Die Verarbeitung personenbezogener Gesundheits- und Personaldaten in Arztpraxen ist nach der DSGVO grundsätzlich verboten. Nur wenn eine gesetzliche Befugnis aufgrund eines Behandlungsvertrages oder eine Einwilligung des Patienten vorliegt, ist dies zulässig.

Für Angestellte gilt, dass sich die Befugnis, Daten zu verarbeiten, aus dem Arbeitsverhältnis ergibt.
Sowohl große als auch kleine Arztpraxen müssen aufgrund der Fülle dieser Fremddaten DSGVO-konform sein. Bei Verstößen - z. B. durch unzureichende Sicherung der Daten oder das Fehlen von erforderlichen Verzeichnissen - sind Bußgelder möglich.

In Arztpraxen sind im Gegensatz zu ”normalen” Wirtschaftsunternehmen verschiedene Kategorien personenbezogener Daten zu unterscheiden.

In der täglichen Praxis handelt es sich dabei zunächst um die klassischen personenbezogenen Daten, wie sie in Art. 4 DSGVO Abs. 1 definiert sind:

Art. 4 DSGVO Abs. 1

„personenbezogene Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Im Folgenden wird ein Beispiel für personenbezogene Daten und die damit verbundenen Begriffe gegeben:

Die personenbezogenen Daten

(und die dazugehörigen Begriffe)

Das ist Erika Müller (Vor- und Nachname). Sie ist weiblich (Geschlecht), 158 cm groß und hat blaue Augen (persönliche Kennzeichen). Sie wurde am 18. November 1978 in Frankfurt geboren (Geburtsdatum und -ort) und lebt in Berlin (Wohnort). Sie besuchte die Hauptschule (Bildung) und arbeitet als Verkäuferin in einem Schuhgeschäft (Beruf). Sie verdient 3.200,- Euro brutto (Verdienst), die auf ihr Konto bei der Stadtsparkasse Berlin (Bankverbindung) überwiesen werden. Sie ist geschieden (Familienstand) und alleinerziehende Mutter (Lebenssituation).

Es handelt sich hierbei um personenbezogene Daten, die zum persönlichen Lebensbereich von Erika gehören. Über die Verwendung dieser Daten kann nur Erika entscheiden.

Darüber hinaus gibt es personenbezogene Daten, die in sozialer Hinsicht sehr sensibel sind und die unser Persönlichkeitsrecht verletzen können:

Zum Beispiel die Informationen, ob Erika hetero- oder homosexuell ist (sexuelle Neigung), zu welcher Religion sie sich bekennt (Religion), welche Partei sie favorisiert (politische Meinung), ob sie chronische Krankheiten hat (Gesundheitszustand) oder einer Gewerkschaft beigetreten ist (Gewerkschaftszugehörigkeit)?

Diese Informationen sind besonders schützenswert und werden
"besondere Arten personenbezogener Daten" genannt.

Neben diesen direkt auf eine Person bezogenen Daten gibt es auch Informationen, aus denen indirekt auf eine Person geschlossen werden kann und die deshalb ebenso von der Datenschutz-Grundverordnung (DSGVO) geschützt werden. Dazu gehören sachbezogene Daten wie zum Beispiel die IP-Nummer von Erikas Computer, das Kennzeichen ihres Kraftfahrzeugs oder ihre Telefon-, Patienten- oder Kontonummer. Aber auch beschreibende Daten können personenbezogen sein: Die Aussage “der erste schwarze Präsident der USA” verweist ganz klar auf Barack Obama und fällt damit ebenfalls unter die personenbezogenen Daten.

Merke

Jede Information,

die einen Rückschluss auf eine konkrete Person erlaubt oder
deren Bekanntwerden Nachteile für die Person bedeuten kann,

gehört zu den personenbezogenen Daten. Und alle personenbezogenen Daten werden durch die DSGVO geschützt. Ausnahmslos!

Weitere Kategorien personenbezogener Daten sind unter anderem in Art. 4 DSGVO Abs. 13, 14 und 15 definiert und spielen besonders in der Arztpraxis eine wichtige Rolle.

