Fachbeitrag zum Rechtsgebiet Informationstechnologierecht von
Rechtsanwalt Dr. Bernd Fleischer

Österreichische Datenschutzbehörde zu Anforderungen der Einwilligung bei Patientendaten

Kürzlich entschied die Datenschutzbehörde Österreich in dem Fall einer Tagesklinik, die von ihren Patienten eine ausdrückliche und schriftliche Zustimmung verlangte, um deren personenbezogene Daten unverschlüsselt zu versenden und zu empfangen. Dabei sollten die Gesundheitsdaten zur Durchführung der Dienstleistung an Dritte weitergegeben werden. Eine Offenlegung des Gesundheitszustandes der betroffenen Personen war dabei nach dem Wortlaut der Einwilligungserklärung möglich. Die Tagesklinik sollte für eine korrekte und vollständige Übermittlung der Daten allerdings keine Haftung übernehmen.

Nach Auffassung der Österreichischen Datenschutzbehörde ist eine derartige Einwilligung unwirksam – und zwar aus mehreren Gründen. Nach Ansicht der Datenschützer darf eine Einwilligung nicht dazu dienen, um erforderliche Datensicherheitsmaßnahmen zum Nachteil von natürlichen Personen zu beschränken. Darüber hinaus führe auch die angesprochene Haftungsklausel zur Unwirksamkeit der Erklärung. Außerdem seien Informationspflichten verletzt worden.

 

Die DSGVO schützt Patientendaten besonders

Die Datenschutzgrundverordnung sieht bei der Verarbeitung besonderer Kategorien von Daten striktere Regeln vor. Unter diese besonderen Kategorien fallen auch die Gesundheitsdaten. Bei der Verarbeitung dieser besonders sensiblen Daten sind technische und organisatorische Maßnahmen zu treffen, die unter der Berücksichtigung des Risikos für die Rechte und Freiheiten natürlicher Personen ein angemessenes Schutzniveau gewährleisten. Gegen diese Pflicht wurde nach Ansicht der österreichischen Datenschützer im vorliegenden Fall verstoßen.

Eine Einwilligungserklärung stellt gemäß der DSGVO eine Rechtsgrundlage für eine Datenverarbeitung dar. Ohne das Vorliegen einer solchen ist die Verarbeitung personenbezogener Daten nach den Vorschriften der Datenschutzgrundverordnung untersagt. Doch eine Rechtsgrundlage regelt lediglich, ob eine Datenverarbeitung zu einem bestimmten Zweck erfolgen darf. Sie trifft keine Aussage über die Art und Weise der Verarbeitung. Außerdem gelten im Falle von Gesundheitsdaten auch diesbezüglich höhere Anforderungen: Die Rechtsgrundlage der berechtigten Interessen kommt für besonders sensible Daten nicht in Betracht.

 

Fazit – Schutzmaßnahmen dürfen nicht beschnitten werden

Die österreichische Aufsichtsbehörde macht mit ihrem rechtskräftigen Bescheid klar, dass ein angemessener Schutz der von einer Datenverarbeitung betroffenen Personen nicht umgangen werden kann. Dies gilt insbesondere, wenn hochsensible Daten der Gegenstand der Verarbeitung sind. Der Schutzbedarf steigt mit dem Risiko für die Rechte und Freiheiten der natürlichen Personen.

Deutsche Unternehmen sollten durch den beschriebenen Fall hellhörig werden. Denn Prüfungsverfahren wie dieses in Österreich werden inzwischen auch in Deutschland verstärkt durchgeführt. Die zuständigen Aufsichtsbehörden sanktionieren Verstöße dabei zunehmend mit Bußgeldern.

 

Weitere Informationen zum Thema Bußgelder wegen Datenschutzverletzungen finden Sie unter:

https://www.rosepartner.de/bussgeld-dsgvo.html

zurück
Rechtsanwalt Dr.Bernd Fleischer

Eingestellt am: 29.05.2019 [89]

ROSE & PARTNER
Rechtsanwalt
Dr. Bernd Fleischer

ohne Titel

zum Seitenanfang