FAQ: Ist die Verarbeitung von patientenbezogenen Daten datenschutzkonform?
Ja – die Verarbeitung ist datenschutzkonform. Art. 6 der Datenschutzgrundverordnung (DSGVO) verlangt eine rechtmäßige Verarbeitung.
Nach Art. 6 Abs. 1 lit. c) DSGVO ist dies gegeben, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Zusätzlich gelten nach Art. 9 DSGVO strenge Anforderungen an die Verarbeitung besonderer Arten personenbezogener Daten – z. B. Gesundheitsdaten. Sie ist nur erlaubt, wenn die dort beschriebenen Voraussetzungen in Abs. 2 vorliegen. Hier gibt es die Erlaubnis aus Abs. 2 lit. b), da durch die gesetzlichen Regelungen im SGB V eine entsprechende Pflicht zur Verarbeitung der Daten für die Qualitätssicherung besteht.
In den §§ 136 ff. SGB V sind die gesetzlichen Grundlagen für die Qualitätssicherung beschrieben, die der Gemeinsame Bundesausschuss (G-BA) in seinen Richtlinien und Beschlüssen konkretisiert. § 299 SGB V erlaubt, hierfür Sozialdaten für Zwecke der Qualitätssicherung in dem erforderlichen Umfang auch ohne Einwilligung der betroffenen Patienten zu verarbeiten. Die Erforderlichkeit der Daten für dieses Verfahren wird in Anlage II der "Richtlinie zur datengestützten einrichtungsübergreifenden Qualitätssicherung" (DeQS-RL) dargestellt. Fallinformationen werden nur pseudonymisiert übermittelt, sodass eine Identifizierung von Patientinnen und Patienten durch das IQTIG zu keinem Zeitpunkt möglich ist.