Drei Monate DSGVO: Update 

25.10.2018 | Service


Seit 25.5.2018 ist die Daten­schutz­grund­ver­ord­nung anzu­wen­den, gleich­zei­tig hat der öster­rei­chi­sche Gesetz­ge­ber etwa 100 Mate­ri­en­ge­setze ange­passt. Dies wirft zahl­rei­che Fra­gen auf und nicht alle Pro­bleme wer­den dadurch gelöst.
Mar­kus Dörfler

Als mit 25.5.2018 die neuen Regeln der Daten­schutz­grund­ver­ord­nung ange­wandt wer­den muss­ten, war nicht nur die Ver­un­si­che­rung wegen der neuen Regeln groß, es war auch völ­lig unklar, wie die neuen Regeln ange­wandt wer­den müs­sen. Daran hat sich bis heute wenig geän­dert. Da jedoch der Gesetz­ge­ber im Zuge der Umset­zung der Daten­schutz­grund­ver­ord­nung mehr als 100 Mate­ri­en­ge­setze ange­passt hat, wird ver­sucht, im Fol­gen­den einige Fra­gen zu beant­wor­ten bezie­hungs­weise wer­den Lösungs­an­sätze präsentiert. 

Darf der Arzt Gesund­heits­da­ten der Pati­en­ten ohne deren Ein­wil­li­gung verarbeiten? 

Vor­weg eine kurze Auf­fri­schung: Was sind per­so­nen­be­zo­gene Daten? 

Per­so­nen­be­zo­gene Daten lie­gen immer dann vor, wenn sich eine Infor­ma­tion auf eine iden­ti­fi­zierte oder iden­ti­fi­zier­bare natür­li­che Per­son bezieht (Art 4 Z 1 DSGVO). 

Die Daten­schutz­grund­ver­ord­nung unter­schei­det dabei zwi­schen „nor­ma­len“ per­so­nen­be­zo­ge­nen Daten und soge­nann­ten „beson­de­ren Kate­go­rien“ per­so­nen­be­zo­ge­ner Daten (Art 9 Abs 1 DSGVO). 

Beson­dere Kate­go­rien per­so­nen­be­zo­ge­ner Daten lie­gen immer dann vor, wenn Daten ver­ar­bei­tet wer­den, aus denen die ras­si­sche oder eth­ni­sche Her­kunft, poli­ti­sche Mei­nung, reli­giöse oder welt­an­schau­li­che Über­zeu­gung, Gewerk­schafts­zu­ge­hö­rig­keit her­vor­ge­hen sowie bei der Ver­ar­bei­tung von gene­ti­schen Daten, bio­me­tri­schen Daten zur ein­deu­ti­gen Iden­ti­fi­zie­rung einer natür­li­chen Per­son, Gesund­heits­da­ten, Daten zum Sexu­al­le­ben oder der sexu­el­len Ori­en­tie­rung einer natür­li­chen Person. 

Sofern sich die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten auf diese beson­ders geschütz­ten Kate­go­rien bezieht, ist die Ver­ar­bei­tung grund­sätz­lich ver­bo­ten und nur in gewis­sen – sehr kon­kre­ten – Fäl­len erlaubt. 

Der für die ärzt­li­che Pra­xis rele­van­teste Fall, unter wel­chen Umstän­den Gesund­heits­da­ten ver­ar­bei­tet wer­den dür­fen, ist in Art 9 Abs 2 lit h DSGVO gere­gelt. Die Ver­ar­bei­tung ist zuläs­sig, wenn diese für Zwe­cke der Gesund­heits­vor­sorge oder der Arbeits­me­di­zin, für die Beur­tei­lung der Arbeits­fä­hig­keit des Beschäf­tig­ten, für die medi­zi­ni­sche Dia­gnos­tik, die Ver­sor­gung oder Behand­lung im Gesund­heits- oder Sozi­al­be­reich oder für die Ver­wal­tung von Sys­te­men im Gesund­heits- oder Sozi­al­be­reich auf Grund­lage einer gesetz­li­chen Grund­lage oder auf­grund eines Ver­tra­ges mit einem Ange­hö­ri­gen eines Gesund­heits­be­rufs erfor­der­lich ist. Diese Daten dür­fen nur ver­ar­bei­tet wer­den, wenn die Daten von Fach­per­so­nal oder unter des­sen Ver­ant­wor­tung ver­ar­bei­tet wer­den und die­ses Fach­per­so­nal auf­grund einer recht­li­chen Ver­pflich­tung einem Berufs­ge­heim­nis oder einer gesetz­li­chen Geheim­hal­tungs­pflicht unter­liegt (Art 9 Abs 2 lit h DSGVO). 

