Detecon
DE

13.02.2019

Welche Auswirkungen hat die EU-DSGVO für Gesundheitsdaten?

A
Gesundheitsdaten

Am 25. Mai 2018 trat die neue Europäische Datenschutz-Grundverordnung (kurz: EU-DSGVO) in Kraft. Für Unternehmen in den Mitgliedsstaaten der EU, und je nach Gegebenheiten auch darüber hinaus, ist diese Verordnung unmittelbar bindend. Das neue Gesetz hat dabei wesentliche Auswirkungen auf den Umgang mit Personendaten im Unternehmen.

Neben den „klassischen“ Personendaten wie Name, Adresse und Kontaktdaten weitet die EU-DSGVO die bisherige Definition aus und legt starkes Augenmerk auf den Bereich der besonders schützenswerten Personendaten, der durch Art. 9 Abs. 1 EU-DSGVO definiert ist. Hierunter fallen vor allem Gesundheitsdaten.

In der heutigen Zeit wächst die Anzahl der Nutzer von Fitnessdienstleistungen wie z.B. Fitness Trackern und Jogging Apps täglich. Als Resultat kommen vermehrt auch spezifische Dienstleistungen auf den Markt, die als Bestandteil eines Betrieblichen Gesundheitsmanagements in Unternehmen von Relevanz sind. Gemeinsam ist diesen Dienstleistungen, dass sie Gesundheitsdaten, also besonders schützenswerte Personendaten, verarbeitet.

Bedeutung und Implikation für die Anbieter solcher Leistungen

Unternehmen messen der Gesundheit und dem Wohlbefinden ihrer Mitarbeitenden eine zunehmende Bedeutung bei. Als medizinisch anerkannte Methode zum aktuellen Zustand und zur Leistungsfähigkeit kann eine Herzratenvariabilitäts-Messung (HRV-Messung) über einen Zeitraum von 72 Stunden verwendet werden. Diese dient der objektiven Beurteilung der Stressresistenz, der Erholungsfähigkeit und allgemein der körperlichen Fitness basierend auf einer medizinisch erprobten Methode. Gemessen werden generell die Anpassungsfähigkeit des Organismus auf äussere Einflüsse sowie das Biologische Alter.

Die Messung der Herzratenvariabilität (HRV) – Was wird gemessen, was ist die Aussage?

Als Herzratenvariabilität wird die zeitliche Differenz zwischen aufeinanderfolgenden Herzschlägen bezeichnet. Anders als man annehmen könnte schlägt das menschliche Herz nie ganz regelmässig, d.h. zwischen aufeinanderfolgenden Herzschlägen besteht meist eine Differenz von einigen wenigen Millisekunden. Abbildung 1 veranschaulicht diesen Sachverhalt illustrativ.

Die Herzratenvariabilität, oder kurz HRV wird allgemein hin als Indikation für die Anpassungsfähigkeit des Organismus herangezogen.

Die Steuerimpulse des VNS erfolgen über die nervalen Gegenspieler, den Sympathikus und den Parasympathikus. Der Sympathikus übernimmt dabei eine aktivierende Funktion („Fluchtinstinkt“) und der Parasympathikus regenerierende Funktionen.

Die Abfolge der Herzschläge wird vom Organismus durch das Zusammenspiel der nervalen Gegenspieler stetig an die momentanen Bedingungen angepasst. Während der Ausatmung ist somit beispielsweise der Herzschlag in der Regel etwas langsamer als bei der Einatmung.

Die HRV ist die Fähigkeit des Organismus, die Abfolge der Herzschläge an die momentanen Bedingungen optimal anzupassen. Bei hoher Belastung, z.B. bei sportlicher Aktivität steigt die Herzfrequenz und gleichzeitig wird die HRV geringer, bis sie ab einem bestimmten Niveau der Herzfrequenz ein Plateau erreicht. Bei diesem Plateau ist die Abfolge der einzelnen Herzschläge praktisch konstant, die Herzfrequenzvariabilität somit gleich Null. Der Organismus fährt sozusagen im «Autopilot-Modus», es ist fast ausschliesslich der Sympathikus aktiv um die hohe Belastung bewältigen zu können.

Abbildung 1: Illustration der Herzratenvariabilität (HRV)
Abbildung 1: Illustration der Herzratenvariabilität (HRV)

Mit der Messung der Herzratenvariabilität kann somit eine Einschätzung getroffen werden, wie sich Phasen aktiven Stresses und Ruhe- bzw. regenerierende Phasen über den Tages- und Nachtrhythmus abwechseln.

Mit der professionellen Auswertung der HRV-Messung durch einen Mediziner inkl. Coaching-Gesprächen können Unternehmen einen aktiven Beitrag leisten, das Wohlbefinden und die Gesundheit ihrer Mitarbeitenden zu steigern.

