FAQ zur Datenschutz-Grundverordnung (DSGVO)
Diese FAQs basieren auf dem derzeitigen Informationsstand (Mai 2023) zur Datenschutz-Grundverordnung.
Die Ärztinnen- und Ärztekammer für Niederösterreich übernimmt keine Verantwortung oder Haftung für die Richtigkeit sowie Vollständigkeit der Inhalte und kann für keinerlei Schäden, die sich aus der Nutzung des Inhalts ergeben können, haftbar gemacht werden.
Gemäß § 3b Abs. 2 Ärztegesetz 1998 sind Ärztinnen und Ärzte insbesondere von den Informationspflichten nach Art 13, 14, 18 und 21 DSGVO betreffend Datenanwendungen, die im Ärztegesetz vorgesehen sind, befreit.
Das Betreiben einer Website durch Ärztinnen und Ärzte fällt jedoch nicht unter diese Ausnahme, daher empfiehlt die Ärztinnen- und Ärztekammer für Niederösterreich, eine Datenschutzerklärung auf Ihre Website zu stellen.
Falls Sie auf Ihrer Website personenbezogene Daten erheben, sind Sie zur Veröffentlichung einer Datenschutzerklärung verpflichtet. Diese muss auf der Website leicht auffindbar sein. Sie erheben personenbezogene Daten, wenn Sie z.B. technisch nicht notwendige Cookies bzw. Tracking Tools, Kontaktformulare, Social media-Plug ins, Google Maps oder YouTube Videos einsetzen.
Bitte beachten Sie auch die Verpflichtung zur Verwendung von Cookie Bannern. Die Besucherinnen und Besucher Ihrer Homepage haben das Recht Cookies zu akzeptieren oder abzulehnen, beide Möglichkeiten müssen gegeben sein. Nur wenn sie ausschließlich technisch unbedingt erforderliche Cookies verwenden ist keine Einwilligungserklärung erforderlich. Nähere Erläuterungen zu Cookies finden Sie auch auf der Website der Österreichischen Datenschutzbehörde.
Die Datenschutzerklärung ist eine Information für die Besucherinnen und Besucher Ihrer Website, eine Einwilligung ist daher nicht erforderlich.
Wir stellen Ihnen ein Muster für eine Basis-Datenschutzerklärung einer Website zur Verfügung.
Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.
Da die Patientin bzw. der Patient mit der Zuweiserin bzw. dem Zuweiser und Ihnen in einem aufrechten Behandlungsverhältnis (Behandlungsvertrag) steht, ist die ausdrückliche Einwilligung der Patientin bzw. des Patienten für die Übermittlung nicht erforderlich, um die Vorgaben der DSGVO einzuhalten. Dies gilt selbst dann, wenn nicht ausdrücklich um eine Befundübermittlung an den Überweiser ersucht wird. Dies gilt auch für Zuweisungen an MTD Angehörige.
Gemäß § 51 Abs. 2 Ärztegesetz sind Ärztinnen und Ärzte zur Übermittlung von Patientendaten an andere Ärztinnen und Ärzte oder medizinische Einrichtungen, in deren Behandlung die oder der Kranke steht, jedoch nur mit Einwilligung der oder des Kranken berechtigt. Dabei handelt es sich um den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten.
Daher empfiehlt es sich, die Zustimmung der Patientin oder des Patienten zu dokumentieren.
Ja. Es wird jedoch empfohlen, die (mündliche) Einwilligung der Patientin bzw. des Patienten einzuholen. Diese kann entfallen, sofern auf der Überweisung ausdrücklich um Befundübermittlung an die Zuweiserin oder den Zuweiser ersucht wird.
Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt.
Da die Patientin oder der Patient mit der Zuweiserin bzw. dem Zuweiser und Ihnen in einem aufrechten Behandlungsverhältnis (Behandlungsvertrag) steht, ist die ausdrückliche Einwilligung der Patientin oder des Patienten für die Übermittlung nicht erforderlich, um die Vorgaben der DSGVO einzuhalten.
Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patientendaten an andere Ärztinnen und Ärzte oder medizinische Einrichtungen, in deren Behandlung die oder der Kranke steht, jedoch nur mit Einwilligung der oder des Kranken berechtigt.
Daher empfiehlt es sich, die Patientin bzw. den Patienten zu befragen, ob er mit der Übermittlung an die Zuweiserin bzw. den Zuweiser einverstanden ist und dies zu dokumentieren.
In der Praxis ist es oftmals zweckmäßig, der Patientin oder dem Patienten einen zusätzlichen Weg in die Ordination zu ersparen und ihn telefonisch über das Ergebnis eines Befundes zu informieren. Dafür sind von der persönlich anwesenden Patientin bzw. dem Patienten die Telefonnummer, über die sie oder er kontaktiert werden möchte, sowie seine zumindest mündliche Einwilligung über die telefonische Befundbesprechung einzuholen.
