Lange vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurde bereits viel über die Folgen für und An- forderungen an den Gesundheitsbereich diskutiert. Die ersten Entscheidungen der Datenschutzbehörde (DSB) zeigen, dass in der Praxis dennoch mitunter zahlreiche Verstöße gegen die DSGVO festzustellen sind.
Eine Allergie-Tagesklinik meldete bei der Datenschutzbehörde (DSB) binnen kurzer Zeit zwei Datenschutzverletzungen, wobei in diesen Meldungen ein Datenschutz-Koordinator namhaft gemacht wurde, obwohl die Klinik laut ihrer Homepage einen Da- tenschutzbeauftragten bestellt hatte, den sie jedoch nicht ordnungsgemäß angezeigt hatte. Diese Unregelmäßigkeiten nahm die DSB zum Anlass, ein umfangreiches Prüfverfahren einzuleiten, in dem insgesamt 14 Datenschutzverstöße festgestellt wur- den. Die Feststellungen zu den Verstößen können durchaus wie eine Guideline verstanden werden, anhand derer man prüfen kann, ob man selbst die entsprechenden Vorgaben einhält.
1. Verpflichtende Bestellung eines Datenschutzbeauftragten
Gemäß Art 37 Abs 1 lit c DSGVO ist die Bestellung eines Datenschutzbeauftragten dann verpflichtend, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategoriegen von perso- nenbezogenen Daten (wie Gesundheitsdaten) besteht. Nach Ansicht der Art 29-Datenschutzgruppe sowie der Materialien zur DSGVO begründet die Verarbeitung von Patientendaten durch einen „einzelnen Arzt“ noch keine umfangreiche Verarbeitung von Patientendaten, wohingegen die Verarbeitung in Krankenanstalten (und wohl auch in Gruppenordinationen) diesen Tatbe- stand erfüllt. Daher ist ein Datenschutzbeauftragter zu bestellen.
2. Klausel zum unverschlüsselten Versand von Gesundheitsdaten
In ihrem Einwilligungsformular bediente sich die Allergie-Tagesklinik des folgenden Hinweises: (…) Der unverschlüsselte Ver- sand von personenbezogenen Daten (…) ist gemäß DSGVO nicht erlaubt, da der Schutz und die Integrität der Daten so nicht gewährleistet werden kann. Deshalb benötigt die Allergie-Tagesklinik eine ausdrückliche und schriftliche Einwilligung aller Pati- enten, um personenbezogene Daten zukünftig zu verarbeiten und unverschlüsselt zu senden und zu empfangen (Befundver- sand per E-Mail, telefonische Befundauskunft etc.).“ Eine inhaltsgleiche Klausel fand sich auch noch auf einem anderen For- mular. Die Bindung der Einwilligung zur Datenverarbeitung an eine Zustimmung zur unverschlüsselten Übermittlung von Daten ist nach Ansicht des DSB unzulässig. Grundsätzlich ist die Pflicht zur verschlüsselten Übermittlung von Daten aus der DSGVO nicht ableitbar, eine solche Übermittlungsart ist jedoch mittlerweile Standard und sollte gerade bei Gesundheitsdaten dringend erfolgen. Ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist – rechtlich gesehen – keine Frage der Zustimmung durch den Betroffenen, sondern ist in der Entscheidungskompetenz des Verantwortlichen (Art 32 DSGVO). Dieser hat dafür zu sorgen, dass adäquate Maßnahmen ergriffen werden, damit es nach allgemeinem Ermessen zu keiner Ver- letzung des Schutzes personenbezogener Daten kommt. Diese – in der DSGVO als Ermessensentscheidung geregelte Be- stimmung – ist jedoch bereits in einem anderen Gesetz determiniert: Der 2. Abschnitt des Gesundheitstelematikgesetzes, der für alle Formen der elektronischen Übermittlung von Gesundheitsdaten gilt, schreibt eine verschlüsselte Übermittlung vor. Da- her hat die Übermittlung von Gesundheitsdaten per E-Mail zwingend verschlüsselt zu erfolgen und kann nicht mit Einwilligung der Betroffenen abbedungen werden.
3. Verstoß gegen die Pflicht zur Prüfung der Notwendigkeit einer Datenschutzfolgeabschätzung
Wer umfangreich besondere Kategorien personenbezogener Daten (= Gesundheitsdaten) verarbeitet, hat nach Art 35 DSVO eine Datenschutzfolgeabschätzung (DSFA) zu machen. Die Allergie-Tagesklinik führte für keine ihrer Verarbeitungstätigkeiten eine DSFA durch und begründete dies mit dem Ausnahmetatbestand des § 1 iVm DSFA-A12 („Patienten-/Klienten-/Kundenver- waltung und Honorarberechnung einzelner Ärzte, Gesundheitsdienstanbieter und Apotheken“). Wie bereits zu Pkt 2 ausge- führt, gilt der Ausnahmetatbestand nur für „einzelne“ Ärzte. Für die Krankenanstalten, die umfangreich Daten verarbeiten, gilt die Ausnahme daher nicht. In der Folge hielt die DSB daher fest, dass die Krankenanstalt zu prüfen gehabt hätte, ob für die Verarbeitungstätigkeiten „Patientenakten, Abrechnung, Befundanforderung/Befundübermittlung, Untersuchung von Proben, Verwaltung von Rezepten und Hausapotheke“ eine DSFA durchzuführen ist. Aus der DSGVO ergibt sich jedoch nicht nur die Pflicht zur Prüfung, sondern bereits die Pflicht zur Durchführung einer DSFA, die im Falle einer (umfangreichen) Verarbeitung von Gesundheits- bzw. genetischen Daten verpflichtet zu erfolgen hat.
4. Ergebnis
Der aufgezeigte Fall zeigt, dass im Bereich Datenschutz die Vorgaben der DSGVO nach wie vor unterschätzt bzw. die Einhal- tungen der Vorgaben der DSGVO nur unzureichend geprüft werden. In diesem Zusammenhang wird auch darauf verwiesen, dass die Pflicht zur Einhaltung der Vorgaben der DSGVO den „Verantwortlichen“ trifft, der im Falle von Verstößen oder der Missachtung von Vorgaben der DSGVO durchaus mit erheblichen Strafen zu rechnen hat. Den Aufwand eines vernünftigen Datenschutz-Compliance-Systems sollte man nicht überschätzen, die Folgen bei Verstößen gegen die DSGVO jedoch nicht unterschätzen.
/pagestrip-media.s3.amazonaws.com/article/e4/d2/998a19fb11ea94ce0a7de430287c.jpg)
/pagestrip-media.s3.amazonaws.com/article/e9/99/ef8819f911ea94ce0a7de430287c.jpg)