FAQ zur Datenschutz-Grundverordnung (DSGVO)

Diese FAQs basieren auf dem derzeitigen Informationsstand (Stand September 2019) zur Datenschutz-Grundverordnung. Da derzeit noch keine diesbezüglichen gerichtlichen oder verwaltungsbehördlichen Entscheidungen vorliegen und die Datenschutz-Grundverordnung in einigen wesentlichen Bereichen einen Interpretationsspielraum zulässt, kann die Ärztekammer für Niederösterreich keine Verantwortung oder Haftung für die Richtigkeit sowie Vollständigkeit der Inhalte übernehmen. Die Ärztekammer für Niederösterreich kann daher für keinerlei Schäden, die sich aus der Nutzung des Inhalts ergeben können, haftbar gemacht werden.

Derzeitige Empfehlung: Ja.

Gemäß § 3b Abs. 2 Ärztegesetz 1998 sind Ärzteinnen/Ärzte insbesondere von den Informationspflichten nach Art 13 und Art 14 DSGVO betreffend Datenanwendungen, die im Ärztegesetz vorgesehen sind, befreit. Das Betreiben einer Website durch Ärzte fällt jedoch unseres Erachtens nach nicht unter diese Ausnahme. Wir empfehlen daher, eine Datenschutzerklärung auf der Website zu veröffentlichen. Hier finden Sie ein Muster dafür.  Muster Dieses wurde für Websites erstellt, auf denen keine sonstigen Datenerhebungen (z.B. mittels Cookies oder Kontaktformularen) erfolgen.

Nein.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten vom Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.

Es ist jedoch dringend zu empfehlen, in der Ordination mittels Aushangs darauf hinzuweisen, dass (Blut-)Proben an – konkret anzuführende – externe Einrichtungen zur diagnostischen Abklärung übermittelt und die sich daraus ergebenden Befunde an die Ordination zurückgesendet werden.

Zudem sind in Niederösterreich Labor- und pathologische Institute gemäß § 21 Abs. 3 NÖ KAG verpflichtet, einweisenden oder weiterbehandelnden Ärzten über Anforderung kostenlos Kopien von Krankengeschichten und ärztlichen Äußerungen über den Gesundheitszustand von Patienten zu übermitteln. Vergleichbare Regelungen existieren auch in den Landeskrankenanstaltengesetzen der anderen Bundesländer mit Ausnahme der Steiermark. Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit – auch schlüssiger – Einwilligung des Kranken berechtigt.

Schlüssiges Handeln oder stillschweigende Willenserklärung liegt im Rechtsverkehr vor, wenn jemand seinen Willen durch nonverbales Verhalten zum Ausdruck bringt und der Empfänger hieraus auf einen Rechtsbindungswillen schließen darf, sodass ein Vertrag auch ohne ausdrückliche Willenserklärung zustande kommen kann.

Vor diesem Hintergrund ist davon auszugehen, dass die ausdrückliche, allenfalls schriftliche Einwilligung des Patienten in die Übermittlung von (Blut-)Proben an Labors oder pathologische Institute und in die Rückübermittlung eines Befundes an den Zuweiser nicht erforderlich ist. Dies deshalb, weil die diagnostische Abklärung entweder Teil des zwischen Zuweiser und Patienten geschlossenen Behandlungsvertrags oder Gegenstand eines zwischen dem Labor bzw. pathologischen Institut und dem Patienten abgeschlossenen Behandlungsvertrags ist und damit eine Einwilligung des Patienten vorliegt. Somit sind sowohl die Vorgaben der DSGVO als auch des Ärztegesetzes erfüllt.

Ja. Es wird jedoch empfohlen, die (mündliche) Einwilligung des Patienten einzuholen. Diese kann entfallen, sofern auf der Überweisung ausdrücklich um Befundübermittlung an den Zuweiser ersucht wird.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.

Da der Patient mit dem Zuweiser und Ihnen in einem aufrechten Behandlungsverhältnis (Behandlungsvertrag) steht, ist die ausdrückliche Einwilligung des Patienten für die Übermittlung nicht erforderlich, um die Vorgaben der DSGVO einzuhalten.

