DSGVO

DATENSCHUTZ

DSGVO-Beratung für die Gesundheitswirtschaft — sauber gelöst.

Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Unser Team in Hamburg sorgt dafür, dass Ihr Datenschutzmanagement die DSGVO erfüllt, die Besonderheiten von Art. 9 berücksichtigt und in der Praxis funktioniert — nicht nur auf dem Papier.

Erstgespräch vereinbaren

DIE HERAUSFORDERUNG

DSGVO und Gesundheitsdaten — wo sich zwei Welten überschneiden.

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten. Aber wenn diese Daten Gesundheitsdaten sind, gelten verschärfte Anforderungen — und die Schnittstellen zur Medizinprodukte-Regulatorik nach MDR machen das Thema zusätzlich komplex.

Gesundheitsdaten sind ein Sonderfall

Art. 9 DSGVO stuft Gesundheitsdaten als besondere Kategorie ein. Das bedeutet: strengere Anforderungen an Rechtsgrundlagen, Einwilligungen, Datenschutzfolgenabschätzungen und technische Schutzmaßnahmen. Viele Unternehmen unterschätzen, was das konkret für ihr Produkt bedeutet — von der App-Architektur bis zur Einwilligungserklärung. Besonders bei Software-Medizinprodukten und DiGA greifen die Anforderungen tief in die Produktentwicklung ein.

Regulatorik und Datenschutz — scheinbare Widersprüche

Die MDR fordert umfangreiche Rückverfolgbarkeit und Dokumentation — die DSGVO fordert Datenminimierung und Zweckbindung. Das klingt widersprüchlich, ist es aber nicht — wenn man versteht, wie beide Regelwerke zusammenspielen. Auch das Qualitätsmanagement nach ISO 13485 verlangt den Schutz vertraulicher Gesundheitsinformationen. Ohne diese Klarheit entstehen entweder Datenschutzlücken oder unnötige Einschränkungen im Produkt.

Kein DSB mit Branchenerfahrung

Viele Startups und KMUs haben keinen Datenschutzbeauftragten — oder einen, der die Besonderheiten von Medizinprodukten und Gesundheitsdaten nicht kennt. Die Folge: ein Datenschutzmanagement, das generisch aufgebaut ist und an den tatsächlichen Risiken des Produkts vorbeigeht. Ein externer DSB mit Branchenfokus schließt genau diese Lücke.

Auftragsverarbeitung und Drittstaat-Transfers

Cloud-Infrastruktur, Analytics-Tools, Subdienstleister — die Realität moderner Software-Produkte bedeutet, dass Daten oft über mehrere Parteien und Ländergrenzen hinweg fließen. Jede dieser Konstellationen braucht eine korrekte vertragliche Grundlage und eine dokumentierte Bewertung. Wer dabei auch KI-Komponenten einsetzt, muss zusätzlich die Anforderungen des AI Act beachten. Fehlt die Dokumentation, ist es ein Befund — ob bei der Aufsichtsbehörde oder beim nächsten Kundenaudit.

WIE WIR ARBEITEN

DSGVO-Beratung, die zu Ihrem Medizinprodukt passt.

Datenschutz in der Gesundheitswirtschaft ist kein Standardprojekt. Die Anforderungen hängen davon ab, welche Daten Sie verarbeiten, auf welcher Rechtsgrundlage und in welchem regulatorischen Kontext — MDR, DiGA, klinische Prüfungen.

Deshalb starten wir nicht mit Vorlagen, sondern mit Ihrem Produkt und Ihren Datenflüssen. Wo nötig, verbinden wir die DSGVO-Beratung direkt mit Ihrem QMS nach ISO 13485 und Ihrem ISMS nach ISO 27001. Für tiefergehende rechtliche Bewertungen — etwa die Auslegung einer Rechtsgrundlage oder komplexe Drittstaaten-Transfers — übernimmt unser Mitgründer Sebastian Vorberg die Beratung über seine Kanzlei VORBERG.law.

Datenschutz beginnt beim
Produkt, nicht beim Formular.
01

Bestandsaufnahme

Welche personenbezogenen Daten verarbeiten Sie? Wo werden sie gespeichert? Wer hat Zugriff? Auf welcher Rechtsgrundlage? Wir verschaffen uns ein vollständiges Bild Ihrer Datenflüsse — vom Endgerät des Nutzers bis zum letzten Subdienstleister.

02

Verarbeitungsverzeichnis nach Art. 30 DSGVO

Wir erstellen oder überarbeiten Ihr Verzeichnis der Verarbeitungstätigkeiten — vollständig, aktuell und so strukturiert, dass Ihr Team es eigenständig pflegen kann. Jede Verarbeitung mit Zweck, Rechtsgrundlage, Empfängern, Löschfristen und TOMs.

03

Datenschutzfolgenabschätzung (DSFA)

Für Verarbeitungen mit hohem Risiko — und bei Gesundheitsdaten ist das fast immer der Fall — führen wir eine DSFA nach Art. 35 DSGVO durch. Systematische Bewertung der Risiken für die betroffenen Personen, Identifikation von Schutzmaßnahmen und Dokumentation der Restrisiken.

04

Verträge und Vereinbarungen

Auftragsverarbeitungsverträge (AVV), Vereinbarungen zur gemeinsamen Verantwortlichkeit, Betroffeneninformationen nach Art. 13/14 DSGVO und Einwilligungserklärungen. Wir stellen sicher, dass die vertragliche Seite vollständig steht. Für rein rechtliche Fragestellungen übernimmt VORBERG.law.

