DSGVO bei medizinischer Bildanalyse, Praxis-Checkliste

Die 3D-Hautanalyse erzeugt drei Datentypen, die rechtlich kritisch sind: ein Gesichtsbild (biometrisches Datum nach Art. 9 DSGVO), Hautwerte (Gesundheitsdaten nach Art. 9 DSGVO) und gegebenenfalls eine E-Mail-Adresse (personenbezogenes Datum nach Art. 4 DSGVO). Alle drei zusammen heben den Schutzbedarf auf das höchste Niveau, das die DSGVO kennt. Dieser Artikel ist keine Rechtsberatung, sondern eine praxisnahe Übersicht. Verbindlich ist die Einschätzung Ihres Datenschutzbeauftragten.

Die acht Punkte vor dem ersten echten Scan

1. Rechtsgrundlage festlegen

Für die Verarbeitung von Gesundheitsdaten zur Diagnostik und Behandlung gilt Art. 9 Abs. 2 lit. h DSGVO in Verbindung mit § 22 BDSG. Eine zusätzliche Einwilligung der Patient:in ist nicht zwingend erforderlich, wenn die Analyse Bestandteil der ärztlichen Behandlung ist und in der Behandlungsvereinbarung dokumentiert wurde. Bei rein ästhetischer Anwendung ohne medizinische Indikation greift dagegen Art. 9 Abs. 2 lit. a DSGVO, ausdrückliche, schriftliche Einwilligung ist Pflicht.

2. Auftragsverarbeitungsvertrag (AV) abschließen

Jede:r externe Dienstleister, der Patientendaten in Ihrem Auftrag verarbeitet, braucht einen AV-Vertrag nach Art. 28 DSGVO. Bei Dermalia und vergleichbaren Anbietern muss der AV-Vertrag insbesondere regeln: Zweckbindung (kein Re-Use für Werbung oder Modelltraining), Subunternehmer (Hosting, E-Mail-Versand), Löschfristen, technisch-organisatorische Maßnahmen, Meldepflicht bei Datenschutzpannen, Audit-Rechte. Wir stellen den AV-Vertrag vor Pilotbeginn zur Unterschrift.

3. Informationspflichten nach Art. 13 erfüllen

Patient:innen müssen vor der Datenerhebung informiert werden, schriftlich, in verständlicher Sprache. Pflichtangaben: wer ist Verantwortliche:r, wer ist Auftragsverarbeiter, welcher Zweck, welche Rechtsgrundlage, wie lange wird gespeichert, an wen wird übermittelt (auch innerhalb der EU), welche Rechte hat die Patient:in (Auskunft, Berichtigung, Löschung, Beschwerde bei der Aufsichtsbehörde).

Praktisch: ein einseitiges Datenschutz-Info-Blatt, das die Patient:in beim Erstkontakt erhält und im Patientenakten-Eintrag dokumentiert wird. Das Blatt verweist auf die ausführliche Datenschutzerklärung auf Ihrer Praxis-Website.

4. Speicherdauer definieren

Die ärztliche Aufbewahrungspflicht für Behandlungsdokumentation ist nach § 630f BGB zehn Jahre. Bilddaten als Teil der Patientenakte fallen darunter. Wenn die 3D-Aufnahme jedoch nicht Bestandteil der Diagnostik war, sondern nur einer beratenden Wellness-Leistung diente, gilt diese Frist nicht, dann ist eine kürzere Aufbewahrung zulässig und angemessen, z. B. 24 Monate.

Wichtig: trennen Sie diese beiden Anwendungsfälle in der Dokumentation. Dermalia erlaubt eine pro-Befund-Markierung „medizinisch/ästhetisch", aus der die Löschfrist abgeleitet wird.

5. Datenübermittlung außerhalb der EU

Das ist der heikelste Punkt bei vielen Hautscannern. Mehrere Hersteller schicken Scan-Rohdaten in Cloud-Backends nach China oder in die USA. Aus DSGVO-Sicht ist das eine Übermittlung in ein Drittland, entweder mit Angemessenheitsbeschluss (USA: nur mit Data Privacy Framework für zertifizierte Empfänger; China: keiner) oder mit Standardvertragsklauseln plus Transfer Impact Assessment.

