Datenschutz und Umgang mit Daten in Ordinationen

Was muss ich als niedergelassene*r Ärzt*in tun, um die Datenschutzgrundverordnung umzusetzen?

Da Sie als Ärzt*in Gesundheitsdaten verarbeiten, sieht Art. 30 DSGVO vor, dass Sie ein Verzeichnis von Verarbeitungstätigkeiten zu führen haben.

Sie finden auf unserer Homepage eine vollständige Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten. Darin sind sämtliche typischen Datenanwendungen einer Ordination fertig ausformuliert. Es müssen lediglich Datenanwendungen, die nicht erfolgen, gestrichen werden, bzw. die angegebenen Datenanwendungen angepasst werden, sollte anders gearbeitet werden.

Zusätzlich stellen wir Ihnen auch Muster einer Auftragsverarbeitervereinbarung sowie Beschreibungen, wie die*der jeweilige Ärzt*in die Betroffenenrechte und die Informationspflichten wahrnehmen können, zur Verfügung. Kurz: alle Unterlagen, die Sie als niedergelassene*r Ärzt*in  für die Umsetzung der DSGVO benötigen, finden Sie auf unserer Homepage.

Das hört sich kompliziert an. Schaffe ich das als einzelne*r Ärzt*in oder Arzt ohne Hilfe?

Die Vorlagen müssen nur um die Ordinationsspezifika ergänzt werden. Was konkret ergänzt werden muss, wird in einer Anleitung samt Beispielen beschrieben. 


Ich erhalte Zuschriften von Dienstleister*innen, die mich bei der Umsetzung der DSGVO unterstützten wollen. Benötige ich diese?

Nein. Die Vorlagen der Ärztekammer sind so gestaltet, dass Sie keine Dokumente von dritter Seite benötigen.

Rechtliche Rahmenbedingungen

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.

Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patient*innenakten von der DSGVO erfasst.

Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärzt*innen in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse des*der Patient*in erheben, um ihn*sie an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.

Wer ist für die korrekte Verarbeitung der Daten verantwortlich?
 

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die*der jeweilige behandelnde Ärzt*in. Sollten mehrere Ärzt*innen gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.

Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärzt*innen als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen und dieses in ihrer Ordination aufbewahren. Auf unserer Website stehen Ihnen das Verarbeitungsverzeichnis, ein Muster des Verzeichnisses sowie eine Checkliste zur Verfügung.

Besteht eine Verzeichnispflicht bzw. gibt es eine Ausnahme für kleine Praxen?

Grundsätzlich ist die Führung eines Verzeichnisses von Verarbeitungsvorgängen für jeden Verantwortlichen (somit jede*n Ärzt*in) vorgeschrieben, sofern er besondere Kategorien von Daten verarbeitet.

Was muss ich als Arbeitsmediziner*in beachten?

Als Arbeitsmediziner*in kommt es darauf an, wie bzw. wo Ihre Patient*innendokumentation angelegt ist. Falls Sie die Patient*innendokumentation selbst innerhalb Ihrer eigenen IT-Infrastruktur führen, müssen Sie ein Verzeichnis, analog der niedergelassenen Ärzt*innen führen. Aufgrund der kleinen Organisationsstruktur wird dieses Verzeichnis selbstverständlich nicht so umfangreich sein, wie das des*der niedergelassenen Ärzt*in. Sie sollten auch festhalten, wie Sie vertrauliche Informationen an das Unternehmen übermitteln, falls dies erforderlich ist (postalisch, per Fax, per verschlüsseltem E-Mail).

Sollte die Patient*innendokumentation lokal im jeweiligen Unternehmen liegen und dort geführt werden, sollte dies innerhalb der Vereinbarung, die Sie mit dem jeweiligen Unternehmen haben, festgehalten werden. In diesem Fall sind ebenfalls Sie als datenschutzrechtliche*r Verantwortliche*r anzusehen und müssen daher auch ein Verzeichnis führen. Da das Unternehmen Ihnen dann aber die Infrastruktur für die Dokumentation zur Verfügung stellt, ist dieses als Auftragsverarbeiter*in anzusehen, weshalb mit dem Unternehmen dann eine entsprechende Auftragsverarbeitervereinbarung abzuschließen ist.

Benötige ich eine*n Datenschutzbeauftragte*n?

Für Einzelpraxen:

Wie bisher kommuniziert, benötigt der*die einzelne niedergelassene Ärzt*in gemäß DSGVO grundsätzlich keine*n Datenschutzbeauftragte*n.

