Dass der Datenschutz bei medizinische Daten besonders wichtig ist, machen Gesetze wie das Bundesdatenschutzgesetz und das Strafgesetzbuch unmissverständlich klar.
Lesen Sie in diesem Artikel, weshalb medizinische Daten eines besonderen Schutzes bedürfen, was die Besonderheiten des medizinischen Datenschutzes sind und welche Datenschutzgesetze zu beachten sind.
Datenschutz: Wer Interesse an Ihren medizinischen Daten hat
Sensible medizinische Daten zu erheben, zu verarbeiten und zu speichern birgt wesentliche Risiken, beispielsweise dass nicht mehr Sie entscheiden können, wer Einsicht in Ihre Daten erhält:
- Arbeitgeber: Gewisse Daten in den Händen von Arbeitgebern können eine Einstellung oder Karriere abrupt zunichtemachen.
- Versicherungen: Wenn Sie über medizinische Informationen verfügen und diese Ihrer Versicherung verschweigen, dann kann der Versicherungsschutz erlöschen. Es kann auch sein, dass Sie überhaupt keinen Versicherungsschutz mehr erhaltne. Damit haben Sie keine Möglichkeit mehr, fundamentale Lebensrisiken abzusichern – oder nur noch zu einem hohen Preis. Das betrifft übrigens nicht nur Sie, sondern ggf. auch Ihre Kinder!
- Partner: Dass Gendaten bei Vaterschaftsklagen von Belang sind, dürfte nichts Neues sein.
- Sie selbst: Dass die meisten Menschen, die von einer Karibikreise mit einer Geschlechtskrankheit zurückkommen, dies lieber nicht der Öffentlichkeit preisgeben, dürfte klar sein. Ihre informationelle Selbstbestimmung kann gefährdet sein.
- Auch Hacker haben die Sensibilität medizinischer Daten erkannt und erpressen Krankenkassen oder Krankenhäuser, bei denen sie Daten erbeutet haben.
Weitere Beispiele für die Verletzung des Datenschutzes:
- Die Krankenakte von Michael Schumacher wurde gestohlen.
- Die Deutsche Bahn führte illegal Krankenakten.
- Mitarbeiter lesen illegal die Krankenakte im Fall Tugce.
- Die englische Gesundheitsbehörde NHS verliert 8 Mio. Patientendaten.
Besonderheiten von medizinischen Daten
1. Sie können nicht immer alleine entscheiden
Im Gegensatz zu anderen sensiblen Daten ist es bei manchen medizinischen Daten unmöglich, alleine zu entscheiden, ob und wenn ja welchen Dritten man Einblick in welche Daten gewähren will: Offenbart man seine Gendaten, offenbart man auch Informationen über seine Angehörige – mit oder gegen deren Willen. Schließlich teilt man sich mit diesen wichtige genetische Informationen.
2. Manche wollen die Daten nicht kennen
Aber auch für den Eigentümer der Daten kann es wünschenswert sein, die medizinischen Details nicht zu kennen:
- Psychische Belastung: Mit den Diagnosen, die nicht notwendigerweise gute sind, müssen Sie umgehen können. Es kann eine hohe Belastung sein beispielsweise zu wissen, dass man eine hohe Wahrscheinlichkeit hat, an Alzheimer zu erkranken. Die Lebensfreude bis zum Ausbruch der Krankheit (die vielleicht auch gar nie ausbricht) kann dramatisch beeinflusst werden.
- Medizinische Konsequenzen: Manche Diagnosen können Sie zu unnötigen, teuren und gefährlichen Untersuchungen, im ungünstigen Fall sogar Therapien veranlassen. Sicher auch kein Quell der Lebensfreude.
Natürlich gibt es auch Risiken, die nicht die einzelne Person, sondern die Gesellschaft betreffen. Was passiert, wenn man den Partner nach dem genetischen Datensatz auswählt oder Kinder auf Basis dieser Informationen adoptiert? Mein Gendatensatz beispielsweise erlaubt angeblich nicht nur Rückschlüsse auf die Augenfarbe…
3. Datenschutz kann Sicherheit gefährden
In einem Krankenhaus wurden den Pflegekräften aus Gründen des Datenschutzes der Zugriff auf die Medikamentenverschreibung der Patienten verwehrt. So konnte die Nachtschicht, die diese Verschreibungen kontrollierte, einen Medikationsfehler nicht erkennen. Ein Patient verstarb.
