HDS-Konformität für Gesundheitsdaten: Leitfaden für Vereine und NGOs

Gemeinnützige Vereine, humanitäre NGOs, gemeinnützige medizinisch-soziale Einrichtungen teilen einen oft unterschätzten Punkt: Sobald sie personenbezogene Gesundheitsdaten verarbeiten oder speichern, fallen sie unter den gesetzlichen Rahmen der Speicherung von Gesundheitsdaten (HDS). Dieser Sektor hinkt jedoch bei der Konformität deutlich hinterher, da es an internen Ressourcen und unzureichender Sensibilisierung mangelt. Dieser Artikel führt Sie Schritt für Schritt durch das Verständnis der HDS-Zertifizierung, Ihre tatsächlichen Verpflichtungen und die Aktivierung einer operativen Konformität — auch mit einem kleinen IT-Team.

Was ist HDS-Zertifizierung und warum sind Vereine betroffen?

Die gesetzliche Definition von Gesundheitsdaten

Nach der DSGVO (Artikel 4, Absatz 15) sind Gesundheitsdaten personenbezogene Daten, die sich auf die physische oder psychische Gesundheit einer Person beziehen und Informationen über ihren Gesundheitszustand offenbaren. Diese Definition ist absichtlich breit gefasst. Sie umfasst nicht nur Krankenakten im klinischen Sinne, sondern auch:

• Daten von Begünstigten, die bei Screening-Kampagnen erhoben werden
• Informationen über Behinderungen, die in Sozialhilfedossiers angegeben sind
• Ernährungs- oder psychische Gesundheitsdaten, die im Kontext der psychosozialen Unterstützung erhoben werden
• Ergebnisse von Tests oder medizinischen Bewertungen im Rahmen humanitärer Programme

Ein Suchtbekämpfungsverein, ein Netzwerk zur Unterstützung älterer pflegebedürftiger Menschen oder eine NGO, die medizinische Feldkonsultationen durchführt, erfassen alle Daten, die in diese Kategorie fallen.

Der HDS-Rahmen: rechtliche Verpflichtung, nicht Option

Das Gesetz Nr. 2016-41 vom 26. Januar 2016 (Gesetz zur Modernisierung des Gesundheitssystems) hat die Verpflichtung zur Zertifizierung der HDS-Speicherung für alle Entitäten, die Gesundheitsdaten im Auftrag Dritter speichern — einschließlich Vereine und NGOs — eingeführt. Der Zertifizierungsstandard, der durch das Dekret Nr. 2018-137 vom 26. Februar 2018 definiert ist, präzisiert die abgedeckten Aktivitäten und die technischen und organisatorischen Anforderungen.

Entgegen einem weit verbreiteten Missverständnis gilt die Ausnahmeregelung nicht einfach deshalb, weil eine Einrichtung gemeinnützig ist. Entscheidend ist die Art der verarbeiteten Daten und die Tatsache, dass die Speicherung im Auftrag eines Dritten erfolgt (ein Arzt, ein Patient, eine Partnerstruktur).

Die sechs HDS-Aktivitäten und ihre Tragweite für assoziative Strukturen

Die HDS-Zertifizierung umfasst sechs unterschiedliche Aktivitäten, die in zwei Blöcken organisiert sind:

Infrastrukturblock (Aktivitäten 1 bis 3)

• Aktivität 1: Bereitstellung und Instandhaltung physischer Standorte (Rechenzentren)
• Aktivität 2: Bereitstellung und Instandhaltung der materiellen Infrastruktur
• Aktivität 3: Bereitstellung und Instandhaltung der virtuellen Infrastruktur

Software- und Managed-Services-Block (Aktivitäten 4 bis 6)

• Aktivität 4: Bereitstellung und Instandhaltung der Anwendungshosting-Plattform
• Aktivität 5: Verwaltung und Betrieb des Gesundheitsinformationssystems
• Aktivität 6: Externe Sicherung von Gesundheitsdaten

Für einen Verein sind die Aktivitäten 4 bis 6 am häufigsten betroffen, besonders wenn er eine Drittkarte SaaS-Lösung zur Verwaltung seiner Begünstigtendossiers nutzt oder die Sicherung seiner Datenbanken externalisiert. Es ist daher essentiell zu überprüfen, dass jeder SaaS- oder Cloud-Anbieter, der Ihre Gesundheitsdaten verarbeitet, für die entsprechenden Aktivitäten HDS-zertifiziert ist.