Erfolgt die Patient*innenbehandlung in der Ordination jedoch gemeinsam mit angestellten Ärzt*innen, also nicht als Einzelärzt*in, oder wenn im Rahmen einer Ordinations- oder Apparategemeinschaft die Patient*innendatenverwaltung gemeinsam vorgenommen wird, ist zu prüfen, ob eine „umfangreiche Datenverarbeitung" vorliegt. Wenn dies der Fall ist, empfiehlt die Österreichische Ärztekammer, eine*n Datenschutzbeauftragte*n zu bestellen.

Diesen Erläuterungen der Art. 29 Datenschutzgruppe, einem Beratungsgremium auf EU-Ebene für Datenschutz, folgend, ist ein entscheidender Faktor bei der Beurteilung für eine „umfangreiche Datenverarbeitung" die Zahl der von einer Datenverarbeitung betroffenen Personen. Eine konkrete Anzahl ist gesetzlich nicht festgelegt und auch von der Judikatur liegt bislang keine Konkretisierung vor. Um einen Anhaltspunkt für die Entscheidung der Bestellung eines*einer Datenschutzbeauftragten zu geben, empfiehlt die Österreichische Ärztekammer als Richtwert die Betreuung von 5.000 verschiedenen Patient*innen pro Jahr. Sollten Sie also durchschnittlich mehr als 5.000 verschiedene Patient*innen (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr betreuen, empfiehlt die Österreichische Ärztekammer – in den oben angeführten Fällen einer ärztlichen Zusammenarbeit – auf Basis des Kriteriums einer dann vermuteten umfangreichen Gesundheitsdatenverarbeitung, die Bestellung eines*einer Datenschutzbeauftragten.

Für Gruppenpraxen:

Für Gruppenpraxen und Primärversorgungseinrichtungen (PVE) wird die Bestellung eines*einer Datenschutzbeauftragten empfohlen. Diese Empfehlung ergibt sich aus den Erläuterungen zur DSGVO, wonach nur Einzelärzt*innen von der Verpflichtung ausgenommen sind. Ergänzend dürfen wir zu dieser Empfehlung für Gruppenpraxen und PVE erläutern, dass sie auf dem in der Datenschutzgrundverordnung zum*zur Datenschutzbeauftragten aufgestelltem Kriterium der „umfangreichen Gesundheitsdatenverarbeitung" basiert.

Diesen Erläuterungen der Art. 29 Datenschutzgruppe, einem Beratungsgremium auf EU-Ebene für Datenschutz, folgend, ist ein entscheidender Faktor bei der Beurteilung die Zahl der von einer Datenverarbeitung betroffenen Personen. Eine konkrete Anzahl ist gesetzlich nicht festgelegt und auch von der Judikatur liegt bislang keine Konkretisierung vor. Um insbesondere den Inhabern von Gruppenpraxen bzw. Primärversorgungseinrichtungen einen Anhaltspunkt für die Entscheidung der Bestellung eines*einer Datenschutzbeauftragten zu geben, empfiehlt die Österreichische Ärztekammer als Richtwert, die Betreuung von 5.000 verschiedenen Patient*innen pro Jahr. Sollten durchschnittlich mehr als 5.000 verschiedene Patient*innen (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr betreut werden, empfiehlt die Österreichische Ärztekammer auf Basis des Kriteriums einer dann vermuteten umfangreichen Gesundheitsdatenverarbeitung, die Bestellung eines*einer Datenschutzbeauftragten.

Sollten Sie eine*n Datenschutzbeauftragte*n bestellt haben, müssen Sie dessen*deren Kontaktdaten der Datenschutzbehörde melden.

Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche? 

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens oder einer Ordination passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Für Einzelpraxen:

Für die*den einzelne*n niedergelassene*n Ärzt*in gelten die Ausnahmen zur Datenschutzfolgeabschätzung, wie durch die einschlägige Ausnahmeverordnung (vgl. BGBl. II Nr. 108/2018) geregelt. Daher trifft die*den einzelne* Ärzt*in für die Patient*innenverwaltung und für die Honorarabrechnung keine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung. Diese Ausnahme gilt nicht, falls mit einer ärztlichen Zusammenarbeit (vgl. „Benötige ich eine*n Datenschutzbeauftrage*n?) eine erhöhte Patient*innenzahl (mehr als 5.000 Patient*innen pro Jahr - Achtung, nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) verbunden ist. In diesen Fällen wird die Durchführung einer Datenschutzfolgeabschätzung von der Österreichischen Ärztekammer empfohlen. Ein Muster dazu finden Sie hier.