Sicherheit im Sinn von IT-Security und Sicherheit im Sinn von Safety können widersprüchliche Schutzziele sein.
4. Datenschutz kann den Fortschritt bremsen
Datenschutz sollte uns nicht die Chancen verbauen, aus medizinischen Daten zu lernen, um Diagnosen frühzeitig stellen zu können oder Medikamente und Behandlungsverfahren zu identifizieren, die spezifisch für eine genetische Disposition gewählt werden müssen. Wie wichtig das ist, wird jeder verstehen, der an einer bis dato unheilbaren Krankheit leidet.
Dieser Fortschritt wird nur gelingen, wenn wir viele möglichst vollständige Datensätze haben. Das werden wir aber nur erreichen, wenn möglichst viele Menschen bereit sind, diese zur Verfügung zu stellen. Auch müssen wir über Systeme, Prozesse und Standards verfügen, um diese Daten zusammenzuführen und dabei den Datenschutz bestmöglich zu gewährleisten. Sicher keine Trivialität, denn Gendaten lassen sich nun mal schlecht anonymisieren.
Lesen Sie hier mehr zum Thema Pseudonymisierung und Anonymisierung von Daten.
Regulatorische Anforderungen an den Datenschutz
1. Überblick über die Datenschutzgesetze
Eine Vielzahl von sich ergänzenden, aber auch siche widersprechenden (genauer gesagt „überschreibenden“) Regularien zum Datenschutz müssen beachtet werden:
- Auf EU Ebene
- Europäische Grundrechte-Charta
- Seit Mai 2018 in Kraft ist die EU DSGVO. Sie ersetzt die bisherige Datenschutz-Richtlinie 95/46/EWG, die erst über die Umsetzung in nationale Gesetze Wirksamkeit erzielte. Generell erlaubt eine EU-Verordnung nicht, dass die Nationalstaaten Forderungen abschwächen oder verschärfen. In diesem Fall gibt es aber Ausnahmen.
- Auf Bundesebene
- Bundesdatenschutzgesetz (BDSG), das sich an Privatpersonen ebenso richtet wie an die Industrie/Wirtschaft und die Bundesbehörden. Es ergänzt und konkretisiert die DSGVO.
- Sozialgesetzbuch SGB, insbesondere Buch 10
- IT-Sicherheitsgesetz und zugehörige Verordnung (Die IT-Sicherheit hat den Datenschutz als eines der Schutzziele.)
- Strafgesetzbuch § 203 StGB, der auch medizinische Daten adressiert
- DiGAV (Digitale Gesundheitsanwendungen Verordnung) insbesondere § 4 und Anhang 1
- Leitlinien des Bundesamts für Informationssicherheit (BSI), vorgestellt im Beitrag zur Datensicherheit und zum Datenschutz bei DIGA
- Infektionsschutzgesetz
- Kirchliche Datenschutzgesetze (interessant, dass diese Parallelwelt existiert, oder?)
- Z.B. Gesetze für Einrichtungen der evangelischen und katholischen Kirche
- Auf Landesebene die Landesdatenschutzgesetze
- für die öffentliche Verwaltung in Land und in Kommunen
- Landeskrankenhausgesetze
- Landesmeldegesetz, Landesverwaltungsgesetz, …
- Sonstige „Spezialgesetze“, die Vorrang vor den allgemeinen Gesetzen genießen
- TeleMedienGesetz
- TeleKommunikationsGesetz
- Gesundheitsdatenschutz, Impfgesetz
- Hochschulgesetz
- Polizeigesetz, Passgesetz, Personalausweisgesetz, Aufenthaltsgesetz
Im Gegensatz zum sonstigen Rechtssystem gilt beim Datenschutz nicht „was nicht verboten ist, ist erlaubt“, sondern „nur was explizit erlaubt ist, ist erlaubt“.
