PwC | PwC Legal Austria
  • Share
    • Choose a language:
    • View this page in english
  • PwC Legal Austria
  • Blog
    • Choose a language:
    • View this page in english
  • PwC Legal
  • Über uns
  • Karriere
22.03.2019

Datenschutz im Gesundheitswesen

Bescheid der Datenschutzbehörde bringt Ärzte und Kliniken unter Zugzwang

Der in der vergangenen Woche veröffentlichte Bescheid zeigt vor allem eines: Die Datenschutzbehörde (DSB) schaut genau hin – auch bei kleinen Unternehmen.

Im konkreten Fall stellte die Aufsichtsbehörde in einem amtswegigen Prüfverfahren gegen eine Tagesklinik eine Reihe von Pflichtverletzungen nach der DSGVO fest. Unter anderem handelte es sich um folgende Verstöße:

(1) Verstoß gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten

In der Entscheidung wird festgestellt, dass die Tagesklinik einen Datenschutzbeauftragten bestellen hätte müssen, da eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art 9 DSGVO erfolgt. Dies hätte die Tagesklinik im Hinblick darauf, dass

a) ihre Kerntätigkeit in der Diagnostik und Behandlung von Allergien – sohin in der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO – liegt,

b) sie zwölf Büro- bzw. Labormitarbeiter, 17 Ärzte und zwei Ernährungsberater beschäftigt und

c) Gesundheitsdaten von Gesetzes wegen zum Teil mindestens 10 Jahre zu speichern sind (§ 51 ÄrzteG)

erkennen müssen.

(2) Einholung einer gesetzwidrigen Einwilligung

Die DSB erteilt auch eine klare Absage an Einwilligungserklärungen, deren Zweck es ist, von Datensicherheitsmaßnahmen (wie zB der unverschlüsselten Übermittlung von personenbezogenen Daten) zum Nachteil des Betroffenen abweichen zu können. Solche Einwilligungserklärungen seien unzulässig. Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung könne nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, sei nämlich eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen.

(3) Verstoß gegen die Informationspflichten

Es ist als ein Verstoß gegen die Informationspflichten bzw Art 12 Abs 1 DSGVO zu bewerten, wenn nicht hinreichend klar zwischen den Informationspflichten nach Art 13 bzw 14 DSGVO unterschieden wird. Die DSB erachtet es als erforderlich, dass Betroffene einer Erklärung zweifelsfrei entnehmen können müssen, welche Daten direkt bei ihnen erhoben werden und welche Daten gegebenenfalls aus anderen Quellen herangezogen werden.

(4) Verstoß gegen die Pflicht zur Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist

Die Tagesklinik unterlag der Annahme, dass für die Datenverarbeitung „Patientenverwaltung“ keine dokumentierte Datenschutz-Folgenabschätzung notwendig sei. Nach Ausführungen der DSB hätte der Verantwortliche jedoch bereits aus den erläuternden Bemerkungen der europäischen Datenschutzbehörden feststellen müssen, dass die Patientenverwaltung nur dann nicht einer DSFA zu unterziehen ist, wenn sie von einem einzelnen Arzt geführt wird. Im Bescheid wird außerdem auf den Wortlaut des Art 35 Abs 2 lit b DSGVO verwiesen, aus dem – nach Meinung der DSB – klar hervorgeht, dass die Prüfung der Erforderlichkeit einer DSFA erforderlich gewesen wäre.

* * *

Gerade im Gesundheitswesen, wo eine Vielzahl von besonders schutzwürdigen Daten verarbeitet wird, ist erhöhte Aufmerksamkeit auf den Umgang mit diesen Daten und die Einhaltung datenschutzrechtlicher Vorgaben zu legen. Die Entscheidung der DSB führt einmal mehr vor Augen, dass von der unreflektierten Übernahme von Vertragsmustern klar abzuraten ist – ein Blick hinter die Kulissen lohnt sich.

