Was gibt es Neues im Datenschutz?

von Patricia Lotz

Bild von kalhh auf Pixabay

 

Einführung

Ärzte und Kliniken übermitteln tagtäglich Patientendaten. Geschieht dies nicht per Post oder gar persönlich, sondern per E-Mail, muss der Versand gemäß Artikel 32 DSGVO verschlüsselt werden. Es stellt sich jedoch die Frage, ob diese Pflicht jederzeit besteht und nicht einmal mittels einer Einwilligung abbedungen werden kann. Diese Frage ist letztlich nicht nur für das Gesundheitswesen interessant, sondern für jede Berufssparte, die einer gesetzlich festgelegten Geheimhaltungsverpflichtung unterliegt. Entscheidungen in diesem Bereich sind also auch von Bedeutung für Rechtsanwälte, Steuerberater, Patentanwälte, Wirtschaftsprüfer, Apotheken usw. 

Die Österreichische Datenschutzbehörde vertritt, dass die von einer Allergie-Tagesklinik bereitgestellte Einwilligung der Patienten sie nicht von ihrer Pflichtt befreien könne, Patientendaten verschlüsselt zu versenden. Obgleich dies hierzulande gerichtlich noch nicht erörtert wurde, lohnt sich ein genauer Blick, da es sich um EU-Recht handelt und eine zukünftige Indizwirkung für deutsche Behörden nicht ausgeschlossen werden kann.

Benennung der Rechtsgrundlage für die Verarbeitung

Gemäß Artikel 13 Absatz 1 lit. c DSGVO besteht die Pflicht, den Betroffenen darüber zu informieren, auf welcher Rechtsgrundlage seine persönlichen Daten verarbeitet werden. Laut der Behörde habe der Verantwortliche in der bereitgestellten Information jedoch nicht hinreichend bestimmt, für welche Datenverarbeitung die Einwilligung als Rechtsgrundlage diene, da andere Ermächtigungen, wie die Erfüllung rechtlicher Verpflichtungen oder die Wahrung berechtigter Interessen ebenfalls benannt wurden. Somit sei die Einwilligung bereits aus diesem Grund rechtswidrig.

Abdingbarkeit der Errichtung einer Datenschutzmaßnahme nach Artikel 32 DSGVO

Der Behörde nach, statuiere die DSGVO eine ausdrückliche Pflicht des Verantwortlichen, personenbezogene Daten angemessen zu verschlüsseln. Dies habe auch die Tagesklinik erkannt, da sie die Einwilligung zur Datenverarbeitung untrennbar mit dem unverschlüsselten Versand der Befunde verknüpfte. Von solch einer Pflicht könne jedoch laut Behörde nicht mittels einer Einwilligung seitens des Patienten abgewichen werden, da die Kompetenz, inwieweit personenbezogene Daten verschlüsselt werden, laut Artikel 32 DSGVO beim Verantwortlichen liege. Mit solch einer Erklärung willige der Patient daher nicht in die Datenverarbeitung, sondern in eine für ihn nachteilige Abweichung von den erforderlichen Datensicherheitsmaßnahmen ein. Somit sei die von der betroffenen Klinik geforderte Einwilligung rechtlich unzulässig. 

Einwilligung als Zustimmung der Heranziehung von Auftragsverarbeitern

Ferner hieß es in der Einwilligungserklärung der Tagesklinik, dass auch der Heranziehung von Auftragsverarbeitung mittels Austauschs persönlicher Daten der Patienten „unwiderruflich“ zugestimmt werde. Diese Entscheidung, sowie die Auswahl und Gestaltung entsprechender Verträge mit Auftragsdatenverarbeitern liege laut Behörde gemäß Art. 28 DSGVO wiederum ebenfalls beim Verantwortlichen und nicht beim Patienten. Jede anders lautende Vereinbarung sei rechtlich unzulässig. Ferner müsse der Betroffene die Möglichkeit haben, jede Einwilligung in die Verarbeitung seiner personenbezogener Daten zu widerrufen (vgl. Art. 7 Abs. 3 DSGVO). Die Formulierung „unwiderruflich“ mache die Einwilligung somit ebenfalls rechtswidrig.

Einwilligung als Akzeptanz des unberechtigten Zugriffs auf persönliche Daten

Schlussendlich kritisierte die Behörde die Formulierung, der Patient akzeptiere mit der Einwilligungserklärung die Tatsache, dass seine personenbezogenen Daten aufgrund der unverschlüsselten Übermittlung auch unberechtigten Dritten zugänglich gemacht würden. Die verantwortliche Tagesklinik habe jedoch ebenfalls gemäß Artikel 32 DSGVO die Pflicht, dies zu verhindern und könne sie daher nicht mittels einer Vereinbarung zum Nachteil des Betroffenen abbedingen.  

Zusammenfassung:

Würde sich die Ansicht der österreichischen Datenschutzbehörde durchsetzen, könnten Ärzte, Rechtsanwälte, Steuerberater in ihren Mandats- und Patientenverträgen nicht mehr die Übersendung von Daten via unverschlüsselter E-Mails rechtswirksam vereinbaren. Es bleibt abzuwarten, wie sich die deutschen Datenschutzbehörden zu diesem Thema aufstellen werden.

 

 

 

 

 

Bildquelle: Bild von kalhh auf Pixabay

Zurück