Datenschutz im Gesundheitswesen
Co-Autor:innen: Mag. Sabine Brunner, LLB.oec.; Mag. Rafael Linus Nagel
Bescheid der Datenschutzbehörde bringt Ärzte und Kliniken unter Zugzwang
Der in der vergangenen Woche veröffentlichte Bescheid zeigt vor allem eines: Die Datenschutzbehörde (DSB) schaut genau hin – auch bei kleinen Unternehmen.
Im konkreten Fall stellte die Aufsichtsbehörde in einem amtswegigen Prüfverfahren gegen eine Tagesklinik eine Reihe von Pflichtverletzungen nach der DSGVO fest. Unter anderem handelte es sich um folgende Verstöße:
(1) Verstoß gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten
In der Entscheidung wird festgestellt, dass die Tagesklinik einen Datenschutzbeauftragten bestellen hätte müssen, da eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art 9 DSGVO erfolgt. Dies hätte die Tagesklinik im Hinblick darauf, dass
a) ihre Kerntätigkeit in der Diagnostik und Behandlung von Allergien – sohin in der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO – liegt,
b) sie zwölf Büro- bzw. Labormitarbeiter, 17 Ärzte und zwei Ernährungsberater beschäftigt und
c) Gesundheitsdaten von Gesetzes wegen zum Teil mindestens 10 Jahre zu speichern sind (§ 51 ÄrzteG)
erkennen müssen.
(2) Einholung einer gesetzwidrigen Einwilligung
Die DSB erteilt auch eine klare Absage an Einwilligungserklärungen, deren Zweck es ist, von Datensicherheitsmaßnahmen (wie zB der unverschlüsselten Übermittlung von personenbezogenen Daten) zum Nachteil des Betroffenen abweichen zu können. Solche Einwilligungserklärungen seien unzulässig. Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung könne nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, sei nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen.
(3) Verstoß gegen die Informationspflichten
Es ist als ein Verstoß gegen die Informationspflichten bzw Art 12 Abs 1 DSGVO zu bewerten, wenn nicht hinreichend klar zwischen den Informationspflichten nach Art 13 bzw 14 DSGVO unterschieden wird. Die DSB erachtet es als erforderlich, dass Betroffene einer Erklärung zweifelsfrei entnehmen können müssen, welche Daten direkt bei ihnen erhoben werden und welche Daten gegebenenfalls aus anderen Quellen herangezogen werden.
(4) Verstoß gegen die Pflicht zur Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist
Die Tagesklinik unterlag der Annahme, dass für die Datenverarbeitung „Patientenverwaltung“ keine dokumentierte Datenschutz-Folgenabschätzung notwendig sei. Nach Ausführungen der DSB hätte der Verantwortliche jedoch bereits aus den erläuternden Bemerkungen der europäischen Datenschutzbehörden feststellen müssen, dass die Patientenverwaltung nur dann nicht einer DSFA zu unterziehen ist, wenn sie von einem einzelnen Arzt geführt wird. Im Bescheid wird außerdem auf den Wortlaut des Art 35 Abs 2 lit b DSGVO verwiesen, aus dem – nach Meinung der DSB – klar hervorgeht, dass die Prüfung der Erforderlichkeit einer DSFA erforderlich gewesen wäre.
* * *
Gerade im Gesundheitswesen, wo eine Vielzahl von besonders schutzwürdigen Daten verarbeitet wird, ist erhöhte Aufmerksamkeit auf den Umgang mit diesen Daten und die Einhaltung datenschutzrechtlicher Vorgaben zu legen. Die Entscheidung der DSB führt einmal mehr vor Augen, dass von der unreflektierten Übernahme von Vertragsmustern klar abzuraten ist – ein Blick hinter die Kulissen lohnt sich.
Unsere Datenschutz-Experten von PwC Legal können Sie hierbei mit umfassender Expertise im Gesundheitsbereich unterstützen. Unser Datenschutzteam unterstützt derzeit u.a. mit folgenden Leistungen:
- (Konzern-)Datenschutzbeauftragter für einen der größten österreichischen Pflegeheime- und Klinikenbetreiber
- laufende rechtliche Beratung eines auf chronische Krankheiten spezialisierten Unternehmens, u.a. bei der Einrichtung einer datenschutzkonformen Forschungs- und Patientendatenbank
- Begleitung einer auf Dentaltechnologie spezialisierten Unternehmensgruppe in sämtlichen datenschutzrechtlichen Belangen, u.a. im Umgang mit dem Einsatz von Künstlicher Intelligenz bei medizinischen Geräte- und Patientendaten
Ihr Ansprechpartner:
Dr. Axel Thoß
+43 (0)1 384 05 50