Datenschutzgrundverordnung

FAQs DSGVO

 

Was muss ich als niedergelassene Ärztin bzw. niedergelassene Arzt tun, um die Datenschutzgrundverordnung umzusetzen?

Rechtliche Rahmenbedingungen

Verantwortliche, betroffene Personen und Auftragsverarbeiter

Patientendaten

Technische und organisatorische Maßnahmen

Kommunikation mit vertraulichen Informationen

Was muss ich bei meiner Homepage beachten?

 

Was muss ich als niedergelassene Ärztin bzw. niedergelassene Arzt tun, um die Datenschutzgrundverordnung umzusetzen?

Sie finden auf unserer Homepage eine vollständige Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten. Darin sind sämtliche typischen Datenanwendungen einer Ordination fertig ausformuliert. Es müssen lediglich Datenanwendungen, die nicht erfolgen, gestrichen werden, bzw. die angegebenen Datenanwendungen angepasst werden, sollte anders gearbeitet werden.

Zusätzlich stellen wir Ihnen Muster einer Auftragsverarbeitervereinbarung sowie Beschreibungen, wie die jeweilige Ärztin oder der Arzt die Betroffenenrechte und die Informationspflichten wahrnehmen können, zur Verfügung. Kurz: alle Unterlagen, die Sie als niedergelassene Ärztin oder niedergelassener Arzt für die Umsetzung der DSGVO benötigen, finden Sie auf unserer Homepage.
 

Das hört sich kompliziert an. Schaffe ich das als einzelne Ärztin oder Arzt ohne Hilfe?

Die Vorlagen müssen nur um die Ordinationsspezifika ergänzt werden. Was konkret ergänzt werden muss, wird in einer Anleitung samt Beispielen beschrieben. 


Ich erhalte derzeit viele Zuschriften von Dienstleistern, die mich bei der Umsetzung der DSGVO unterstützten wollen. Benötige ich diese?

Nein. Die Vorlagen der Ärztekammer sind so gestaltet, dass Sie keine Dokumente von dritter Seite benötigen.
 

Rechtliche Rahmenbedingungen

 

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
 

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.
 

Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patientenakten von der DSGVO erfasst.
 

Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärztinnen und Ärzte in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse der Patientin bzw. des Patienten erheben, um ihn an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.
 

Wer ist für die korrekte Verarbeitung der Daten verantwortlich?
 

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die jeweilige behandelnde Ärztin bzw. der behandelnde Arzt. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.
 

Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärztinnen und Ärzte als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen und dieses in ihrer Ordination aufbewahren. Auf unserer Website stehen Ihnen das Verarbeitungsverzeichnis, ein Muster des Verzeichnisses sowie eine Checkliste zur Verfügung.
 

Besteht eine Verzeichnispflicht bzw. gibt es eine Ausnahme für kleine Praxen?

Grundsätzlich ist die Führung eines Verzeichnisses von Verarbeitungsvorgängen für jeden Verantwortlichen (somit jede Ärztin/jeden Arzt) vorgeschrieben, sofern er besondere Kategorien von Daten verarbeitet.
 

Was muss ich als Arbeitsmediziner beachten?

Als Arbeitsmediziner kommt es darauf an, wie bzw. wo Ihre Patientendokumentation angelegt ist. Falls Sie die Patientendokumentation selbst innerhalb Ihrer eigenen IT-Infrastruktur führen, müssen Sie ein Verzeichnis, analog dem des niedergelassenen Arztes führen. Auf Grund der kleinen Organisationsstruktur wird dieses Verzeichnis selbstverständlich nicht so umfangreich sein, wie das des niedergelassenen Arztes. Sie sollten auch festhalten, wie Sie vertrauliche Informationen an das Unternehmen übermitteln, falls dies erforderlich ist (postalisch, per Fax, per verschlüsseltem E-Mail).

