau werden durch die Verarbeitung von Gesundheitsdaten diese zusätzlichen Pflichten ausgelöst? Diese Unsicherheit darüber, welche Daten Gesundheitsdaten sind oder nicht, führt letztendlich dazu, dass einige Unternehmen möglicherweise nicht wissen, dass sie eine Datenschutz-Folgenabschätzung durchführen und einen Datenschutzbeauftragten benennen müssen.

Wichtig! Selbst wenn man als Unternehmen der Auffassung ist, keine Gesundheitsdaten zu verarbeiten, sondern man knapp an der Definition vorbei schrammt, muss dennoch mittels einer Schwellwert-Analyse ermittelt werden, ob ein potenziell erhöhtes Risiko für die Betroffenen besteht. Dies kann beispielsweise bei Apps und Plattformen der Fall sein, die Hausnotrufsysteme und Dienstpläne für pflegebedürftige Personen integrieren. Hier können durch einen Ausfall der Systeme schnell physische Schäden für die betroffenen entstehen. Kommt eine Schwellwert-Analyse zu dem Ergebnis, dass ein potenziell erhöhtes Risiko bestünde, würde man kein Sicherheitskonzept einführen, dann muss eine DSFA durchgeführt und ein Datenschutzbeauftragter benannt werden.

Definition von Gesundheitsdaten

Gesundheitsdaten sind alle Daten, die sich auf

• die vergangene, gegenwärtige oder zukünftige
• die körperliche oder geistige Gesundheit

einer Person beziehen.

Hinzu kommen alle Informationen, die

• bei der Anmeldung für Gesundheitsdienstleistungen sowie
• bei der Erbringung von Gesundheitsdienstleistungen

über eine Person verarbeitet werden. Das sind also Termindaten bei Ärzten, Therapeuten und anderen Angehörigen von Gesundheitsberufen und Gesundheitshandwerken sowie die von diesen Personenkreisen gesammelten Patientendaten, Klientendaten und Kundendaten.

Ganz spezifisch gehören dazu auch

• Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren,
• Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und
• Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder
• den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten.

Das heißt, auch Daten aus Fitness-Apps, Wellness-Apps und Mindfulness-Apps sind Gesundheitsdaten, sofern sie Aufschluss über Krankheitsrisiken oder Vorerkrankungen geben können. Dieser Umstand ist bei den Daten, die diese Apps sammeln, nahezu immer gegeben.

Der Europäische Datenschutzausschuss (EDSA) stellt klar, dass der Begriff weit auszulegen ist, um den Betroffenen einen guten Schutz ihrer personenbezogenen Daten zu gewährleisten. Deswegen sind sogar Angaben aus Selbstchecks, etwa bei Online-Fragebögen oder Persönlichkeitstests Gesundheitsdaten.

Es muss auch darauf geachtet werden, ob Daten indirekten Aufschluss über den Gesundheitszustand oder Gesundheitsrisiken von Personen geben können. Dass solche Schlussfolgerungen fachlich solide und wissenschaftlich fundiert sein müssen, schließt der EDSA aus. Wichtig ist nur, ob mit diesen Informationen mögliche Schäden für die Betroffenen entstehen könnten. Von Schamgefühlen bei der Veröffentlichung dieser Informationen bis hin zu physischen Schäden.

Checkliste: Verarbeite ich Gesundheitsdaten?

Da Unternehmen verlässlich wissen müssen, ob sie Gesundheitsdaten verarbeiten oder nicht, benötigen sie ein leicht anwendbares Tool, das zuverlässige Ergebnisse liefert. Um diesem Bedarf gerecht zu werden, bietet dieser Beitrag eine kurze Checkliste, um herauszufinden, ob im Unternehmen Daten verarbeitet werden, bei denen es sich um Gesundheitsdaten handelt.