Für Gruppenpraxen:

Zur Frage der Pflicht der Durchführung einer Datenschutzfolgeabschätzung verweisen wir auf die zwischenzeitlich in Kraft getretene sogenannten Ausnahmeverordnung (vgl. BGBl. II Nr. 108/2018), die lediglich Einzelärzt*innen von der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung entbindet. In einem Umkehrschluss ist daher davon auszugehen, dass für Gruppenpraxen bzw. Primärversorgungseinrichtungen eine Datenschutzfolgeabschätzung durchzuführen ist. Ein Muster dazu finden Sie hier. Wir empfehlen jedoch, bei der Entscheidung den unter der Frage „Benötige ich eine*n Datenschutzbeauftragte*n?" angeführten Richtwert von durchschnittlich mehr als 5.000 verschiedenen Patient*innen (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr zu berücksichtigen.

Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl davon auszugehen ist, dass die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sind.

Wie gehe ich bei einer Datenschutzverletzung vor?

Grundsätzlich muss jede Datenschutzverletzung (sog. "data breach") binnen einer Frist von 72 Stunden an die Datenschutzbehörde gemeldet werden. Die Datenschutzbehörde hat hier ein eigenes Meldeformular zur Verfügung gestellt.

Als Datenschutzverletzung gilt grundsätzlich jede Verletzung des Schutzes personenbezogener Daten. Insbesondere kann dies eine Verletzung der Vertraulichkeit (wenn Daten gestohlen oder kopiert wurden), eine Verletzung der Integrität (wenn Daten unautorisiert geändert wurden) oder eine Verletzung der Verfügbarkeit (wenn Daten gelöscht wurden oder aus anderen Gründen nicht mehr verfügbar sind) sein.

Als Datenschutzverletzung gilt z.B. der Verlust des Ordinationslaptops oder eines Speichermediums (USB-Stick, Festplatte), aber auch z.B. die irrtümliche Löschung von Patient*innenakten oder die Vertauschung von Befunden. Irrelevant ist hierbei, ob es sich um elektronisch gespeicherte Daten oder aber um eine manuell geführte Patient*innendokumentation handelt. Besteht ein hohes Risiko für die persönlichen Rechte der betroffenen Patient*innen, müssen auch diese selbst von der Datenschutzverletzung benachrichtigt werden.

Bitte kontaktieren Sie uns bei einer möglichen oder tatsächlichen Datenschutzverletzung, damit wir Ihnen bei gegebenenfalls erforderlichen Maßnahmen behilflich sein können. 


Wo kann ich den Gesetzestext nachlesen?

Den Gesetzestext der Datenschutz-Grundverordnung finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de.

Verantwortliche, betroffene Personen und Auftragsverarbeiter*innenr

Wer ist der Verantwortliche, wer die betroffene Person und wer der Auftragsverarbeiter*innen?

Sie als niedergelassene*r Ärzt*in sind als „Verantwortliche*r" im Sinne der DSGVO verantwortlich für die korrekte Verarbeitung von personenbezogenen Daten und die Einhaltung der datenschutzrechtlichen Regeln.

Wann immer Sie Daten einer natürlichen Person (eines Menschen) verarbeiten, handelt es sich bei dieser Person um die „betroffene Person".

Sollten Sie personenbezogene Daten nicht selbst, sondern durch einen Dritten in Erfüllung Ihrer Pflichten oder zu Zwecken, die Sie festlegen, verarbeiten lassen, handelt es sich bei diesem Dritten um einen sogenannten „Auftragsverarbeiter".

Wer sind meine Auftragsverarbeiter*innen?

Der*die Auftragsverarbeiter*in verarbeitet personenbezogene Daten im Auftrag des*der Verantwortlichen. Das bedeutet, dass der*die Verantwortliche zwar über den Zweck der Verarbeitung die Entscheidung trifft, der*die Auftragsverarbeiter*in jedoch entscheidet, welche Mittel für die Verarbeitung eingesetzt werden.

Beachten Sie: Auftragsverarbeiter*innen (gerade große Unternehmen) wollen eine Auftragsverarbeitervereinbarung mit Ihnen abschließen, da diese sich ebenso einer Strafdrohung von 20 Millionen Euro oder 4% des Jahresumsatzes aussetzen. Viele Internetkonzerne verlangen diese Erklärungen bereits von ihren Nutzer*innen.

