Was ist bei der DS-GVO-konformen Verarbeitung erlaubt?
Wer personenbezogene Daten verarbeitet, der muss sich an die Vorgaben im Datenschutz halten. Dabei ist es wichtig, dass der Verantwortliche weiß, was personenbezogene Daten sind und welche Besonderheiten zu beachten sind. Eine Besonderheit ist dabei die Verarbeitung von personenbezogenen Daten besonderer Kategorien. Dazu gehören zum Beispiel Gesundheitsdaten.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Was sind Gesundheitsdaten?
Angaben über die Gesundheit oder eben auch Gesundheitsdaten umfassen viele Angaben. Dazu gehören zum Beispiel Angaben zu:
- Größe, Gewicht, Brillenträger etc. (Zustandsbeschreibung)
- Untersuchungsergebnisse, dazu gehören Röntgenbilder, Blutgruppen, Vaterschaftsnachweis (Befunde)
- Angaben zu Abhängigkeiten oder auch Missbrauch von Medikamenten oder Suchtmitteln
- Schwangerschaft
- Krankheiten
- Operationen
- chronische Erkrankungen oder Leiden
- Behinderungen
- Allergien
- Krankenhausaufenthalte oder Aufenthalte in anderen Einrichtungen
BLOG-TIPP: RISIKO-BEURTEILUNG NACH DS-GVO
Gesundheitsdaten – Zeitpunkt des Befundes ist egal
Es geht also darum, dass die Daten sogenannte körperliche oder geistige Zustände einer Person beschreiben oder eben auch bewerten. Dabei ist es egal, ob es sich um aktuelle Daten handelt oder die Angaben aus der Vergangenheit stammen. Auch wenn es sich um zukünftige Prognosen handelt, spricht man von Gesundheitsdaten.
Wann dürfen Gesundheitsdaten verarbeitet werden?
Personenbezogene Daten gehören zu den personenbezogenen Daten der besonderen Kategorie und sind daher im Datenschutz besonders zu schützen. Diese dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es liegt eine Rechtsgrundlage oder Einwilligung des Betroffenen vor. Wichtig ist dabei zu beachten, dass beide Grundlagen zur Verarbeitung nach Art. 9 DS-GVO auf die speziellen Vorgaben der Datenschutzgrundverordnung (DS-GVO) angelegt sind.
Bei der Rechtsgrundlage bedeutet dies, dass eine spezielle Rechtsgrundlage für die Verarbeitung gem. der DS-GVO vorliegen muss. Liegt eine Einwilligung vor, muss sich diese auch ausdrücklich auf die Gesundheitsdaten beziehen. Wenn eine umfangreiche Verarbeitung der personenbezogenen Daten besonderer Kategorien erfolgt, dann muss meist eine Datenschutz-Folgenabschätzung vom Verantwortlichen durchgeführt werden.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO
Bedeutung des Datenschutzes für Gesundheitsdaten
Der Datenschutz schützt den Betroffenen dadurch, dass seine personenbezogenen Daten bei der Verarbeitung geschützt werden. Vor allem bei Gesundheitsdaten ist der Schutz sehr wichtig. Neben den Vorgaben des Datenschutzes können bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien auch noch andere gesetzliche Vorgaben vorgegeben sein.
Gesundheitsdaten von Mitarbeitern
Im Arbeitsverhältnis kann es auch notwendig sein, dass Gesundheitsdaten vom Mitarbeiter verarbeitet werden müssen. Auch bei Bewerbungsverfahren kann es unter Umständen zulässig sein, dass Gesundheitsdaten erfasst werden, zum Beispiel wenn es gesetzliche Vorgaben notwendig machen oder wenn die Einstellung davon abhängig gemacht wird.
Wenn der Mitarbeiter krankgeschrieben wird, dann darf der Arbeitnehmer zum Beispiel nur wissen, wie lange diese Krankschreibung voraussichtlich Bestand hat. Diagnosen oder andere Unterlagen die Krankheit betreffend, darf dieser nicht erhalten.
BLOG-TIPP: DATENSCHUTZ AKTUELL – MITARBEITERDATEN IM DATENSCHUTZ
Angeordnete Untersuchungen und der Datenschutz
Wenn aus besonderen Gründen (z.B. ansteckende Krankheiten, Schutz) eine Untersuchung notwendig ist, dann kann diese erlaubt sein. Wenn es um Drogen- oder Alkoholtest oder um betriebliches Eingliederungsmanagement geht, gelten besondere Regeln, die im Einzelnen betrachtet werden müssen.
Externer Datenschutzbeauftragter und Gesundheitsdaten
Gerade wenn es um personenbezogene Daten der besonderen Kategorie geht, ist der Datenschutz besonders sensibel und muss die DS-GVO genau geprüft werden. Daher sollte immer der (externe) Datenschutzbeauftragte hinzugezogen werden.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.