Für die konkrete Durchführung empfehlen wir hierbei, dass die HRV-Messung vollkommen freiwillig, unabhängig und anonym durchgeführt wird, d.h. nur der Mitarbeitende selbst sowie die beteiligten Labors zwecks Auswertung und der Mediziner für das abschliessende Coaching-Gespräch haben Zugriff auf die Daten. Die Datenverarbeitung orientiert sich dabei an den strengen Vorschriften der Datenverarbeitung von medizinischen Institutionen und sie unterliegt der medizinischen Schweigepflicht.

Anbieter dieser Dienstleistungen unterliegen ggf. außerdem den Pflichten und Anforderungen der EU-DSGVO.

Konkret bedeutet das, dass die Anbieter der Dienstleistungen folgende Anforderungen erfüllen müssen:

  • Prozesse, die Personendaten verarbeiten, müssen datenschutzkonform sein. Sie müssen transparent inventarisiert und beschrieben werden.
  • Die Pflicht zur Umsetzung neuer Löschkonzepte und die Erhöhung der Transparenz über Datenflüsse und –speicherorte fordert Anpassungen im Bereich der IT-basierten Umsetzung. Besondere Relevanz hat diese Pflicht für sensible Gesundheitsdaten.
  • Häufig müssen Verträge und insb. AGB angepasst und um Datenschutzerklärung und ergänzende Informationen erweitert werden
  • Externe Partner müssen inventarisiert und gem. Art und Umfang der durchgeführten Datenverarbeitung klassifiziert werden

Bedeutung und Implikation für Unternehmen, die solche Leistungen einsetzen möchten?

Für Unternehmen, die entsprechende Fitness- und Gesundheitsdienste als Leistungen im Rahmen ihres betrieblichen Gesundheitsmanagements ihren Mitarbeitern anbieten, ergeben sich ebenfalls Auswirkungen vor dem Hintergrund der EU-DSGVO.

Bei bspw. Einsatz der HRV-Messung ist ein externer Dienstleister beteiligt, der die sensiblen Personendaten verarbeitet.

Unternehmen müssen sicherstellen, dass der beteiligte Dienstleister geltende Datenschutzanforderungen erfüllt. Die EU-DSGVO sieht dafür die Verwendung von Auftragsdatenverarbeitungen als rechtliche Grundlage vor und es besteht eine Auskunftspflicht des Dienstleisters ggü. dem Kundenunternehmen. Im Rahmen dieser Auskunftspflicht muss der Dienstleister u.a. darüber informieren, welche Datenarten verarbeitet werden, mit welchen IT-Systemen die Verarbeitung erfolgt und wie diese geschützt sind. Ausserdem muss über ggf. weitere beteiligte Drittunternehmen informiert werden.

Die Unternehmen sind ergänzend gefordert, ihre Mitarbeiter darauf hinzuweisen, dass der Service, im Beispiel also die HRV-Messung durch einen externen Dienstleister erbracht wird. Sie müssen ihren Mitarbeitern einen Überblick geben, welche sensiblen Personendaten der Dienstleister erhält und verarbeitet und wie sie gespeichert werden.

Wie geht es weiter: Datenschutz im betrieblichen Gesundheitsmanagement

In Zeiten, in denen Arbeitgeber um die besten Arbeitskräfte wetteifern, ist ein professionelles Betriebliches Gesundheitsmanagement eine Möglichkeit, sich von anderen Unternehmen der Branche abzusetzen. Doch bereits pragmatische Gründe leuchten direkt ein: gesunde Arbeitskräfte sind motiviert, leistungsfähig, arbeiten konzentriert und fühlen sich insgesamt wohler. Die Leistungsfähigkeit kommt ihnen durch gesteigertes Wohlbefinden selbst zu Gute und nicht zuletzt auch dem Arbeitgeber.

Gesundheit spielt somit gerade im Beruflichen eine gewichtige Rolle und sollte nicht strikt von Gesundheit im Privaten getrennt werden. Wir erwarten, dass immer mehr Arbeitgeber diese Zusammenhänge erkennen und in ihr größtes Kapital, den Mitarbeitenden, investieren, indem sie ein professionelles Betriebliches Gesundheitsmanagement aufbauen.

Auch der Trend zur Verwendung von Fitness Devices und ihr Einsatz vor allem im Privaten wird nach unserer Einschätzung zunehmen. Ihr Einsatz im Beruflichen z.B. im Umfeld eines Betrieblichen Gesundheitsmanagement entwickelt dabei ein grosses Potential.

Bei allen beschriebenen Trends und Maßnahmen ist die Berücksichtigung von geltenden Datenschutzanforderungen notwendig und sollte zur Selbstverständlichkeit werden.

Wang Shu-he
Wang Shu-he

Wollen Sie mehr zu dem Thema erfahren?

Rufen Sie uns an!

Diese Seite teilen