Sollte die Patientendokumentation lokal im jeweiligen Unternehmen liegen und dort geführt werden, sollte dies innerhalb der Vereinbarung, die Sie mit dem jeweiligen Unternehmen haben, festgehalten werden. In diesem Fall sind ebenfalls Sie als datenschutzrechtlicher Verantwortlicher anzusehen und müssen daher auch ein Verzeichnis führen. Da das Unternehmen Ihnen dann aber die Infrastruktur für die Dokumentation zur Verfügung stellt, ist dieses als Auftragsverarbeiter anzusehen, weshalb mit dem Unternehmen dann eine entsprechende Auftragsverarbeitervereinbarung abzuschließen ist.
 

Benötige ich einen Datenschutzbeauftragten?

Für Einzelpraxen:

Für die einzelne freiberufliche Ärztin bzw. den Arzt besteht, sofern nicht mehr als zehn Mitarbeiter (Vollzeitäquivalente) Zugriff auf personenbezogene Daten/Patientenkarteien haben, keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten.

Für Gruppenpraxen:

Betreffend Gruppenpraxen liegt weder eine gesetzliche Klarstellung noch eine abschließende Information seitens der Datenschutzbehörde vor. Orientiert an der deutschen Rechtslage empfiehlt die Österreichische Ärztekammer Gruppenpraxen, einen Datenschutzbeauftragten zu bestellen, so mehr als zehn Mitarbeiter (Vollzeitäquivalente) Zugriff auf personenbezogene Daten/Patientenkarteien haben. Aufgrund der vergleichbaren Rechtssysteme und Praxisabläufe erachten wir dieses Vorgehen auch als in Österreich vertretbar.

 
Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche?

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens oder einer Ordination passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Es gibt eine Verordnung der Datenschutzbehörde in der bestimmte Datenverarbeitungen von der Datenschutz-Folgeabschätzung ausgenommen werden (siehe hier). Unter anderem sind dies die Patientenverwaltung und Honorarabrechnung einzelner Ärztinnen und Ärzte. Die einzelne freiberufliche Ärztin bzw. der Arzt werden daher in der Regel keine Datenschutz-Folgeabschätzung durchführen müssen, wobei die genauen Details allerdings noch mit der Datenschutzbehörde abzustimmen sind.

 
Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.
 

Wie gehe ich bei einer Datenschutzverletzung vor?

Grundsätzlich muss jede Datenschutzverletzung (sog. "data breach") binnen einer Frist von 72 Stunden an die Datenschutzbehörde gemeldet werden. Die Datenschutzbehörde hat hier ein eigenes Meldeformular zur Verfügung gestellt.
 
Als Datenschutzverletzung gilt grundsätzlich jede Verletzung des Schutzes personenbezogener Daten. Insbesondere kann dies eine Verletzung der Vertraulichkeit (wenn Daten gestohlen oder kopiert wurden), eine Verletzung der Integrität (wenn Daten unautorisiert geändert wurden) oder eine Verletzung der Verfügbarkeit (wenn Daten gelöscht wurden oder aus anderen Gründen nicht mehr verfügbar sind) sein.
 
Als Datenschutzverletzung gilt z.B. der Verlust des Ordinationslaptops oder eines Speichermediums (USB-Stick, Festplatte), aber auch z.B. die irrtümliche Löschung von Patientenakten oder die Vertauschung von Befunden. Irrelevant ist hierbei, ob es sich um elektronisch gespeicherte Daten oder aber um eine manuell geführte Patientendokumentation handelt. Besteht ein hohes Risiko für die persönlichen Rechte der betroffenen Patienten, müssen auch diese selbst von der Datenschutzverletzung benachrichtigt werden.
 
Bitte kontaktieren Sie uns bei einer möglichen oder tatsächlichen Datenschutzverletzung, damit wir Ihnen bei gegebenenfalls erforderlichen Maßnahmen behilflich sein können. 

 

Wo kann ich den Gesetzestext nachlesen?

