Diese FAQs basieren auf dem derzeitigen Informationsstand (Mai 2023) zur Datenschutz-Grundverordnung.

Die Ärztekammer für Niederösterreich übernimmt keine Verantwortung oder Haftung für die Richtigkeit sowie Vollständigkeit der Inhalte und kann für keinerlei Schäden, die sich aus der Nutzung des Inhalts ergeben können, haftbar gemacht werden.

Gemäß § 3b Abs. 2 Ärztegesetz 1998 sind Ärzteinnen/Ärzte insbesondere von den Informationspflichten nach Art 13, 14, 18 und 21 DSGVO betreffend Datenanwendungen, die im Ärztegesetz vorgesehen sind, befreit.

Das Betreiben einer Website durch Ärzte fällt jedoch nicht unter diese Ausnahme, daher empfiehlt die Ärztekammer für Niederösterreich, eine Datenschutzerklärung auf Ihre Homepage zu stellen.

Falls Sie auf Ihrer Homepage personenbezogene Daten erheben, sind Sie zur Veröffentlichung einer Datenschutzerklärung verpflichtet. Diese muss auf der Homepage leicht auffindbar sein. Sie erheben personenbezogene Daten, wenn Sie z.B. technisch nicht notwendige Cookies bzw. Tracking Tools, Kontaktformulare, social media plug ins, Google Maps oder YouTube Videos einsetzen.

Bitte beachten Sie auch die Verpflichtung zur Verwendung von Cookie Bannern. Die Besucher:innen Ihrer Homepage haben das Recht Cookies zu akzeptieren oder abzulehnen, beide Möglichkeiten müssen gegeben sein. Nur wenn sie ausschließlich technisch unbedingt erforderliche Cookies verwenden ist keine Einwilligungserklärung erforderlich. Nähere Erläuterungen zu Cookies finden Sie auch auf der Homepage der Österreichischen Datenschutzbehörde.

Die Datenschutzerklärung ist eine Information für die Besucher Ihrer Website, eine Einwilligung ist daher nicht erforderlich.

Wir stellen Ihnen ein Muster (link) für eine Basis - Datenschutzerklärung einer Homepage zur Verfügung.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.

Da der Patient mit dem Zuweiser und Ihnen in einem aufrechten Behandlungsverhältnis (Behandlungsvertrag) steht, ist die ausdrückliche Einwilligung des Patienten für die Übermittlung nicht erforderlich, um die Vorgaben der DSGVO einzuhalten. Dies gilt selbst dann, wenn nicht ausdrücklich um eine Befundübermittlung an den Überweiser ersucht wird. Dies gilt auch für Zuweisungen an MTD Angehörige.

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, jedoch nur mit Einwilligung des Kranken berechtigt. Dabei handelt es sich um Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten.

Daher empfiehlt es sich, die Zustimmung des Patienten zu dokumentieren.

Ja. Es wird jedoch empfohlen, die (mündliche) Einwilligung des Patienten einzuholen. Diese kann entfallen, sofern auf der Überweisung ausdrücklich um Befundübermittlung an den Zuweiser ersucht wird.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.

Da der Patient mit dem Zuweiser und Ihnen in einem aufrechten Behandlungsverhältnis (Behandlungsvertrag) steht, ist die ausdrückliche Einwilligung des Patienten für die Übermittlung nicht erforderlich, um die Vorgaben der DSGVO einzuhalten.

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, jedoch nur mit Einwilligung des Kranken berechtigt.

Daher empfiehlt es sich, den Patienten zu befragen, ob er mit der Übermittlung an den Zuweiser einverstanden ist und dies zu dokumentieren.

In der Praxis ist es oftmals zweckmäßig, dem Patienten einen zusätzlichen Weg in die Ordination zu ersparen und ihn telefonisch über das Ergebnis eines Befundes zu informieren. Dafür sind vom persönlich anwesenden Patienten die Telefonnummer, über die er kontaktiert werden möchte, sowie seine zumindest mündliche Einwilligung über die telefonische Befundbesprechung einzuholen.

Beides ist im Patientenakt zu dokumentieren. Als zusätzliches Sicherheitskriterium kann mit dem Patienten ein Kennwort vereinbart werden, das dieser vor der Erteilung von telefonischen Auskünften zu nennen hat.

Patienten muss die Möglichkeit zu vertraulichen Gesprächen auch mit Ihren Angestellten etwa bei der Anmeldung, Terminvereinbarung, Abholung von Rezepten etc. gegeben werden. Patienten sollten daher auf Wunsch Gespräche mit Ihren Mitarbeitern räumlich getrennt von anderen Patienten führen können. Auf diese Möglichkeit sollte mittels Aushangs hingewiesen werden. Es ist jedoch nicht erforderlich, den Anmeldebereich generell baulich von anderen Teilen der Ordination zu trennen.

Das Aushändigen derartiger Unterlagen an andere Personen als den Patienten oder seinen gesetzlichen Vertreter stellt eine Übermittlung von (sensiblen) Daten dar. Diese ist nur aufgrund ausdrücklicher und nachweislicher Einwilligung des Patienten zulässig. In der Praxis stellt dies eine große organisatorische Herausforderung dar. Eine Möglichkeit, einen rechtskonformen Zustand zu erreichen, ist, Patienten Vertrauenspersonen oder Einrichtungen bekanntgeben zu lassen, an die Patientendaten weitergegeben werden dürfen.

Nein.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten vom Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt. Darunter fällt auch die Einräumung der Möglichkeit der Einsichtnahme im Vertretungsfall.

