Datenschutzgrundverordnung

FAQs DSGVO

 

Was muss ich als niedergelassene Ärztin bzw. niedergelassener Arzt tun, um die Datenschutzgrundverordnung umzusetzen?

Rechtliche Rahmenbedingungen

Verantwortliche, betroffene Personen und Auftragsverarbeiter

Patientendaten

Technische und organisatorische Maßnahmen

Kommunikation mit vertraulichen Informationen

Was muss ich bei meiner Homepage beachten?

 

Was muss ich als niedergelassene Ärztin bzw. niedergelassene Arzt tun, um die Datenschutzgrundverordnung umzusetzen?

Da Sie als Ärztin / Arzt Gesundheitsdaten verarbeiten, sieht Art. 30 DSGVO vor, dass Sie ein Verzeichnis von Verarbeitungstätigkeiten zu führen haben.

Sie finden auf unserer Homepage eine vollständige Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten. Darin sind sämtliche typischen Datenanwendungen einer Ordination fertig ausformuliert. Es müssen lediglich Datenanwendungen, die nicht erfolgen, gestrichen werden, bzw. die angegebenen Datenanwendungen angepasst werden, sollte anders gearbeitet werden.

Zusätzlich stellen wir Ihnen auch Muster einer Auftragsverarbeitervereinbarung sowie Beschreibungen, wie die jeweilige Ärztin oder der Arzt die Betroffenenrechte und die Informationspflichten wahrnehmen können, zur Verfügung. Kurz: alle Unterlagen, die Sie als niedergelassene Ärztin oder niedergelassener Arzt für die Umsetzung der DSGVO benötigen, finden Sie auf unserer Homepage.

Das hört sich kompliziert an. Schaffe ich das als einzelne Ärztin oder Arzt ohne Hilfe?

Die Vorlagen müssen nur um die Ordinationsspezifika ergänzt werden. Was konkret ergänzt werden muss, wird in einer Anleitung samt Beispielen beschrieben. 


Ich erhalte derzeit viele Zuschriften von Dienstleistern, die mich bei der Umsetzung der DSGVO unterstützten wollen. Benötige ich diese?

Nein. Die Vorlagen der Ärztekammer sind so gestaltet, dass Sie keine Dokumente von dritter Seite benötigen.
 

Rechtliche Rahmenbedingungen

 

Was regelt die DSGVO?

Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
 

Was sind personenbezogene Daten?

Personenbezogene Daten, im Folgenden kurz: Daten, liegen vor, wenn durch diese eine konkrete Person identifiziert wird oder identifizierbar ist. Dabei gibt es keine belanglose Information - selbst die Information, dass eine konkrete Person zwei Arme hat, ist bereits ein personenbezogenes Datum, das durch die DSGVO geschützt ist. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen" Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Diese „besonderen Kategorien von Daten" müssen besonders behandelt werden und genießen einen besonderen Schutz.
 

Was bedeutet verarbeiten von Daten?

Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Jede Art der Handhabung von Daten ist durch das Datenschutzgesetz geschützt. Dabei unterscheidet das Gesetz nicht zwischen der „händischen" und der automationsunterstützten Verarbeitung von Daten. Es sind daher auch in Papierform geführte Patientenakten von der DSGVO erfasst.
 

Unter welchen Voraussetzungen darf ich Daten verarbeiten?

Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

In einer Arztpraxis erfolgt die Verarbeitung der Daten – in den meisten Fällen – zur Erfüllung des Behandlungsvertrags oder zur Erfüllung der im Ärztegesetz vorgeschriebenen Dokumentationspflicht. Aus diesem Grund benötigen Ärztinnen und Ärzte in den meisten Fällen keine Einwilligung ihrer Patientinnen und Patienten, dass sie deren Daten verarbeitet dürfen. Achtung: Der Zweck der Erhebung der Daten muss dabei sehr genau eingehalten werden. Sollten Sie beispielsweise die E-Mailadresse der Patientin bzw. des Patienten erheben, um ihn an einen Termin zu erinnern, dürfen Sie die E-Mailadresse nicht für die Zusendung von Informationen über ein neues Medikament verwenden.
 

