Katrin Eggert

Orientierungshilfe Gesundheitsdatenschutz

Das Bundesministerium für Wirtschaft und Energie (BMWi) veröffentlichte eine „Orientierungshilfe zum Gesundheitsdatenschutz“

Das Bundesministerium für Wirtschaft und Energie (BMWi) veröffentlichte eine „Orientierungshilfe zum Gesundheitsdatenschutz“ (Stand 2018-11, https://www.bmwi.de/Redaktion/DE/Dossier/orientierungshilfen-gesundheitswirtschaft.html), Download pdf-Datei unter https://www.bmwi.de/Redaktion/DE/Downloads/M-O/orientierungshilfe-gesundheitsdatenschutz.pdf?__blob=publicationFile&v=16 (Übersichtsseite ist unter https://www.bmwi.de/Redaktion/DE/Dossier/orientierungshilfen-gesundheitswirtschaft.html zu finden, FAQ unter https://www.bmwi.de/Redaktion/DE/FAQ/Gesundheitsdatenschutz/faq-gesundheitsdatenschutz.html). Die Orientierungshilfe richtet sich primär an Unternehmen, die Gesundheitsdaten für digitale Produkte verarbeiten. Dementsprechend ist der Text auch so verfasst worden, dass auch Nicht-Juristen gute Chancen haben, den Text zu verstehen. 😉 Dementsprechend wurde an vielen Stellen auch auf eine differenzierte juristische Darstellung verzichtet, d.h. einzelne Aspekte können aus juristischer Sicht im Einzelfall vielleicht anders bewertet werden, aber es geht in dieser Orientierungshilfe mehr um die „Standard“-Verarbeitungen; Einzelfallbetrachtungen bleiben hier verständlicherweise außen vor.

Die Orientierungshilfe ist mehrteilig aufgebaut: im ersten Teil wird dargestellt, an wen sich die OH richtet, der zweite Teil dient der Darstellung der rechtlichen Rahmenbedingungen, der dritte Teil geht auf Nachweismöglichkeiten bzgl. der Einhaltung der rechtlichen Vorgaben ein; allerdings ist der größte Teil Zertifizierungen gewidmet, die durch nicht den Anforderungen der DS-GVO-entsprechend akkreditierten Zertifizieren angeboten werden.

Der zweite Teil bzgl. den rechtlichen Anforderungen besteht wiederum aus mehreren Teilen:

  • Teil A beinhaltet Anforderungen aus der DS-GVO, also z.B. Umgang mit den Betroffenenrechten oder der Sicherheit der Verarbeitung.
  • Teil B betrachtet den Umgang mit Daten, die unter die Schutzwirkung von § 203 StGB fallen.  Unter B.II.3 wird beispielsweise in Übereinstimmung mit den Aussagen der Bundesärztekammer festgestellt, dass die Beauftragung externer Kräfte unter den Vorgaben von § 203 StGB auch den Anforderungen der jeweiligen Landesberufsordnungen der Ärzte genügen, d.h. derartige Beauftragungen keine berufsrechtliche Schweigepflicht verletzen. Da es immer noch Personen gibt, die derartige Ansichten vertreten, ist die Klarstellung aus einem Bundesministerium in dieser Angelegenheit bestimmt hilfreich.
  • Teil C ist der Einbindung externer Dienstleister gewidmet. Der überwiegende Teil ist der Auftragsverarbeitung gewidmet, aber es wird auch auf die Verarbeitung unter dem Konstrukt der „gemeinsamen Verantwortlichkeit“ eingegangen. Unter C.II.2 wird auch auf die Verarbeitung in Drittländern eingegangen, leider wird hier nicht darauf eingegangen, ob und wenn ja inwieweit § 203 StGB hier eine Einschränkung darstellen kann.
  • Teil D widmet sich den Gesundheits-Apps. Da diese Apps vermehrt angeboten und auch nachgefragt werden, adressiert das BMWi hier sicherlich ein sehr stark nachgefragtes Thema. Es wird u.a. auf Einwilligung als Rechtsgrundlage eingegangen, Privacy by Design, Datensparsamkeit usw. Der Text ist so geschrieben, dass man insbesondere Teil D.II „Was ist zu tun?“ auch Projektmanagern zur Planung einer App mit dem Hinweis der Umsetzung der Anforderungen an die Hand geben kann.
  • Teil E ist dem Thema Profiling und automatisierte Entscheidungsfindung gewidmet. In Teil D.I wird klargestellt, dass Entscheidungen, die von Menschen getroffen werden, nicht darunter fallen, auch wenn ein Computer vorab Informationen bereitstellte, welche die Entscheidung des Menschen entscheidend beeinflussen. Daneben  wird darauf hingewiesen, dass neben den allgemeinen Anforderungen wie Gewährleistung der Betroffenenrechte usw. angemessene  Sicherheitsmaßnahmen getroffen werden müssen, wie z.B. das Recht auf eine Kontrolle durch Menschen.
  • Teil F widmet sich Big Data und Anonymisierung. Insbesondere Teil F.II zur Anonymisierung ist sicherlich hilfreich. Einerseits wird klargestellt, dass jede Anonymisierung einer Rechtsgrundlage bedarf, andererseits wird klargestellt, dass eine bloße Entfernung administrativer Daten ggf. zur Anonymisierung nicht ausreicht, wenn die verbleibenden medizinischen Daten die eindeutige Identifizierung erlauben.

Die OH umfasst gut 100 Seiten, die Gliederung erlaubt aber ein schnelles Auffinden der einzelnen Inhalte. Da sich die deutschen Aufsichtsbehörden bisher sehr schwer tun, einen klaren Standpunkt aufzuzeigen, ist diese Orientierungshilfe des BMWi umso ausdrücklicher zu begrüßen.

Autor: Bernd Schütze