Datenschutzgrundverordnung (DSGVO) und Datenschutz-Anpassungsgesetz

Das Datenschutz-Anpassungsgesetz wird mit 25. Mai 2018 wirksam. Es basiert auf der Datenschutzgrundverordnung der Europäischen Union (DSGVO).

Das Gesetz betrifft sämtliche Unternehmen und damit auch niedergelassene Ärztinnen und Ärzte. Sie verarbeiten Gesundheitsdaten der Patientinnen und Patienten und sind damit "Datenverantwortliche" im Sinne des Gesetzes. Betroffen ist davon sowohl die ganz oder teilweise automatisierte, aber auch die nichtautomatisierte Verarbeitung von personenbezogenen Daten.

Die Österreichische Ärztekammer erarbeitet mit Hilfe externer Expertinnen und Experten einen Leitfaden für Ihre Ordination, der Ihnen hilft, rechtzeitig die entsprechenden Schritte einzuleiten.

Die Unterlagen zur Veranstaltung "Datenschutzgrundverordung" am 20.03.2018 der Ärztekammer für Tirol finden Sie hier.

 

Die wesentlichen Fragen:

 

Warum gibt es eine neue DSGVO bzw. das Datenschutz-Anpassungsgesetz?

Bisher wurden datenschutzrechtliche Verstöße kaum sanktioniert. Der Gesetzgeber möchte jedoch vor allem größere Unternehmen stärker in die Pflicht nehmen, um Verstöße gegen die DSGVO zu verhindern.

Die DSGVO hat also das Ziel, den Verbraucher (in unserem Falle die Patientin/den Patient) zu stärken.

Unterschiede zur bisherigen Regelung:

Zusätzlich zu den bisherigen fünf Qualitätsgrundsätzen (Verarbeitung nach Treu u. Glauben, für einen gewissen Zweck, in möglichst geringen Umfang, richtig, für einen begrenzten Zeitraum, sicher) muss die Verarbeitung nunmehr auch transparent erfolgen.

Die bisherigen "sensiblen Daten" heißen nunmehr „besondere Kategorien von Daten". Darunter versteht man Daten über die Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Daten zum Sexualleben, genetische oder biometrische Daten. Grundsätzlich ist die Verarbeitung von derartigen Daten verboten. Ärzte sind jedoch von diesem Verbot ausgenommen.
 

Was versteht man unter personenbezogenen Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.
 

Was versteht man unter Verarbeitung?

Das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen von Daten mit oder ohne Hilfe automatisierter Verfahren.
 

Wer ist Datenverantwortlicher?

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Sie als Ärztin/Arzt sind Datenverantwortliche(r). Sollten mehrere Ärztinnen und Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften gemeinsam für etwaige Verstöße.
 

Wer ist Auftragsverarbeiter?

Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
Dazu bedarf es einer schriftlichen Vereinbarung. Rechtsanwältinnen und -anwälte, Steuerberaterinnen und -berater sowie Internetprovider im Auftrag einer Ärztin/eines Arztes sind keine Auftragsverarbeiter, sondern selbst Datenverantwortliche. Die Lohnverrechnung sowie Inkassobüros sind beispielhaft als Auftragsverarbeiter anzusehen, weil sie die Daten nicht eigenständig verändern.

Wichtig: Bei Weitergabe von Daten zur Verarbeitung an einen Dritten muss die Verarbeitung ebenfalls im Einklang mit dem Datenschutz-Anpassungsgesetz erfolgen und der Schutz der betroffenen Personen gewährleistet werden. Es ist eine schriftliche Vereinbarung mit dem Auftragsverarbeiter abzuschließen.
 

Wann ist die Verarbeitung als rechtmäßig anzusehen?

  • Bei Einwilligung der betroffenen Person (beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Wir empfehlen diese schriftlich einzuholen.)
  • Bei Erfüllung aus rechtlicher Verpflichtung (Ärztegesetz)
  • Zum Schutz lebenswichtiger Interessen der betroffenen Person
  • Bei Wahrnehmung öffentlicher Interessen
  • Zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten

 

Was ist im Rahmen der Datensicherheit zu beachten:

  • Stand der Technik
  • angemessene Implementierungskosten
  • Art, Umfang und Zweck der Verarbeitung
  • Bewertung der Risiken, die zu einer Verletzung datenschutzrechtlicher Vorgaben führen können

Jedenfalls sind geeignete technische und organisatorische Maßnahmen für die Gewährleistung der Datensicherheit zu ergreifen. § 54 Ärztegesetz hinsichtlich der Verschwiegenheits-, Anzeige- und Meldepflicht ist zu beachten.