Wer ist für die korrekte Verarbeitung der Daten verantwortlich?
 

Verantwortlich für die korrekte Verarbeitung ist in einer Ordination immer die jeweilige behandelnde Ärztin bzw. der behandelnde Arzt. Sollten mehrere Ärztinnen oder Ärzte gemeinsam eine Ordination führen, sind diese in der Regel gemeinsam verantwortlich und haften daher auch – in der Regel – gemeinsam für etwaige Verstöße.
 

Was ist ein Verarbeitungsverzeichnis und müssen Ordinationen ein solches führen?

In der Vergangenheit mussten Verarbeitungsvorgänge beim Datenverarbeitungsregister gemeldet werden bzw. waren in gewissen Ausnahmefällen von der Meldung ausgenommen. In Zukunft müssen sämtliche niedergelassenen Ärztinnen und Ärzte als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen und dieses in ihrer Ordination aufbewahren. Auf unserer Website stehen Ihnen das Verarbeitungsverzeichnis, ein Muster des Verzeichnisses sowie eine Checkliste zur Verfügung.
 

Besteht eine Verzeichnispflicht bzw. gibt es eine Ausnahme für kleine Praxen?

Grundsätzlich ist die Führung eines Verzeichnisses von Verarbeitungsvorgängen für jeden Verantwortlichen (somit jede Ärztin/jeden Arzt) vorgeschrieben, sofern er besondere Kategorien von Daten verarbeitet.
 

Was muss ich als Arbeitsmediziner beachten?

Als Arbeitsmediziner kommt es darauf an, wie bzw. wo Ihre Patientendokumentation angelegt ist. Falls Sie die Patientendokumentation selbst innerhalb Ihrer eigenen IT-Infrastruktur führen, müssen Sie ein Verzeichnis, analog dem des niedergelassenen Arztes führen. Auf Grund der kleinen Organisationsstruktur wird dieses Verzeichnis selbstverständlich nicht so umfangreich sein, wie das des niedergelassenen Arztes. Sie sollten auch festhalten, wie Sie vertrauliche Informationen an das Unternehmen übermitteln, falls dies erforderlich ist (postalisch, per Fax, per verschlüsseltem E-Mail).

Sollte die Patientendokumentation lokal im jeweiligen Unternehmen liegen und dort geführt werden, sollte dies innerhalb der Vereinbarung, die Sie mit dem jeweiligen Unternehmen haben, festgehalten werden. In diesem Fall sind ebenfalls Sie als datenschutzrechtlicher Verantwortlicher anzusehen und müssen daher auch ein Verzeichnis führen. Da das Unternehmen Ihnen dann aber die Infrastruktur für die Dokumentation zur Verfügung stellt, ist dieses als Auftragsverarbeiter anzusehen, weshalb mit dem Unternehmen dann eine entsprechende Auftragsverarbeitervereinbarung abzuschließen ist.
 

Benötige ich einen Datenschutzbeauftragten? Achtung – Update Juli 2019

Für Einzelpraxen:

Wie bisher kommuniziert, benötigt die einzelne niedergelassene Ärztin bzw. der einzelne niedergelassene Arzt gemäß DSGVO grundsätzlich keinen Datenschutzbeauftragten.

Erfolgt die Patientenbehandlung in der Ordination jedoch gemeinsam mit angestellten Ärztinnen oder Ärzten, also nicht als Einzelärztin bzw. Einzelarzt, oder wenn im Rahmen einer Ordinations- oder Apparategemeinschaft die Patientendatenverwaltung gemeinsam vorgenommen wird, ist zu prüfen, ob eine „umfangreiche Datenverarbeitung" vorliegt. Wenn dies der Fall ist, empfiehlt die Österreichische Ärztekammer, einen Datenschutzbeauftragten zu bestellen.

