Klienteninfo Ausgabe 7 / Oktober 2019
Entscheidung der DSB "Allergietagesklinik"
Inhalt:
01.10.2019
Herzogbirbaum 110
2002 Großmugl
Allgemeines
Eine - mittlerweile rechtskräftige - Entscheidung der österreichischen Datenschutzbehörde (DSB) hat auch im Ausland Aufsehen erregt. Besondere Aufmerksamkeit sollte man ab sofort folgenden Aspekten schenken:
- Information der Betroffenen gem. Art 13 und 14 DSGVO
- Einverständniserklärungen und Übermittlung sensibler Daten
- Durchführung einer Datenschutz-Folgeabschätzung
- Nominierung eines Datenschutzbeauftragten
Bei der Wahrnehmung der Informationspflicht (Art 13 und 14 DSGVO) muss der Verantwortliche gegenüber dem Betroffenen klar unterscheidbar machen, welche Daten er direkt bei ihm selbst erhält und welche er hingegen aus anderen Quellen (z. B. öffentliche Verzeichnisse, Daten von Krankenkassen, Daten anderer Ärzte etc.) verarbeitet. Für beide Kategorien hat er zu erläutern, um welche Daten es sich handelt, wie und wie lange sie verarbeitet werden, welche Rechtsgrundlagen für die Verarbeitung bestehen und welche Rechte die Betroffenen haben.
Die Verantwortlichen einer Datenverarbeitung dürfen sich nicht per Einwilligungserklärung der Betroffenen ihrer Verantwortung entledigen. Konkret hat eine Klinik u.a. die Zustimmung der Patienten für den Versand von Gesundheitsdaten mittels unverschlüsselter Mails eingeholt. Das sieht die Behörde als unzulässig, weil die gesetzlich geschützten Rechte Betroffener nicht frei vereinbar sind oder "durch die Hintertür" aufgeweicht werden dürfen.
Der Verantwortliche hat die Aufgabe, die Notwendigkeit einer Datenschutzfolgeabschätzung selbständig zu prüfen. Die Rechtsmeinung einer Berufsvertretung (z.B. Kammer) ist für die Erfüllung der Verpflichtung nicht ausschlaggebend.
Wenn 17 Ärzte, verschiedene Therapeuten, Bürokräfte und Verwaltungspersonal Gesundheitsdienstleistungen erbringen, Blutanalysen durchführen, Medikamente verordnen, ausgeben usw., ist die formelle Bestellung eines Datenschutzbeauftragten verpflichtend. Dieser Punkt ist speziell für Österreich interessant, wo über die Bestellung eines Datenschutzbeauftragten der Verantwortliche selbst entscheiden muss. Dabei sind die allgemeinen Kriterien der DSGVO und der vorangestellten Erwägungsgründe zu beachten. In Deutschland ist die Zahl der Mitarbeiter eines Betriebes das Entscheidungskriterium.
Wie mündlich berichtet wurde, hat die Datenschutzbehörde im konkreten Fall eine empfindlich hohe Strafe für die zahlreichen Verstöße, die in der Entscheidung aufgelistet wurden, festgesetzt.
Herzogbirbaum 110
2002 Großmugl
Praktische Auswirkungen
Jeder Unternehmer und jedes Unternehmen - insbesondere im Gesundheitsbereich - tut gut daran, seine Prozesse und seine schriftlichen Dokumentationen nochmals genau zu überprüfen. Allenfalls notwendige Korrekturen sollten so rasch wie möglich erfolgen, um Strafen in respektabler Höhe zu vermeiden. Dies betrifft vornehmlich folgende Bereiche:
Informationspflicht:
Art. 13 und 14 der DSGVO beschreiben, welche Information ein Verantwortlicher dem Betroffenen über die Datenverarbeitung geben muss und legen auch den Zeitpunkt dafür fest. Dieser Pflicht ist so zu entsprechen, dass die Art und die Verwendung der Daten detailliert angeführt wird. Allgemeine, "wolkige" Beschreibungen, aus denen kaum Informationen abgeleitet werden können, reichen nicht.