Beispiele:

  • IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben

  • Arztsoftwarehersteller*innen, wenn diese Zugriff auf personenbezogene Daten haben

  • E-Mailprovider

  • Unternehmen, die Direktwerbung anbieten (etwa: E-Mailversand)

  • Callcenter

  • Online Terminvereinbarungen

  • Inkassounternehmen: Sobald Sie personenbezogene Daten an das Inkassounternehmen übermitteln, benötigen Sie ein Auftragsverarbeitervertrag. Sie müssen das Inkassounternehmen auch in Ihrem Verzeichnis führen. Gesundheitsbezogene Informationen sollten nicht übermittelt werden, da diese auch nicht für die Auftragserfüllung des Inkassounternehmens relevant sind. Die Übermittlung an das Inkassounternehmen muss jedenfalls entweder per verschlüsselter E-Mailübertragung oder postalisch erfolgen.

Wer sind Verantwortliche?

Bei einem*einer Verantwortlichen handelt es sich um jene Person, die personenbezogene Daten für gewisse Zwecke verarbeitet. Der*die Verantwortliche entscheidet, was mit den Daten passiert. Er*sie ist „Herr" über die Daten. Der*die Ärzt*in, der*die gemäß § 51 Ärztegesetz Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person erfasst, ist ein*e Verantwortliche*r im Sinne der Datenschutzgrundverordnung. Mit Verantwortlichen muss keine Auftragsverarbeitervereinbarung geschlossen werden!

Beispiele:

  • Ärzt*innen

  • Krankenhäuser

  • Apotheken

  • Therapeut*innen

  • Anbieter*innen von Telefonleitungen

  • Anbieter*innen von Internetleitungen

  • Post

  • Rechtsanwält*innen

  • Steuerberater*innen

  • Notar*innen

  • Behörden

  • Banken

  • Sozialversicherungsanstalt

  • ELGA

  • ELDA

  • Steuerberater*innen: Sie dürfen Unterlagen, Ihre Buchhaltung betreffend, an den*die Steuerberater*in weitergeben. Der*Die Steuerberater*in ist in diesem Fall Verantwortliche*r, deshalb ist keine Auftragsverarbeitervereinbarung erforderlich. Für den*die Steuerberater*in ist, die Honorarnoten betreffend, weder der Name der Patient*innen noch die Diagnose oder die Informationen über die Behandlung erforderlich – diese Informationen sind vertraulich und müssen geschwärzt werden. Demnach brauchen Sie innerhalb dieses anonymisierten Ablaufs auch keine Einverständniserklärung von dem*der Patient*in zur Verarbeitung durch den*die Steuerberater*in.

Achtung: Falls der*die Steuerberater*in die Lohnverrechnung Ihrer Mitarbeiter*innen macht, verarbeitet er*sie personenbezogene Daten und ein Auftragsverarbeitervertrag ist erforderlich.

Benötige ich einen Auftragsverarbeitervertrag, wenn ich in einem Ärztezentrum eingemietet bin?

Zur Frage, ob in einem Ärztezentrum eingemietete Ärzt*innen einen Auftragsverarbeitervertrag mit dem*der Inhaber*in des Zentrums benötigen, ist auszuführen, dass wenn ein*e Ärzt*in einem*r anderen Ärzt*in eine räumliche Infrastruktur zur Verfügung stellt, es sich hierbei um keine Auftragsverarbeitung handelt. Wenn jedoch Mitarbeiter*innen überlassen werden (z.B. Anmeldung, Terminkoordination, Assistenz), empfehlen wir hier den Abschluss einer Auftragsverarbeitervereinbarung.

Was muss ich bei Auftragsverarbeitervereinbarungen beachten, die ich von meinen Auftragsverarbeiter*innen erhalte?

Ein Muster für einen Auftragsverarbeitervertrag finden Sie im Dokument Dokumentationspflichten. Grundsätzlich können Sie davon ausgehen, dass der*die jeweilige Auftragsverarbeiter*in seinen*ihren Vertrag gewissenhaft aufgesetzt hat und seine technischen und organisatorischen Maßnahmen im Rahmen der DSGVO entsprechend erfüllt. Als Verantwortliche*r tragen Sie zwar grundsätzlich die Verantwortung für sämtliche Verarbeitungen und die durch Nichteinhaltung der Vorschriften der DSGVO entstandenen Schäden. Wenn jedoch ein*e Auftragsverarbeiter*in die ihn nach der DSGVO treffenden Verpflichtungen nicht einhält oder Ihre Anweisungen nicht befolgt, so trifft diese*n in erster Linie die Haftung für allfällige daraus resultierende Schäden. Auch wenn Sie als Verantwortliche*r im Schadensfall nachweisen können, dass Sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind, werden Sie von der Haftung befreit.

