Datenschutz in der Medizintechnik

Die Verarbeitung personenbezogener Daten im Gesundheitswesen ist besonders strengen Auflagen unterworfen. Beim Datenschutz für Unternehmen der Medizintechnik, insbesondere solche, die Dienstleistungen wie die Reparatur von Festplatten für Krankenhäuser oder die Bereitstellung von Tools für die Gesundheitswirtschaft anbieten, sind besondere Maßnahmen erforderlich.

Wenn die Gesundheitsdaten in den USA verarbeitet werden, sollten in jedem Fall Standarddatenschutzklauseln gemäß Vorgabe der EU verwenden werden. 

Sollten KI-Systeme oder KI-Modelle so eingesetzt werden, dass sie als Medizinprodukte zu qualifizieren sind, müssen sie dementsprechend zugelassen und zertifiziert sein und eine CE-Kennung erhalten. Hier ist eine kleine Übersicht für Sie:

1. Umgang mit besonders sensiblen Daten (Art. 9 DSGVO)

Gesundheitsdaten gelten nach der DSGVO als besondere Kategorien personenbezogener Daten und unterliegen daher einem besonders hohen Schutz. Das bedeutet:

  • Es gelten deutlich strengere Anforderungen an die Verarbeitung.
  • Eine Verarbeitung ist nur unter bestimmten Bedingungen zulässig (z. B. ausdrückliche Einwilligung oder gesetzliche Pflicht).

2. Vertraulichkeit bei Reparatur und Datenwiederherstellung

Bei der Reparatur von Festplatten oder IT-Systemen können Unternehmen zwangsläufig Zugriff auf gespeicherte Daten erhalten, z. B. Patientenakten oder Diagnosedaten. Kritische Punkte:

  • Zugriffsprotokollierung und -beschränkung: Nur autorisierte Mitarbeiter dürfen Zugang erhalten.
  • Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO mit den Krankenhäusern ist zwingend erforderlich.
  • Löschung oder Rückgabe von Daten nach Abschluss der Dienstleistung muss geregelt und nachweisbar sein.

3. Technische und organisatorische Maßnahmen (TOMs)

Der Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten sicherzustellen. Insbesondere sind das:

  • Verschlüsselung von Datenträgern
  • Zugriffs- und Zugriffskontrollsysteme
  • Sichere Transportwege für sensible Hardware
  • Regelmäßige Schulungen der Mitarbeiter zu Datenschutz und Informationssicherheit

4. Vermeidung von Datenabflüssen und -verlust

Festplatten oder Systeme dürfen keinesfalls außerhalb eines geschützten Rahmens repariert oder analysiert werden, ohne dass die Vertraulichkeit sichergestellt ist:

  • Kein Outsourcing in Drittstaaten ohne angemessenen Datenschutz (z. B. USA ohne EU-Standardvertragsklauseln ist problematisch).
  • Keine Nutzung von Cloud-Diensten ohne klare Prüfung auf DSGVO-Konformität.

5. Transparenz und Nachvollziehbarkeit

Kunden (Krankenhäuser, Ärzte, Labore etc.) müssen klar nachvollziehen können:

  • Wer wann welche Daten verarbeitet hat.
  • Wie lange diese gespeichert wurden.
  • Welche Maßnahmen zum Schutz ergriffen wurden.

6. Meldepflichten bei Datenschutzverstößen

Im Fall eines Datenlecks oder einer unautorisierten Verarbeitung:

  • 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde
  • Ggf. Informationspflicht gegenüber Betroffenen