Für bestimmte Berufsgruppen gibt es allerdings in Österreich - europarechtlich umstrittene - gesetzliche Erleichterungen, denn sie wurden von der Erfüllung der Informationspflicht durch das "2. Materien-Datenschutzanpassungsgesetz", BGBl I 37/2018 ausgenommen. Welche Gesundheitsberufe u.a. dieses Privileg bis auf weiteres in Anspruch nehmen dürfen, kann man auch im Anhang zur "Klienteninfo 3/2018" nachlesen, wo Ideato bereits im vergangenen Jahr eine Tabelle als praktisches Hilfsmittel zur Verfügung gestellt hat.
Einwilligungserklärungen:
Einwilligungserklärungen, die den Betroffenen abverlangt werden, dürfen nur solche Tatbestände erfassen, die gem. DSGVO oder gem. Datenschutzgesetz (DSG) ausdrücklich frei vereinbar sind. Das betrifft im Wesentlichen lediglich die Rechtsgrundlage einer Verarbeitung, also die Frage, ob - wenn andere Rechtsgrundlagen nicht gegeben sind - mit Zustimmung des Betroffenen trotzdem eine Verarbeitung stattfinden kann.
Datenübermittlung:
Die bisweilen geübte Praxis von Verantwortlichen, sich beliebige Vorgangsweisen der Datenverarbeitung per Zustimmung durch die Betroffenen genehmigen zu lassen, ist dann unzulässig, wenn die DSGVO oder das DSG etwas Anderes vorsehen. Dies betrifft besonders die Sicherheit der Übertragung sensibler personenbezogener Daten (Art. 9 und 10 DSGVO). Der Versand mit einfachen, unverschlüsselten Mails ist nicht zulässig, und zwar auch dann, wenn die Betroffenen vorab ihre Zustimmung dazu gegeben haben (schon die Einholung der Zustimmung ist rechtswidrig!).
Diese Entscheidung betrifft zwar zunächst den Datenverkehr, der vom Verantwortlichen ausgeht, also den Versand von ihm z.B. zu einem Auftragsverarbeiter, einem Kooperationspartner oder zum Betroffenen selbst. In zweiter Linie wird aber auch die Frage zu stellen sein, ob der Verantwortliche nicht technische Möglichkeiten bereitstellen muss, um von sich aus zu gewährleisten, dass personenbezogene Daten in geschützter Weise an ihn übermittelt werden können. Will nämlich ein Betroffener seine Daten geschützt an einen Arzt, Therapeuten oder an eine Klinik schicken, ist dazu eine erhöhte Kooperation des Absenders und des Adressaten erforderlich. In gar nicht so wenigen Fällen scheitert der geschützte Versand an der technischen Kompetenz der Beteiligten. Es wäre daher die Entwicklung einer Spruchpraxis denkbar, die institutionellen Empfängern von Daten gem. Art 9 oder 10 DSGVO abverlangt, dass sie Werkzeuge zum geschützten Versand bereitzustellen haben, deren Benutzung keinerlei Vorkenntnisse verlangt und keine zusätzlichen Installationsvorgänge am Gerät des (nicht-institutionellen) Absenders erforderlich macht.
Datenschutz-Folgenabschätzung und Datenschutzbeauftragter:
Jeder Verantwortliche muss genau prüfen, ob für seine Verarbeitungen eine Datenschutz-Folgenabschätzung und/oder die Benennung eines Datenschutzbeauftragten erforderlich ist. Sich dabei auf die Empfehlungen der Kammern allein zu verlassen, reicht nach Ansicht der DSB keinesfalls aus.
Bezeichnet ein Verantwortlicher eine (natürliche oder juristische) Person ausdrücklich als Datenschutzbeauftragten, z.B. in Einwilligungserklärungen, auf der Homepage etc., dann muss diese Person gegenüber der Datenschutzbehörde auch offiziell mit dieser Funktion bekanntgegeben werden (Art. 37 Abs. 7: "Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.")