Benötige ich für die Zusammenarbeit mit anderen Ärzt*innen– etwa für das Labor – eine Auftragsverarbeitervereinbarung?

Ärzt*innen sind keine Auftragsverarbeiter für andere Ärzt*innen (z.B. in der Zusammenarbeit mit Labors) und benötigen daher untereinander keine Auftragsverarbeitervereinbarung.

Patient*innendaten 

Was passiert mit den Patient*innendaten, wenn eine Ordination übernommen wird?

Gemäß § 51 Abs. 4 Ärztegesetz ist der*die Kassenplanstellennachfolger*in bzw. der*die Ordinationsstättennachfolger*in verpflichtet, die Dokumentation von seinem*ihrer Vorgänger*in zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung des*der Patient*in ist hierfür nicht notwendig. Eine Weiterverwendung durch den*die Nachfolger*in ist nur zulässig, wenn der*die jeweilige Patient*in in die Weiterverwendung eingewilligt hat.

Für den*die jeweilige*n Ärzt*in bedeutet dies, dass er*sie bei (vom Vorgänger*der Vorgängerin) übernommenen Patient*innen vor Beginn der Behandlung fragen muss, ob er*sie in die alte Patient*innenakte Einsicht nehmen darf.

In welchem Verhältnis steht die Pflicht zur Löschung von personenbezogenen Daten zur Aufbewahrungspflicht laut Ärztegesetz bzw. steuerlichen Verpflichtungen?

Grundsätzlich sieht die Datenschutzgrundverordnung vor, dass Daten zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Darüber hinaus sind Daten solange zu speichern (aufzubewahren), als einfachgesetzliche Regeln die Speicherung vorsehen. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für „mindestens“ zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens" zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern.

Wann und wie müssen Patient*innendaten gelöscht werden?

Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass der*die Ärzt*in in regelmäßigen Abständen prüfen muss, welche Patient*innendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.

Der Löschvorgang kann auch durch eine Anonymisierung erfolgen. Bei der Anonymisierung werden sämtliche Personenbezüge entfernt, sodass die jeweilige Information nicht mehr einer konkreten Person zugeordnet werden kann. Da das Anonymisieren meist aufwendig ist, ist die Anonymisierung nicht zu empfehlen.

Darf im Rahmen des Behandlungsvertrags ein Risikoaufklärungsbogen des*der Patient*in angelegt werden?

Da die Aufklärung Teil des Behandlungsvertrages ist, ist es rechtlich geboten, allfällige Aufklärungsbögen aufzubewahren. 

Welche Daten müssen im Rahmen des Auskunftsrechts der*des Patient*in an den*die Patient*in übergeben werden?

Gemäß Art. 15 DSGVO hat jede betroffene Person (somit jede*r Patient*in) das Recht, vom*von der Verantwortlichen (hier: dem*der Ärzt*in) eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten über den*die Betroffene*n verarbeitet werden. Gleichzeitig kann die betroffene Person eine Kopie der verarbeiteten personenbezogenen Daten verlangen. Praktisch wird der*die Patient*in bei dem*der Ärzt*in einen Antrag stellen, Auskunft über die verarbeiteten Daten zu erhalten.  Allenfalls ist mit dem*der Patient*in zu klären, ob er*sie tatsächlich ein Auskunftsbegehren nach der DSGVO stellt oder er*sie doch (nur) Interesse an den Patient*innenakten hat. 

Technische und organisatorische Maßnahmen
 

Müssen Backups grundsätzlich verschlüsselt werden?

Gemäß der Datenschutzgrundverordnung sind Datensicherheitsmaßnahmen zu ergreifen, welche auch die Wiederherstellbarkeit der Daten sicherstellen. Da Backups problemlos „mitgenommen" werden können, müssen diese gesichert werden.

Falls der*die niedergelassene Ärzt*in nicht sicherstellen kann, dass ein unberechtigter Zugriff auf die Daten unmöglich ist, ist eine Verschlüsselung des Backups erforderlich.

Darf ich personenbezogene Daten in der Cloud speichern?

