Datenschutz/-sicherheit in der digitalen Medizin

Das Datenschutzrecht stellt hohe Anforderung an den Umgang mit Gesundheitsdaten. Den maßgeblichen regulatorischen Bezugsrahmen stellt dabei die EU-Datenschutzgrundverordnung (DSGVO) dar. Die Verordnung gilt für jedwede Verarbeitung von personenbezogenen Daten. Für sensible Daten, wie Gesundheitsdaten, wird in Art. 9 DSGVO ein allgemeines Verarbeitungsverbot statuiert. Ausnahmen von dem Verarbeitungsverbot sind aber in bestimmten Fällen zulässig, etwa wenn die Verarbeitung aufgrund einer Einwilligung erfolgt oder eine Verarbeitung im Bereich der Gesundheitsversorgung, des öffentlichen Gesundheitswesens oder zu Forschungszwecken stattfindet. Für die Verarbeitung von Gesundheitsdaten können nationale Vorschriften eingeführt oder aufrechterhalten werden. Dies führt dazu, dass bei der Verarbeitung von Gesundheitsdaten nicht die DSGVO, sondern häufig nationale Vorschriften anwendbar sind. Aufgrund der fragmentierten nationalen Datenschutzgesetzgebung wird bei der überregionalen Verarbeitung von Gesundheitsdaten häufig auf die Einwilligung der Patienten als Legitimationsgrundlage zurückgegriffen. Bei der Verarbeitung von personenbezogenen Daten sind stets die datenschutzrechtlichen Grundsätze zu berücksichtigen. Hierzu gehört u.a. der Grundsatz der Zweckbindung. Dieser besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Eine Weiterverarbeitung zu anderen Zwecken ist nur in sehr engen Grenzen möglich. Hierdurch wird die Nutzung von Gesundheitsdaten zu sekundären Zwecken - also zu Zwecken, die sich nicht mit dem Erhebungszweck decken - erheblich eingeschränkt. Bei der Verarbeitung von personenbezogenen Daten werden darüber hinaus hohe Anforderungen an die IT-Sicherheit gestellt. Die verarbeitende Stelle muss ein dem Risiko angemessenes Schutzniveau gewährleisten. Daneben enthalten auch andere Gesetze, wie z.B. das BSI-Gesetz, Anforderungen an die IT-Sicherheit. Diese gelten nach bisheriger Rechtslage jedoch nur für Betreiber von kritischen Infrastrukturen, wie z.B. Kliniken oder Hersteller von Medizinprodukten, sobald diese bestimmte Schwellenwerte erreichen und ein Ausfall zu schwerwiegenden Nachteilen führen würde. Mit dem sog. IT-Sicherheitsgesetz 2.0 wird der Anwendungsbereich des BSI-Gesetzes erweitert und neue IT-Sicherheits- und Meldepflichten eingeführt.