Lesen Sie hier mehr zur Datenschutzgrundverordnung DSGVO und ihren Auswirkungen auch auf Medizinprodukte. Hersteller digitaler Gesundheitsanwendungen sollten den Beitrag zur Datensicherheit und zum Datenschutz für DIGA lesen. Dort sind weitere Normen und Leitlinien gelistet, die nicht nur diese Hersteller unbedingt beachten müssen.
2. Inhalt der Datenschutzgesetze
Inhaltlich geht es bei diesen Gesetzen meist um Folgendes:
- Rechtmäßigkeit der Datenverarbeitung (Einhalten der gesetzlichen Grundlagen, Notwendigkeit der Einwilligung usw.)
- Grundsatz der Zweckbindung und Grundsatz der Gewährleistung der Betroffenenrechte, z.B. Verbot der Profilbildung, Verbot der Datensammlung auf Vorrat, Verbot der automatisierten Einzelentscheidung
- Der Grundsatz der Erforderlichkeit, d.h. Grundsatz der Datenvermeidung und Datensparsamkeit
- Ebenso zählt zu diesen Grundsätzen jener der Transparenz.
- Grundsatz der klaren Verantwortlichkeiten
- Grundsatz der Kontrolle
- Nutzung pseudonymisierter oder anonymisierter Daten
- Verpflichtung zum Schutz der Daten
- Datenportabilität und das Recht, seine Daten zu erhalten (jetzt auch Gegenstand der EU-Verordnung)
- Recht auf das Löschen von Daten (jetzt auch Gegenstand der EU-Verordnung)
Das in Deutschland wichtigste Gesetz ist das Bundesdatenschutzgesetz BDSG. Es verfolgt den Grundsatz der Datensparsamkeit und Datenvermeidung. Das BDSG fordert, dass „personenbezogene Daten zu anonymisieren oder zu pseudonymisieren [sind], soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.„
Das BDSG verbietet es sogar, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Ausnahmen sind nur erlaubt, wenn entweder andere Rechtsvorschriften das erlauben oder fordern oder der Betroffene eingewilligt hat.
Oft besteht die einzig sinnvolle und juristisch belastbare Vorgehensweise darin, die Betroffenen (z.B. Patienten, Kunden) explizit um eine Einwilligung zu bitten.
3. Weitere Regularien und Veröffentlichungen zum Datenschutz
Für Arztpraxen:
- „Die Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ der Bundesärztekammer (BÄK) vom April 2014
- Neue Fassung der Technischen Anlage von 2008, ebenfalls von der BÄK
Für Kliniken
- „Orientierungshilfe Krankenhausinformationssysteme“, herausgegeben von der Konferenz der Datenschutzbeauftragten Bund/Länder (2011 erstmals publiziert, 2014 überarbeitet). Diese Publikation verlangt von den Kliniken, ihre Verwaltungs-IT auf die aktuelle Gefahrenlage umzurüsten und datenschutzkonforme Zugriffsregeln technisch umzusetzen.
Für die Gesundheitswirtschaft allgemein
- „Kommentierter Muster-ADV-Vertrag für die Gesundheitswirtschaft“ vom 28.1.2015, publiziert von einer Arbeitsgruppe, an der u.a. die Gesellschaft für Datenschutz und Datensicherheit (GDD) und der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) beteiligt waren. Er soll helfen, die Anforderungen des § 11 BDSG für den Sonderfall sensibler medizinscher Daten zu erfüllen.
Branchenunabhängige Vorgaben und „Best Practices“
- Die Famile der Normen der ISO 27000er-Serie beschreiben die Anforderungen an ein IT-Security-Management, das den Datenschutz als eines der Schutzziele umfasst.