Den Gesetzestext der Datenschutz-Grundverordnung finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de.

 

Verantwortliche, betroffene Personen und Auftragsverarbeiter

 

Wer ist der Verantwortliche, wer die betroffene Person und wer der Auftragsverarbeiter?

Sie als niedergelassene Ärztin oder niedergelassener Arzt sind als „Verantwortlicher" im Sinne der DSGVO verantwortlich für die korrekte Verarbeitung von personenbezogenen Daten und die Einhaltung der datenschutzrechtlichen Regeln.

Wann immer Sie Daten einer natürlichen Person (eines Menschen) verarbeiten, handelt es sich bei dieser Person um die „betroffene Person".

Sollten Sie personenbezogene Daten nicht selbst, sondern durch einen Dritten in Erfüllung Ihrer Pflichten oder zu Zwecken, die Sie festlegen, verarbeiten lassen, handelt es sich bei diesem Dritten um einen sogenannten „Auftragsverarbeiter".
 

Wer sind meine Auftragsverarbeiter?

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Das bedeutet, dass der Verantwortliche zwar über den Zweck der Verarbeitung die Entscheidung trifft, der Auftragsverarbeiter jedoch entscheidet, welche Mittel für die Verarbeitung eingesetzt werden.

Beachten Sie: Auftragsverarbeiter (gerade große Unternehmen) wollen eine Auftragsverarbeitervereinbarung mit Ihnen abschließen, da diese sich ebenso einer Strafdrohung von 20 Millionen Euro oder 4% des Jahresumsatzes aussetzen. Viele Internetkonzerne verlangen diese Erklärungen bereits von ihren Nutzern.

Beispiele:
 

  • IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben
  • Arztsoftwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben
  • E-Mailprovider
  • Unternehmen, die Direktwerbung anbieten (etwa: E-Mailversand)
  • Callcenter
  • Online Terminvereinbarungen
  • Inkassounternehmen: Sobald Sie personenbezogene Daten an das Inkassounternehmen übermitteln, benötigen Sie ein Auftragsverarbeitervertrag. Sie müssen das Inkassounternehmen auch in Ihrem Verzeichnis führen. Gesundheitsbezogene Informationen sollten nicht übermittelt werden, da diese auch nicht für die Auftragserfüllung des Inkassounternehmens relevant sind. Die Übermittlung an das Inkassounternehmen muss jedenfalls entweder per verschlüsselter E-Mailübertragung oder postalisch erfolgen.


Wer sind Verantwortliche?

Bei einem Verantwortlichen handelt es sich um jene Person, die personenbezogene Daten für gewisse Zwecke verarbeitet. Der Verantwortliche entscheidet, was mit den Daten passiert. Er ist der „Herr" über die Daten. Die Ärztin oder der Arzt, der gemäß § 51 Ärztegesetz Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person erfasst, ist ein Verantwortlicher im Sinne der Datenschutzgrundverordnung.

Mit Verantwortlichen muss keine Auftragsverarbeitervereinbarung geschlossen werden!

Beispiele:

  • Ärzte
  • Krankenhäuser
  • Apotheken
  • Therapeuten
  • Anbieter von Telefonleitungen
  • Anbieter von Internetleitungen
  • Post
  • Rechtsanwälte
  • Steuerberater
  • Notare
  • Behörden
  • Banken
  • Sozialversicherungsanstalt
  • ELGA
  • ELDA
  • Steuerberater: Sie dürfen Unterlagen, Ihre Buchhaltung betreffend, an den Steuerberater weitergeben. Der Steuerberater ist in diesem Fall Verantwortlicher, deshalb ist keine Auftragsverarbeitervereinbarung erforderlich. Für den Steuerberater ist, die Honorarnoten betreffend, weder der Name des Patienten noch die Diagnose oder die Informationen über die Behandlung erforderlich – diese Informationen sind vertraulich und müssen geschwärzt werden. Demnach brauchen Sie innerhalb dieses anonymisierten Ablaufs auch keine Einverständniserklärung vom Patienten zur Verarbeitung durch den Steuerberater.