Gesundheitsdaten

Art. 4 DSGVO Abs 15, definiert die Gesundheitsdaten:

Art. 4 DSGVO Abs. 15

„Gesundheitsdaten“ (sind) personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Dazu gehören zunächst alle Informationen, die benötigt werden, um den Patienten zu behandeln, wie z.B. die Versicherungsnummer sowie Befunde, Blutwerte, Röntgenbilder, Anamnesen, Diagnosen, Therapievorschläge etc. Ob der Patient privat oder gesetzlich versichert ist, spielt dabei keine Rolle.
Aber aufgepasst. Ganz so eindeutig ist die Definition von Gesundheitsdaten in der DSGVO leider nicht:
Der Passus ”[...] und aus denen Informationen über ihren Gesundheitszustand hervorgehen.” ist recht schwammig definiert. Hier ein Beispiel:

Das Foto zeigt eine Frau mit Brille, und es ist offensichtlich, dass sie eine Sehhilfe benötigt. Handelt es sich nun um ein Gesundheitsdatum oder nicht?

Die Antwort auf diese Frage ist nicht so einfach, und es ist sinnvoll, den Zweck oder den Kontext der Verarbeitung in Betracht zu ziehen.

Wenn der Kontext ein Gesundheitsdienst ist, spricht vieles dafür, dass es sich um ein Gesundheitsdatum handelt.

Handelt es sich bei dem Foto hingegen um ein Porträtfoto, das bei einem Fotografen oder in einem ganz anderen Kontext aufgenommen wurde, handelt es sich in der Regel nicht um ein Gesundheitsdatum

Was zu den Gesundheitsdaten gehört, ist also nicht immer klar definiert. Sie sind jedoch auf der sicheren Seite, wenn Sie alle in unserer Praxis entstehenden Daten als schutzwürdig ansehen.

Generische Daten

Hinzu kommt, dass Art. 4 Abs. 13 DSGVO auch für den Gesundheitsbereich relevant ist: Er definiert genetische Daten.

Art. 4 DSGVO Abs. 13

„genetische Daten“ (sind) personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Zusammengefasst bezeichnet dieser Begriff Daten über die genetischen Merkmale einer Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser Person liefern, insbesondere wenn sie aus einer biologischen Probe gewonnen wurden, z. B. bei DNA-Analysen und ähnlichen Tests.
Diese Daten können für Forschungs- oder Laborzwecke von Bedeutung sein.

Biometrische Daten

In Art 4 DSGVO Abs 14 werden dann noch die biometrischen Daten beschrieben.

Art. 4 DSGVO Abs. 14

„biometrische Daten“ (sind) mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Biometrische Daten sind durch spezielle technische Verfahren gewonnene personenbezogene Daten, die physische, physiologische oder verhaltenstypische Merkmale einer natürlichen Person beschreiben und deren eindeutige Identifizierung ermöglichen oder bestätigen. Als biometrische Daten werden unter anderem Gesichtsbilder, Irisscans oder daktyloskopische Daten wie Fingerabdrücke bezeichnet.

In unserer Praxis speichern und verarbeiten wir neben den Patientendaten auch personenbezogene Daten unserer Mitarbeiterinnen und Mitarbeiter sowie Daten externer Personen, z.B. Mitarbeiterdaten von Dienstleistern, mit denen wir zusammenarbeiten.

Besondere Arten personenbezogener Daten

Zusammenfassung

DSGVO" = "Datenschutz-Grundverordnung" der Europäischen Union mit Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen
"Personenbezogene Daten" = alle Daten, die eindeutig einer bestimmten natürlichen Person zugeordnet sind (wie Name, Alter, Adresse) sowie alle Informationen, über die eine Person zumindest mittelbar identifiziert werden kann (z. B. Telefonnummer, IP-Adresse)
Alle personenbezogenen Daten unterliegen dem Datenschutz; sie dürfen nur unter strengen Auflage erhoben, verarbeitet und genutzt werden.
Vor allem die "besonderen Arten personenbezogener Daten" (wie etwa Informationen zu Herkunft, Religion, Politik und Gesundheit) sind extrem sensibel und dürfen nie ohne genaue Prüfung der rechtlichen Grundlagen verarbeitet werden.