Grundsätzlich sollten Sie gesundheits- bzw. personenbezogene Daten niemals in der Cloud speichern, weil Sie nicht wissen, wie und wo ein Cloudanbieter mit den Daten umgeht - außer Sie sind sich sicher, dass das Cloudprodukt nach der DSGVO handelt und die Speicherung der Daten jedenfalls auf EU-Ebene (Europäisches Datenschutzrecht) und nicht in Amerika (oder einem Drittland ohne angemessenem Schutzniveau) erfolgt.

Erfragen Sie diese Grundlagen bitte bei dem*der jeweiligen Anbieter*in und lassen Sie sich die Rahmenbedingungen bei Nutzung schriftlich bestätigen.

Ist die Nutzung des Google-Kalenders datenschutzkonform?

Die Nutzung der Terminplanung des Google-Kalenders ist unzulässig, da Sie Google – im Rahmen der Gratisversion des Google-Kalenders – das Recht einräumen, den Inhalt des Kalenders (sowie der E-Mails) zu analysieren. Dies ist mit der Geheimhaltungspflicht der Ärzt*innen nicht in Einklang zu bringen.

Welcher E-Mail-Provider ist DSGVO-konform?

Die Datenverarbeitung von gratis E-Mail-Anbieter*innen erfolgt in der Regel in Drittländern und ist somit nicht DSGVO-konform. Wir raten Ihnen daher von der beruflichen Verwendung von gratis E-Mail-Providern ab.

Einige Arztsoftwarehersteller*innen bieten Module zur verschlüsselten elektronischen Kommunikation für die Übermittlung von Gesundheitsdaten innerhalb der jeweiligen Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen  hier  zur Verfügung.

Wie vernichte ich in Zukunft haptische Unterlagen, die personenbezogene Daten enthalten?

Sie vernichten die Dokumente mithilfe eines Aktenvernichters mit Schutzklasse 3 (sehr hoher Schutzbedarf), oder Sie übergeben die betreffenden Unterlagen an ein Unternehmen, das die Vernichtung entsprechend für Sie durchführt.

Wie darf ich Patient*innen in meiner Ordination aufrufen?

Als Verantwortliche*r stellen Sie sicher, dass Patient*innen diskret aufgerufen werden. Dazu werden der*die verantwortliche Ärzt*in oder dessen*deren Mitarbeiter*innen lediglich den Nachnamen der Patient*innen aufrufen. Die Verantwortlichen und deren Mitarbeiter*innen werden so mit den Patient*innen kommunizieren, dass ein Dritter keine Kenntnis über den Inhalt der Kommunikation erhält. Eine alternative sehr diskrete Möglichkeit wäre, Patient*innen über ein Nummernsystem aufzurufen.

Ist eine Videoüberwachung zulässig?

Grundsätzlich ist eine Bildaufnahme zulässig ist, wenn im Einzelfall überwiegende berechtigte Interessen des*der Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist. Eine Bildaufnahme ist insbesondere dann zulässig, wenn

1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich von den Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht der Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

Die Überwachung von öffentlichem Grund (Straßen) ist nicht zulässig, abgesehen von einem kleinen Stück im Rahmen einer zulässigen Videoüberwachung (siehe oben). Die Überwachung (auch eine ledigliche Echtzeitüberwachung) ist jedenfalls zu kennzeichnen.

Der*Die Verantwortliche hat geeignete Sicherheitsmaßnahmen zu treffen, dass der Zugang zur Bildaufnahme durch Unbefugte ausgeschlossen ist. Außerdem muss der*die Verantwortliche – außer bei der Echtzeitüberwachung – jeden Verarbeitungsvorgang protokollieren. Wenn die Aufnahmen länger als 72 Stunden aufbewahrt werden, so muss dies verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

Videoüberwachung im Behandlungszimmer:

Videoüberwachungen dürfen, wie bereits beschrieben, immer nur dann erfolgen, wenn es dafür einen bestimmten begründeten Zweck gibt. In der Regel ist dies ein Überwachungszweck, etwa gegen Diebstahl. Es müssen im Einzelfall überwiegende berechtigte Interessen der Verantwortlichen oder eines*einer Dritten bestehen und die Verhältnismäßigkeit muss gegeben sein. In den Behandlungsräumen ist dies eher schwer argumentierbar. Aufzeichnungen im Behandlungs- und Umkleidebereich sind aus Schutz der Privatsphäre von Patient*innen nicht zulässig.

Für nähere Informationen zur Videoüberwachung kontaktieren Sie bitte direkt die Datenschutzbehörde (https://www.dsb.gv.at/kontakt).

Wie halte ich die Verschwiegenheitspflicht meiner Mitarbeiter*innen fest?

