Dresden – Datenschutz im Gesundheitssektor

Geschrieben von: Rechtsanwalt Thilo Zachow, Fachanwalt für IT - Recht, Fachanwalt für Urheber- und Medienrecht, TÜV Nord zertifizierter Datenschutzbeauftragter

Veröffentlicht am: 12. Februar 2019

Dresden – Datenschutz im Gesundheitssektor

Der

Gesundheitssektor unterliegt spezifischen Datenschutzregelungen,

wie dem Arzneimittelgesetz (AMG), hier insbesondere § 40 AMG (bspw. unwiderrufliche datenschutzrechtliche Einwilligung was europarechtlich bedenklich ist, da Art. 7 Abs. 3 DS-GVO von einem jederzeit möglichen Widerruf ausgeht). Dies ist erforderlich, da das Gesundheitsdatum ein besonderes personenbezogenes Datum im Sinne von Art. 9 Abs. 1 Datenschutzgrundverordnung (DS-GVO) ist.

Dresden, Datenschutzbeauftragter (TÜV), FA – IT-Recht, FA – Urheber- und Medienrecht

„Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Arzneimittelprüfungen nach einem bestimmten Plan stehen hierbei besonders im Fokus, da sie für die Pharmaindustrie als Beleg für die Wirksamkeit und Unbedenklichkeit eines Arzneimittels dienen.

Der

Proband ist als Betroffener  im Sinne des Datenschutzrechts

derjenige, dessen personenbezogene und besondere personenbezogene Daten vom Prüfer erhoben werden.

Prüfer und Pharmaunternehmen sind in der Regel als gemeinsame Verantwortliche

anzusehen. Insoweit verweise ich auf meinen Artikel zur gemeinsamen Verantwortlichkeit in Abgrenzung zur Auftragsverarbeitung auf  chemnitz-rechtsanwalt.de .

Es gilt das Verbot der Erhebung „besonderer“ personenbezogener Daten.

Art. 9 Abs. 2 DS-GVO sieht Ausnahmen vor. Insbesondere die lit g)-j) sind im Gesundheitssektor einschlägig.

„Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich ist.“

Weiterhin sind in der Regel Datenschutzfolgenabschätzungen vor der Erhebung der besonderen personenbezogenen Datenverarbeitung nach Art. 35 DS-GVO erforderlich und nachzuweisen.

Ich bin TÜV-zertifizierter Datenschutzbeauftragter, Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für IT-Recht in Dresden. Wenn Sie einen externen Datenschutzbeauftragten suchen oder Rechtsrat zum Thema Datenschutz wünschen, sind Sie bei mir richtig.

„Art. 35 DSGVO Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 2Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“

Ihr Fachanwalt für Informationstechnologierecht, Fachanwalt für Urheber- und Medienrecht, IT-Compliance Officer, Datenschutzbeauftragter TÜV in Dresden

Über den Author:

Ich bin Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht und habe mich auf das IT-Recht (Fachanwaltslehrgang), Internetrecht und damit zusammenhängend auf das Markenrecht, Urheberrecht und Medienrecht (Fachanwaltslehrgang) sowie Wettbewerbsrecht spezialisiert. Ich bin seit dem April 2009 Partner eines social media Unternehmens und Inhaber des Onlineportals www.aa13.info. Der TÜV Nord hat mich als Datenschutzbeauftragter (TÜV) zertifiziert. Ihr Rechtsanwalt Thilo Zachow Dresden - 7 Tage - 24 h. 0351 21066970