In diesem Zusammenhang ermöglicht der Einsatz einer Lösung für elektronische Signaturen im Gesundheitswesen, die HDS-zertifiziert ist, die Sicherung sensibler Dokumentenflüsse — informierte Einwilligungen, Aufnahmeformulare, digitalisierte Rezepte — ohne dass der Verein einem Konformitätsrisiko ausgesetzt wird.

Wie aktivieren Sie HDS-Konformität praktisch in Ihrem Verein?

Schritt 1: Kartografieren Sie Ihre Verarbeitungen von Gesundheitsdaten

Vor jeglichem technischen Vorgehen ist eine genaue Bestandsaufnahme aller Verarbeitungen mit Gesundheitsdaten erforderlich. Diese Übung entspricht direkt der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses gemäß Artikel 30 der DSGVO.

Dokumentieren Sie für jede Verarbeitung:

• Art der erfassten Daten (Besondere Kategorie im Sinne der DSGVO)
• Zwecke der Verarbeitung
• Empfänger und Auftragsverarbeiter
• Speichermittel (interner Server, Cloud, SaaS)
• Implementierte Sicherheitsmaßnahmen

Diese Kartografie ermöglicht es, Risikogebiete und zu überprüfende Anbieter schnell zu identifizieren.

Schritt 2: Überprüfen Sie Ihre Anbieter und fordern Sie Zertifizierung

Die HDS-Zertifizierung wird von Stellen ausgestellt, die vom COFRAC (Französisches Akkreditierungskomitee) akkreditiert sind. Sie können den Zertifizierungsstatus eines Hosting-Anbieters auf der Website der ANS (Agentur für digitale Gesundheit) überprüfen, die eine öffentliche Liste zertifizierter HDS-Hosting-Anbieter führt.

Fordern Sie systematisch von Ihren Anbietern:

• Eine Kopie des gültigen HDS-Zertifikats
• Die genaue Bandbreite der abgedeckten Aktivitäten
• Vertragliche Bedingungen bezüglich des Schutzes von Gesundheitsdaten

Begnügen Sie sich nicht mit einer Absichtserklärung: Die Zertifizierung muss überprüfbar und aktuell sein.

Schritt 3: Aktualisieren Sie Ihre Verträge und DPA

Artikel 28 der DSGVO schreibt den Abschluss einer Datenverarbeitungsvereinbarung (DPA) mit jedem Auftragsverarbeiter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, vor. Im HDS-Kontext muss diese DPA durch spezifische Klauseln ergänzt werden, die folgende Punkte abdecken:

• Verstärkte Vertraulichkeitsverpflichtungen
• Verpflichtung zur Meldung von Vorfällen innerhalb von 72 Stunden
• Bedingungen für Rückgabe und Löschung von Daten
• Datenspeicherort (zwingend im EWR-Gebiet oder in einem Land mit Angemessenheitsbeschluss)

Einige Vereine verwenden noch papiergestützte Formulare, um die Einwilligung ihrer Begünstigten zu erhalten. Die Digitalisierung dieser Prozesse durch eine konforme Lösung für elektronische Signaturen ermöglicht es, Einwilligungen zeitlich zu stempeln und zu authentifizieren, wodurch rechtlich zwingender Beweis erbracht wird.

Schritt 4: Schulen Sie Ihre Teams und ernennen Sie einen Konformitätsansprechpartner

HDS-Konformität ist kein punktuelles Projekt: Es ist ein kontinuierlicher Prozess. Ernennen Sie einen internen Ansprechpartner (der Ihr Datenschutzbeauftragter sein kann, falls vorhanden, wie gemäß Artikel 37 der DSGVO für Organisationen, die Gesundheitsdaten in großem Maßstab verarbeiten, erforderlich) und planen Sie regelmäßige Sensibilisierungssitzungen für Teams, die mit sensiblen Daten arbeiten.

Laut einer 2024 von der CNIL veröffentlichten Studie waren über 60 % der gemeldeten Datenverletzungen im Gesundheitswesen auf menschliche Fehler zurückzuführen (Versand an den falschen Empfänger, fehlende Verschlüsselung). Schulung ist daher ein Risikominderungshebel, der genauso wichtig ist wie technische Maßnahmen.

