Daten. Datenschutz. Datenschutzverordnung. Alles Wörter, die man häufig zu Ohren bekommt, vor allem als Unternehmer*in. Ein hübsches kleines Dropdown-Menü, welches dich auffordert dem Datenschutz zuzustimmen. Aber was steckt eigentlich genau dahinter und worauf müssen Startups rechtlich gesehen bei Gesundheitsdaten achten?
Datenschutzgrundverordnung (DS-GVO)
Fangen wir mit der grundlegenden Definition der Datenschutzgrundverordnung an. Die DS-GVO wurde mit dem Ziel festgelegt, das Datenschutzrecht in der Europäischen Union zu pflegen und einen einheitlichen, beständigen und sicheren Rahmen im Umgang mit Daten zur Zeit der Digitalisierung zu schaffen. Hier stellt sich zunächst die Frage: Was genau sind überhaupt Gesundheitsdaten? Gesundheitsdaten sind grundlegend alle Daten, welche sich auf die geistige oder körperliche Gesundheit einer Person beziehen. Dementsprechend fallen darunter alle Daten, aus denen Informationen über den Gesundheitszustand ebenjener Person gezogen werden können. Dies ist bereits der Fall, wenn ein Front-End User, nennen wir ihn einfach Tom, über eine App einen Termin bei seinem Hausarzt online bucht.
Wirft man einen Blick in die DS-GVO, sieht man schnell, dass das Datenschutzrecht Gesundheitsdaten einen besonderen Schutz zuspricht. Warum? Ganz einfach. Solche Daten sind unumstritten höchstpersönlich, dementsprechend ist die Verarbeitung dieser Daten grundsätzlich verboten und nur unter besonderen Umständen oder Voraussetzungen gestattet.
Wir arbeiten uns weiter vor zur Systematik der DS-GVO. Grundlegend ist hier das Verbotsgesetz mit Erlaubnisvorbehalt nach Art.6 §1 (DS-GVO). Demnach ist die Verarbeitung aller personenbezogener Daten grundlegend verboten. Der Erlaubnisvorbehalt tritt dann in Kraft, wenn es eine Rechtsvorschrift erlaubt, oder aber der*die Betroffene einwilligt. Wir alle kennen das schon aus dem alltäglichen Internet. Auf jeder Webseite sind Cookies, über die dich der Host der Webseite informiert, mittels eines Dropdown-Menüs, welches dich dazu auffordert der Verarbeitung der Daten einzuwilligen. Bei dem Datenschutz von Gesundheitsdaten sieht die ganze Sache jedoch etwas strenger aus. Die Verarbeitung der Daten ist laut der DS-GVO nur dann erlaubt, wenn einer der in Art. 9 §2 (DS-GVO) katalogartig aufgeführten Elaubnistatbestände vorliegt. Für Gründer*innen in der Gesundheitsbranche sind in diesem Fall die Erlaubnistatbestände der Einwilligung des Betroffenen und Zulässigkeit der Datenverarbeitung zum Zweck der Gesundheitsvorsorge von Bedeutung. Welche ich euch im Folgenden kurz erklären werde.
Erlaubnistatbestand der Einwilligung
Im Fall des Erlaubnisbestandes der Einwilligung muss bei der Verarbeitung von Gesundheitsdaten eine ausdrückliche Einwilligung des Betroffenen vorangehen. Diese muss freiwillig und unter Beachtung des Kopplungsverbotes erfolgen. Der Betroffene muss in diesem Fall in der Lage sein, eigenständig und frei entscheiden zu können. Das Kopplungsverbot selbst sagt aus, dass die Einwilligung dann unwirksam wäre, wenn Nutzer Daten hochladen möchten und zur gleichen Zeit in die Verarbeitung von Daten zum Versand von Newslettern einwilligen müssen. Somit wäre die Einwilligung rechtlich unwirksam, eine verbotene Datenverarbeitung findet statt und zieht ein hohes Bußgeld mit sich. Die Einwilligung ist dementsprechend erst dann wirksam, wenn eine Erläuterung der Datenschutzverordnung ausgehändigt wurde und diese zustimmungspflichtig ist. Hier spricht man von einer Opt-In Einwilligung. Opt-Out Einwilligungen, die stillschweigenden Einwilligungen) sind in Deutschland nicht wirksam. Es ist ebenfalls besonders auf die Usability der Datenschutzverordnung zu achten. Sie sollte für jeden verständlich formuliert sein.
Erlaubnistatbestand der Gesundheitsvorsorge
Dieser Erlaubnistatbestand ist ein weiterer Weg, über den die Verarbeitung von Gesundheitsdaten legitimiert werden kann. Bei diesem Erlaubnistatbestand, bei welchem es sich um Gesundheitsvorsorge handelt, ist keine Einwilligung des Betroffenen nötig. So können, wo es regelmäßig notwendig ist, Gesundheitsdaten verarbeitet werden und zwischen Sachverständigen, in verantwortlichem Umgang, ausgetauscht werden. Gerade in diesen Fällen muss oft zügig gehandelt werden. Ein behandelnder Arzt muss dementsprechend keine zusätzliche Erlaubnis erteilt bekommen, damit er die entnommene Blutprobe ans Labor schicken darf. Beide Parteien unterliegen dabei jedoch der Schweigepflicht.
Viele Daten – Er hilft! Der Datenschutzbeauftragte.
Bei all diesen Artikeln und Absätzen kann es schwer sein einen guten Überblick zu bewahren. Es wird also dazu geraten, einen externen Datenschutzbeauftragten anzustellen und so einen Experten zur Rate zu ziehen. So ist man abgesichert und läuft nicht Gefahr Bußgelder zahlen zu müssen. Der Datenschutzbeauftragte soll klar beurteilen können, ob ein Erlaubnistatbestand vorliegt, bevor die Verarbeitung der Gesundheitsdaten erlaubt ist. Des Weiteren kann er alle Datenschutzfragen der Nutzer, Aufsichtsbehörden und Partner beantworten und darüber hinaus neuen Mitarbeitern beim Umgang mit delikaten Daten helfen. Wenn ein Unternehmen den Fokus seiner Tätigkeit auf Gesundheitsdaten legt, ist es hingegen vorgeschrieben, dass ein Datenschutzbeauftragter eingesetzt wird, was hier unabhängig von der Anzahl der Mitarbeiter ist.