Beides ist im Patient:innenakt zu dokumentieren. Als zusätzliches Sicherheitskriterium kann mit der Patientin bzw. dem Patienten ein Kennwort vereinbart werden, das diese oder dieser vor der Erteilung von telefonischen Auskünften zu nennen hat.
Patientinnen und Patienten muss die Möglichkeit zu vertraulichen Gesprächen auch mit Ihren Angestellten etwa bei der Anmeldung, Terminvereinbarung, Abholung von Rezepten etc. gegeben werden. Patientinnen und Patienten sollten daher auf Wunsch Gespräche mit Ihren Mitarbeiterinnen und Mitarbeitern räumlich getrennt von anderen Patientinnen und Patienten führen können. Auf diese Möglichkeit sollte mittels Aushangs hingewiesen werden. Es ist jedoch nicht erforderlich, den Anmeldebereich generell baulich von anderen Teilen der Ordination zu trennen.
Das Aushändigen derartiger Unterlagen an andere Personen als die Patientin oder den Patienten oder seine gesetzliche Vertreterin oder den gesetzlichen Vertreter stellt eine Übermittlung von (sensiblen) Daten dar. Diese ist nur aufgrund ausdrücklicher und nachweislicher Einwilligung der Patientin oder des Patienten zulässig. In der Praxis stellt dies eine große organisatorische Herausforderung dar. Eine Möglichkeit, einen rechtskonformen Zustand zu erreichen, ist, Patientinnen und Patienten Vertrauenspersonen oder Einrichtungen bekanntgeben zu lassen, an die Patient:innendaten weitergegeben werden dürfen.
Nein.
Gemäß Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO ist die Übermittlung von Gesundheitsdaten für Zwecke der medizinischen Diagnostik und der Behandlung im Gesundheitsbereich aufgrund eines Vertrags mit einer oder einem Angehörigen eines Gesundheitsberufs zulässig, wenn diese Daten vom Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal einem gesetzlichen Berufsgeheimnis unterliegt. Darunter fällt auch die Einräumung der Möglichkeit der Einsichtnahme im Vertretungsfall.
Wird die Patientin bzw. der Patient über die Vertretung z.B. durch einen Aushang informiert, kommt in der Regel der Behandlungsvertrag zwischen der Vertreterin oder dem Vertreter und der Patientin bzw. dem Patienten zustande. Die Vertreterin oder der Vertreter ist daher selbst datenschutzrechtlich verantwortlich. Eine gesonderte Einwilligung der Patientin bzw. des Patienten ist aufgrund der genannten speziellen Regelung in der DSGVO nicht erforderlich.
Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte zur Übermittlung von Patient:innendaten an andere Ärztinnen und Ärzte, in deren Behandlung die oder der Kranke steht, jedoch nur mit Einwilligung der oder des Kranken berechtigt. Diese kann jedoch auch schlüssig erfolgen.
Zusammenfassend gesagt: Mit der Vertreterin oder dem Vertreter, die bzw. der selbst verantwortlich im Sinne des Datenschutzrechts ist, muss keine Auftragsverarbeitungsvereinbarung geschlossen werden. Es ist auch nicht erforderlich, dass die Patientin bzw. der Patient ausdrücklich einwilligt, dass die Vertreterin oder der Vertreter in die vorhandene Dokumentation Einsicht nimmt. Vielmehr ist von einer ausreichenden schlüssigen Einwilligung auszugehen, wenn die Patientin oder der Patient die Vertreterin bzw. den Vertreter aufsucht.
Der Versand per E-Mail stellt keinen sicheren Kommunikationsweg dar. Bei der Übermittlung der Daten per E-Mail ist es (unberechtigten) Dritten relativ leicht möglich, diese Informationen zu lesen und sogar Daten (unbemerkt) zu verändern.
In einer Entscheidung (DSB-D213.692/0001-DSB/2018) hält die österreichische Datenschutzbehörde fest, dass die Einwilligung einer Patientin bzw. eines Patienten in die unverschlüsselte Übermittlung von Gesundheitsdaten per E-Mail nicht statthaft ist.
Aufgrund dieser Entscheidung sollte von der Übermittlung von Gesundheitsdaten per E-Mail abgesehen werden.
Dies gilt auch für Rezeptbestellungen per E-Mail. Falls Ihre Patientinnen und Patienten elektronisch Rezepte bestellen wollen, ist dies nur über verschlüsselte E-Mail bzw. ein Kontaktformular mit verschlüsselter Datenübertragung auf der Website zulässig.
Reine Terminerinnerungen per SMS sind zulässig, sofern keine Gesundheitsinformationen in der Terminerinnerung enthalten sind, es empfiehlt sich jedoch eine nachweisliche Zustimmung der Patientinnen und Patienten einzuholen.
