DSGVO und Gesundheitsdaten

Österreichische Datenschutzbehörde zu Anforderungen der Einwilligung bei Patientendaten

Kürzlich entschied die Datenschutzbehörde Österreich in dem Fall einer Tagesklinik, die von ihren Patienten eine Einwilligung in den unverschlüsselten E-Mail-Versand von Gesundheitsdaten verlangte. Nach Auffassung der Behörde ist eine derartige Einwilligung unwirksam.

Die streitige Einwilligungserklärung

Die Tagesklinik verlangte von ihren Patienten eine ausdrückliche und schriftliche Zustimmung, um die personenbezogenen Daten der Betroffenen zu verarbeiten und unverschlüsselt zu senden sowie zu empfangen. Die Einwilligungserklärung, die die Patienten zu diesem Zweck unterschreiben sollten, sollte die Tagesklinik darüber hinaus dazu berechtigen die Gesundheitsdaten zur Durchführung der vereinbarten Dienstleistung an andere Unternehmen und Personen weiterzugeben. Eine mögliche Offenlegung des Gesundheitszustandes der betroffenen Personen wurde dabei angesprochen. Die Tagesklinik sollte für die korrekte und vollständige Übermittlung der Daten gemäß der Einwilligungserklärung allerdings keine Haftung übernehmen.

Die DSGVO kennt mehrere Rechtsgrundlagen für eine Datenverarbeitung

Die Datenschutzgrundverordnung soll die Grundrechte und Grundfreiheiten natürlicher Personen schützen – insbesondere deren Recht auf den Schutz personenbezogener Daten. Die DSGVO sieht dabei das sogenannte „Verbot mit Erlaubnisvorbehalt“ vor. Eine Datenverarbeitung ist demnach grundsätzlich verboten, wenn sie nicht aufgrund einer Rechtsgrundlage ausdrücklich erlaubt ist.

Die DSGVO sieht verschiedene Rechtsgrundlagen für eine Datenverarbeitung vor. So ist die Verarbeitung u.a. rechtmäßig, wenn eine Einwilligung der betroffenen Person vorliegt, sie aufgrund einer Interessenabwägung erforderlich ist oder sie zum Schutze lebenswichtiger Interessen dient etc. Eine Rechtsgrundlage sorgt aber lediglich dafür, dass eine Verarbeitung zu einem bestimmten Zweck erfolgen darf. Die Art und Weise der Verarbeitung ist durch das Vorliegen einer solchen aber noch nicht geklärt. Zudem kommt die Rechtsgrundlage der berechtigten Interessen für besonders sensible Daten wie eben Gesundheitsdaten nicht in Betracht (Artikel 9 DSGVO).

Die verwendete Klausel ist nach Ansicht der österreichischen Datenschützer unwirksam

Gemäß der Datenschutzgrundverordnung sind sensible Daten besonders zu schützen. Bei der Verarbeitung von Gesundheitsdaten sind striktere Schutzmaßnahmen zu treffen als bei „gewöhnlichen“ personenbezogenen Daten. Artikel 32 DSGVO spricht davon, dass unter Berücksichtigung des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind, um ein angemessenes Schutzniveau zu gewährleisten. Nach Ansicht der Datenschutzbehörde in Österreich kann von dieser Pflicht nicht mittels einer Einwilligung abgewichen werden. Daher sei diese unwirksam.

Darüber hinaus bemängelten die Datenschützer die verwendete Klausel noch aus anderen Gründen. Die Tagesklinik sei ihren Informationspflichten nicht ausreichend nachgekommen, da die Einwilligung zwar als Rechtsgrundlage genannt werde, die Patienten über andere Rechtsgrundlagen aber nicht informiert wurden. Außerdem führe nach Ansicht der österreichischen Datenschutzbehörde auch die von der Tagesklinik verwendete Haftungsklausel zur Unwirksamkeit der Einwilligungserklärung

Fazit – Patientendaten werden besser geschützt

Der Bescheid der Datenschutzbehörde ist rechtskräftig. Eine Einwilligung in unverschlüsselten E-Mail-Versand stellt einen Verstoß gegen das Datenschutzrecht dar. Nach Ansicht der Datenschützer darf eine Einwilligung nicht dazu dienen, um von erforderlichen Datensicherheitsmaßnahmen zum Nachteil von natürlichen Personen abzuweichen. Es bleibt also festzuhalten, dass ein angemessener Schutz der von einer Datenverarbeitung Betroffenen nicht umgangen werden kann. Es gilt dabei der Grundsatz: Je sensibler die Daten, desto größer der Schutzbedarf.

Prüfungsverfahren wie dieses in Österreich werden inzwischen auch in Deutschland verstärkt durchgeführt. Dabei verhängen die Aufsichtsbehörden auch immer öfter Sanktionen und zum Teil hohe Bußgelder.