Diesen Erläuterungen der Art 29 Datenschutzgruppe, einem Beratungsgremium auf EU-Ebene für Datenschutz, folgend, ist ein entscheidender Faktor bei der Beurteilung für eine „umfangreiche Datenverarbeitung" die Zahl der von einer Datenverarbeitung betroffenen Personen. Eine konkrete Anzahl ist gesetzlich nicht festgelegt und auch von der Judikatur liegt bislang keine Konkretisierung vor. Um einen Anhaltspunkt für die Entscheidung der Bestellung eines Datenschutzbeauftragten zu geben, empfiehlt die Österreichische Ärztekammer als Richtwert die Betreuung von 5.000 verschiedenen Patientinnen und Patienten pro Jahr. Sollten Sie also durchschnittlich mehr als 5.000 verschiedene Patientinnen bzw. Patienten (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr betreuen, empfiehlt die Österreichische Ärztekammer – in den oben angeführten Fällen einer ärztlichen Zusammenarbeit – auf Basis des Kriteriums einer dann vermuteten umfangreichen Gesundheitsdatenverarbeitung, die Bestellung eines Datenschutzbeauftragten.

Für Gruppenpraxen:

Für Gruppenpraxen und Primärversorgungseinrichtungen (PVE) wird die Bestellung eines Datenschutzbeauftragten empfohlen. Diese Empfehlung ergibt sich aus den Erläuterungen zur DSGVO, wonach nur Einzelärztinnen/Einzelärzte von der Verpflichtung ausgenommen sind. Ergänzend dürfen wir zu dieser Empfehlung für Gruppenpraxen und PVE erläutern, dass sie auf dem in der Datenschutzgrundverordnung zum Datenschutzbeauftragten aufgestelltem Kriterium der „umfangreichen Gesundheitsdatenverarbeitung" basiert.

Diesen Erläuterungen der Art 29 Datenschutzgruppe, einem Beratungsgremium auf EU-Ebene für Datenschutz, folgend, ist ein entscheidender Faktor bei der Beurteilung die Zahl der von einer Datenverarbeitung betroffenen Personen. Eine konkrete Anzahl ist gesetzlich nicht festgelegt und auch von der Judikatur liegt bislang keine Konkretisierung vor. Um insbesondere den Inhabern von Gruppenpraxen bzw. Primärversorgungseinrichtungen einen Anhaltspunkt für die Entscheidung der Bestellung eines Datenschutzbeauftragten zu geben, empfiehlt die Österreichische Ärztekammer als Richtwert, die Betreuung von 5.000 verschiedenen Patientinnen und Patienten pro Jahr. Sollten durchschnittlich mehr als 5.000 verschiedene Patientinnen bzw. Patienten (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr betreut werden, empfiehlt die Österreichische Ärztekammer auf Basis des Kriteriums einer dann vermuteten umfangreichen Gesundheitsdatenverarbeitung, die Bestellung eines Datenschutzbeauftragten.

Sollten Sie einen Datenschutzbeauftragten bestellt haben, müssen Sie dessen Kontaktdaten der Datenschutzbehörde melden.

 
Was ist eine Datenschutzfolgenabschätzung und benötigen die Ordinationen eine solche? Achtung – Update Juli 2019

Eine Datenschutzfolgenabschätzung beschreibt die datenschutzrechtlichen Risiken, die im Rahmen eines Unternehmens oder einer Ordination passieren können. Diese Abschätzung muss verfasst werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
 

Für Einzelpraxen:

Für die einzelne niedergelassene Ärztin bzw. für den einzelnen niedergelassenen Arzt gelten die Ausnahmen zur Datenschutzfolgeabschätzung, wie durch die einschlägige Ausnahmeverordnung (vgl. BGBl. II Nr. 108/2018) geregelt. Daher trifft die einzelne Ärztin/den einzelnen Arzt für die Patientenverwaltung und für die Honorarabrechnung keine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung. Diese Ausnahme gilt nicht, falls mit einer ärztlichen Zusammenarbeit (vgl. „Benötige ich einen Datenschutzbeauftragen?) eine erhöhte Patientenzahl (mehr als 5.000 Patientinnen bzw. Patienten pro Jahr - Achtung, nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) verbunden ist. In diesen Fällen wird die Durchführung einer Datenschutzfolgeabschätzung von der Österreichischen Ärztekammer empfohlen. Ein Muster dazu finden Sie hier.
 