Sektortypische Herausforderungen: begrenzte Ressourcen und finanzielle Zwänge

Das Paradoxon der sensiblen Daten und des knappen Budgets

Vereine und NGOs befinden sich in einer besonderen Position: Sie verwalten oft die sensibelsten Daten (Gesundheitszustand gefährdeter Personen, Flüchtlinge, unbegleitete Minderjährige) mit Humanressourcen und Finanzbudgets, die weit unter denen des Krankenhaussektors oder privater Gesundheitsunternehmen liegen.

Diese Realität erfordert, dass Sie eine pragmatische und priorisierte Konformitätsstrategie adoptieren. Nach den Empfehlungen der ANS wird für kleine und mittlere Strukturen generell ein dreistufiger Ansatz empfohlen:

1. Notfallphase (0–3 Monate): Identifikation und Neutralisierung kritischer Risiken (nicht zertifizierte Hoster, fehlende Verschlüsselung)
2. Konsolidierungsphase (3–12 Monate): Aktualisierung von Verträgen, Bereitstellung konformer Tools, Schulung
3. Reifungsphase (12–24 Monate): Interne Audits, Notfallplan, jährliche Überprüfung der Verarbeitungen

Die Rolle der elektronischen Signatur in der assoziativen HDS-Konformität

Die Digitalisierung sensibler Dokumente ist ein oft unterschätzter Hebel im assoziativen Sektor. Dennoch bietet der Ersatz von Papierformularen durch Prozesse mit qualifizierter oder fortgeschrittener elektronischer Signatur mehrere Vorteile:

• Nachverfolgbarkeit: Jede Signatur ist zeitgestempelt und mit einer verifizierten Identität verknüpft, was die Demonstration der Rechtmäßigkeit der Verarbeitung erleichtert
• Fehlerrisiko senken: weniger manuelle Handhabung sensibler Dokumente
• Sichere Archivierung: elektronisch signierte Dokumente können in einem zertifizierten digitalen Safe aufbewahrt werden

Um mehr über die Auswahlkriterien einer für Ihre Struktur geeigneten Lösung zu erfahren, lesen Sie unseren Vergleich von Lösungen zur elektronischen Signatur, der die Unterschiede zwischen Marktangeboten in Bezug auf HDS-Konformität und eIDAS detailliert beschreibt.

Vereine, die bereits ein HR-Tool oder ein Begünstigtendossier-Management-Tool nutzen, haben oft Interesse daran zu überprüfen, ob ihre aktuelle Lösung elektronische Signaturen nativ konform integr. Unser Leitfaden zur elektronischen Signatur im Unternehmen behandelt diese Integrationskriterien im Detail.

Wenn Sie schon eine Signaturlösung implementiert haben, aber zu einem HDS-zertifizierten Anbieter wechseln möchten, ermöglicht Ihnen unser Migrationsangebot, Ihre Daten und Workflows ohne Serviceunterbrechung zu übertragen.

Auf Vereine und NGOs anwendbarer Rechtsrahmen für die Speicherung von Gesundheitsdaten

Gründungstexte des HDS-Rahmens

Die französische Verordnung zur Speicherung von Gesundheitsdaten basiert auf mehreren Texten, deren Beherrschung für jeden Verein, der mit medizinischen oder medizinisch-sozialen Daten umgeht, unerlässlich ist.

Gesetz Nr. 2016-41 vom 26. Januar 2016 (Gesetz zur Modernisierung des Gesundheitssystems): Es hat in den französischen Gesundheitskodex (Artikel L. 1111-8) die Verpflichtung eingeschrieben, einen HDS-zertifizierten Hoster für jede natürliche oder juristische Person zu nutzen, die Gesundheitsdaten im Auftrag von betroffenen Personen oder Entitäten speichert, die diese verarbeiten.

Dekret Nr. 2018-137 vom 26. Februar 2018: Es präzisiert die der Zertifizierung unterliegenden Aktivitäten, die Verfahren für die Ausstellung und den Widerruf der Zertifizierung sowie die für zertifizierende Stellen geltenden Anforderungen (COFRAC-Akkreditierung ist obligatorisch).

Verordnung vom 8. August 2017: Sie legt den auf Systeme von Gesundheitsinformationen anwendbaren Sicherheitsstandard fest, der als technische Grundlage für die HDS-Bewertung dient.