Wird der Patient über die Vertretung z.B. durch einen Aushang informiert, kommt in der Regel der Behandlungsvertrag zwischen dem Vertreter und dem Patienten zustande. Der Vertreter ist daher selbst datenschutzrechtlich verantwortlich. Eine gesonderte Einwilligung des Patienten ist aufgrund der genannten speziellen Regelung in der DSGVO nicht erforderlich.

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte, in deren Behandlung der Kranke steht, jedoch nur mit Einwilligung des Kranken berechtigt. Diese kann jedoch auch schlüssig erfolgen.

Zusammenfassend gesagt: Mit dem Vertreter, der selbst Verantwortlicher im Sinne des Datenschutzrechts ist, muss keine Auftragsverarbeitungsvereinbarung geschlossen werden. Es ist auch nicht erforderlich, dass der Patient ausdrücklich einwilligt, dass der Vertreter in die vorhandene Dokumentation Einsicht nimmt. Vielmehr ist von einer ausreichenden schlüssigen Einwilligung auszugehen, wenn der Patient den Vertreter aufsucht.

Der Versand per E-Mail stellt keinen sicheren Kommunikationsweg dar. Bei der Übermittlung der Daten per E-Mail ist es (unberechtigten) Dritten relativ leicht möglich, diese Informationen zu lesen und sogar Daten (unbemerkt) zu verändern.

In einer Entscheidung (DSB-D213.692/0001-DSB/2018) hält die österreichische Datenschutzbehörde fest, dass die Einwilligung eines Patienten in die unverschlüsselte Übermittlung von Gesundheitsdaten per E-Mail nicht statthaft ist.

Aufgrund dieser Entscheidung sollte von der Übermittlung von Gesundheitsdaten per E-Mail abgesehen werden.

Dies gilt auch für Rezeptbestellungen per E-Mail. Falls Ihre Patient:innen elektronisch Rezepte bestellen wollen, ist dies nur über verschlüsselte E-Mail bzw. ein Kontaktformular mit verschlüsselter Datenübertragung auf der Homepage zulässig.

Reine Terminerinnerungen per SMS sind zulässig, sofern keine Gesundheitsinformationen in der Terminerinnerung enthalten sind, es empfiehlt sich jedoch eine nachweisliche Zustimmung der Patient:innen einzuholen.

Die Übermittlung von Daten per Fax erfolgt unverschlüsselt, sodass sich ein ähnliches Problem wie beim E-Mail-Versand ergibt. Derzeit liegt jedoch für das Verwenden von Faxgeräten bei der Übermittlung von Gesundheitsdaten noch eine ausdrückliche gesetzliche Regelung vor, die die Nutzung bis auf weiteres unter bestimmten Voraussetzungen erlaubt.

Im Gesundheitstelematikgesetz (§ 27 Abs. 12) findet sich folgende Regelung zur Verwendung von Telefax:

(12) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,
2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,
3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,
4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und
5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

Es besteht die allgemeine Empfehlung, nicht zuletzt auf Grund der DSGVO, Personenbezüge wenn möglich zu vermeiden. Nur dort, wo der Personenbezug zur Erfüllung einer rechtmäßigen Aufgabe oder auf Grund einer gesetzlichen Verpflichtung notwendig ist, wie z.B. Mahnwesen im Rahmen der Buchhaltung, ist eine Übermittlung von personenbezogenen Daten statthaft. Allerdings nur jener Daten, die zur Erfüllung der konkreten Aufgabe notwendig sind. Für das Beispiel des Mahnwesens im Rahmen der Buchhaltung sind nur Name und Adresse des Patienten notwendig. Nicht jedoch z.B. Diagnosen bzw. Behandlungsschritte. Diese wären daher unkenntlich zu machen.

Bei den personenbezogenen Aufzeichnungen über arbeitsmedizinische Untersuchung und die Durchführung von Schutzimpfungen, die mit der Tätigkeit der Arbeitnehmer im Zusammenhang stehen, handelt es sich um eine Patientendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten im Betrieb verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Betriebsinhaber erforderlich. Ein entsprechendes Muster finden Sie im Muster auf Seite 37: Muster

Bei den personenbezogenen Aufzeichnungen über schulärztliche Untersuchung und die Durchführung von Schutzimpfungen handelt es sich um eine Patientendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten in der Schule verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Schulerhalter erforderlich. Ein entsprechendes Muster finden Sie im Muster auf Seite 37: Muster

Auch die von Ihnen verarbeiteten personenbezogenen Daten über Angestellte Ihrer Ordination (z.B. im Zusammenhang mit der Lohnabrechnung oder mit Arbeitszeitaufzeichnungen) unterliegen der DSGVO. Zudem sollten Mitarbeiter über den richtigen Umgang mit (Patienten-)Daten informiert bzw. geschult werden sowie eine Datenschutzerklärung unterfertigen. Unter den Mustern zur DSGVO auf unserer Website stellen wir ein Muster für eine Zustimmungserklärung zur Verwendung von Daten der Dienstnehmer sowie zu den Regeln über die Handhabung der IT-Systeme zur Verfügung. Dieses deckt auch die Veröffentlichung von Fotos Ihrer Mitarbeiter auf Ihrer Website ab.

Darüber hinaus stellt die Wirtschaftskammer Österreich ein generisches Muster für eine Datenschutzerklärung des Dienstgebers (Ordinationsinhabers) gegenüber seinen Mitarbeitern zur Einhaltung der Informationspflicht gemäß DSGVO zur Verfügung: www.wko.at