- Das gleiche gilt für den IT-Grundschutzkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Für Medizinproduktehersteller
Im Gegensatz zu den Krankenhäusern und Arztpraxen betreffen die Datenschutzgesetze die Medizinproduktehersteller nur indirekt. Letztere müssen Systeme entwickeln, mit denen die Betreiber datenschutzkonform arbeiten können. Bei einigen Apps werden allerdings die Medizinproduktehersteller selbst zu Betreibern. Die folgenden regulatorischen Anforderungen betreffen Medizinproduktehersteller:
- Die MDR fordert die Einhaltung des Datenschutzes u.a. bei den klinischen Prüfungen.
- Die ISO 13485:2016 fordert, dass die Hersteller die Vertraulichkeit von Gesundheitsinformationen gewährleisten und dazu notwendige Methoden implementieren müssen.
- Die ISO 13485:2016 fordert zudem, dass die Hersteller alle regulatorischen Anforderungen (nicht nur) an den Datenschutz erfüllen.
Die Datenschutzbeauftragten der Länder erwägen, die Anforderungen der DSGVO nicht nur von den Organisationen einzufordern, die personenbezogene Daten verarbeiten, sondern auch von den Herstellern, die die dazu notwendigen Systeme entwickeln! Lesen Sie hierzu das „Schwerpunkt-Thema 4″ ab Seite 15 im Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Aktuelles
Online-Artikel
- GMDS zur Datensicherheit und dem Datenschutz bei Informationssystemen im Gesundheitswesen
- Drastische Bußgelder bei Datenschutzverstößen (auch durch Krankenhäuser)
Sehr guter Beitrag von hoher Relevanz, wie Untersuchungen von Gesundheits-Apps für Verbraucher zeigen. Nur etwa jede 3. Gesundheits-App (66 von 242 getesteten Apps) macht Angaben zum Schutz der Nutzerdaten (s. healthon-Datenbank). Wenig Sensibilität für die Bedeutung des Datenschutzes und der Persönlichkeitsrechte oder klares Kalkül auf Anbieterseite?
Ein zur Zeit wieder sehr aktuelles Thema. Durch die neue Datenschutzgrundverordnung ab 2018 wird die persönliche Haftung jedes Betreibers erhöht. Die strafrechtlichen und wirtschaftlichen Folgen können existenziell sein. Das Thema beschäftigt uns auch in unserer täglichen Arbeit sehr stark.
Vielen Dank Prof. Johner, dass Sie das Thema wieder nach oben „geschoben“ haben.
Der Fokus auf Datenschutz im Sinne des Schutzes der Privatsphäre überblendet häufig den Anspruch an die Datensicherung im Sinne der Verfügbarkeit.
Wie müssen Gesundheitsdaten gegen verlust gesichert werden? Was sind die Anforderungen an die Aufbewahrung bzw Speicherung, an Backups und zugehörige Methoden zur Absicherung.
Lieber Christian,
Sie haben Recht, beim Datenschutz geht es nicht nur um die Vertraulichkeit der persönlichen Daten, sondern auch um Fragen der Datensicherung. Die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität können durchaus in Konflikt zueinander stehen. Je vertraulicher Daten behandelt werden, desto weniger sind sie verfügbar. Hier müssen die Interessen sorgfältig abgewogen werden. Die Maßnahmen gegen Verlust unterscheiden sich nicht grundsätzlich von den Maßnahmen für andere wichtige Daten eines Unternehmens. §32, Abs 1 der DSGVO fordert die so genannten Technisch-Organisatorischen Maßnahmen. Dazu gehören zum Beispiel Pseudonymisierung und Verschlüsselung. Weitere Maßnahmen können Sie z.B. beim BSI sehr detailliert nachlesen:
– Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten,
– technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente,
– Regelungen zum Umgang mit klassifizierten Informationen,
– ein geeignetes Identitäts- und Berechtigungsmanagement,
– die Anwendung kryptographischer Maßnahmen,
– ausreichende Datensicherungsverfahren,
– Verfahren zur Erkennung und Abwehr von Schadsoftware.
Welche Maßnahmen ein Unternehmen auswählt, hängt von den Daten, dem regulatorischen Kontext und den technischen Voraussetzungen ab.
Mit besten Grüßen
Astrid Schulze