Achtung: Falls der Steuerberater die Lohnverrechnung Ihrer Mitarbeiter macht, verarbeitet er personenbezogene Daten und ein Auftragsverarbeitervertrag ist erforderlich.

 

Benötige ich einen Auftragsverarbeitervertrag, wenn ich in einem Ärztezentrum eingemietet bin?

Zur Frage, ob in einem Ärztezentrum eingemietete Ärzte einen Auftragsverarbeitervertrag mit dem Inhaber des Zentrums benötigen, ist auszuführen, dass wenn ein Arzt einem anderen Arzt eine räumliche Infrastruktur zur Verfügung stellt, es sich hierbei um keine Auftragsverarbeitung handelt. Wenn jedoch Mitarbeiter überlassen werden (z.B. Anmeldung, Terminkoordination, Assistenz), empfehlen wir hier den Abschluss einer Auftragsverarbeitervereinbarung.

 

Was muss ich bei Auftragsverarbeitervereinbarungen beachten, die ich von meinen Auftragsverarbeitern erhalte?

Ein Muster für einen Auftragsverarbeitervertrag finden Sie im Dokument Dokumentationspflichten. Grundsätzlich können Sie davon ausgehen, dass der jeweilige Auftragsverarbeiter seinen Vertrag gewissenhaft aufgesetzt hat und seine technischen und organisatorischen Maßnahmen im Rahmen der DSGVO entsprechend erfüllt. Als Verantwortlicher tragen Sie zwar grundsätzlich die Verantwortung für sämtliche Verarbeitungen und die durch Nichteinhaltung der Vorschriften der DSGVO entstandenen Schäden. Wenn jedoch ein Auftragsverarbeiter die ihn nach der DSGVO treffenden Verpflichtungen nicht einhält oder Ihre Anweisungen nicht befolgt, so trifft diesen in erster Linie die Haftung für allfällige daraus resultierende Schäden. Auch wenn Sie als Verantwortlicher im Schadensfall nachweisen können, dass Sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind, werden Sie von der Haftung befreit.


Benötige ich für die Zusammenarbeit mit anderen Ärztinnen und Ärzten – etwa für das Labor – eine Auftragsverarbeitervereinbarung?

Ärztinnen und Ärzte sind keine Auftragsverarbeiter für andere Ärztinnen und Ärzte (z.B. in der Zusammenarbeit mit Labors) und benötigen daher untereinander keine Auftragsverarbeitervereinbarung.

 

Patientendaten 

 

Was passiert mit den Patientendaten, wenn eine Ordination übernommen wird?

Gemäß § 51 Abs. 4 Ärztegesetz ist der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger verpflichtet, die Dokumentation von seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung des Patienten ist hierfür nicht notwendig. Eine Weiterverwendung durch den Nachfolger ist nur zulässig, wenn der jeweilige Patient in die Weiterverwendung eingewilligt hat.

Für die jeweilige Ärztin bzw. den jeweiligen Arzt bedeutet dies, dass er bei (vom Vorgänger) übernommenen Patienten vor Beginn der Behandlung fragen muss, ob er in die alte Patientenakte Einsicht nehmen darf.
 

In welchem Verhältnis steht die Pflicht zur Löschung von personenbezogenen Daten zur Aufbewahrungspflicht laut Ärztegesetz bzw. steuerlichen Verpflichtungen?

Grundsätzlich sieht die Datenschutzgrundverordnung vor, dass Daten zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Darüber hinaus sind Daten solange zu speichern (aufzubewahren), als einfachgesetzliche Regeln die Speicherung vorsehen. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens" zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern.
  

Wann und wie müssen Patientendaten gelöscht werden?

Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass die Ärztin oder der Arzt in regelmäßigen Abständen prüfen muss, welche Patientendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.