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, jedoch nur mit Einwilligung des Kranken berechtigt.

Daher empfiehlt es sich, den Patienten zu befragen, ob er mit der Übermittlung an den Zuweiser einverstanden ist und dies zu dokumentieren.

In der Praxis ist es oftmals zweckmäßig, dem Patienten einen zusätzlichen Weg in die Ordination zu ersparen und ihn telefonisch über das Ergebnis eines Befundes zu informieren. Dafür sind vom persönlich anwesenden Patienten die Telefonnummer, über die er kontaktiert werden möchte, sowie seine zumindest mündliche Einwilligung über die telefonische Befundbesprechung einzuholen.

Beides ist im Patientenakt zu dokumentieren. Als zusätzliches Sicherheitskriterium kann mit dem Patienten ein Kennwort vereinbart werden, das dieser vor telefonischen Auskünften zu nennen hat.

Patienten muss die Möglichkeit zu vertraulichen Gesprächen auch mit Ihren Angestellten etwa bei der Anmeldung, Terminvereinbarung, Abholung von Rezepten etc. gegeben werden. Patienten sollten daher auf Wunsch Gespräche mit Ihren Mitarbeitern räumlich getrennt von anderen Patienten führen können. Auf diese Möglichkeit sollte mittels Aushangs hingewiesen werden. Es ist jedoch nicht erforderlich, den Anmeldebereich generell baulich von anderen Teilen der Ordination zu trennen.

Das Aushändigen derartiger Unterlagen an andere Personen als den Patienten oder seinen gesetzlichen Vertreter stellt eine Übermittlung von (sensiblen) Daten dar. Diese ist im vorliegenden Fall nur aufgrund ausdrücklicher und nachweislicher Einwilligung des Patienten zulässig. In der Praxis stellt dies eine große organisatorische Herausforderung dar. Eine Möglichkeit, einen rechtskonformen Zustand zu erreichen, ist, Patienten Vertrauenspersonen oder Einrichtungen bekanntgeben zu lassen, an die Patientendaten weitergegeben werden dürfen.

Nein.

Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten vom Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt. Darunter fällt auch die Einräumung der Möglichkeit der Einsichtnahme im Vertretungsfall.

Wird der Patient über die Vertretung z.B. durch einen Aushang informiert, kommt in der Regel der Behandlungsvertrag zwischen dem Vertreter und dem Patienten zustande. Der Vertreter ist daher selbst datenschutzrechtlich verantwortlich. Eine gesonderte Einwilligung des Patienten ist aufgrund der genannten speziellen Regelung in der DSGVO nicht erforderlich.

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärzte, in deren Behandlung der Kranke steht, jedoch nur mit Einwilligung des Kranken berechtigt. Diese kann jedoch auch schlüssig erfolgen.

Zusammenfassend gesagt: Mit dem Vertreter, der selbst Verantwortlicher im Sinne des Datenschutzrechts ist, muss keine Auftragsverarbeitungsvereinbarung geschlossen werden. Es ist auch nicht erforderlich, dass der Patient ausdrücklich einwilligt, dass der Vertreter in die vorhandene Dokumentation Einsicht nimmt. Vielmehr ist von einer ausreichenden schlüssigen Einwilligung auszugehen, wenn der Patient den Vertreter aufsucht.

Der Versand per E-Mail stellt keinen sicheren Kommunikationsweg dar. Bei der Übermittlung der Daten per E-Mail ist es (unberechtigten) Dritten relativ leicht möglich, diese Informationen zu lesen und sogar Daten (unbemerkt) zu verändern.

In einer Entscheidung (DSB-D213.692/0001-DSB/2018) hält die österreichische Datenschutzbehörde fest, dass die Einwilligung eines Patienten in die unverschlüsselte Übermittlung von Gesundheitsdaten per E-Mail nicht statthaft ist.

Aufgrund dieser Entscheidung sollte von der Übermittlung von Gesundheitsdaten per E-Mail abgesehen werden.

Der Versand einer Erinnerung im Rahmen eines Recall-Systems oder der Erinnerung an einen bereits vereinbarten Termin erfordert die vorherige nachweisliche Einwilligung des Patienten. Zudem sollte darauf geachtet werden, dass möglichst wenige Informationen, insbesondere kein konkreter Hinweis auf den zuletzt wahrgenommenen Termin, übermittelt werden.