Wir lösen das, indem wir die Rohdaten einmalig aus dem Isemeco-EU-Cluster ziehen und sofort in unseren eigenen Frankfurt-basierten Storage übernehmen. Patient:innen sehen den Befund ausschließlich von dort. Es findet kein Drittland-Transfer in den Patient-Pfad statt. Dokumentieren Sie das in Ihrer Datenschutz-Folgenabschätzung.

6. Datenschutz-Folgenabschätzung (DSFA) durchführen

Art. 35 DSGVO verlangt eine DSFA bei „voraussichtlich hohem Risiko", und Gesundheitsdaten plus biometrische Bilder erfüllen dieses Kriterium praktisch immer. Die DSFA dokumentiert, welche Daten verarbeitet werden, wozu, was die Risiken sind und welche Schutzmaßnahmen Sie treffen. Ergebnis ist ein zwei- bis vierseitiges Dokument, das bei einer Prüfung durch die Aufsichtsbehörde vorgelegt werden muss.

Wir liefern eine Muster-DSFA, die Sie auf Ihre Praxis anpassen können, sie deckt den technischen Teil ab, den Sie selbst nicht zusammensuchen müssen.

7. Patient-Rechte operationalisieren

Patient:innen haben Anspruch auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Praktisch bedeutet das: eine zentrale E-Mail-Adresse für DSGVO-Anfragen, ein dokumentierter Prozess, eine Reaktionsfrist von höchstens einem Monat. Die häufigste Anfrage ist „Löschen Sie meinen Befund", Dermalia hat eine Self-Service-Funktion im Praxis-Dashboard, mit der die Löschung in unter 60 Sekunden durchgezogen ist (inklusive Bild- und 3D-Modell-Löschung im Storage).

8. Datenschutzbeauftragte:n bestellen, oder klären, dass keine:r nötig ist

Eine dermatologische oder ästhetische Praxis braucht einen Datenschutzbeauftragten, wenn entweder mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn die Kerntätigkeit „umfangreiche Verarbeitung besonderer Kategorien" umfasst. Für kleine Praxen (< 5 Mitarbeitende, übliches Volumen) ist meist kein DSB pflichtig. Bei Verarbeitung biometrischer Daten plus Gesundheitsdaten plus systematischer Profilbildung wird die Schwelle aber schnell erreicht.

Klären Sie diesen Punkt vor dem ersten echten Patienten-Scan. Externe Datenschutzbeauftragte kosten in der Regel 150–300 Euro pro Monat, günstiger als eine Strafzahlung wegen versäumter Bestellung.

Häufige Stolperfallen

• Aufnahmen werden „nur kurz" auf einem MFA-Tablet zwischengespeichert, Speicherung im flüchtigen Speicher ist trotzdem Verarbeitung im Sinne der DSGVO.
• Vorher-Nachher-Bilder werden für Marketing genutzt, ohne separate Einwilligung. Behandlungs-Einwilligung deckt Werbe-Nutzung nicht ab.
• Backup wird auf einem privaten USB-Stick gemacht. Backups sind Auftragsverarbeitung, auch wenn der Stick im Praxis-Tresor liegt.
• WhatsApp-Versand des Befunds an die Patient:in. WhatsApp ist nicht DSGVO-konform für Gesundheitsdaten.
• Befund wird zusätzlich an eine private Apothekerin oder Kosmetikerin geschickt, Empfängerkreis muss klar dokumentiert sein.

Was Sie an Dermalia delegieren können, was nicht

Auftragsverarbeitung delegierbar: Speicherung der Bilddaten, Befund-Erstellung, E-Mail-Versand an die Patient:in, Backup, Löschung. Nicht delegierbar (Ihre Verantwortung bleibt bei Ihnen): Aufklärung der Patient:in, schriftliche Einwilligung bei rein ästhetischer Anwendung, Patientenakten-Eintrag, Beantwortung von Patient-Anfragen nach Art. 15 ff., wir liefern Ihnen die Daten zur Beantwortung, die Antwort selbst geht von Ihrer Praxis raus.