Datenschutzgrundverordnung

Wie Sie sicherlich bereits gehört haben, ist auf europäischer Ebene am 24. Mai 2016 die Datenschutzgrundverordnung, kurz DSGVO, in Kraft getreten. Diese Verordnung regelt den Datenschutz in allen europäischen Staaten neu und betrifft nicht nur sämtliche Unternehmen, sondern auch Ärztinnen und Ärzte und deren Praxen. Obwohl die Regeln der DSGVO erst ab 25. Mai 2018 angewandt werden müssen, empfehlen wir bereits jetzt mit der Umsetzung der organisatorischen und technischen Maßnahmen zu beginnen, da andernfalls ab Mai 2018 exorbitante und existenzbedrohende Strafen drohen.

Obwohl die Verordnung seit bereits mehr als einem Jahr in Kraft ist, gibt es noch zahlreiche Unklarheiten, da die nationale Behörde noch nicht existiert. Wir werden Sie daher als Kolleginnen und Kollegen in den nächsten Monaten nicht nur im Rahmen unserer Kuriennews über die Neuerungen informieren, sondern auch im Rahmen von Informationsveranstaltungen, ab Herbst 2017, Schulungen anbieten. Darüber hinaus werden wir einen Leitfaden sowie Checklisten aufbereiten, anhand derer Sie die Verpflichtungen der DSGVO selbst umsetzen können.

 

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
 

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.


Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patientenakten von der DSGVO erfasst.


Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärztinnen und Ärzte in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse der Patientin bzw. des Patienten erheben, um ihn an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.


Wer ist für die korrekte Verarbeitung der Daten verantwortlich?

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die jeweilige behandelnde Ärztin bzw. der behandelnde Arzt. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.


Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärztinnen und Ärzte als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen. Im Rahmen dieses Verzeichnisses muss dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert. Wir arbeiten derzeit an einem Muster, welches Sie nach Fertigstellung zur Erfüllung dieser Dokumentationspflicht verwenden können.


Benötigen Ordinationen einen Datenschutzbeauftragten?

Dieser Punkt ist noch nicht restlos geklärt, da die Datenschutzgrundverordnung hier – in Bezug auf Ordinationen – nicht eindeutig ist. Sobald auch diese Frage beantwortet ist, werden wir Sie selbstverständlich informieren.


Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche?

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens, oder einer Ordination, passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ob eine Datenschutzfolgeabschätzung bei Ordinationen notwendig ist, ist leider auch noch nicht vollständig definiert. Selbstverständlich werden wir Sie auch hier umgehend informieren, sobald wir diese Frage klären konnten.


Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.


Wie geht es weiter?

Wir werden versuchen, Ihnen die noch offenen Fragen als Ärztekammer für Wien in den nächsten Wochen und Monaten zu beantworten und halten Sie selbstverständlich über unsere Kuriennews am Laufenden.


Sollten Sie zum Thema Datenschutz noch Fragen haben, richten Sie bitte ein E-Mail mit Ihrem Anliegen an datenschutz@aekwien.at. Wir werden diese Fragen sammeln, und – sofern bereits möglich – beantworten.

 


Kontakt

 Jennifer Panholzer

Jennifer Panholzer

Stellvertretende Kurienmanagerin


 Florentine Rickl

Florentine Rickl

Assistenz der Kurie niedergelassene Ärzte


 Esther Böcskör, BA

Esther Böcskör, BA

Sachbearbeiterin der Kurie niedergelassene Ärzte