Österreichische Datenschutzbehörde zu Anforderungen der Einwilligung bei Patientendaten

Ratgeber - Datenschutzrecht Mehr zum Thema: Datenschutzrecht, DSGVO, Abmahnung, Datenschutz, Gesundheitsdaten

"Bei der Verarbeitung von Gesundheitsdaten sind besondere Schutzmaßnahmen zu treffen"

Kürzlich sorgte in Österreich der Fall einer Tagesklinik für Aufsehen, die von ihren Patienten eine Einwilligung in den unverschlüsselten E-Mail-Versand ihrer Gesundheitsdaten verlangte. Die Patienten sollten eine Einwilligungserklärung unterschreiben, die nach Ansicht der Datenschutzbehörde Österreich aus mehreren Gründen unwirksam ist.

Die Tagesklinik wollte Gesundheitsdaten weitergeben

Die betroffenen Patienten sollten einer unverschlüsselten Verarbeitung ihrer Daten ausdrücklich und schriftlich zustimmen. Diese Zustimmung sollte die Tagesklinik neben der reinen Verarbeitung der Daten dazu berechtigen, diese zur Durchführung der vereinbarten Dienstleistung darüber hinaus an andere Unternehmen und Personen weiterzuleiten. Eine Haftung der Tagesklinik bezüglich einer korrekten und vollständigen Übermittlung wurde dabei explizit ausgeschlossen.

Datenverarbeitungen sind nur mit einer Rechtsgrundlage erlaubt

Die Datenschutzgrundverordnung (DSGVO), die im gesamten Gebiet der Europäischen Union Anwendung findet, verbietet grundsätzlich jede Datenverarbeitung – es sei denn diese ist aufgrund einer Rechtsgrundlage ausdrücklich erlaubt. Dadurch sollen die Grundrechte und Grundfreiheiten natürlicher Personen geschützt werden.

Die DSGVO kennt verschiedene Rechtsgrundlagen für eine Datenverarbeitung. Beispielsweise eine Einwilligung der betroffenen Person sorgt für die Rechtmäßigkeit der Verarbeitung. Allerdings sorgt eine Rechtsgrundlage lediglich dafür, dass eine Datenverarbeitung grundsätzlich erlaubt ist. Die Art und Weise der Verarbeitung ist durch das Vorliegen einer Einwilligung noch nicht definiert.

Gesundheitsdaten sind besonders zu schützen

Eine Datenverarbeitung kann gemäß DSGVO auch gerechtfertigt sein, wenn ein berechtigtes Interesse vorhanden ist. Allerdings gilt diese Rechtsgrundlage nicht für besonders sensible Daten – zu diesen gehören Gesundheitsdaten. Bei der Verarbeitung von Gesundheitsdaten sind besondere Schutzmaßnahmen zu treffen. Es müssen unter Berücksichtigung des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein angemessenes Schutzniveau zu gewährleisten.

Die österreichischen Datenschützer hielten die streitige Einwilligungserklärung im vorliegenden Fall für unwirksam, da mittels einer Einwilligung nicht von der besonderen Schutzpflicht bei Gesundheitsdaten abgewichen werden könne. Darüber hinaus sei die Tagesklinik ihren Informationspflichten gegenüber den betroffenen Personen nicht ausreichend nachgekommen – die Patienten hätten über die verschiedenen Rechtsgrundlagen der DSGVO unterrichtet werden müssen. Auch die angesprochene Haftungsklausel sei nach Ansicht der Behörde unwirksam. 

Fazit – es drohen auch in Deutschland Bußgelder

Ein angemessener Schutz von besonders sensiblen Daten kann nicht durch eine Einwilligungserklärung umgangen werden. Von Datensicherheitsmaßnahmen darf nicht zum Nachteil der Betroffenen abgewichen werden. An diese Grundsätze sollten sich auch deutsche Unternehmer halten, denn auch die Behörden hierzulande führen verstärkte Kontrollen durch – dabei drohen Bußgelder.

 

Weitere Informationen zu diesem Thema finden Sie hier:

https://www.rosepartner.de/bussgeld-dsgvo.html