Einwilligung in unverschlüsselte Datenübermittlung nicht statthaft
Die Datenschutzbehörde in Österreich entschied per Beschluss vom 16.11.2018, dass eine Einwilligung in den unverschlüsselten Versand von Patientendaten unwirksam sei. Zudem habe eine Klinik, die umfangreiche Datenverarbeitungen vornehme, einen Datenschutzbeauftragten zu bestellen.
Wann ist eine Einwilligung in die Datenverarbeitung und ein Datenschutzbeauftragter erforderlich?
Die Datenschutzbehörde in Österreich leitete wegen des Verdachts auf Verstöße gegen die Datenschutzgrundverordnung (DSGVO) ein Prüfverfahren gegen eine Allergie-Tagesklinik ein. Diese beschäftigte drei Management-Mitarbeiter, siebzehn Ärzte und zwölf Labor- und Büromitarbeiter. Die Klinik verarbeitete regelmäßig Gesundheitsdaten ihrer Patienten. Für die Einholung der erforderlichen Einwilligung verwendete sie ein Formular „Einwilligungserklärung zur Datenverarbeitung – Datenschutz-Gesetz“, welches auf der Internetseite der Klinik abrufbar und herunterladbar war. Zudem konnten über die Internetseite weitere Informationen zum Umgang und zur Verarbeitung der Daten abgerufen werden. Über einen Datenschutzbeauftragte verfügte die Klinik nicht. Zwar nannte sie in ihren Datenschutzinformationen einen Namen, welcher aber tatsächlich nicht als Datenschutzbeauftragter bestellt war.
Datenschutzbeauftragte bei umfangreicher Datenverarbeitung notwendig
Die Datenschutzbehörde entschied, dass die Klinik einen Datenschutzbeauftragten zu benennen haben. Denn ihre Kerntätigkeit bestehe in der umfangreichen Verarbeitung besonderer Daten, nämlich Gesundheitsdaten. Zwar gelte die Verarbeitung personenbezogener Daten dann nicht als umfangreich, wenn die Datenverarbeitung durch einen einzelnen Arzt erfolge. Allerdings gelte eine Ausnahme dann, wenn die Datenverarbeitung ein hohes Risiko aufgrund der Anzahl der Betroffenen, der Datenmenge oder der Dauer der Datenverarbeitung in sich berge. Wegen der Kerntätigkeit der Klinik in der Diagnostik und Behandlung von Allergien und mithin der primären Verarbeitung von Gesundheitsdaten, der Beschäftigung mehrerer Mitarbeiter sowie der gesetzlichen Verpflichtung, Gesundheitsdaten teilweise bis zu 10 Jahre zu speichern, sei vorliegend von einer umfangreichen Verarbeitung auszugehen.
Einwilligung muss sich klar auf konkrete Datenverarbeitung beziehen
Die Behörde stellte weiter fest, dass die von den Patienten abverlangte Einwilligung in die Datenverarbeitung unzulässig und daher rechtswidrig sei. Denn ihr sei nicht mit der erforderlichen Klarheit zu entnehmen, für welche konkrete Datenverarbeitung die Einwilligung die Rechtsgrundlage darstellen solle. Zwar werde in den bereitgestellten Informationen die Einwilligung als Rechtsgrundlage benannt. Jedoch würden auch andere Rechtsgrundlagen angeführt wie z.B. die Erfüllung rechtlicher Verpflichtungen oder die Wahrung berechtigter Interessen.
Keine Einwilligung in unverschlüsselte Datenübermittlung möglich
Zudem sah es die Datenschutzbehörde als rechtswidrig an, wenn die Klinik die Patienteneinwilligung an die Zustimmung zur unverschlüsselten Datenübermittlung binde. Die Klinik gehe davon aus, dass gesetzlich aufgrund der DSGVO Daten verschlüsselt zu übermitteln seien. Von der Pflicht zur unverschlüsselten Übermittlung könne jedoch nicht per Einwilligung abgewichen werden. Denn die Frage, ob die Datenübermittlung in verschlüsselter oder unverschlüsselter Form erfolge, sei eine Frage der Datensicherheitsmaßnahmen und könne nur von der Klinik selbst beurteilt werden.
Information zur Datenverarbeitung muss zwischen Information gem. Art. 13 und Art. 14 DSGVO unterscheiden
Die Behörde sah auch in den erteilten Informationen zur Datenverarbeitung einen Verstoß gegen die DSGVO. Denn darin werde nicht strukturell nach Informationserteilung gemäß Artikel 13 und Artikel 14 DSGVO unterschieden. Jedoch sei eine derartige Unterscheidung von wesentlicher Bedeutung, da nach Artikel 14 DSGVO auch Informationen erteilt werden, die von Artikel 13 DSGVO nicht abgedeckt seien. Nach der EuGH-Rechtsprechung zur alten Rechtslage komme den Informationspflichten wesentliche Bedeutung zu. Denn der Umfang der Informationen ermögliche erst die Ausübung des Auskunftsrechtes. Unabhängig davon sei es zudem erforderlich, dass die Patienten einer Erklärung klar und zweifelsfrei entnehmen könnten, welche Daten direkt bei ihnen erhoben und welche Daten gegebenenfalls aus anderen Quellen herangezogen werden.
Individuelle Prüfung zur Notwendigkeit einer Datenschutz-Folgenabschätzung erforderlich
Weiterhin habe die Klinik ihre Pflicht verletzt, zu überprüfen, ob eine Datenschutz-Folgenabschätzung erforderlich sei, so die Datenschutzbehörde weiter. Denn eine Datenschutz-Folgenabschätzung sei nur dann nicht erforderlich, wenn die Patientenverwaltung nur von einem einzelnen Arzt geführt werde. Da aber die Klinik zudem umfangreiche Daten wie Adressen, Abrechnungen, Befunde, Proben, Rezepte etc. verarbeite, sei von einer umfangreichen Datenverarbeitung auszugehen. Zudem treffe den Verantwortlichen im Zweifel die Pflicht, im Einzelfall selbst zu prüfen, ob eine Folgeabschätzung erforderlich sei oder nicht. Als Hilfestellung können hierzu die Leitlinien zur Datenschutz-Folgenabschätzung herangezogen werden.
Datenschutzbehörde Österreich, Beschluss vom 16.11.2018, Az. DSB-D213.692/0001-DSB/2018