Zum Inhalt springen

EU-Datenschutz-Grundverordnung — Art. 9 Besondere Kategorien

DSGVO-Art. 9-konforme medizinische Dateninfrastruktur

Medizinische Daten sind eine besondere Kategorie der DSGVO. Art. 9 verbietet die Verarbeitung von Gesundheitsdaten, sofern keine spezifischen Bedingungen erfüllt sind. Unsere Infrastruktur ist zweckgebaut für das Gesundheitswesen — mit Auftragsverarbeitungsverträgen, die für Arztpraxen, Bildgebungszentren und Gesundheitsforschungseinrichtungen konzipiert sind.

Medizinischen AVV anfordern Compliance-Übersicht ansehen

Was ist die DSGVO?

Die Datenschutz-Grundverordnung gilt für jede Organisation, die personenbezogene Daten von EU-Einwohnern verarbeitet. Medizinische Daten — einschließlich DICOM-Bilder, Patientenakten, Diagnosen und Behandlungsverläufe — werden nach Art. 9 als 'besondere Kategorie' eingestuft und erhalten den höchsten DSGVO-Schutz.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für medizinische Daten

Die Verarbeitung von Gesundheitsdaten unterliegt zusätzlichen Pflichten über die Standard-DSGVO hinaus. Diese sechs Artikel sind die wichtigsten für Arztpraxen, Bildgebungszentren und Gesundheitsforschung.

1

Art. 5 — Grundsätze der Verarbeitung

Patientendaten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Diagnostische Bilder dürfen nicht länger als klinisch erforderlich aufbewahrt werden. Wir unterstützen konfigurierbare Aufbewahrungsrichtlinien pro Studientyp und Patientenaktenkategorie.

2

Art. 6 — Rechtmäßigkeit der Verarbeitung

Die Verarbeitung von Patientendaten erfordert eine gültige Rechtsgrundlage — typischerweise Art. 9 Abs. 2 lit. h für medizinische Diagnose oder Behandlung durch einen Angehörigen der Gesundheitsberufe oder Art. 9 Abs. 2 lit. j für Forschung im öffentlichen Interesse.

3

Art. 17 — Recht auf Löschung

Patienten haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Klinische Aufbewahrungspflichten können dieses Recht einschränken, aber Export- und Lösch-Workflows müssen vorhanden sein. Wir unterstützen studienbezogenen und datensatzbezogenen Export und Löschung auf Anfrage.

4

Art. 28 — Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für alle Patientendaten in Orthanc, OpenEMR und dcm4chee. Unser AVV ist speziell für medizinische Datenverarbeiter nach Art. 9 konzipiert — mit angemessenen Vertraulichkeitspflichten für Gesundheitsdaten.

5

Art. 32 — Sicherheit der Verarbeitung

Gesundheitsdaten erfordern das höchste Sicherheitsniveau. Unsere Infrastruktur verwendet Verschlüsselung im Ruhezustand und bei der Übertragung, strenge Zugriffskontrollen, isolierte Mandantenumgebungen und verschlüsselte Backups — alles innerhalb der EU gespeichert.

6

Art. 33 — Meldung von Datenschutzverletzungen

Jede Verletzung mit Gesundheitsdaten muss innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. Wir überwachen unbefugte Zugriffe auf verwaltete Infrastruktur und benachrichtigen Sie sofort bei einem erkannten Vorfall.

Art. 9 — Gesundheitsdaten rechtmäßig verarbeiten

Gesundheitsdaten, genetische Daten und biometrische Daten sind 'besondere Kategorien' nach Art. 9. Die Verarbeitung ist verboten, sofern keine der spezifischen Rechtsgrundlagen nachgewiesen werden kann. Für Arztpraxen ist dies typischerweise Art. 9 Abs. 2 lit. h — medizinische Diagnose und Behandlung durch einen Angehörigen der Gesundheitsberufe mit Schweigepflicht.

  • Art. 9 Abs. 2 lit. h: Medizinische Diagnose und Behandlung — die Standardgrundlage für Patientenakten und DICOM-Bildgebungs-Workflows
  • § 203 StGB (Deutschland): Ärztliche Schweigepflicht — unsere Infrastruktur ist für Berufsgeheimnisträger konzipiert
  • DSFA erforderlich: Die Verarbeitung von Gesundheitsdaten im großen Maßstab erfordert eine Datenschutz-Folgenabschätzung nach Art. 35 — wir können Ihren DSB durch diesen Prozess unterstützen

Was wir für DSGVO-Compliance bereitstellen

  • Medizinspezifischer Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung — Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Patientendatenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Datenlöschung auf Anfrage (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

Ihr DSGVO-Art. 9-konformer medizinischer Stack

Vier verwaltete medizinische Plattformen — jede auf dedizierter EU-Infrastruktur mit gesundheitsdatenspezifischen AVVs und vollständiger Art. 9-Abdeckung.

DICOM / PACS Server

Orthanc

Lightweight DICOM server — your PACS without the enterprise price tag

ab €80 /Monat

Web DICOM Viewer

OHIF Viewer

Zero-footprint web DICOM viewer — no installation required

ab €20 /Monat

EHR / EMR

OpenEMR

Complete EHR/EMR platform — open source, fully managed

ab €40 /Monat

Enterprise PACS

dcm4chee

Enterprise DICOM archive — built for high-volume radiology

ab €80 /Monat

AVV für medizinische Datenverarbeitung benötigt?

Unsere Auftragsverarbeitungsverträge sind für Gesundheitsdienstleister konzipiert, die besondere Kategorien nach Art. 9 verarbeiten. Fordern Sie Ihren an — wir antworten innerhalb eines Werktages.

Medizinischen AVV anfordern