05

Laufende Betreuung als externer DSB

Auf Wunsch übernehmen wir die Rolle des externen Datenschutzbeauftragten nach Art. 37 DSGVO. Der Vorteil: Wir kennen Ihr Produkt, Ihre Datenflüsse und die regulatorischen Anforderungen bereits. Keine Einarbeitungszeit, volle Branchenkenntnis vom ersten Tag an.

ERGEBNISSE

Ihre Ergebnisse: Vom Verarbeitungsverzeichnis bis zum externen DSB.

Am Ende steht ein Datenschutzmanagement, das einer Prüfung durch die Aufsichtsbehörde standhält, die Besonderheiten Ihres Produkts berücksichtigt und das Ihr Team eigenständig weiterführen kann.

Verarbeitungsverzeichnis

Vollständiges Verzeichnis nach Art. 30 DSGVO mit allen Verarbeitungstätigkeiten, Rechtsgrundlagen, Empfängerkategorien, Löschfristen und technischen Schutzmaßnahmen.

Datenschutzfolgenabschätzung

DSFA nach Art. 35 DSGVO mit systematischer Risikobewertung, Bewertung der Verhältnismäßigkeit und Dokumentation der Schutzmaßnahmen und Restrisiken.

Technische und organisatorische Maßnahmen

Dokumentierte TOMs nach Art. 32 DSGVO — abgestimmt auf Ihre Infrastruktur, Ihre Datenklassifizierung und das Risikoprofil Ihrer Verarbeitungen. Nahtlos integrierbar in Ihr ISMS nach ISO 27001.

Verträge und Vereinbarungen

Auftragsverarbeitungsverträge, Vereinbarungen zur gemeinsamen Verantwortlichkeit, Betroffeneninformationen nach Art. 13/14 und Einwilligungserklärungen — vollständig und rechtskonform.

Externer Datenschutzbeauftragter

Auf Wunsch als laufende Rolle: Pflege des Verarbeitungsverzeichnisses, Beratung bei neuen Verarbeitungen, Prüfung von TOMs, Schulungen und Ansprechpartner für Betroffene und Aufsichtsbehörden.

Schulungen

Datenschutz-Awareness für Ihr Team — zugeschnitten auf Ihre Branche und Ihre tatsächlichen Verarbeitungen. Kein generisches E-Learning, sondern praxisnahe Schulungen mit konkreten Szenarien aus Ihrem Arbeitsalltag.

HÄUFIGE FRAGEN

Häufige Fragen zur DSGVO bei Medizinprodukten

Sobald Ihr Unternehmen regelmäßig Gesundheitsdaten verarbeitet — und das ist bei Medizinprodukten fast immer der Fall —, sind Sie nach Art. 37 Abs. 1 lit. c DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Dabei ist es unerheblich, ob das Unternehmen als Verantwortlicher oder als Auftragsverarbeiter auftritt. In Deutschland kommt die Pflicht nach § 38 BDSG hinzu, wenn mindestens 20 Personen mit automatisierter Datenverarbeitung beschäftigt sind. Ein externer DSB ist oft die pragmatischste Lösung — gerade für Startups und KMUs.

DiGA-Hersteller müssen neben der DSGVO auch die spezifischen Datenschutzanforderungen der DiGAV erfüllen — insbesondere § 4 DiGAV und Anhang 1. Das umfasst unter anderem: Datenverarbeitung ausschließlich im EWR (oder gleichwertigem Schutzniveau), ein konkretes Datensicherheitskonzept, die Verpflichtung auf Datenminimierung und ein informiertes Einwilligungsmanagement. Außerdem verlangt das BfArM eine nachvollziehbare DSFA, bevor die DiGA ins Verzeichnis aufgenommen wird.

Diese drei Regelwerke überlappen sich erheblich. Die MDR verlangt IT-Sicherheit und Datenschutz in den grundlegenden Sicherheits- und Leistungsanforderungen (Anhang I). Ein ISMS nach ISO 27001 liefert den Rahmen für technische und organisatorische Maßnahmen, die gleichzeitig die DSGVO-Anforderungen nach Art. 32 erfüllen. Wir helfen Ihnen, diese Systeme so aufzubauen, dass sie ineinandergreifen — ohne Redundanz und ohne Lücken.

Eine DSFA nach Art. 35 DSGVO ist immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Bei der Verarbeitung von Gesundheitsdaten im großen Umfang ist das nahezu immer gegeben. Die DSFA beschreibt die Verarbeitung systematisch, bewertet deren Notwendigkeit und Verhältnismäßigkeit, identifiziert Risiken und dokumentiert die getroffenen Schutzmaßnahmen. Für SaMD und DiGA ist die DSFA in der Regel Teil des Zulassungsprozesses.

Ja. Gerade bei KI-basierten Medizinprodukten überlappen sich DSGVO und AI Act in zentralen Bereichen: Transparenzpflichten, Risikobewertung, Datenqualität und Betroffenenrechte. Wir unterstützen Sie dabei, beide Regelwerke in einem integrierten Compliance-Ansatz umzusetzen — zusammen mit den Anforderungen der MDR. So vermeiden Sie doppelten Aufwand und haben ein konsistentes System.

Datenschutz muss kein Bremsklotz sein.

Im Erstgespräch klären wir, wo Sie stehen, welche Verarbeitungen besondere Aufmerksamkeit brauchen und ob ein externer Datenschutzbeauftragter für Sie sinnvoll ist.

Erstgespräch vereinbaren