Foto von © LeoWolfert – iStockphoto.com

Datenschutz in meiner Ordination

Muss ich noch was tun?

Knapp ein Jahr nach dem 25. Mai 2018, dem Tag des In-Geltung-Tretens der Datenschutz-Grundverordnung (DSGVO), hat erst ein Viertel der österreichischen Unternehmen die Anforderungen der EU-Verordnung vollständig umgesetzt, zwölf Prozent sind dabei erst am Anfang.

Dr. Elisabeth Weichselberger-Chlap, MA, MBA
Dr. Elisabeth Weichselberger-Chlap, MA, MBA
Rechtsanwältin, Partnerin LegalPartners E-Mail: Web: LegalPartners.at

Auch die österreichische Datenschutzbehörde (DSB) musste sich 2018 erst auf ihre neue Rolle als Verwaltungsstrafbehörde einstellen, Personal rekrutieren; sie agierte daher noch recht zurückhaltend. Zwischen 25. Mai und Ende 2018 sind von der DSB 59 neue Verwaltungsstrafverfahren (überwiegend zur Beurteilung der Rechtmäßigkeit von Videoüberwachungen) eingeleitet worden. Die höchste Strafe, die bis 31. Dezember 2018 von der DSB ausgesprochen wurde, beläuft sich auf 4800 Euro (Videoüberwachung eines Geschäftslokals), trotz der theoretisch möglichen horrenden Strafdrohungen von bis zu 20 Millionen Euro.
Nun erlässt die DSB jedoch in immer kürzeren Abständen Entscheidungen und Empfehlungen zu den unterschiedlichsten datenschutzrechtlichen Fragestellungen und es ist zu erwarten, dass ab 2019 die amtswegigen Prüfverfahren zunehmen. Daher ist das Thema Datenschutz zwar nicht mehr das „Schreckgespenst“, das es noch vor einem Jahr war, aber wohl in der Praxis immer präsenter.

Aktuelle Verpflichtungen des Arztes

Die regionalen Ärztekammern haben ihren Mitgliedern umfangreiche Checklisten, Musterdokumente, Hotlines und Beratungsleistung zur Verfügung gestellt, um die erforderlichen Dokumente und Prozesse/Vorgehenspläne zu erstellen, wie insbesondere:

  • Datenverarbeitungsverzeichnis – Verzeichnis von Verarbeitungstätigkeiten (VvV) mit den umfangreichen Dokumentationspflichten

  • Auftragsverarbeitervereinbarungen (AVV) mit Subdienstleistern (wie z.B. IT-Support, Arztsoftwarehersteller, Mailprovider etc.)

  • Datenschutzerklärungen für die Homepage

  • Checkliste für Erfordernis der Bestellung eines Datenschutzbeauftragten (DSBA)

  • Auskunftsprozess

  • Einwilligungsprozess durch Mitarbeiter und Patienten (u.a. zur Übermittlung von Daten per E-Mail oder per SMS oder Übermittlung von Patientendaten an andere Ärzte und medizinische Einrichtungen, Übergabe von Daten an Vertrauenspersonen)

  • Interne Geheimhaltungserklärung und Anweisungen an Mitarbeiter zum Umgang mit personenbezogenen Daten und zur Sicherstellung der Einhaltung der technischen und organisatorischen Maßnahmen (TOM)

  • Checkliste für erforderliche Anpassungen auf der Ordinationswebsite

  • Vorgehen bei Datenschutzverletzungen („data breach“)

  • Technische und organisatorische Maßnahmen (in der Regel Teil des VvV)

  • Checkliste für Erfordernis der Durchführung einer Datenschutzfolgeabschätzung (DSFA)

  • Vorgehen bei Datenlöschung und deren technische Umsetzbarkeit etc.

Verständlich ist, dass diese Dokumentation einmal aufwendig erstellt wurde und nun in den meisten Fällen gut abliegt. Allerdings darf nicht außer Acht gelassen werden, dass sämtliche Dokumentationen, das Verarbeitungsverzeichnis und Prozesse jeweils tagesaktuell sein sollten und zumindest in regelmäßigen Abständen auf Aktualität überprüft sowie, falls erforderlich, angepasst werden müssen. Hier empfiehlt sich eine tourliche Überprüfung der Datenschutzdokumentation.

Anpassungen, die im Zuge dessen erforderlich sein könnten, sind in der Tabelle dargestellt.

Schlussfolgerung

Es bleibt abzuwarten, wie aktiv die Datenschutzbehörde 2019 sein wird, die Anzeichen lassen jedoch auf verstärkte branchenspezifische Prüfungen durch die DSB schließen. Dies könnte – aufgrund der Sensibilität der verarbeiteten Gesundheitsdaten – in den nächsten Monaten auch Dienstleister im Gesundheitsbereich treffen. Daher empfiehlt es sich, in regelmäßigen Abständen (z.B. alle 6 Monate) das eigene Datenschutzregime zu überprüfen bzw. das System selbst oder mithilfe externer Partner durch einen Datenschutz-Check laufen zu lassen.

Anmerkung: Die Autorin berät u.a. im Bereich des Datenschutzes und ist selbst u.a. Datenschutzbeauftragte bei Gesundheitsdiensteanbietern.

Abkürzungen:
DSGVO: Datenschutz-Grundverordnung
DSB: Datenschutzbehörde
VvV: Verzeichnis von Verarbeitungstätigkeiten
AVV: Auftragsverarbeitervereinbarungen
DSBA: Datenschutzbeauftragter
TOM: technische und organisatorische Maßnahmen
DSFA: Datenschutzfolgeabschätzung
FTE: Vollzeitkraft


Weiterführende Informationen:
Entscheidung der Datenschutzbehörde DSB-D213.692/0001-DSB/2018 vom 16.11.2018. Am konkreten Fall einer Allergie-Tagesklinik wurden darin u.a. folgende datenschutzrechtliche Fragen behandelt:

  • Einwilligungserklärung zur Datenverarbeitung durch Patienten

  • Verpflichtung zur Bestellung eines Datenschutzbeauftragten

  • Durchführung von Datenschutz-Folgeabschätzungen