Zusammenhang mit der DSGVO

Die Verordnung (EU) 2016/679 (DSGVO) bildet den allgemeinen Rahmen für den Schutz personenbezogener Daten. Ihre Bestimmungen gelten kumulativ für die HDS-Anforderungen:

• Artikel 9: Gesundheitsdaten sind besondere Kategorien von Daten, deren Verarbeitung grundsätzlich verboten ist, mit Ausnahmen (ausdrückliche Einwilligung, Notwendigkeit für die Gesundheitsversorgung, öffentliches Interesse usw.)
• Artikel 28: Jeglicher Einsatz eines Auftragsverarbeiters, der Gesundheitsdaten speichert, muss schriftlich vertraglich geregelt werden (DPA)
• Artikel 32: Der Verein muss geeignete technische und organisatorische Maßnahmen implementieren (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle)
• Artikel 33: Jeder Datenverlust im Gesundheitswesen muss der CNIL innerhalb von 72 Stunden mitgeteilt werden
• Artikel 35: Eine Datenschutz-Folgenabschätzung (DPIA) ist obligatorisch, sobald die Verarbeitung ein hohes Risiko für die Rechte der betroffenen Personen darstellen könnte

Rechtliche Risiken bei Nichtkonformität

Die Nichteinhaltung des HDS-Rahmens setzt den Verein mehreren Sanktionsstufen aus:

• CNIL-Verwaltungssanktionen: bis zu 20 Millionen Euro oder 4 % des jährlichen Weltumsatzes (Artikel 83, Absatz 5 der DSGVO) für schwerwiegendste Verstöße. Bei Vereinen berücksichtigt die CNIL die verfügbaren Ressourcen, aber auch Verfahren gegen kleine Strukturen mit symbolischen, aber öffentlichen Strafen sind bereits ergangen.
• Strafrechtliche Haftung: Artikel 226-13 des Strafgesetzbuchs sieht bis zu einem Jahr Gefängnis und 15.000 Euro Geldstrafe für Verletzung der ärztlichen Schweigepflicht vor.
• Zivilrechtliche Haftung: Geschädigte Begünstigte können die Haftung des Vereins gemäß Artikel 1240 und folgende des Zivilgesetzbuchs geltend machen, falls ein nachweisbarer Schaden vorliegt.
• Entzug der Akkreditierung: Vereine, die von Behörden akkreditiert sind (ARS, Departementalrat), können ihre Akkreditierung für schwerwiegende Verstöße gegen den Schutz von Gesundheitsdaten verlieren.

Beachten Sie auch, dass die NIS2-Richtlinie (Richtlinie EU 2022/2555, in Frankreich durch Gesetz Nr. 2024-449 vom 21. Mai 2024 umgesetzt) die Cybersicherheitsverpflichtungen auf ein breiteres Spektrum von Entitäten ausweitet, möglicherweise einschließlich großer Vereine, die kritische Gesundheitsinfrastrukturen verwalten.

Anwendungsszenarien: HDS-Konformität in der Praxis für Vereine und NGOs

Szenario 1: Ein Hauspflegeverein mit 500 Begünstigtendossiers

Ein Verein, der ältere pflegebedürftige Menschen in mehreren Departements unterstützt, verwaltet etwa 500 aktive Dossiers, die Informationen zu Krankheiten, aktuelle Rezepte und Pflegebedürfnisbewertungen (GIR-Skala) enthalten. Diese Daten werden in einem Vereinsmanagementsoftware-Tool gespeichert, das von einem nicht HDS-zertifizierten Cloud-Anbieter gehostet wird.

Nach einer internen Prüfung, die durch eine Zugriffsanfrage eines Begünstigten ausgelöst wurde, identifiziert der Verein diese Nichtkonformität. Er führt eine Migration zu einem HDS-zertifizierten Hoster für die Aktivitäten 4 und 5 durch, schließt ein konformes DPA mit seinem Softwareanbieter ab und implementiert eine Lösung für elektronische Signaturen, um Einwilligungsformulare und personalisierte Hilfepläne zu digitalisieren.

Beobachtete Ergebnisse: Reduktion von 70 % der durchschnittlichen Einwilligungsbearbeitungszeit (von durchschnittlich 12 Tagen im Papierformat auf weniger als 4 Tage), völlige Beseitigung von Risiken durch Verlust oder falschen Versand von Dokumenten im Papierformat und erhöhte Versicherungsdeckung für Cybersicherheit durch dokumentierte Konformität.

