Der Gesundheitssektor steht seit Tagen im Zentrum der medialen Berichterstattung. Bei der Bekämpfung der Coronavirus-Pandemie kommt ihm eine zentrale Bedeutung zu. Ärzte, Pfleger, Krankenschwestern und auch Klinikleitungen stehen einer enormen physischen und psychischen Arbeitsbelastung gegenüber. Sicherlich geht in Zeiten wie diesen nicht der erste Gedanke dabei an den Datenschutz. Trotzdem muss betont werden, dass Gesundheitsdaten zu den sensibelsten Datensätzen gehören. „Der Gesetzgeber legt größten Wert auf ein hohes Schutzniveau. Allerdings offenbart der Blick ins Detail dann vielleicht doch die ein oder andere Variante, datenschutzrechtliche Vorgaben weiter auszulegen“, rät der erfahrene Datenschutzfachmann Dr. Jörn Voßbein von UIMC. In diesem Beitrag wollen wir daher eine Übersicht bieten, was datenschutzrechtlich bei der Umsetzung von Maßnahmen in der Zeit der Coronavirus-Pandemie gerade im Gesundheitssektor zu beachten ist.
Tatsächlich kann eine Datenverarbeitung in der aktuellen Pandemie-Zeit weiter gefasst werden, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist. Hierbei müssen aber die Grundanforderungen bei der Datenverarbeitung weiterhin angewandt werden. Außerdem sollten die Mitarbeiter bezüglich der Ausnahmesituation und der weiterhin erforderlichen Maßnahmen eine hohe Sensibilisierung erfahren.
Wie schaut die rechtliche Grundlage dafür aus? Nach Art. 9 Absatz 1 DSGVO sind sehr enge Vorgaben an die Verarbeitung besonderer Kategorien personenbezogener Daten gesetzt. Wie so oft gibt es aber auch in diesem Fall einen zweiten Absatz, der Ausnahmen und Öffnungen bereithält: Die Öffnungsklausel erfordert besondere Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und überträgt die Verantwortung für eine spezifische Regelung den Mitgliedsstaaten der EU. Die Bundesrepublik hat dies im § 22 Bundesdatenschutzgesetz (BDSG) geregelt.
Gerade der Schutz vor Pandemien ist ein Gut der öffentlichen Sicherheit und des Gesundheitschutzes. Die schnelle Verbreitung des Coronavirus und die lange Inkubationszeit erfordern Maßnahmen. Der Bundesdatenschutzbeauftragte erklärt klipp und klar: „Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.“
Klar ist aber auch, dass diese Datenverarbeitung von Maßnahmen flankiert werden muss. UIMC nennt hier drei Beispiele, die im Zuge der Datenverarbeitung auf der dargelegten Rechtsgrundlage zur Anwendung kommen sollten: 1. Sensibilisierung der Bediensteten, die mit der Datenverarbeitung beauftragt sind. 2. Hinweis auf die Einhaltung datenschutzrechtlicher Standards. 3. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern auf ein erforderliches Maß, wobei die Erforderlichkeit gerade auch bei den besonderen Anforderungen einer Pandemie (flexibler Einsatz von Pflegepersonal) in diesen Zeiten eine andere sein kann als in „normalen“ Zeiten. „Es gilt, beim Datenschutz trotz Corona-Krise Maß und Mitte zu wahren und darauf zu achten, dass Krankenhäuser und Arztpraxen nicht zu datenschutzfreien Zonen werden“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein. Deshalb sei es immer ratsam einen Datenschutzexperten zu Rate zu ziehen. Schließlich werde bei der Bekämpfung der Pandemie auch auf Fachwissen von Virologen zurückgegriffen.
Tatsächlich kann eine Datenverarbeitung in der aktuellen Pandemie-Zeit weiter gefasst werden, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist. Hierbei müssen aber die Grundanforderungen bei der Datenverarbeitung weiterhin angewandt werden. Außerdem sollten die Mitarbeiter bezüglich der Ausnahmesituation und der weiterhin erforderlichen Maßnahmen eine hohe Sensibilisierung erfahren.
Wie schaut die rechtliche Grundlage dafür aus? Nach Art. 9 Absatz 1 DSGVO sind sehr enge Vorgaben an die Verarbeitung besonderer Kategorien personenbezogener Daten gesetzt. Wie so oft gibt es aber auch in diesem Fall einen zweiten Absatz, der Ausnahmen und Öffnungen bereithält: Die Öffnungsklausel erfordert besondere Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und überträgt die Verantwortung für eine spezifische Regelung den Mitgliedsstaaten der EU. Die Bundesrepublik hat dies im § 22 Bundesdatenschutzgesetz (BDSG) geregelt.
Gerade der Schutz vor Pandemien ist ein Gut der öffentlichen Sicherheit und des Gesundheitschutzes. Die schnelle Verbreitung des Coronavirus und die lange Inkubationszeit erfordern Maßnahmen. Der Bundesdatenschutzbeauftragte erklärt klipp und klar: „Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist, können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets zu beachten.“
Klar ist aber auch, dass diese Datenverarbeitung von Maßnahmen flankiert werden muss. UIMC nennt hier drei Beispiele, die im Zuge der Datenverarbeitung auf der dargelegten Rechtsgrundlage zur Anwendung kommen sollten: 1. Sensibilisierung der Bediensteten, die mit der Datenverarbeitung beauftragt sind. 2. Hinweis auf die Einhaltung datenschutzrechtlicher Standards. 3. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern auf ein erforderliches Maß, wobei die Erforderlichkeit gerade auch bei den besonderen Anforderungen einer Pandemie (flexibler Einsatz von Pflegepersonal) in diesen Zeiten eine andere sein kann als in „normalen“ Zeiten. „Es gilt, beim Datenschutz trotz Corona-Krise Maß und Mitte zu wahren und darauf zu achten, dass Krankenhäuser und Arztpraxen nicht zu datenschutzfreien Zonen werden“, empfiehlt UIMC-Geschäftsführer Dr. Jörn Voßbein. Deshalb sei es immer ratsam einen Datenschutzexperten zu Rate zu ziehen. Schließlich werde bei der Bekämpfung der Pandemie auch auf Fachwissen von Virologen zurückgegriffen.