Es muss sichergestellt sein, dass die technische Verarbeitung bzw die Vorgabewerte datenschutzfreundlich sind („privacy by design" sowie „privacy by default"). Beispielsweise darf eine Datensammlung erst beginnen, wenn die betroffene Person aktiv zustimmt oder die Daten müssen „pseudonymisiert" werden (d.h. der Personenbezug muss gelöscht werden, wenn er nicht unbedingt notwendig ist).

 

Der Betroffene hat ein Recht auf

  • Auskunft, ob und welche personenbezogene Daten verarbeitet wurden (Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hierfür in allgemein verständlicher Form anzuführen). Es besteht die Verpflichtung jeder betroffenen Person auf Verlangen eine Bestätigung auszustellen, ob und welche personenbezogenen Daten über diese verarbeitet wurden.

Weiter bestehen folgende Verpflichtungen:

  • Berichtigung unrichtiger personenbezogener Daten
  • Löschung von personenbezogenen Daten
  • Einschränkung der Verarbeitung bei Bestreitung der Richtigkeit, bei unrechtmäßiger Verarbeitung od. bei Widerspruch zur Verarbeitung
  • Datenübertragbarkeit an einer anderen Verantwortlichen
  • Widerspruch gegen die Verarbeitung von personenbezogenen Daten

 

Verzeichnis von Verarbeitungstätigkeiten:

Jede/r Datenverantwortliche und/oder ihre/seine Vertretung haben ein Verzeichnis aller Verarbeitungstätigkeiten zu führen ("Selbstverpflichtung"), welches im Wesentlichen folgende Angaben zu enthalten hat:

  • Namen und Kontaktdaten der/des Datenverantwortlichen und/oder ihrer/seiner Vertretung
  • Die Zwecke der Verarbeitung u. Rechtmäßigkeit (zB Verweis auf Ärztegesetz)
  • Eine Beschreibung der Kategorien betreffend Personen und der Kategorien personenbezogener Daten (Patientinnen und Patienten)
  • Die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (zB Sozialversicherungsträgern)
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Wenn möglich, die Beschreibung der technischen und organisatorischen Maßnahmen

Dieses Verzeichnis ist entsprechend zu dokumentieren (auch elektronisch), ist der Datenschutzbehörde auf Anforderung zur Verfügung zu stellen und aktuell zu halten.

Diese „Selbstverpflichtung" zur Führung eines Verarbeitungstätigkeitsverzeichnisses kann von der Datenschutzbehörde jederzeit überprüft werden.
 

Wann und wer ist bei Verletzung personenbezogener Daten zu informieren?

  • Die Aufsichtsbehörde (Datenschutzbehörde) binnen 72 Stunden
  • Die/der Betroffene unverzüglich (nicht bei verschlüsselten Daten und bei hohem Aufwand, ev. öffentliche Bekanntmachung)
     

Wann ist ein Datenschutzbeauftragter zu bestellen?

Der einzelne Arzt sowie die Ordinations- und Apparategemeinschaft benötigen keinen Datenschutzbeauftragten. Das Gesetz legt die Kriterien, ab welcher Praxisgröße ein Datenschutzbeauftragter zu bestellen ist, nicht klar dar, weshalb offen ist, ab welcher Praxisgröße der Verantwortliche einen Datenschutzbeauftragten bestellen muss.

Als Kriterium für die Größe bietet sich die (neue) deutsche Rechtslage an. Diese sieht vor, dass ein Datenschutzbeauftragter zu bestellen ist, sofern mindestens zehn Personen ständig mit automatisierten Verarbeitungen personenbezogener Daten beschäftigt sind. Beachten Sie, dass es sich hierbei um Vollzeitäquivalente handelt.