Der Löschvorgang kann auch durch eine Anonymisierung erfolgen. Bei der Anonymisierung werden sämtliche Personenbezüge entfernt, sodass die jeweilige Information nicht mehr einer konkreten Person zugeordnet werden kann. Da das Anonymisieren meist aufwendig ist, ist die Anonymisierung nicht zu empfehlen.

 
Darf im Rahmen des Behandlungsvertrags ein Risikoaufklärungsbogen des Patienten angelegt werden, bzw. ein Lichtbildausweis des Patienten gespeichert werden?

Da die Aufklärung Teil des Behandlungsvertrages ist und die Ärztin bzw. der Arzt verpflichtet ist, die Identität des Patienten zu überprüfen, ist es rechtlich geboten, eine Kopie eines Lichtbildausweises sowie der Krankenversicherungskarte aufzubewahren; gleiches gilt für allfällige Aufklärungsbögen. 

 

Welche Daten müssen im Rahmen des Auskunftsrechts des Patienten an den Patienten übergeben werden?

Gemäß Artikel 15 DSGVO hat jede betroffene Person (somit jeder Patient) das Recht, vom Verantwortlichen (hier: der Ärztin/dem Arzt) eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten über den Betroffenen verarbeitet werden. Gleichzeitig kann die betroffene Person eine Kopie der verarbeiteten personenbezogenen Daten verlangen. Praktisch wird der Patient bei der Ärztin oder dem Arzt einen Antrag stellen, Auskunft über die verarbeiteten Daten zu erhalten.  Allenfalls ist mit dem Patienten zu klären, ob er tatsächlich ein Auskunftsbegehren nach der DSGVO stellt oder er doch (nur) Interesse an den Patientenakten hat. 

 

Technische und organisatorische Maßnahmen

 

Müssen Backups grundsätzlich verschlüsselt werden?

Gemäß der Datenschutzgrundverordnung sind Datensicherheitsmaßnahmen zu ergreifen, welche auch die Wiederherstellbarkeit der Daten sicherstellen. Da Backups problemlos „mitgenommen" werden können, müssen diese gesichert werden.

Falls die niedergelassene Ärztin oder der niedergelassene Arzt nicht sicherstellen kann, dass ein unberechtigter Zugriff auf die Daten unmöglich ist, ist eine Verschlüsselung des Backups erforderlich.


Darf ich personenbezogene Daten in der Cloud speichern?

Grundsätzlich sollten Sie gesundheits- bzw. personenbezogene Daten niemals in der Cloud speichern, weil Sie nicht wissen, wie ein Cloudanbieter wo mit den Daten umgeht - außer Sie sind sich sicher, dass das Cloudprodukt nach der DSGVO handelt und die Speicherung der Daten jedenfalls auf EU-Ebene (Europäisches Datenschutzrecht) und nicht in Amerika (oder einem Drittland ohne angemessenem Schutzniveau) erfolgt.

Erfragen Sie diese Grundlagen bitte beim jeweiligen Anbieter und lassen Sie sich die Rahmenbedingungen bei Nutzung schriftlich bestätigen.

 

Ist die Nutzung des Google-Kalenders datenschutzkonform?

Die Nutzung der Terminplanung des Google-Kalenders ist unzulässig, da Sie Google – im Rahmen der Gratisversion des Google-Kalenders – das Recht einräumen, den Inhalt des Kalenders (sowie der E-Mails) zu analysieren. Dies ist mit der Geheimhaltungspflicht der Ärzte nicht in Einklang zu bringen.

 

Welcher E-Mail-Provider ist DSGVO-konform?

Die Datenverarbeitung von gratis E-Mail-Anbietern erfolgt in der Regel in Drittländern und ist somit nicht DSGVO-konform. Wir raten Ihnen daher von der beruflichen Verwendung von gratis E-Mail-Providern ab.

 

Wie vernichte ich in Zukunft haptische Unterlagen, die personenbezogene Daten enthalten?