Ein allumfassendes und datenschutzrechtlich aktualisiertes Muster für eine Verpflichtungserklärung zur Einhaltung des Datengeheimnisses für Ihre Mitarbeiter*innen finden Sie als .pdf und als Word-Dokument bei den Downloads rechts auf dieser Seite. Die Generelle Weisung des*der Dienstgebers*in, die Sie auf Seite 3 finden, können Sie Ihren Mitarbeiter*innen gesammelt per E-Mail zukommen lassen oder per Ausdruck überreichen.

Kommunikation mit vertraulichen Informationen
 

Was sind vertrauliche Informationen?
 

Information

Informationen, die die Sozialversicherungsnummer enthalten

Gesundheitsdaten

Adressinformationen

Kontaktinformationen

Informationen über Patient*innen

Befunde

 
Ist eine elektronische Übermittlung an die Krankenkassen nach der DSGVO überhaupt noch zulässig?

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzt*innen berechtigt, die Dokumentation an die Sozialversicherungsträger und Krankenfürsorgeanstalten zu übermitteln. Eine gesonderte Datenschutzerklärung oder Ähnliches sind nicht notwendig.

Ist eine Einwilligungserklärung zur Übermittlung von vertraulichen Informationen von Patient*innen an andere Ärzt*innen bzw. Gesundheitseinrichtungen im Rahmen des Behandlungsvertrages erforderlich?

Nein!
Man – Ärztekammer und Dachverband der Sozialversicherungsträger - ist einvernehmlich zum Schluss gekommen, dass eine Einwilligung der Datenweitergabe an andere Ärzt*innen bzw. Gesundheitseinrichtungen im Rahmen einer medizinischen Behandlung keine Voraussetzung darstellt. Eine Übermittlung von Patient*innendaten an andere Ärzt*innen oder medizinische Einrichtungen ist daher auch ohne dokumentierte Einwilligung des*der Patient*in möglich, soweit sich der*die Patient*in – infolge der potenziellen Erweiterung des Behandlungsvertrages – in der Behandlung des*der Empfänger*in befindet. Dies schließt auch die Übermittlung medizinischer Proben zwecks Labordiagnostik ein, soweit die Analysen medizinisch objektiv notwendig sind, sowie Über- bzw. Zuweisungen, auf denen zwingend Diagnosen angeführt werden.

In allen anderen Fällen ist die Zulässigkeit der Weitergabe von Patient*innendaten ohne vorangehende Einwilligung auch weiterhin im Einzelfall zu prüfen und im Zweifelsfall unzulässig.

Wie übermittle ich vertrauliche Informationen an Verantwortliche?

Ärzt*innen als Verantwortliche verpflichten sich, vertrauliche Informationen (etwa Gesundheitsdaten) an zulässige Übermittlungsempfänger (etwa: Apotheken, Ärzt*innen, Krankenhäuser, Pflegeheime, Krankenversicherungen) ausschließlich mittels verschlüsselter elektronischer Kommunikation oder mittels Fax zu senden.

Einige Arztsoftwarehersteller*innen bieten Module zur verschlüsselten elektronischen Kommunikation innerhalb der Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen hier zur Verfügung.

Wie kann ich meinen Patient*innen vertrauliche Informationen übermitteln?

Vertrauliche Informationen dürfen nur persönlich übergeben, per Post versandt oder per verschlüsselter elektronischer Kommunikation übermittelt werden, bzw. siehe nächster Punkt „Darf ich meinen Patient*innen E-Mails schicken?"

Darf ich meinen Patient*innen E-Mails schicken?

Eine Zusendung von E-Mails, die nicht der Direktwerbung dienen, ist auch ohne Einwilligung zulässig. Die frühere Beschränkung auf maximal 50 Empfänger*innen gibt es seit Dezember 2018 nicht mehr. Damit sind E-Mails ohne Werbecharakter unabhängig von der Empfänger*innenzahl zulässig.

Eine von der Datenschutzbehörde ergangene Entscheidung hält aber fest, dass eine Einwilligungserklärung in unverschlüsselten elektronischen Versand (Mailversand) von Gesundheitsdaten an Patient*innen rechtsunwirksam ist. Daher wird das bisher zur Verfügung gestellte Einwilligungsformular in der  Checkliste DSGVO für die niedergelassenen Ärzt*innen nicht weiter empfohlen und folglich auch nicht mehr zur Verfügung gestellt.

