Rechtfertigungsgründe für die Verarbeitung von Gesundheitsdaten
Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn besondere Rechtfertigungsgründe vorliegen. Bei sensiblen Gesundheitsdaten gelten neben den allgemeinen datenschutzrechtlichen Anforderungen zusätzliche Voraussetzungen. Die Orientierungshilfe stellt die praxisrelevanten Rechtfertigungsgründe und möglichen Ausnahmetatbestände anhand von konkreten Beispielen vor (Teil 2 A.I der Orientierungshilfe (PDF, 3 MB)). Es werden insbesondere die Anforderungen an die in der Praxis überaus bedeutsame Einwilligung erläutert und eine entsprechende Best Practice dargestellt.
Organisatorische Maßnahmen zum Schutz der Gesundheitsdaten
Unternehmen, die mit sensiblen Gesundheitsdaten umgehen, müssen organisatorische Vorkehrungen treffen, um den Schutz dieser Daten zu gewährleisten. Diese Vorkehrungen fangen mit einer Verpflichtung der Beschäftigten auf das Datengeheimnis und der Erstellung eines Verzeichnisses aller Datenverarbeitungsvorgänge an. Eine wesentliche Anforderung ist die Bestellung einer beziehungsweise eines Datenschutzbeauftragten, der das Unternehmen beim Datenschutz berät und den Kontakt mit den zuständigen Aufsichtsbehörden hält (Teil 2 A.II der Orientierungshilfe (PDF, 3 MB)).
Welche Maßnahmen konkret zu treffen sind, ist mit Hilfe einer risikobasierten Datenschutz-Folgenabschätzung zu ermitteln. Die Orientierungshilfe stellt das dazu erforderliche Verfahren dar und verweist auf weitere Leitfäden und praktische Anwendungsfälle (Teil 2 A.VI der Orientierungshilfe (PDF, 3 MB)).
Maßnahmen zur Wahrung der Nutzerrechte
Zu ihrem Schutz werden den Betroffenen verschiedene Rechte gewährt. Sie müssen von den Unternehmen zunächst durch eine Datenschutzerklärung über die Datenverarbeitung informiert werden. Darüber hinaus können die Betroffenen Auskünfte über ihre Daten verlangen und/oder die Berichtigung oder Löschung ihrer Daten fordern. Sie können der weiteren Verarbeitung ihrer Daten (teilweise) widersprechen oder deren Übertragung an einen anderen Anbieter fordern. Unternehmen müssen deswegen bei der Produktentwicklung sicherstellen, dass sie diesen Rechten der Betroffenen auch entsprechen können. Neben der Erläuterung der einzelnen Betroffenenrechte und deren Bedeutung enthält die Orientierungshilfe zu diesem Zweck auch Vorschläge für entsprechende Konzepte (Teil 2 A.III der Orientierungshilfe (PDF, 3 MB)).
Vorgaben zur Datensicherheit
Gerade im Gesundheitsbereich ist die Datensicherheit von entscheidender Bedeutung. Die Betroffenen und die Öffentlichkeit reagieren überaus sensibel, wenn es zu Datenpannen kommt. Durch die DSGVO wird das erforderliche Schutzniveau verbindlich konkretisiert. In der Orientierungshilfe werden diese Vorgaben näher erläutert und Beispiele für geeignete Sicherheitsmaßnahmen, sowie ein Vorgehen und die damit verbundenen Anforderungen bei Datenpannen vorgestellt. Zudem wird auf weitere Leitlinien von Datenschutzbehörden und Verbänden verwiesen (Teil 2 A.IV und A.V der Orientierungshilfe (PDF, 3 MB)).