Die Übermittlung von Daten per Fax erfolgt unverschlüsselt, sodass sich ein ähnliches Problem wie beim E-Mail-Versand ergibt. Derzeit liegt jedoch für das Verwenden von Faxgeräten bei der Übermittlung von Gesundheitsdaten noch eine ausdrückliche gesetzliche Regelung vor, die die Nutzung bis auf weiteres unter bestimmten Voraussetzungen erlaubt:
Gesundheitstelematikgesetz (§ 27 Abs. 12)
Die Übermittlung von Gesundheitsdaten und genetischen Daten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn
- die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,
- die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,
- automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,
- die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und
- allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.
Diese Ausnahmegenehmigung wird mit 1.1.2025 aufgehoben, ab Jänner 2025 ist somit die Übermittlung von Gesundheitsdaten per Fax nicht mehr zulässig.
Als Begleitmaßnahme für die Einführung begleitender Maßnahmen wird ein 2-Phasen-Modell eingeführt:
Phase 1: Bis 31. Dezember 2024 darf eine E-Mail Übermittlung per Transportverschlüsselung erfolgen, wenn die end-to-end Verschlüsselung mangels vorhandener technischer Infrastruktur nicht zumutbar ist und an der Übermittlung der Gesundheitsdaten und genetischen Daten ausschließlich Gesundheitsdienstanbieter beteiligt sind.
Phase 2: Von 1. Jänner 2025 bis 30. Juni 2026 darf weiterhin eine Transportverschlüsselung erfolgen, wenn die end-to-end Verschlüsselung mangels vorhandener technischer Infrastruktur nicht zumutbar ist und an der Übermittlung der Gesundheitsdaten und genetischen Daten ausschließlich Gesundheitsdienstanbieter beteiligt sind und die Übermittlung der Gesundheitsdaten und genetischen Daten bis zum 31.12.2024 in der Regel per Fax erfolgte.
Es besteht die allgemeine Empfehlung, nicht zuletzt auf Grund der DSGVO, Personenbezüge wenn möglich zu vermeiden. Nur dort, wo der Personenbezug zur Erfüllung einer rechtmäßigen Aufgabe oder auf Grund einer gesetzlichen Verpflichtung notwendig ist, wie z.B. Mahnwesen im Rahmen der Buchhaltung, ist eine Übermittlung von personenbezogenen Daten statthaft. Allerdings nur jener Daten, die zur Erfüllung der konkreten Aufgabe notwendig sind. Für das Beispiel des Mahnwesens im Rahmen der Buchhaltung sind nur Name und Adresse der Patientinnen und Patienten notwendig. Nicht jedoch z.B. Diagnosen bzw. Behandlungsschritte. Diese wären daher unkenntlich zu machen.
Bei den personenbezogenen Aufzeichnungen über arbeitsmedizinische Untersuchung und die Durchführung von Schutzimpfungen, die mit der Tätigkeit der Arbeitnehmerinnen bzw. Arbeitnehmer im Zusammenhang stehen, handelt es sich um eine Patient:innendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten im Betrieb verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Betriebsinhaber erforderlich. Ein entsprechendes Muster finden Sie im Muster auf Seite 37: Muster
Bei den personenbezogenen Aufzeichnungen über schulärztliche Untersuchung und die Durchführung von Schutzimpfungen handelt es sich um eine Patient:innendokumentation gemäß § 51 Ärztegesetz, die der ärztlichen Verschwiegenheitspflicht unterliegt. Das Führen dieser Aufzeichnung ist durch das Muster auf unserer Website abgedeckt. Sollten diese Daten in der Schule verwahrt oder gespeichert werden, ist diesbezüglich in der Regel der Abschluss einer Auftragsverarbeitervereinbarung mit dem Schulerhalter erforderlich. Ein entsprechendes Muster finden Sie im Muster auf Seite 37: Muster
Auch die von Ihnen verarbeiteten personenbezogenen Daten über Angestellte Ihrer Ordination (z.B. im Zusammenhang mit der Lohnabrechnung oder mit Arbeitszeitaufzeichnungen) unterliegen der DSGVO. Zudem sollten Mitarbeiterinnen und Mitarbeiter über den richtigen Umgang mit (Patient:innen-)Daten informiert bzw. geschult werden sowie eine Datenschutzerklärung unterfertigen. Unter den Mustern zur DSGVO auf unserer Website stellen wir ein Muster für eine Zustimmungserklärung zur Verwendung von Daten der Dienstnehmer sowie zu den Regeln über die Handhabung der IT-Systeme zur Verfügung. Dieses deckt auch die Veröffentlichung von Fotos Ihrer Mitarbeiterinnen und Mitarbeiter auf Ihrer Website ab.
Darüber hinaus stellt die Wirtschaftskammer Österreich ein generisches Muster für eine Datenschutzerklärung des Dienstgebers (Ordinationsinhabers) gegenüber seinen Mitarbeiterinnen und Mitarbeitern zur Einhaltung der Informationspflicht gemäß DSGVO zur Verfügung: www.wko.at