Die elektronische Übermittlung von Gesundheitsdaten im Rahmen der Arzt*innen-Patient*innen-Kommunikation wird daher jedenfalls nur verschlüsselt empfohlen (z.B. mit Passwort geschützt). Ebenso kommt die Bereitstellung über eine dem Stand der Technik entsprechende Befundplattform in Betracht.

Einige Arztsoftwarehersteller*innen bieten Module zur verschlüsselten elektronischen Kommunikation innerhalb der Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen hier zur Verfügung.

Darf ich meinen Patient*innen eine SMS zur Terminerinnerung schicken?

SMS lediglich zu Zwecken der Terminerinnerung sind grundsätzlich zulässig, allerdings wird auch hier empfohlen, vorab eine Einwilligung der Patient*innen einzuholen bzw. diesen die Möglichkeit der Ablehnung zu geben.

Was darf ich am Telefon mit meinen Patient*innen besprechen?

Um vertrauliche Information telefonisch bekanntzugeben bzw. zu besprechen, müssten Sie vorab mit den Patient*innen ein telefonisches Passwort festlegen, das Sie dann am Telefon abfragen (das Geschlecht des*der Patient*in muss dem*der Patient*in entsprechen – also keine Bekanntgabe von vertraulichen Informationen einer Patientin an eine Männerstimme mit richtigem Passwort, außer dies wurde vorab so festgehalten). Falls kein Passwort vorliegt und ein dringendes Gespräch mit vertraulichen Inhalten mit dem*der Patient*in erforderlich ist, können Sie diese*n telefonisch um eine Konsultation in der Ordination bitten oder die Informationen postalisch übermitteln. Terminerinnerungen per E-Mail, SMS, Telefax oder Telefonanruf durch Ärzt*innen bedürfen vorab der schriftlichen Einwilligung der Patient*innen, die jederzeit widerrufen werden kann.

Darf ich per WhatsApp mit meinen Patient*innen kommunizieren?

Sie dürfen weder per WhatsApp mit Ihren Patient*innen kommunizieren, noch sollten Sie WhatsApp auf dem Mobiltelefon installiert haben, das Sie für berufliche Zwecke nutzen, da WhatsApp Zugriff auf Ihre gesamten Kontakte auf Ihrem Mobiltelefon hat und diese analysiert. Die Übermittlung von Gesundheitsdaten per Messengerdiensten – insb. WhatsApp – ist datenschutzwidrig.

Wer darf Rezepte, Bestätigung oder Befunde in der Ordination entgegennehmen?

Die betreffenden Patient*innen selbst, oder eine dazu bevollmächtigte Person (Verwandte, Pfleger*innen, Heime, …).

Was muss ich bei meiner Homepage beachten?


Erfülle ich die Vorgaben laut E-Commerce-Gesetz?

Die Vorgaben laut E-Commerce-Gesetz für Webseiten finde Sie hier.

Welche Informationspflichten habe ich bezüglich meiner Website?

Nach der Datenschutzgrundverordnung sind grundsätzlich alle niedergelassenen Ärzt*innen dazu verpflichtet, eine Speicherung von Daten der betroffenen Person transparent zu machen. Es ist gelungen, für Ärzt*innen als datenschutzrechtliche Verantwortliche von dieser Pflicht jedoch eine grundsätzliche Ausnahme im Ärztegesetz zu verankern. Erhebungen und Verarbeitungen personenbezogener Daten, die im Zusammenhang bzw. im Rahmen des Behandlungsvertrags erfolgen, bedürfen daher keiner gesonderten Informationspflicht den Patient*innen gegenüber; d.h. Ärzt*innen müssen nicht bei jeder Behandlung die Patient*innen unterschreiben lassen, dass Daten gespeichert werden.

Lediglich für Datenanwendungen im Zusammenhang mit Websites gilt diese Ausnahme von den Informationspflichten nicht! Daraus folgt, dass auch Ärzt*innen, sofern sie Websites betreiben und dort personenbezogene Daten verarbeiten, darüber informieren müssen, was mit diesen erhobenen Daten passiert. Nähere Informationen darüber können diesem Schreiben der Bundeskurie niedergelassene Ärzte der Österreichischen Ärztekammer entnommen werden und ein Muster für eine solche Datenschutzerklärung finden Sie als .pdf und als Word-Dokument bei den Downloads rechts auf dieser Seite. Die Ärztekammer für Wien rät - falls Websites betrieben werden - diese mit den Webdesignern durchzugehen, und dann mit deren Hilfe eine individuell geeignete Datenschutzerklärung auf Basis der personenbezogenen Daten, die auf der Website verarbeitet werden, zu erstellen.