Datenschutzgrundverordnung

Wie Sie sicherlich bereits gehört haben, ist auf europäischer Ebene am 24. Mai 2016 die Datenschutzgrundverordnung, kurz DSGVO, in Kraft getreten. Diese Verordnung regelt den Datenschutz in allen europäischen Staaten neu und betrifft nicht nur sämtliche Unternehmen, sondern auch Ärztinnen und Ärzte und deren Praxen. Obwohl die Regeln der DSGVO erst ab 25. Mai 2018 angewandt werden müssen, empfehlen wir bereits jetzt mit der Umsetzung der organisatorischen und technischen Maßnahmen zu beginnen, da andernfalls ab Mai 2018 exorbitante und existenzbedrohende Strafen drohen.

Obwohl die Verordnung seit bereits mehr als einem Jahr in Kraft ist, gibt es noch zahlreiche Unklarheiten, da die nationale Behörde noch nicht existiert. Wir werden Sie daher als Kolleginnen und Kollegen in den nächsten Monaten nicht nur im Rahmen unserer Kuriennews über die Neuerungen informieren, sondern auch im Rahmen von Informationsveranstaltungen, ab Herbst 2017, Schulungen anbieten. Darüber hinaus werden wir einen Leitfaden sowie Checklisten aufbereiten, anhand derer Sie die Verpflichtungen der DSGVO selbst umsetzen können.

 

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
 

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.


Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patientenakten von der DSGVO erfasst.


Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärztinnen und Ärzte in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse der Patientin bzw. des Patienten erheben, um ihn an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.


Wer ist für die korrekte Verarbeitung der Daten verantwortlich?

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die jeweilige behandelnde Ärztin bzw. der behandelnde Arzt. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.


Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärztinnen und Ärzte als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen. Im Rahmen dieses Verzeichnisses muss dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert. Wir arbeiten derzeit an einem Muster, welches Sie nach Fertigstellung zur Erfüllung dieser Dokumentationspflicht verwenden können.


Benötigen Ordinationen einen Datenschutzbeauftragten?

Dieser Punkt ist noch nicht restlos geklärt, da die Datenschutzgrundverordnung hier – in Bezug auf Ordinationen – nicht eindeutig ist. Sobald auch diese Frage beantwortet ist, werden wir Sie selbstverständlich informieren.


Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche?

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens, oder einer Ordination, passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ob eine Datenschutzfolgeabschätzung bei Ordinationen notwendig ist, ist leider auch noch nicht vollständig definiert. Selbstverständlich werden wir Sie auch hier umgehend informieren, sobald wir diese Frage klären konnten.
 

Besteht eine Verzeichnispflicht bzw. gibt es eine Ausnahme für kleine Praxen?

Grundsätzlich ist die Führung eines Verzeichnisses von Verarbeitungsvorgängen für jeden Verantwortlichen (somit jeden Arzt) vorgeschrieben, sofern er besondere Kategorien von Daten verarbeitet. Ob es hier Erleichterungen für kleine Praxen geben wird, wird noch Gegenstand von Verhandlungen sein.
 

Ist das administrative Praxisprogramm, welches auf den Servern eines Unternehmens läuft als Auftragsdatenverarbeitung zu werten? 

Wenn die Verarbeitung nicht durch den Arzt selbst verarbeitet wird (durch eine eigene in den Ordinationsräumlichkeiten stehende Infrastruktur), liegt immer eine Auftragsverarbeitung vor. Ob und in welchen Fällen hier eine gesonderte Einwilligungserklärung der Patienten notwendig sein wird, ist noch nicht abschließend geklärt.
 

In wie weit muss eine Datenportabilität ermöglicht werden?

Dieser Punkt ist noch nicht geklärt und sollte im Rahmen der Verhaltensregeln geklärt werden.


Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.
 

Wo kann ich den Gesetzestext nachlesen, der 2018 in Kraft treten wird?

Den Gesetzestext der Datenschutz-Grundverordnung finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de.

Daneben gibt es auch in Österreich noch ein Datenschutzanpassungsgesetz, welches zwar beschlossen, jedoch noch nicht im Bundesgesetzblatt veröffentlicht wurde. Sie finden den angenommenen Entwurf (dieser wird erst in den nächsten Wochen im Bundesgesetzblatt als Gesetz veröffentlicht) unter https://www.parlament.gv.at/PAKT/VHG/XXV/I/I_01761/fname_643605.pdf.
 

Wer verhandelt mit wem über die noch offenen Fragen?

Im Rahmen der DSGVO ist vorgesehen, dass – unter anderem – die Mitgliedsstaaten, die Aufsichtsbehörden sowie die Kommission die Ausarbeitung von Verhaltensregeln fördern sollen. Darüber hinaus können Verbände und andere Vereinigungen Verhaltensregeln ausarbeiten. Die Ärztekammer für Wien plant gerade die weitere Vorgehensweise, um Verhaltensregeln zu erstellen, welche den Betrieb im Rahmen der Ordinationen möglichst gering einschränkt und dennoch dem Gesetz entspricht.
 

Wer hat letzten Endes Entscheidungskompetenz?

Die Entscheidungskompetenz in datenschutzrechtlichen Fragen liegt letztendlich bei der Österreichischen Datenschutzbehörde bzw. bei der EU-Kommission.
 

Wie kann sich Otto Normalarzt hier einbringen?

Da das Gesetz bereits beschlossen wurde und der Nationalrat sämtliche Stellungnahmen (es gab 113 Stellungnahmen) ignorierte, ist lediglich noch eine Änderung im Rahmen der Verhaltensregeln möglich. 


Wie geht es weiter?

Wir werden versuchen, Ihnen die noch offenen Fragen als Ärztekammer für Wien in den nächsten Wochen und Monaten zu beantworten und halten Sie selbstverständlich über unsere Kuriennews am Laufenden.


Sollten Sie zum Thema Datenschutz noch Fragen haben, richten Sie bitte ein E-Mail mit Ihrem Anliegen an datenschutz@aekwien.at. Wir werden diese Fragen sammeln, und – sofern bereits möglich – beantworten.
 

Stand 3. August 2017


Kontakt

 Jennifer Panholzer

Jennifer Panholzer

Stellvertretende Kurienmanagerin


 Florentine Rickl

Florentine Rickl

Assistenz der Kurie niedergelassene Ärzte


 Esther Böcskör, BA

Esther Böcskör, BA

Sachbearbeiterin der Kurie niedergelassene Ärzte