Herzogbirbaum 110
2002 Großmugl
Schlussfolgerung
Für manche Unternehmen - insbesondere im Gesundheitsbereich - bedeutet die Entscheidung, dass die bisher getroffenen Maßnahmen zum Datenschutz zeitnah überarbeitet werden müssen:
- Die Unternehmensprozesse und das Verzeichnis der Verarbeitungen sind kritisch zu hinterfragen, ob nicht die Menge der verarbeiteten personenbezogenen Daten oder die Dauer der Verarbeitung (10 Jahre nach dem Ärztegesetz) oder das mit einem allfälligen Bruch der Verschwiegenheit verbundene Risiko für die Rechte und Freiheiten natürlicher Personen die Benennung eines Datenschutzbeauftragten und die Durchführung einer Datenschutzfolgenabschätzung verlangen.
- Die Übermittlung der personenbezogener Daten (insbesondere Daten nach Art. 9 und 10 DSGVO) ist technisch so zu gestalten, dass zumindest die vom Verantwortlichen aktiv versandten Daten nach dem Stand der Technik abgesichert sind. Ob auch Möglichkeiten bereitgestellt werden müssen, dass technisch wenig erfahrene Nutzer ihre Daten auf gesicherten Wegen an den Verantwortlichen übermitteln, wäre zu diskutieren.
- Bei der Wahrnehmung der Informationspflicht gem. Art. 13 und 14 DSGVO ist besondere Sorgfalt geboten. Für Österreich besteht allerdings bei der Umsetzung der DSB-Entscheidung die Schwierigkeit, dass das "2. Materien-Datenschutz-Anpassungsgesetz" (BGBl I 37/2018) zahlreiche Berufe aufzählt, die von der Informationspflicht der Art. 13 und 14 der DSGVO ausgenommen sind. Ein Überblick findet sich im Anhang zur Klienteninfo Nr. 3 v. Dezember 2018
Quellen:
https://www.ris.bka.gv.at/JudikaturEntscheidung.wxe?Abfrage=Dsk&Dokumentnummer=DSBT_20181116_DSB_D213_692_0001_DSB_2018_00 (13.3.2019)
https://www.dsb.gv.at/documents/22758/112500/Leitlinien+zur+Datenschutz-Folgenabschaetzung-wp248-rev-01_de.pdf/2246301e-ffbb-4a03-bf23-797fee89174e (2017)
https://lesen.lexisnexis.at/news/datenschutz-einwilligung-in-aspekte-der-datensicherheit/jusit/aktuelles/2019/12/lnat_news_027018.html (21.3.2019)
https://www.dataprotect.at/2019/04/16/datensicherheitsma%C3%9Fnahmen-sind-nicht-disponibel/ (15.4.2019)
https://blog.pwclegal.at/datenschutz-im-gesundheitswesen/ (22.3,2019)
https://www.xing.com/communities/posts/datenschutzbehoerde-in-oesterreich-einwilligung-in-unverschluesselten-versand-von-personenbezogenen-daten-1016250221 (24.4.2019)
https://www.mll-news.com/datenschutzbehoerde-oesterreich-einwilligung-in-den-unverschluesselten-versand-von-patientendaten-ist-unwirksam/ (31.5.2019)
https://www.datenschutzagentur.com/die-allergieambulanz-entscheidung (abgerufen 24.9.2019)
https://www.anwalt.de/rechtstipps/oesterr-dsb-einwilligung-in-unverschluesselten-versand-von-personenbezogenen-daten-unwirksam_154754.html (24.4.2019)
https://www.datenschutzbeauftragter-info.de/unverschluesselter-versand-von-gesundheitsdaten-per-einwilligung-moeglich/ (29.9.2019)
Herzogbirbaum 110
2002 Großmugl