Besondere Kategorien personenbezogener Daten
In Art. 9 DSGVO Abs.1 DSGVO findet sich eine ganze Reihe an personenbezogenen Daten, die als besonders schützenswert gelten. Neben personenbezogenen Daten zur rassischen und ethnischen Herkunft, zur politischen Meinung, zur sexuellen Orientierung oder auch zur religiösen Überzeugung zählen auch hier die Gesundheitsdaten dazu. Die Verarbeitung dieser Daten ist nach Art. 9 Abs. 1 DSGVO untersagt, erst in Art. 9 Abs. 2 lit. h) DSGVO findet sich eine Rechtsgrundlage, welche die Verarbeitung von Gesundheitsdaten erlaubt.
Die Verarbeitung von Gesundheitsdaten und ihre Einschränkungen
In der Rechtsvorschrift heißt es, dass die Verarbeitung von Gesundheitsdaten zu Zwecken der Gesundheitsvorsorge oder der Arbeitsmedizin dienen muss. Auch für die Beurteilung zur Arbeitsunfähigkeit von Beschäftigten, für die medizinische Diagnostik und zur Behandlung im Gesundheits- und Sozialwesen ist die Verarbeitung besonderer Kategorien von Daten zulässig. Weiterhin gilt die Verwaltung von Systemen und Diensten im Sozial- und Gesundheitswesen in Art. 9 Abs. 2 lit h) als Rechtsgrundlage. Als weitere Rechtsgrundlage zählt die Verarbeitung besonderer Kategorien personenbezogener Daten die Verarbeitung auf Grundlage eines Vertrages mit einem Angehörigen der Gesundheitsberufe. Die Erlaubnis gilt allerdings unter Einhaltung der in Art. 9 Abs. 3 DSGVO genannten geeigneten Garantien und Bedingungen.
Welche Bedingungen sind zu erfüllen?
Um Gesundheitsdaten verarbeiten zu dürfen ist es zwingend erforderlich, dass die Verarbeitung durch Fachpersonal oder Personen, die dem Berufsgeheimnis oder der Geheimhaltungspflicht unterliegen, verarbeitet werden. Darüber hinaus muss die Notwendigkeit zur Erfüllung des Vertrages gegeben sein. Es muss also ein unmittelbarer Zusammenhang zwischen dem Zweck und der Verarbeitung der Daten vorliegen. Zudem ist zu beachten, dass die Datenverarbeitung erforderlich ist, um den Zweck erfüllen zu können, andernfalls sollte von einer Verarbeitung abgesehen werden, da diese dann nicht mehr statthaft ist.
Fazit:
Die DSGVO erlaubt die Verarbeitung von Gesundheitsdaten dann, wenn diese zur Erfüllung eines Vertrages durch einen Angehörigen der Gesundheitsberufe erfolgt. Zeitgleich sollte immer geprüft werden, ob die Verarbeitung wirklich erforderlich ist.