Datenschutz im Gesundheitswesen: Gesundheitsdaten sicher nutzen

Die EU-Datenschutz-Grundverordnung (DSGVO) definiert Gesundheitsdaten als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“. 

Im Klartext bedeutet das: Gesundheitsdaten beschreiben den körperlichen und seelischen Gesundheitszustand eines Patienten oder einer Patientin. Diese personenbezogenen Patientendaten enthalten Informationen über aktuelle sowie vergangene Erkrankungen, Diagnosen, Therapien, Allergien, Impfstatus, Schwangerschaft, Laborergebnisse und vieles mehr. Auch die behördliche Anerkennung als Schwerbehinderter zählt dazu.

Gesundheitsdaten lassen somit Rückschlüsse auf die betroffene Person zu, etwa ob bestimmte Gesundheitsrisiken vorliegen. Deshalb ist die Anforderung an einen sorgsamen Umgang mit diesen Daten im Gesundheitswesen besonders hoch. Ob jemand ein Risiko für hohen Blutdruck hat, Weizen nicht verträgt, Gesundheits-Apps nutzt oder schon einmal einen Bandscheibenvorfall hatte, geht nicht jeden etwas an.

Patientendaten sind besonders sensibel. Patientinnen und Patienten müssen sich darauf verlassen können, dass Angaben zu ihrem Gesundheitszustand und ihrer Versorgung datenschutzrechtlich vertraulich behandelt werden. Für digitale Gesundheitsdaten von Patienten gilt deshalb im Praxisalltag die ärztliche Schweigepflicht von Behandelnden und Pflegenden in medizinischen Einrichtungen.

Die Weitergabe von eHealth-Informationen an Dritte, etwa durch den Arzt, ist weitgehend nur mit ausdrücklicher Einwilligung der betroffenen Person erlaubt. Was den Datenschutz personenbezogener Daten betrifft, stellt die Europäische Datenschutz-Grundverordnung (DSGVO) hohe Sicherheitsanforderungen zu Gesundheitsdaten.

Weil die Entwicklung der Digitalisierung im Gesundheitswesen immer rascher voranschreitet, ist es umso wichtiger, dass die personenbezogenen Daten von Betroffenen durch gesetzliche Grundlagen geschützt werden. Daher ist ein IT-Sicherheitsgesetz Weil die Entwicklung der Digitalisierung im Gesundheitswesen immer rascher voranschreitet, ist es umso wichtiger, dass die personenbezogenen Daten von Betroffenen durch gesetzliche Grundlagen geschützt werden. Daher ist ein IT-Sicherheitsgesetz angesichts zunehmender Digitalisierung und Cyberrisiken von öffentlichem Interesse.

Ärztinnen und Ärzte sowie Therapeuten und Pflegekräfte im Gesundheitswesen können Erste Hilfe und Behandlungen besser realisieren, je mehr Informationen zum Gesundheitszustand eines Patienten oder einer Patientin ihnen unmittelbar elektronisch vorliegen. Auch wissenschaftliche Institute nutzen Daten für forschungsrelevante Arbeiten. Doch entsprechende Daten interessieren auch die Werbe- und Gesundheitsbranche – etwa die Pharmaindustrie. Diese möchten personenbezogene Daten auch für kommerzielle Zwecke und Anwendungen nutzen. Im schlimmsten Falle, so befürchten Skeptiker, könnten Daten von Nutzern durch IT-Systeme und künstliche Intelligenz in die Hände Krimineller geraten, die Missbrauch damit betreiben.

Für Arbeitnehmer gilt: Gesundheitsdaten sind als sensitive Daten durch das Recht auf informationelle Selbstbestimmung geschützt (Art. 1, 2 GG). Dieses Grundrecht untersagt es dem Arbeitgeber, jegliche Gesundheitsdaten der Beschäftigten offenzulegen – selbst wenn die Daten in zulässiger Weise erhalten wurden, zum Beispiel, weil Mitarbeiter diese freiwillig mitteilen. Arbeitgeber sind unter anderem gesetzlich verpflichtet, ärztliche Arbeitsunfähigkeitsbescheinigungen (AU) vertraulich aufzubewahren.

In Ausnahmefällen kann die Verarbeitung von Gesundheitsdaten nach der DSGVO datenschutzrechtlich zulässig sein, zum Beispiel zum Zweck der Behandlung oder Versorgung durch Fachpersonal oder unter dessen Verantwortung, sofern die beteiligten Personen einer beruflichen Schweige- oder Geheimhaltungspflicht unterliegen. Gleiches gilt, wenn die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist, etwa zur Abwehr schwerwiegender grenzüberschreitender Gesundheitsgefahren wie einer Pandemie. Voraussetzung ist jedoch stets, dass eine Rechtsgrundlage nach Art. 6 DSGVO sowie ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegen, die Verarbeitung im konkreten Fall erforderlich ist und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Seit 2025 erhalten gesetzlich Versicherte eine elektronische Patientenakte, sofern sie nicht widersprochen haben. Für den Datenschutz bei der elektronischen Patientenakte ist entscheidend: Versicherte können über die IKK ePA-App Zugriffe begrenzen, Dokumente verbergen oder löschen und der Nutzung widersprechen. Ärztinnen, Ärzte und weitere Leistungserbringer dürfen nur im Behandlungskontext zugreifen; jeder Zugriff wird protokolliert. So behalten Patientinnen und Patienten mehr Kontrolle über ihre Gesundheitsdaten.

Ob IKK ePA-App, E-Rezept-App, ob Fitnesstracker, Diabetestagebuch oder eine digitale Gesundheitsanwendung (DiGA): Für viele Gesundheitsbereiche gibt es Angebote zu medizinischen Apps, manche können inzwischen sogar ärztlich verschrieben werden. Im Zuge des Digitalen-Versorgung-Gesetzes (DVG) übernehmen seit 2019/2020 Krankenkassen die Kosten für zugelassene digitale Gesundheitsanwendungen.

Bevor diese jeweils zugelassen werden, hat das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) sie auf Sicherheit, Funktionstauglichkeit, Qualität, Datensicherheit und Datenschutz geprüft. Die Gesundheits-Apps auf Rezept müssen unter anderem frei von Werbung sein, personenbezogene Daten dürfen nicht zu Werbezwecken verwendet werden und medizinische Inhalte sowie Gesundheitsinformationen müssen dem allgemein anerkannten fachlichen Standard entsprechen.