Glossar Orientierungshilfe zum Datenschutz für Gesundheitsdaten

Unser Glossar erklärt 24 wichtige Begriffe rund um die Orientierungshilfe zum Gesundheitsdatenschutz.
Von A wie Anonymisierung bis Z wie Zertifizierung.

A

Unter Anonymisierung versteht man einen Vorgang, bei dem personenbezogene Daten in der Weise modifiziert werden, dass die Person, die hinter den persönlichen oder sachlichen Angaben steht, nicht beziehungsweise nicht mehr identifiziert werden kann. Ist der Personenbezug aufgehoben, spricht man von anonymisierten Daten. Anonymisierte Daten fallen nicht in den Anwendungsbereich des Datenschutzrechts. Insofern sind sie abzugrenzen von (lediglich) pseudonymisierten Daten, bei denen eine Zuordnung zu einer spezifischen Person unter Hinzuziehung zusätzlicher Informationen möglich bleibt und die daher vollständig den Anforderungen des Datenschutzrechtes unterliegen.

Die Aufhebung des Personenbezugs ist bei Gesundheitsdaten besonders schwierig, da Gesundheitsdaten häufig sehr individuell sind und der Betroffene daher oft anhand weniger Zusatzinformationen identifiziert werden kann.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 F.II.

Als Auftragsverarbeiter bezeichnet man ein Unternehmen (oder eine andere Person beziehungsweise Stelle), das als Dienstleister personenbezogene Daten im Auftrag eines anderen, für die Datenverarbeitung verantwortlichen Unternehmens verarbeitet, also zum Beispiel erhebt oder speichert (Artikel 4 Nr. 8 DSGVO). Der Auftragsverarbeiter verarbeitet die Daten als verlängerter Arm des Verantwortlichen nach dessen Weisung und in der Regel auf der Grundlage eines Auftragsverarbeitungsvertrages (Artikel 28 DSGVO). Er mag dabei zwar die physische Herrschaft über den Verarbeitungsprozess ausüben, entscheidet aber nicht selbst über die wesentlichen Zwecke sowie Mittel der Verarbeitung und wird daher datenschutzrechtlich privilegiert.

Der Verantwortliche dagegen muss sich das Handeln seines Auftragsverarbeiters datenschutzrechtlich so zurechnen lassen, als sei dieser Teil seines eigenen Unternehmens.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 C.I.

B

Berufsgeheimnisträger sind Angehörige einer Berufsgruppe, die gesetzlich zur Geheimhaltung und Verschwiegenheit verpflichtet sind, wie beispielsweise Ärzte, Apotheker, Psychotherapeuten, Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer. Die Pflicht zur Geheimhaltung kann sich aus EU-Recht, nationalem Recht oder Vorschriften national zuständiger Stellen ergeben, in Deutschland beispielsweise aus § 203 Abs. 1 StGB oder den Berufsordnungen von Ärzten, Apothekern und Psychologen. Bei der Verarbeitung von Daten, die dem Berufsträgergeheimnis unterfallen, müssen sowohl die datenschutzrechtlichen als auch die straf- und berufsrechtlichen Anforderungen beachtet werden.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 B.

In der DSGVO sind verschiedene gesetzliche Rechte und Ansprüche der von der Datenverarbeitung betroffenen Personen normiert (sogenannte Betroffenenrechte). Zu den Betroffenenrechten zählen zum Beispielum Beispiel das Auskunftsrecht, das Recht auf Berichtigung und Löschung und das Recht auf Datenportabilität.

Aus den Betroffenenrechten ergeben sich entsprechende gesetzliche Pflichten für das Unternehmen, das für die Datenverarbeitung verantwortlich ist. Teilweise müssen Unternehmen dabei von sich aus tätig werden (zum Beispielum Beispiel Erteilung von Informationen über die Datenverarbeitung, Löschung von Daten), teilweise (nur) auf Verlangen des Betroffenen (zum Beispiel Recht auf Auskunft, Recht auf Datenübertragung).

(Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.III.)

Ein Betroffener oder eine betroffene Person ist die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Informationen bzw. Daten beziehen (Art. 4 Nr. 1 DSGVO). Die beziehungsweise der Betroffene ist somit die Person,

  • um deren Daten es geht und
  • die davor zu schützen ist, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird. Hierzu dienen ihr beispielsweise die Betroffenenrechte.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.III.

Unter Big Data ist eine Form der Datenanalyse zu verstehen, die es erlaubt, mit einer hohen Geschwindigkeit eine große Menge an Daten aus einer Vielzahl von Quellen zu kombinieren und hieraus wirtschaftlichen Nutzen zu erzeugen. Werden hierbei auch Gesundheitsdaten oder andere personenbezogene Daten verwendet, ist das Datenschutzrecht einzuhalten. Bestimmte Erleichterungen können im Rahmen von Forschungsvorhaben gelten.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 F.

D

Datenpannen sind Ereignisse, bei denen die Sicherheit personenbezogener Daten verletzt wird, beispielsweise weil Gesundheitsdaten fehlerhaft übermittelt oder gestohlen werden oder weil das verarbeitende Unternehmen „gehackt“ wird. Im Falle einer Datenpanne bestehen für das verantwortliche Unternehmen und Auftragsverarbeiter umfassende Meldepflichten gegenüber der Datenschutzaufsicht und den von der Datenpanne betroffenen Personen.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.V.

Das für eine Verwendung von (Gesundheits-) Daten verantwortliche Unternehmen ist verpflichtet, schon „by Design“, also zum Beispiel bei Konzeptionierung einer App, durch geeignete (insbesondere technische) Maßnahmen, und „by Default“, also durch geeignete Voreinstellungen, zu gewährleisten, dass das Datenschutzrecht eingehalten wird. Hierdurch soll insbesondere gewährleistet werden, dass die Datenschutzgrundsätze Datenminimierung und Zweckbindung wirksam umgesetzt werden.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.X.

Sind mit einer geplanten Verwendung von (Gesundheits-) Daten hohe Risiken für die betroffene Person verbunden, muss das verantwortliche Unternehmen in bestimmten Fällen vorab eine sog. Datenschutz-Folgenabschätzung (DSFA) durchführen. So erfordert zum Beispiel jede umfangreiche Verarbeitung von Gesundheitsdaten bereits eine DSFA. Die DSFA soll sicherstellen, dass das verantwortliche Unternehmen mögliche Folgen bestimmter kritischer Datenverarbeitungen vorab analysiert und Maßnahmen für den Schutz der betroffenen Personen festlegt, um so das Risiko auf ein angemessenes Maß zu reduzieren.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.VI.

Der Datenschutzbeauftragte soll als interne Kontrollinstanz Unternehmen bei der Einhaltung des Datenschutzrechts unterstützen. Die Bestellung eines Datenschutzbeauftragten ist unter der DSGVO für Unternehmen in der gesamten EU unter bestimmten Bedingungen verpflichtend.

Weitere Informationen finden Sie in der Orientierungshilfe (PDF, 3 MB) in Teil 2 A.II.2.