Sie vernichten die Dokumente mithilfe eines Aktenvernichters mit Schutzklasse 3 (sehr hoher Schutzbedarf), oder Sie übergeben die betreffenden Unterlagen an ein Unternehmen, das die Vernichtung entsprechend für Sie durchführt.

 

Wie darf ich Patienten in meiner Ordination aufrufen?

Als Verantwortlicher stellen Sie sicher, dass Patienten diskret aufgerufen werden. Dazu werden die verantwortliche Ärztin bzw. der Arzt oder dessen Mitarbeiter lediglich den Nachnamen des Patienten aufrufen. Der Verantwortliche und dessen Mitarbeiter werden so mit dem Patienten kommunizieren, dass ein Dritter keine Kenntnis über den Inhalt der Kommunikation erhält. Eine alternative sehr diskrete Möglichkeit wäre, Patienten über ein Nummernsystem aufzurufen.

 

Ist eine Videoüberwachung zulässig?

Grundsätzlich ist eine Bildaufnahme zulässig ist, wenn im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist. Eine Bildaufnahme ist insbesondere dann zulässig, wenn

1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

Die Überwachung von öffentlichem Grund (Straßen) ist nicht zulässig, abgesehen von einem kleinen Stück im Rahmen einer zulässigen Videoüberwachung (siehe oben). Die Überwachung (auch eine ledigliche Echtzeitüberwachung) ist jedenfalls zu kennzeichnen.

Der Verantwortliche hat geeignete Sicherheitsmaßnahmen zu treffen, dass der Zugang zur Bildaufnahme durch Unbefugte ausgeschlossen ist. Außerdem muss der Verantwortliche – außer bei der Echtzeitüberwachung – jeden Verarbeitungsvorgang protokollieren. Wenn die Aufnahmen länger als 72 Stunden aufbewahrt werden, so muss dies verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

Videoüberwachung im Behandlungszimmer:

Videoüberwachungen dürfen wie gesagt immer nur erfolgen, wenn es dafür einen bestimmten begründeten Zweck gibt. In der Regel ist dies ein Überwachungszweck, etwa gegen Diebstahl. Es müssen im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit muss gegeben sein. In den Behandlungsräumen ist dies eher schwer argumentierbar. Aufzeichnungen im Behandlungs- und Umkleidebereich sind aus dem Grund des Schutzes der Privatsphäre von Patienten nicht zulässig.

Für nähere Informationen zur Videoüberwachung kontaktieren Sie bitte direkt die Datenschutzbehörde (https://www.dsb.gv.at/kontakt).

 

 

Kommunikation mit vertraulichen Informationen
 

Was sind vertrauliche Informationen?

 

Information

Klassifizierung

Informationen, die die Sozialversicherungsnummer enthalten

Vertraulich

Gesundheitsdaten

Vertraulich

Adressinformationen

Vertraulich

Kontaktinformationen

Vertraulich

Informationen über Patienten

Vertraulich

Befunde

Vertraulich

 
Ist eine elektronische Übermittlung an die Krankenkassen nach der DSGVO überhaupt noch zulässig?

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte berechtigt, die Dokumentation an die Sozialversicherungsträger und Krankenfürsorgeanstalten zu übermitteln. Eine gesonderte Datenschutzerklärung oder Ähnliches ist nicht notwendig.

 

Benötige ich zur Übermittlung von vertraulichen Informationen von Patienten an andere Ärztinnen und Ärzte bzw. Gesundheitseinrichtungen eine Einverständniserklärung?

Die Zustimmung des Patienten für die Übermittlung von personenbezogenen Daten bzw. vertraulichen Informationen an andere Ärztinnen und Ärzte oder Gesundheitseinrichtungen muss eingeholt und im Patientenakt vermerkt, oder anhand dieser Einwilligungserklärung eingeholt werden.

 

Wie übermittle ich vertrauliche Informationen an Verantwortliche?

