Im c't-Datenschutz-Podcast berichtet die Datenschutzbeauftragte eines Klinikverbunds aus ihrem Alltag. Zuvor gibt es klare Worte zu Reformplänen der Regierung.
Wer im Gesundheitswesen für Datenschutz zuständig ist, arbeitet dauerhaft mit den heikelsten Informationen überhaupt, den „besonderen Kategorien personenbezogener Daten“ nach Art. 9 der DSGVO. In Episode 163 des c't-Datenschutz-Podcasts spricht Gästin Daniela Will darüber, wie sie diese Aufgabe bewältigt. Sie leitet die Stabsstelle Datenschutz der Münchnen Klinik gGmbH, einem der größten kommunalen Klinikverbünde Deutschlands mit fünf Häusern und rund 8000 Beschäftigten. Ihr Credo: konsequent risikoorientiert arbeiten, „first things first“.
Daniela Will beim Podcasten in der Auslegungssache
Bevor es ans Kernthema geht, nehmen sich c't-Redakteur Holger Bleich, heise-Verlagsjustiziar Joerg Heidrich und ihre Gästin die aktuellen Reformpläne der Bundesregierung vor. Kleine und mittlere Unternehmen sowie Vereine sollen nach dem Willen der Regierung deutlich weniger Datenschutzpflichten erfüllen müssen. Auch die Pflicht zu betrieblichen Datenschutzbeauftragten soll in vielen Fällen fallen. Will hält das für den falschen Weg. Das eigentliche Problem kleiner Unternehmen liege oft nicht im Datenschutz selbst, sondern in ihrer schwachen Position gegenüber großen IT-Anbietern wie Microsoft, SAP oder Workday. Hier brauche es klare Regeln für die Anbieter, nicht weniger Schutz für Betroffene.
Scharf kritisiert die Runde auch Pläne, das Informationsfreiheitsrecht im Bund einzuschränken. Anfragen an Behörden könnten künftig nur noch natürlichen Personen mit besonderem Interesse offenstehen. Vereine, NGOs und möglicherweise auch Medien würden wohl vom Recht ausgeschlossen. Zudem könnten die bislang gedeckelten Kosten für Anfragen exorbitant steigen. Bleich, Heidrich und Will sehen darin ein fatales Signal: Gerade in Zeiten sinkenden Vertrauens in Politik und Verwaltung müsse der Staat transparenter werden, nicht verschlossener.
Das Bußgeld der Woche kommt aus Frankreich: Fünf Millionen Euro musste ein Marktforschungsunternehmen zahlen, das Daten aus 14.000 Apotheken als „anonym“ ausgab, obwohl Geburtsjahr, Geschlecht, Diagnose und Symptome eine Reidentifizierung leicht ermöglichten. Für die Runde ein Musterbeispiel dafür, wie fahrlässig mit dem Unterschied zwischen Pseudonymität und Anonymität umgegangen wird.
Im Hauptteil geht es um den Umgang mit Artikel-9-Daten. Will schildert für Heidrich überraschend Pragmatisches: Im Klinikalltag reicht ihr Art. 9 Abs. 2 als Rechtsgrundlage für fast alle Behandlungen aus, kombiniert mit dem Behandlungsvertrag. Einwilligungen braucht sie nur in wenigen Fällen, etwa bei der Weitergabe an Hausärzte oder für Forschungsstudien.
Als Segen bezeichnet sie das neue Gesundheitsdatennutzungsgesetz, das die interne Auswertung vorhandener Daten zur Qualitäts- und Patientensicherheit erleichtere. Beim europäischen Gesundheitsdatenraum (EHDS) und der elektronischen Patientenakte (ePa) hake es dagegen weiter: Daten werden bislang meist nur als unstrukturierte Dokumente übergeben, echte Interoperabilität ist noch Zukunftsmusik.
Besonders anspruchsvoll sind Auskunftsbegehren zu medizinischen Daten. Will muss jede Anfrage inhaltlich prüfen, damit etwa frische, schwerwiegende Diagnosen nicht ungefiltert herausgehen, sondern zuerst ärztlich begleitet werden. Heikel wird es bei Minderjährigen und in Sorgerechtsstreitigkeiten, wo Auskunftsrechte oft als Kontrollinstrument missbraucht werden. Wills Fazit: Datenschutz in der Klinik funktioniert nur mit Augenmaß, Erfahrung und enger Zusammenarbeit zwischen Medizin, IT und Verwaltung.
Episode 163:
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier geht es zu allen bisherigen Folgen:
(hob)
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Freitag: Urheberschutz auch bei VPN-Einsatz, Recht auf Reparatur für Traktoren | 0 | 7 | 10-07-2026 |
| 2 | Mit verrückten Gadgets und Klimaanlagen-Tuning gegen die Hitzewelle | c’t uplink | 0 | 5 | 11-07-2026 |
| 3 | Post zum Freitag: Wem gehört das digitale Ich? | 0 | 7 | 10-07-2026 |
| 4 | heise-Angebot: c’t-Workshop: Microsoft 365 im Team produktiv nutzen | 2 | 6 | 10-07-2026 |
| 5 | MKUltra: Congress probes controversial CIA mind control experiments | The Truth of the Matter | 0 | 5 | 11-07-2026 |
| 6 | heise-Angebot: iX-Workshop: Microsoft 365 Copilot für IT-Administratoren | 0 | 5 | 11-07-2026 |
| 7 | Si j'osais : une dictée en gare de Pau. Et pourquoi pas des maths ? | 0 | 5 | 02-07-2026 |
| 8 | Глава Минкомсвязи считает завышенными штрафы за отказ хранить персональные данные в России | 0 | 0 | 11-09-2019 |
| 9 | Аудит безопасности персональных данных в компании: как избежать штрафов в 2026 году | 0 | 7 | 13-03-2026 |
| 10 | Ключевые этапы аудита персональных данных: практическое руководство | 0 | 7 | 29-12-2025 |