Seit 25.5.2018 ist die Datenschutzgrundverordnung anzuwenden, gleichzeitig hat der österreichische Gesetzgeber etwa 100 Materiengesetze angepasst. Dies wirft zahlreiche Fragen auf und nicht alle Probleme werden dadurch gelöst. Markus Dörfler
Als mit 25.5.2018 die neuen Regeln der Datenschutzgrundverordnung angewandt werden mussten, war nicht nur die Verunsicherung wegen der neuen Regeln groß, es war auch völlig unklar, wie die neuen Regeln angewandt werden müssen. Daran hat sich bis heute wenig geändert. Da jedoch der Gesetzgeber im Zuge der Umsetzung der Datenschutzgrundverordnung mehr als 100 Materiengesetze angepasst hat, wird versucht, im Folgenden einige Fragen zu beantworten beziehungsweise werden Lösungsansätze präsentiert.
Darf der Arzt Gesundheitsdaten der Patienten ohne deren Einwilligung verarbeiten?
Vorweg eine kurze Auffrischung: Was sind personenbezogene Daten?
Personenbezogene Daten liegen immer dann vor, wenn sich eine Information auf eine identifizierte oder identifizierbare natürliche Person bezieht (Art 4 Z 1 DSGVO).
Die Datenschutzgrundverordnung unterscheidet dabei zwischen „normalen“ personenbezogenen Daten und sogenannten „besonderen Kategorien“ personenbezogener Daten (Art 9 Abs 1 DSGVO).
Besondere Kategorien personenbezogener Daten liegen immer dann vor, wenn Daten verarbeitet werden, aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit hervorgehen sowie bei der Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Sofern sich die Verarbeitung personenbezogener Daten auf diese besonders geschützten Kategorien bezieht, ist die Verarbeitung grundsätzlich verboten und nur in gewissen – sehr konkreten – Fällen erlaubt.
Der für die ärztliche Praxis relevanteste Fall, unter welchen Umständen Gesundheitsdaten verarbeitet werden dürfen, ist in Art 9 Abs 2 lit h DSGVO geregelt. Die Verarbeitung ist zulässig, wenn diese für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen im Gesundheits- oder Sozialbereich auf Grundlage einer gesetzlichen Grundlage oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs erforderlich ist. Diese Daten dürfen nur verarbeitet werden, wenn die Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal aufgrund einer rechtlichen Verpflichtung einem Berufsgeheimnis oder einer gesetzlichen Geheimhaltungspflicht unterliegt (Art 9 Abs 2 lit h DSGVO).
Was bedeutet das? Die Rechte und Pflichten der Ärzte sind primär im Ärztegesetz geregelt. Gemäß § 51 Abs 1 Ärztegesetz ist der Arzt verpflichtet, Aufzeichnungen über jede zur Beratung oder zur Behandlung übernommene Person, insbesondere über den Zustand der Person bei der Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen zu führen. Der Arzt ist auch verpflichtet, Anwendungen von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen erforderlichen Daten zu speichern. Dabei muss der Arzt dem Patienten beziehungsweise dessen zur gesetzlichen Vertretung befugten Person alle Auskünfte erteilen.
Gemäß § 54 Ärztegesetz sind der Arzt und seine Hilfspersonen zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufs anvertrauten oder bekanntgewordenen Geheimnisse verpflichtet.
Da § 54 eine Verschwiegenheitspflicht und § 51 eine gesetzliche Dokumentationspflicht vorsieht, ist jeder Arzt im Rahmen seiner beruflichen Tätigkeit verpflichtet, personenbezogene Daten seiner Patienten zu verarbeiten. Der Arzt hat gar keine andere Wahl: Er muss die Daten verarbeiten. Das bedeutet, dass die Bedingungen des Art 9 Abs 2 lit h DSGVO erfüllt sind und der jeweilige Arzt den Patienten gar nicht fragen muss, ob er dessen Daten verarbeiten darf.
Das Privileg des Arztes geht sogar noch weiter: Normalerweise müssen Verantwortliche, die personenbezogene Daten verarbeiten, die von der Verarbeitung Betroffenen über die Verarbeitung informieren (Art 13 und Art 14 DSGVO). Der österreichische Gesetzgeber hat die Ärzte jedoch von dieser Pflicht ausgenommen (§ 3b Abs 2 Ärztegesetz), sodass die Ärzte ihre Patienten nicht „allgemein“ über die verarbeiteten Daten informieren müssen.
Zusammengefasst ist der Arzt daher berechtigt, die Patientendokumentation zu führen, ohne dass eine gesonderte Einwilligung des jeweiligen Patienten notwendig wäre.
In welchen Fällen benötigt ein Arzt dennoch die Einwilligung zur Verarbeitung personenbezogener Daten?
Sollte jedoch der Arzt Leistungen erbringen, die über den eigentlichen Behandlungsvertrag hinausgehen, ist eine Einwilligungserklärung notwendig. Vom Behandlungsvertrag mit dem jeweiligen Patienten ist beispielsweise nicht umfasst, dass der Arzt den Patienten nach zehn Jahren an eine Auffrischungsimpfung erinnert. In diesem Fall wird der Arzt den Patienten fragen müssen, ob der Patient dieses Impfservice in Anspruch nehmen möchte.
In der Praxis hat die Datenschutzgrundverordnung damit kaum eine Änderung in den Arztpraxen verursacht. Für jene administrativen Tätigkeiten, die die Ärzte zur Umsetzung der Datenschutzgrundverordnung erfüllen müssen (etwa die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten oder den Abschluss von schriftlichen Auftragsverarbeitervereinbarung), hat die Österreichische Ärztekammer entsprechende Muster bereitgestellt. An dieser Stelle erinnert der Autor nochmals daran, dass diese Muster nur ausgefüllt werden müssen und durch die Ärzte verwahrt werden müssen.
Und was ist bis jetzt tatsächlich passiert?
Bitte Mitte September 2018 gab es lediglich etwas über 700 Beschwerden bei der Datenschutzbehörde, mehr als 250 Meldungen sogenannter „Data Breaches“, über 50 amtswegige Prüfverfahren und mehr als 30 Verwaltungsstrafverfahren. Alles in allem kann man nur sagen: Angesagte Katastrophen finden nicht statt.
*) Mag. Markus Dörfler ist Partner bei Höhne, In der Maur & Partner Rechtsanwälte, Wien
© Österreichische Ärztezeitung Nr. 20 / 25.10.2018