Für Gruppenpraxen:

Zur Frage der Pflicht der Durchführung einer Datenschutzfolgeabschätzung verweisen wir auf die zwischenzeitlich in Kraft getretene sogenannten Ausnahmeverordnung (vgl. BGBl. II Nr. 108/2018), die lediglich Einzelärztinnen bzw. Einzelärzte von der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung entbindet. In einem Umkehrschluss ist daher davon auszugehen, dass für Gruppenpraxen bzw. Primärversorgungseinrichtungen eine Datenschutzfolgeabschätzung durchzuführen ist. Ein Muster dazu finden Sie hier. Wir empfehlen jedoch, bei der Entscheidung den unter der Frage „Benötige ich einen Datenschutzbeauftragen?" angeführten Richtwert von durchschnittlich mehr als 5.000 verschiedenen Patientinnen und Patienten (Achtung – nicht Kassenfälle bzw. Krankheitsfälle, sondern tatsächlich verschiedene Personen!) pro Jahr zu berücksichtigen.

 
Was passiert bei Verstößen gegen die DSGVO?

Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes. Obwohl die konkreten Strafen geringer sein werden, ist derzeit noch nicht klar, wie hoch die Strafen tatsächlich sein werden.
 

Wie gehe ich bei einer Datenschutzverletzung vor?

Grundsätzlich muss jede Datenschutzverletzung (sog. "data breach") binnen einer Frist von 72 Stunden an die Datenschutzbehörde gemeldet werden. Die Datenschutzbehörde hat hier ein eigenes Meldeformular zur Verfügung gestellt.

Als Datenschutzverletzung gilt grundsätzlich jede Verletzung des Schutzes personenbezogener Daten. Insbesondere kann dies eine Verletzung der Vertraulichkeit (wenn Daten gestohlen oder kopiert wurden), eine Verletzung der Integrität (wenn Daten unautorisiert geändert wurden) oder eine Verletzung der Verfügbarkeit (wenn Daten gelöscht wurden oder aus anderen Gründen nicht mehr verfügbar sind) sein.

Als Datenschutzverletzung gilt z.B. der Verlust des Ordinationslaptops oder eines Speichermediums (USB-Stick, Festplatte), aber auch z.B. die irrtümliche Löschung von Patientenakten oder die Vertauschung von Befunden. Irrelevant ist hierbei, ob es sich um elektronisch gespeicherte Daten oder aber um eine manuell geführte Patientendokumentation handelt. Besteht ein hohes Risiko für die persönlichen Rechte der betroffenen Patienten, müssen auch diese selbst von der Datenschutzverletzung benachrichtigt werden.

Bitte kontaktieren Sie uns bei einer möglichen oder tatsächlichen Datenschutzverletzung, damit wir Ihnen bei gegebenenfalls erforderlichen Maßnahmen behilflich sein können. 


Wo kann ich den Gesetzestext nachlesen?

Den Gesetzestext der Datenschutz-Grundverordnung finden Sie unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de.

 

Verantwortliche, betroffene Personen und Auftragsverarbeiter

 

Wer ist der Verantwortliche, wer die betroffene Person und wer der Auftragsverarbeiter?

Sie als niedergelassene Ärztin oder niedergelassener Arzt sind als „Verantwortlicher" im Sinne der DSGVO verantwortlich für die korrekte Verarbeitung von personenbezogenen Daten und die Einhaltung der datenschutzrechtlichen Regeln.

Wann immer Sie Daten einer natürlichen Person (eines Menschen) verarbeiten, handelt es sich bei dieser Person um die „betroffene Person".

Sollten Sie personenbezogene Daten nicht selbst, sondern durch einen Dritten in Erfüllung Ihrer Pflichten oder zu Zwecken, die Sie festlegen, verarbeiten lassen, handelt es sich bei diesem Dritten um einen sogenannten „Auftragsverarbeiter".
 