Was bedeu­tet das? Die Rechte und Pflich­ten der Ärzte sind pri­mär im Ärz­te­ge­setz gere­gelt. Gemäß § 51 Abs 1 Ärz­te­ge­setz ist der Arzt ver­pflich­tet, Auf­zeich­nun­gen über jede zur Bera­tung oder zur Behand­lung über­nom­mene Per­son, ins­be­son­dere über den Zustand der Per­son bei der Über­nahme der Bera­tung oder Behand­lung, die Vor­ge­schichte einer Erkran­kung, die Dia­gnose, den Krank­heits­ver­lauf sowie über Art und Umfang der bera­ten­den, dia­gnos­ti­schen oder the­ra­peu­ti­schen Leis­tun­gen zu füh­ren. Der Arzt ist auch ver­pflich­tet, Anwen­dun­gen von Arz­nei­spe­zia­li­tä­ten und der zur Iden­ti­fi­zie­rung die­ser Arz­nei­spe­zia­li­tä­ten und der jewei­li­gen Char­gen erfor­der­li­chen Daten zu spei­chern. Dabei muss der Arzt dem Pati­en­ten bezie­hungs­weise des­sen zur gesetz­li­chen Ver­tre­tung befug­ten Per­son alle Aus­künfte erteilen. 

Gemäß § 54 Ärz­te­ge­setz sind der Arzt und seine Hilfs­per­so­nen zur Ver­schwie­gen­heit über alle ihnen in Aus­übung ihres Berufs anver­trau­ten oder bekannt­ge­wor­de­nen Geheim­nisse verpflichtet. 

Da § 54 eine Ver­schwie­gen­heits­pflicht und § 51 eine gesetz­li­che Doku­men­ta­ti­ons­pflicht vor­sieht, ist jeder Arzt im Rah­men sei­ner beruf­li­chen Tätig­keit ver­pflich­tet, per­so­nen­be­zo­gene Daten sei­ner Pati­en­ten zu ver­ar­bei­ten. Der Arzt hat gar keine andere Wahl: Er muss die Daten ver­ar­bei­ten. Das bedeu­tet, dass die Bedin­gun­gen des Art 9 Abs 2 lit h DSGVO erfüllt sind und der jewei­lige Arzt den Pati­en­ten gar nicht fra­gen muss, ob er des­sen Daten ver­ar­bei­ten darf. 

Das Pri­vi­leg des Arz­tes geht sogar noch wei­ter: Nor­ma­ler­weise müs­sen Ver­ant­wort­li­che, die per­so­nen­be­zo­gene Daten ver­ar­bei­ten, die von der Ver­ar­bei­tung Betrof­fe­nen über die Ver­ar­bei­tung infor­mie­ren (Art 13 und Art 14 DSGVO). Der öster­rei­chi­sche Gesetz­ge­ber hat die Ärzte jedoch von die­ser Pflicht aus­ge­nom­men (§ 3b Abs 2 Ärz­te­ge­setz), sodass die Ärzte ihre Pati­en­ten nicht „all­ge­mein“ über die ver­ar­bei­te­ten Daten infor­mie­ren müssen. 

Zusam­men­ge­fasst ist der Arzt daher berech­tigt, die Pati­en­ten­do­ku­men­ta­tion zu füh­ren, ohne dass eine geson­derte Ein­wil­li­gung des jewei­li­gen Pati­en­ten not­wen­dig wäre. 

In wel­chen Fäl­len benö­tigt ein Arzt den­noch die Ein­wil­li­gung zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten?

Sollte jedoch der Arzt Leis­tun­gen erbrin­gen, die über den eigent­li­chen Behand­lungs­ver­trag hin­aus­ge­hen, ist eine Ein­wil­li­gungs­er­klä­rung not­wen­dig. Vom Behand­lungs­ver­trag mit dem jewei­li­gen Pati­en­ten ist bei­spiels­weise nicht umfasst, dass der Arzt den Pati­en­ten nach zehn Jah­ren an eine Auf­fri­schungs­imp­fung erin­nert. In die­sem Fall wird der Arzt den Pati­en­ten fra­gen müs­sen, ob der Pati­ent die­ses Impf­ser­vice in Anspruch neh­men möchte. 

In der Pra­xis hat die Daten­schutz­grund­ver­ord­nung damit kaum eine Ände­rung in den Arzt­pra­xen ver­ur­sacht. Für jene admi­nis­tra­ti­ven Tätig­kei­ten, die die Ärzte zur Umset­zung der Daten­schutz­grund­ver­ord­nung erfül­len müs­sen (etwa die Erstel­lung eines Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten oder den Abschluss von schrift­li­chen Auf­trags­ver­ar­bei­ter­ver­ein­ba­rung), hat die Öster­rei­chi­sche Ärz­te­kam­mer ent­spre­chende Mus­ter bereit­ge­stellt. An die­ser Stelle erin­nert der Autor noch­mals daran, dass diese Mus­ter nur aus­ge­füllt wer­den müs­sen und durch die Ärzte ver­wahrt wer­den müs­sen.

Und was ist bis jetzt tat­säch­lich passiert? 

Bitte Mitte Sep­tem­ber 2018 gab es ledig­lich etwas über 700 Beschwer­den bei der Daten­schutz­be­hörde, mehr als 250 Mel­dun­gen soge­nann­ter „Data Breaches“, über 50 amts­we­gige Prüf­ver­fah­ren und mehr als 30 Ver­wal­tungs­straf­ver­fah­ren. Alles in allem kann man nur sagen: Ange­sagte Kata­stro­phen fin­den nicht statt. 

*) Mag. Mar­kus Dörf­ler ist Part­ner bei Höhne, In der Maur & Part­ner Rechts­an­wälte, Wien 

© Öster­rei­chi­sche Ärz­te­zei­tung Nr. 20 /​25.10.2018