Ärztinnen oder Ärzte als Verantwortliche verpflichten sich, vertrauliche Informationen (etwa Gesundheitsdaten) an zulässige Übermittlungsempfänger (etwa: Apotheken, Ärzte, Krankenhäuser, Pflegeheime, Krankenversicherungen) ausschließlich mittels verschlüsselter elektronischer Kommunikation oder mittels Fax zu senden.


Wie kann ich meinen Patienten vertrauliche Informationen übermitteln?

Vertrauliche Informationen dürfen nur persönlich übergeben, per Post versandt oder per verschlüsselter elektronischer Kommunikation übermittelt werden, bzw. siehe nächster Punkt „Darf ich meinen Patienten E-Mails schicken?"

 

Darf ich meinen Patienten E-Mails schicken?

Eine Zusendung per E-Mail von Benachrichtigungen an Patienten – ohne deren explizite Zustimmung bzw. ohne, dass diese bei der Erhebung der Daten die Möglichkeit hatten, die Zusendung abzulehnen, ist gemäß § 107 TKG unzulässig. Dies beinhaltet auch bereits die Zusendung mit der Anfrage, Zusendungen senden zu dürfen.


Die Ärztin oder der Arzt als datenschutzrechtlicher Verantwortlicher sollte vertrauliche Informationen (etwa Gesundheitsdaten und Befunde) an Patienten mittels unverschlüsselter E-Mail nur senden, wenn der jeweilige Patient vorab in die unverschlüsselte Zusendung eingewilligt hat. Einen Formulierungsvorschlag für eine Einwilligungserklärung finden Sie hier. Sollten Sie die Einwilligungserklärung lediglich mündlich einholen, empfehlen wir die mündliche Einwilligung in der Patientenakte zu dokumentieren. Sollten Sie den Formulierungsvorschlag nutzen, ist dieser entsprechend auszufüllen. Der jeweilige Patient muss diesen lediglich einmal unterfertigen.

Idealerweise holen Sie sich die Einwilligungserklärungen bei neuen Patienten beim Erstgespräch ein.

 

Was darf ich am Telefon mit meinen Patienten besprechen?

Um vertrauliche Information telefonisch bekanntzugeben bzw. zu besprechen, müssten Sie vorab mit dem Patienten ein telefonisches Passwort festlegen, das Sie dann am Telefon abfragen (das Geschlecht des Patienten muss dem Patienten entsprechen – also keine Bekanntgabe von vertraulichen Informationen einer Patientin an eine Männerstimme mit richtigem Passwort, außer dies wurde vorab so festgehalten).


Falls kein Passwort vorliegt und ein dringendes Gespräch mit vertraulichen Inhalten mit dem Patienten erforderlich ist, können Sie diesen telefonisch um eine Konsultation in der Ordination bitten oder die Informationen postalisch übermitteln.
 

Darf ich per WhatsApp mit meinen Patienten kommunizieren?

Sie dürfen weder per WhatsApp mit Ihren Patienten kommunizieren, noch sollten Sie WhatsApp auf dem Mobiltelefon installiert haben, das Sie für berufliche Zwecke nutzen, da WhatsApp Zugriff auf Ihre gesamten Kontakte auf Ihrem Mobiltelefon hat und diese analysiert.


Wer darf Rezepte, Bestätigung oder Befunde in der Ordination entgegennehmen?

Der betreffende Patient selbst, oder eine dazu bevollmächtigte Person (Verwandte, Pfleger, Heime, …).

 

Was muss ich bei meiner Homepage beachten?


Erfülle ich die Vorgaben laut E-Commerce-Gesetz?

Die Vorgaben laut E-Commerce-Gesetz für Webseiten finde Sie hier.


Kontakt

 Jennifer Panholzer

Jennifer Panholzer

Stellvertretende Kurienmanagerin


 Florentine Rickl

Florentine Rickl

Assistenz der Kurie niedergelassene Ärzte