1. Direkte Gesundheitsdaten: Beinhalten die Daten aus Angaben über den vergangenen, gegenwärtigen oder zukünftigen Gesundheitszustand oder Gesundheitsrisiken einer natürlichen Person wie beispielsweise Krankheit, Behinderung, Krankheitsrisiko, Krankengeschichte, Daten zum Behandlungsverlauf, dem physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig? Wenn ja, handelt es sich um Gesundheitsdaten.
2. Gesundheitsversorgungsdaten (1/2): Beinhalten die Daten Informationen über eine natürliche Person, die bei der Registrierung für oder Erbringung von Gesundheitsleistungen erhoben oder verarbeitet werden? Wenn ja, handelt es sich bei den Daten um Gesundheitsdaten.
3. Gesundheitsversorgungsdaten (2/2): Beinhalten die Daten die einer natürlichen Person zugeordneten Zahl oder Symbol zur eindeutigen Identifizierung der natürlichen Person für gesundheitliche Zwecke (z. B. die Krankenversicherungsnummer)? Wenn ja, handelt es sich bei den Daten um Gesundheitsdaten.
4. Indirekte Gesundheitsdaten: Wenn die Daten mit Daten aus Social-Media-Accounts oder Werbedaten verknüpft werden würden, würde dies die Möglichkeit, Rückschlüsse auf den Gesundheitszustand der betroffenen Person zu ziehen verbessern, egal ob dies nun eine wissenschaftlich fundierte oder nur scheinbare Verbesserung der Möglichkeit wäre, Rückschlüsse zu ziehen (z. B. wenn man Daten aus Online-Selbst-Tests mit Daten aus Social-Media-Accounts verknüpfen kann)? Wenn ja, handelt es sich um Gesundheitsdaten.

Du findest deine Daten in dieser Checkliste nicht verlässlich wieder? Buch einfach eine Schwellwert-Analyse bei uns und wir erstellen dir eine genaue Bewertung mit Verweis auf Richtlinien des EDSA und der deutschen Aufsichtsbehörden sowie von juristischer Fachliteratur. Solch eine Bewertung kann auch Aufsichtsbehörden vorgelegt werden.

Wieso ist eine Datenschutz-Folgenabschätzung sinnvoll?

Eine Datenschutz-Folgenabschätzung dient zunächst dazu, durch das Erarbeiten eines maßgeschneiderten Sicherheitskonzepts die von der Verarbeitung betroffenen Personen vor dem Verlust ihrer Daten sowie deren Verfälschung, Hehlerei und unrechtmäßige Veröffentlichung zu schützen.

Eine Datenschutz-Folgenabschätzung resultiert immer in einem Bericht. Wird ein solcher Bericht von Experten mit tiefgehendem Branchenwissen verfasst, hilft er, Geschäftskunden vom betroffenen Produkt zu überzeugen. Dadurch können Geschäftsverhandlungen schneller zum Erfolg gebracht werden und Ihr Unternehmen erlebt Datenschutz als Vorteil.

Schließlich prüft eine Datenschutz-Folgenabschätzung auch, ob die Verarbeitung rechtmäßig ist und alle Anforderungen an das Einholen von Einwilligungen von den Betroffenen eingehalten werden. Ebenfalls wird eine Bewertung vorgenommen, ob das Sicherheitskonzept die möglichen Risiken für die Betroffenen so weit reduzieren kann, dass die Aufsichtsbehörden nicht vorab um Erlaubnis für die Verarbeitung gebeten werden muss. Diese sogenannte Vorabkonsultation ist ein Vorgang, der viel Zeit und Ressourcen frisst, durch fachliche Beratung aber vermieden werden kann.

Einen externen Datenschutzbeauftragten zu benennen, hilft Ihrem Unternehmen, weil durch seine Erfahrung die Zusammenarbeit mit den Behörden reibungslos abläuft und seine Erfahrung mit Hacker-Angriffen beträchtliche Schäden vom Unternehmen abwehren kann.

Wer kann einem das machen?

Eine Datenschutz-Folgenabschätzung, die echte Rechtssicherheit bietet, indem sie nicht nur datenschutzrechtliche Expertise, sondern auch zertifizierte IT-Fachkunde mit einbezieht, lässt man am besten von einem externen Datenschutzbeauftragten durchführen.

Nochmal in trocken!

• Art. 4 Nr. 15 DS-GVO beinhaltet die Definition von Gesundheitsdaten.
• Erwägungsgrund 25 und 53 DS-GVO geben weitere Informationen zur Definition von Gesundheitsdaten.
• Art. 9 DS-GVO und § 22 BDSG listen auf, wann es erlaubt ist, Gesundheitsdaten zu verarbeiten.

Wo erfährt man mehr darüber?

• Der Europäische Datenschutzausschuss (EDSA) geht in zwei aktuellen Leitlinien auf die Definition von Gesundheitsdaten ein: Die Guidelines 03/2020 und die Guidelines 04/2020.
• Mehr über die Definition von Gesundheitsdaten und ihrer genauen Abgrenzung erfährst du im Forschungsartikel von Dr. Werner Schäfke-Zell: Revisiting the Definition of Health Data in the Age of Digitalized Health Care. In: International Data Privacy Law 11 (4). DOI: 10.1093/idpl/ipab025.
• Mehr Informationen zu Datenschutz-Folgenabschätzungen erhältst du in unserem Beitrag dazu.