Unsere Datenschutz-Experten von PwC Legal können Sie hierbei mit umfassender Expertise im Gesundheitsbereich unterstützen. Unser Datenschutzteam unterstützt derzeit u.a. mit folgenden Leistungen:

  • (Konzern-)Datenschutzbeauftragter für einen der größten österreichischen Pflegeheime- und Klinikenbetreiber
  • laufende rechtliche Beratung eines auf chronische Krankheiten spezialisierten Unternehmens, u.a. bei der Einrichtung einer datenschutzkonformen Forschungs- und Patientendatenbank
  • Begleitung einer auf Dentaltechnologie spezialisierten Unternehmensgruppe in sämtlichen datenschutzrechtlichen Belangen, u.a. im Umgang mit dem Einsatz von Künstlicher Intelligenz bei medizinischen Geräte- und Patientendaten

Ihr Ansprechpartner:

Dr. Axel Thoß

+43 (0)1 384 05 50

FB twitter Linkedin GooglePlus
TagsDatenschutzDatenschutzbehördeDSGDSGVOGesundheit
Foto von Dr. Axel Thoss
Dr. Axel Thoss axel.thoss@pwclegal.at
Foto von Mag. Rafael Linus Nagel
Mag. Rafael Linus Nagel rafael.nagel@pwclegal.at
Mag. Sabine Brunner, LLB.oec. sabine.brunner@pwclegal.at

Neueste Nachrichten

  • Neue Regeln für Crowdfunding – ECSP-VO und Schwarmfinanzierung-Vollzugsgesetz
  • Neuzugang: Rechtsanwältin Sarah Kaltenbrunner
  • Austrian DPA practically bans US data transfers (again)
  • Podcast: OGH-Entscheidung Covid-Mietzinsminderung Gastwirtschaft
  • Neuzugang: Rechtsanwalt Fabian Löffler
© 2021 *oehner & partner rechtsanwaelte gmbh is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. oehner & partner rechtsanwaelte gmbh does not render non-legal services, such services may be procured through member firms of the PwC network.
  • Impressum
  • Privacy Policy
  • Cookies
Wir verwenden auf unserer Website Cookies, um die Nutzung bestimmter Funktionen der Website zu ermöglichen, das PwC Serviceangebot kontinuierlich zu verbessern und Ihnen ein besseres Nutzererlebnis zu bieten.


Bei der Verwendung bestimmter Cookies von US-Anbietern kann es zur Übermittlung Ihrer personenbezogener Daten an diese Anbieter in die USA kommen. Wir möchten Sie darüber informieren, dass laut Urteil des Europäischen Gerichtshofs (C-311/18, Schrems II) in den USA kein angemessenes Datenschutzniveau herrscht und zudem keine geeigneten Garantien zum Schutz Ihrer Daten vorhanden sind. Die Übermittlung Ihrer Daten in die USA und die Verwendung von Cookies, bei denen eine solche Übermittlung stattfindet, erfolgt darum ausschließlich auf Grundlage Ihrer Einwilligung.

Bei Übermittlung Ihrer Daten in die USA, besteht insbesondere das Risiko, dass Ihre Daten dem Zugriff durch US-Behörden zu Kontroll- und Überwachungszwecken unterliegen und dagegen keine wirksamen Rechtsbehelfe zur Verfügung stehen. Ebensowenig kann die Durchsetzung von Betroffenenrechten gewährleistet werden. Insgesamt sind die Zugriffe und Verwendung von Daten durch US Behörden, laut dem Gerichtshof der Europäischen Union, nicht auf das zwingend erforderliche Maß beschränkt und daher unverhältnismäßig.


Eine Einwilligung in die Datenübermittlung in die USA wird erteilt, indem Sie alle Cookies akzeptieren und kann jederzeit über Ihre Browser-Einstellungen mit Wirkung für die Zukunft widerrufen werden.

Nähere Informationen finden Sie in unserer Datenschutzerklärung und Cookie-Information.
Cookie Einstellungen
Alle Cookies (inklusive US-Datentransfers) akzeptieren
Nur erforderliche Cookies akzeptieren
Manage consent

Privacy Overview

Diese Webseite benutzt Cookies zur Verbesserung Ihrer Nutzererfahrung und unseres Informationsangebotes. Wir verwenden verschiedene Cookie-Arten: Essenzielle Cookies zur Erreichung der Funktionen der Webseite (zB. Spracheinstellungen). Weiters nutzen wir Cookies von Drittanbietern um zu verstehen, wie Sie unsere Seite nutzen. Diese Cookies sind nicht notwendig für die Funktionalität der Seite und Sie können daher der Setzung des Selbigen widersprechen.
Necessary
immer aktiv
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
CookieDauerBeschreibung
cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent1 yearRecords the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
CookieDauerBeschreibung
pll_language1 yearThe pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
Analyse
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDauerBeschreibung
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX2 JahreDieser Cookie wird von Google Analytics installiert.
SPEICHERN & AKZEPTIEREN
Unterstützt von CookieYes Logo