Der Schutz von Gesundheitsdaten nach der DSGVO

    Der Gesetzgeber verpflichtet nicht nur die Ärzte, sondern auch das Umfeld zum Schutz von Patientendaten.

    Dieser Beitrag ist erstmals am 6.11.2017 in der Printausgabe des Fachmedium „Hotel & Touristik“ erschienen.

    Der Schutz ihrer gesundheitsbezogenen Daten ist Patienten naturgemäß ein besonderes Anliegen. Der Gesetzgeber verpflichtet daher nicht nur die behandelnden Ärzte selbst zur Verschwiegenheit; auch das „Umfeld“, also all jene, die diese sensible Daten verarbeiten, stehen in der Pflicht, die Vertraulichkeit der Arzt-Patienten-Beziehung zu wahren und die daraus entspringenden Gesundheitsdaten besonders zu schützen.

    Trotz der bereits im Datenschutzgesetz 2000 enthaltenen strengen Bestimmungen im Zusammenhang mit „Gesundheitsdaten“ sorgten in den vergangenen Jahren diverse Medienberichte, wie etwa ein behauptetes Datenleck bei einer Gebietskrankenkasse oder der im Spätsommer 2013 publik gewordene Handel mit Gesundheitsdaten, bei dem neben Patientennamen auch Diagnosen, Therapien und Laborwerte an ein US-Pharma-Marktforschungsunternehmen verkauft worden sein sollen, für Aufsehen.

    Ein Bedarf nach geänderten gesetzlichen Rahmenbedingungen schien durchaus gegeben und wird durch die DSGVO, nicht zuletzt durch die verschärften Sanktionsbestimmungen, auch wahrgenommen.

    Denn abgesehen davon, dass die DSGVO den Schutzgegenstand erstreckt und unter Gesundheitsdaten nicht nur alle personenbezogenen Daten, die sich auf den körperlichen und geistigen Zustand einer Person beziehen, sondern auch „Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“, verstanden wissen will - nach den Erwägungsgründen stellt daher auch die Sozialversicherungsnummer ein sensibles Datum dar – verpflichtet sie Verantwortliche wie auch Auftragsverarbeiter, technische und organisatorische Maßnahmen zu ergreifen, um eine angemessene Sicherheit der verarbeiteten Daten herzustellen.

    Diese Maßnahmen schließen unter anderem präventive Vorkehrungen, wie die Verschlüsselung personenbezogener Daten, aber auch detektive Maßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme auf Dauer sicherstellen sollen, ein.

    Schließlich werden Verantwortliche unter dem Stichwort „Privacy by design“ verpflichtet, die Grundprinzipien der DSGVO sowohl im Zeitpunkt der Festlegung der Mittel der Datenverarbeitung als auch darüber hinaus während deren Ausübung zu berücksichtigen. Demnach ist schon bei der Anschaffung eines IT-Systems daher darauf Acht zu geben, dass dieses dem Stand der Technik entspricht und mit den technischen Sicherheitsmaßnahmen kompatibel ist.

    Dieser Beitrag ist ursprünglich am 22.9. im „Versicherungsmakler“ erschienen. 


    Mag. Ing. Amra Bajraktarevic ist in Wien als Rechtsanwaltsanwärterin mit Spezialisierung auf Zivil-, Kartell- und IT-/IP-Recht tätig. Schon als Studentin erwarb sie berufliche Erfahrungen im Bereich des Marken- und Urheberrechts und unterstützt seit 2010 das Kartellrechtsteam der international aktiven Wirtschaftskanzlei LANSKY, GANZGER + Partner (LGP). Durch ihre Ausbildung und langjährige Tätigkeit als Netzwerkadministratorin hat sie das technische Know-how, IT-Projekte kompetent zu begleiten.

    Kommentare

    0 Postings

    Keine Kommentare gefunden!

    Diskutieren Sie mit

    Neuen Kommentar schreiben

    * Pflichtfelder
    Netiquette auf HORIZONT online