Sollten in einer Ordination daher mehr als zehn vollzeitäquivalente Mitarbeiter (inkl. dem Arzt selbst) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
 

Datenschutz-Folgenabschätzung:

Sollte durch die Datenverarbeitung ein hohes Risiko für die "Rechte und Freiheiten" von betroffenen Personen (z.B. Patientinnen und Patienten, Mitarbeiterinnen und Mitarbeiter) bestehen, muss eine „Datenschutz-Folgenabschätzung" erstellt werden.

Unter welchen Umständen ein hohes Risiko für die „Rechte und Freiheiten" besteht, ist im Detail noch offen.
Es wird davon ausgegangen, dass die Verarbeitung von „besonderen Kategorien von Daten" bei einer einzelnen Ärztin/einem einzelnen Arzt nicht als „umfangreich" angesehen wird und damit keine Datenschutz-Folgeabschätzung für Einzelordinationen notwendig wäre.
Die endgültige Beurteilung durch die Datenschutzbehörde liegt noch nicht vor.  Wir werden Sie über das Ergebnis umgehend informieren.
 

Ist eine Befundübermittlung per E-Mail erlaubt?

Nein, eine derartige Übermittlung ist nicht zulässig.
Auch eine Übermittlung von Gehaltszetteln per E-Mail ist verboten.


Ist eine Fax-Übermittlung zwischen Ärzten, Krankenanstalten, Pflegeheimen und Sozialversicherungsträgern zulässig?

Sofern sie in den Aufgabenbereich des jeweiligen Datenverantwortlichen fällt, ist eine Faxübermittlung zulässig (nach einmaliger Identitätsprüfung des Adressaten).


Ist eine elektronische Terminanfrage bzw. -abfrage zulässig?

Nur dann, wenn diese technisch sicher (verschlüsselt) ist.


Was geschieht mit Patientendaten, wenn eine Ordination übernommen wird?

Gem. § 51 ÄrzteG ist der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger verpflichtet, die Dokumentation von seiner Vorgängerin/seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung der Patientin/des Patienten ist hierfür nicht erforderlich. Eine Weiterverwendung ist aber nur zulässig, wenn die jeweilige Patientin/der jeweilige Patient in die Weiterverwendung eingewilligt hat. Für die Ärztin bzw. den Arzt,  die/der die Kassenstelle bzw. die Ordination übernommen hat, bedeutet dies, dass sie/er die Patientin/den Patienten vor Beginn der ersten Behandlung fragen muss, ob sie/er in die alten Patientenakte Einsicht nehmen darf.


Wie lange sind personenbezogene Daten aufzubewahren?

Gem. § 51 ÄrzteG sind Aufzeichnungen sowie sonstige der Dokumentation dienliche Unterlagen mindestens 10 Jahre aufzubewahren. Aus nachhaftungsrechtlichen Gründen wird jedoch empfohlen, diese 30 Jahre aufzubewahren. Es ist in regelmäßigen Abständen zu prüfen, welche Patientendaten zu löschen sind. Diese Daten sind sodann unwiederbringlich zu löschen. Die Löschung kann auch durch Anonymisierung erfolgen.


Ist die Übermittlung von Patientendaten mittels SMS/Direktnachrichtendienst (Messenger, Whats App, etc.) erlaubt?

Eine derartige Übermittlung ist nicht zulässig, zumal diese Daten in weiterer Folge über einen anderen nicht berechtigten Dritten (z.B. Facebook) abgeglichen werden.


Müssen Datensicherungen (Backups) verschlüsselt werden?

Das Datenschutz-Anpassungsgesetz sieht vor, dass Datensicherheitsmaßnahmen auch die Wiederherstellung von Daten sicherstellt. Bei Gefahr eines unberechtigten Zugriffs müssen diese auch verschlüsselt werden.


Was passiert bei Verstößen gegen die DSGVO?

Das Strafausmaß reicht bis zu € 20 Millionen bzw. 4 % des gesamten Jahresumsatzes. Die Strafkompetenz liegt in Zukunft bei der Datenschutzbehörde.


Wo finden Sie die DSVGO?

Den Text der Verordnung finden Sie hier
Das für Österreich geltende Datenschutz-Anpassungsgesetz (BGBl. I Nr. 120/2017) tritt mit 25.5.2018 in Kraft.