AERZTE Steiermark | April 2019

28 Ærzte Steiermark  || 04|2019 Foto: Fotolia recht u. jungmeier-scholz Gedacht war die Datenschutz- grundverordnung, um die in- ternational tätigen Großkon- zerne im Zaum zu halten. An die Kandare genommen wer- den in der Praxis aber auch wesentlich kleinere Unterneh- men, wie ein Prüfverfahren bei einer Allergie-Tagesklinik, organisiert als GmbH, mit gut 30 Mitarbeitenden (darun- ter 17 Ärztinnen und Ärzte) zeigt. Insgesamt 14 leichtere und schwerere Verstöße gegen die DSGVO konnten dabei festgestellt werden. Von der Behörde beanstandet wurde unter anderem eine Einwilligungserklärung, die den Patientinnen und Pati- enten zur Unterschrift vorge- legt wurde und mittels derer sie auch einer unverschlüssel- ten Übermittlung von Befun- den per E-Mail zugestimmt haben. Eine Vorgehenswei- se, die möglicherweise auch Einzelordinationen zu ihrer rechtlichen Absicherung ge- wählt haben, ohne sich dessen bewusst zu sein, dass dies der falsche Weg ist. Einerseits hält der an die Allergie-Tagesklinik gerichte- te Prüfungsbescheid fest, dass der standardmäßig verwen- deten Einwilligungserklärung „nicht mit der erforderlichen Klarheit zu entnehmen (sei), für welche Datenverarbei- tungen die Einwilligung die Rechtsgrundlage darstellt“. Zudem sei die Frage, ob eine Übermittlung in verschlüs- selter oder unverschlüsselter Form zu erfolgen habe, „allei- ne von den Verantwortlichen zu beurteilen“. Sei aus deren Sicht eine Verschlüsselung notwendig, könne sie nicht durch die Einwilligungser- klärung der Patientinnen und Patienten umgangen werden – und wo sie nicht notwen- dig ist, braucht es auch keine Einwilligungserklärung. Zu- dem ließ sich die Tageskli- nik eine „unwiderrufliche“ Einwilligung unterschreiben, was jedenfalls der DSGVO widerspricht. Umfangreiche Verarbeitung Außerdem hatte das Institut keinen Datenschutzbeauf- tragten bestellt und die Verar- beitung seiner Patientendaten keiner Prüfung der Notwen- digkeit einer Datenschutz- Folgenabschätzung (DSFA) unterzogen. Die Leiterin des Institutes berief sich darauf, sie habe aus den Informati- onsmaterialien der Wiener Ärztekammer sowie der Wirt- schaftskammer, die vor dem Inkrafttreten der DSGVO am 25. Mai 2018 veröffentlicht wurden, geschlossen, sie müs- se keinen Datenschutzbeauf- tragten bestellen. Im Entscheidungstext der Da- tenschutzbehörde wird je- doch festgehalten, dass es in der Allergie-Tagesklinik zu einer „umfangreichen Verar- beitung“ von Daten – noch dazu von Gesundheitsdaten nach Art. 9 DSGVO – komme und deswegen verpflichtend ein Datenschutzbeauftragter bestellt werden hätte müssen. Nicht in der Einzelordination Auch in Bezug auf die von der Tagesklinik unterlassene Datenschutz-Folgenabschät- zung ist ein wichtiges Krite- rium der Umfang der Verar- beitung von Patientendaten. Die Allergie-Tagesklinik hatte sich darauf berufen, dass für die ärztliche Patientenverwal- tung gemäß der Regelung in DSFA-A12 eine derartige Da- tenschutz-Folgenabschätzung nicht zwingend vorgeschrie- ben sei. Auf eine ärztliche Einzelordination trifft diese Information auch zu. Wie in den auf der Web- site der Datenschutzbehör- de öffentlich einzusehenden Erläuterungen zu DSFA-A12 klar ausformuliert, bezieht sich „nicht zwingend vorge- schrieben“ nämlich explizit auf die Verarbeitung von Pati- entendaten „durch einen ein- zelnen Arzt oder sonstigen Angehörigen eines Gesund- heitsberufes“. Ebenso explizit wird in den Erläuterungen jedoch konstatiert, dass unter anderem in Krankenhäusern, Ärztezentren, Gemeinschafts­ praxen und Gesundheitsin- stituten dafür sehr wohl eine Datenschutz-Folgenabschät- zung vorzunehmen sei, weil hier Gesundheitsdaten „von schutzbedürftigen Betroffenen in großem Umfang verarbeitet werden“. Diese Verpflichtung betrifft folglich auch die als GmbH organisierte Allergie- Tagesklinik mit ihren gut 30 Mitarbeitenden. Nun wurde der Tagesklinik eine achtwöchige Frist einge- räumt, um die Versäumnisse nachzuholen und ihr Pati- enten-Informationsmaterial rechtskonform auszuformu- lieren. Tagesklinik im Visier der Datenschützer Im amtswegigen Prüfverfahren hat die Datenschutzbehörde bei einer einer GmbH mit 30 Mitarbeitern gleich 14 Pflichtverletzungen festgestellt. Manche davon – nicht alle – sind auch für Einzelpraxen relevant. Eine als GmbH geführte Ta- gesklinik muss nach einem Prüfverfah- ren Einiges nachbessern, um DSGVO- konform zu werden.