Szenario 2: Eine internationale NGO, die medizinische Feldmissionen koordiniert

Eine NGO, die sich auf medizinische Notfallversorgung spezialisiert hat, erfasst im Rahmen ihrer Missionen Gesundheitsdaten über Begünstigte in mehreren Ländern, einschließlich Daten, die auf einen zentralisierten Server in Frankreich übertragen werden. Das IT-Team besteht aus zwei ehrenamtlichen Mitarbeitern.

Angesichts der Unmöglichkeit, eine interne, HDS-zertifizierte Infrastruktur zu unterhalten, entscheidet sich die NGO für eine 100%ige SaaS-Architektur mit einem HDS-zertifizierten Hoster, der die Aktivitäten 1–6 abdeckt. Sie implementiert einen Prozess für elektronische Signaturen für medizinische Protokolle und an Gebiete mit schwacher Konnektivität angepasste Einwilligungsformulare (Signatur im Offline-Modus mit synchronisierter Resynchronisierung).

Beobachtete Ergebnisse: HDS- und DSGVO-Konformität in weniger als 6 Monaten erreicht ohne zusätzliche IT-Einstellung, geschätzte Kosteneinsparung von 40 % im Vergleich zu einer intern gehosteten Infrastruktur und Fähigkeit, auf Anträge institutioneller Geldgeber (AFD, Europäische Union) zu reagieren, die Datenkonformitätszertifizierung erfordern.

Szenario 3: Ein assoziativer Netzwerk, das Gemeinschaftsgesundheitszentren betreibt

Ein Verband, der mehrere Gemeinschaftsgesundheitszentren leitet (etwa 8.000 aktive Patienten), nutzt eine gemeinsame Patientendatei zwischen verschiedenen Standorten. Die Koordination zwischen Standorten beinhaltet Austausch von Gesundheitsdaten per unsicherer E-Mail, in direktem Verstoß gegen den HDS-Standard.

Der Verein engagiert eine Überholung seines Informationssystems mit Unterstützung eines HDS-zertifizierten Anbieters, implementiert eine sichere Gesundheitsmessagerie (MSSanté) und digitalisiert alle Aufnahmeformulare und Einwilligungserklärungen über eine Platform für elektronische Signaturen, die dem eIDAS-Standard entspricht. Eine DPIA wird für jede Verarbeitung mit hohem Risiko durchgeführt.

Beobachtete Ergebnisse: Null Datenverletzungen, die der CNIL in den 18 Monaten nach der Konformitätsumsetzung mitgeteilt wurden (gegenüber zwei kleineren Vorfällen in der vorherigen Periode), durchschnittliche Aufnahmezeit um 35 % reduziert und Verbesserung der Patientendossier-Vollständigkeitsquote um 22 % aufgrund der Beseitigung unvollständiger Papierformulare.

Fazit

Die Aktivierung der HDS-Konformität für Gesundheitsdaten im assoziativen und NGO-Sektor ist keine Option für große Krankenhausstrukturen: Es ist eine gesetzliche Verpflichtung, die sich jeder Entität auferlegt — unabhängig von ihrer Größe oder ihrem Rechtsstatus — sobald sie Gesundheitsdaten verarbeitet oder speichert. Unkenntnis des Rahmens entbindet nicht von der Verantwortung.

Die gute Nachricht: Ein strukturiertes vierstufiges Vorgehen — Kartografie, Anbieterprüfung, Aktualisierung von Verträgen, Schulung — ermöglicht es, ein solides Konformitätsniveau auch mit begrenzten Ressourcen zu erreichen. Die Digitalisierung von Einwilligungen und sensiblen Dokumenten über eine zertifizierte Lösung für elektronische Signaturen ist ein besonders wirksamer Hebel zur Risikominderung und gleichzeitigen Verbesserung der Betriebseffizienz.

Certyneo bietet eine Plattform für elektronische Signaturen, die dem eIDAS-Standard entspricht, angepasst an die Zwänge des assoziativen Sektors und auf einer HDS-zertifizierten Infrastruktur gehostet. Kontaktieren Sie unser Team für eine kostenlose Überprüfung Ihrer Dokumentensituation und erfahren Sie, wie Sie Ihre Gesundheitsdatenflüsse heute sichern.