Der Versand von Informationen via SMS weist gewisse Sicherheitsrisiken auf (Stichwort SS7- Hack). Dennoch ist das Sicherheitsniveau hier als wesentlich höher zu qualifizieren als beim Versand von E-Mails. Insofern ist dem Versand von SMS der Vorzug zu geben.

Die Übermittlung von Daten per Fax erfolgt unverschlüsselt, sodass sich hier ein ähnliches Problem wie beim E-Mail-Versand ergibt. Derzeit liegt jedoch für das Verwenden von Faxgeräten bei der Übermittlung von Gesundheitsdaten noch eine ausdrückliche gesetzliche Regelung vor, die die Nutzung bis auf weiteres unter bestimmten Voraussetzungen erlaubt.

Im Gesundheitstelematikgesetz (§ 27 Abs. 12f.) findet sich folgende Regelung zur Verwendung von Telefax:

„Die Weitergabe von Gesundheitsdaten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 (d.h. insbesondere vorheriger telefonischer Kontakt) ausnahmsweise auch per Fax erfolgen, wenn 1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind, 2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden, 3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind, 4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und 5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

Die erleichterten Bedingungen (…) können nicht in Anspruch genommen werden, wenn die Verwendung von Gesundheitsdaten entsprechend den Bestimmungen des 2. Abschnitts (insb. verschlüsselte Übermittlung) mit Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit (§ 14 Abs. 1 DSG 2000) zumutbar ist.“

Hierzu besteht die allgemeine Empfehlung, nicht zuletzt auf Grund der DSGVO, Personenbezüge wenn möglich zu vermeiden. Nur dort, wo der Personenbezug zur Erfüllung einer rechtmäßigen Aufgabe notwendig ist, wie z.B. Mahnwesen im Rahmen der Buchhaltung, ist eine Übermittlung von personenbezogenen Daten statthaft. Allerdings nur jener Daten, die zur Erfüllung der konkreten Aufgabe notwendig sind. Für das Beispiel des Mahnwesens im Rahmen der Buchhaltung sind nur Name und Adresse des Patienten notwendig. Nicht jedoch z.B. Diagnosen bzw. Behandlungsschritte. Diese wären daher unkenntlich zu machen.

Bei den personenbezogenen Aufzeichnungen über arbeitsmedizinische Untersuchung und die Durchführung von Schutzimpfungen, die mit der Tätigkeit der Arbeitnehmer im Zusammenhang stehen, handelt es sich um eine Patientendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten im Betrieb verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Betriebsinhaber erforderlich. Ein entsprechendes Muster finden Sie hier (PDF: Muster).

Bei den personenbezogenen Aufzeichnungen über schulärztliche Untersuchung und die Durchführung von Schutzimpfungen handelt es sich um eine Patientendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten in der Schule verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Schulerhalter erforderlich. Ein entsprechendes Muster finden Sie hier (PDF: Muster).

Auch die von Ihnen verarbeiteten personenbezogenen Daten über Angestellte Ihrer Ordination (z.B. im Zusammenhang mit der Lohnabrechnung oder mit Arbeitszeitaufzeichnungen) unterliegen der DSGVO. Zudem sollten Mitarbeiter über den richtigen Umgang mit (Patienten-)Daten informiert bzw. geschult werden sowie eine Datenschutzerklärung unterfertigen. Unter den Mustern zur DSGVO auf unserer Website stellen wir ein Muster für eine Zustimmungserklärung zur Verwendung von Daten der Dienstnehmer sowie zu den Regeln über die Handhabung der IT-Systeme zur Verfügung. Dieses deckt auch die Veröffentlichung von Fotos Ihrer Mitarbeiter auf Ihrer Website ab.

Darüber hinaus stellt die Wirtschaftskammer Österreich ein generisches Muster für eine Datenschutzerklärung des Dienstgebers (Ordinationsinhabers) gegenüber seinen Mitarbeitern zur Einhaltung der Informationspflicht gemäß DSGVO zur Verfügung: www.wko.at