Wer sind meine Auftragsverarbeiter?

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Das bedeutet, dass der Verantwortliche zwar über den Zweck der Verarbeitung die Entscheidung trifft, der Auftragsverarbeiter jedoch entscheidet, welche Mittel für die Verarbeitung eingesetzt werden.

Beachten Sie: Auftragsverarbeiter (gerade große Unternehmen) wollen eine Auftragsverarbeitervereinbarung mit Ihnen abschließen, da diese sich ebenso einer Strafdrohung von 20 Millionen Euro oder 4% des Jahresumsatzes aussetzen. Viele Internetkonzerne verlangen diese Erklärungen bereits von ihren Nutzern.


Beispiele:

  • IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben
  • Arztsoftwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben
  • E-Mailprovider
  • Unternehmen, die Direktwerbung anbieten (etwa: E-Mailversand)
  • Callcenter
  • Online Terminvereinbarungen
  • Inkassounternehmen: Sobald Sie personenbezogene Daten an das Inkassounternehmen übermitteln, benötigen Sie ein Auftragsverarbeitervertrag. Sie müssen das Inkassounternehmen auch in Ihrem Verzeichnis führen. Gesundheitsbezogene Informationen sollten nicht übermittelt werden, da diese auch nicht für die Auftragserfüllung des Inkassounternehmens relevant sind. Die Übermittlung an das Inkassounternehmen muss jedenfalls entweder per verschlüsselter E-Mailübertragung oder postalisch erfolgen.
     

Wer sind Verantwortliche?

Bei einem Verantwortlichen handelt es sich um jene Person, die personenbezogene Daten für gewisse Zwecke verarbeitet. Der Verantwortliche entscheidet, was mit den Daten passiert. Er ist der „Herr" über die Daten. Die Ärztin oder der Arzt, der gemäß § 51 Ärztegesetz Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person erfasst, ist ein Verantwortlicher im Sinne der Datenschutzgrundverordnung.

Mit Verantwortlichen muss keine Auftragsverarbeitervereinbarung geschlossen werden!

Beispiele:

  • Ärzte
  • Krankenhäuser
  • Apotheken
  • Therapeuten
  • Anbieter von Telefonleitungen
  • Anbieter von Internetleitungen
  • Post
  • Rechtsanwälte
  • Steuerberater
  • Notare
  • Behörden
  • Banken
  • Sozialversicherungsanstalt
  • ELGA
  • ELDA
  • Steuerberater: Sie dürfen Unterlagen, Ihre Buchhaltung betreffend, an den Steuerberater weitergeben. Der Steuerberater ist in diesem Fall Verantwortlicher, deshalb ist keine Auftragsverarbeitervereinbarung erforderlich. Für den Steuerberater ist, die Honorarnoten betreffend, weder der Name des Patienten noch die Diagnose oder die Informationen über die Behandlung erforderlich – diese Informationen sind vertraulich und müssen geschwärzt werden. Demnach brauchen Sie innerhalb dieses anonymisierten Ablaufs auch keine Einverständniserklärung vom Patienten zur Verarbeitung durch den Steuerberater.

Achtung: Falls der Steuerberater die Lohnverrechnung Ihrer Mitarbeiter macht, verarbeitet er personenbezogene Daten und ein Auftragsverarbeitervertrag ist erforderlich.
 

Benötige ich einen Auftragsverarbeitervertrag, wenn ich in einem Ärztezentrum eingemietet bin?

Zur Frage, ob in einem Ärztezentrum eingemietete Ärzte einen Auftragsverarbeitervertrag mit dem Inhaber des Zentrums benötigen, ist auszuführen, dass wenn ein Arzt einem anderen Arzt eine räumliche Infrastruktur zur Verfügung stellt, es sich hierbei um keine Auftragsverarbeitung handelt. Wenn jedoch Mitarbeiter überlassen werden (z.B. Anmeldung, Terminkoordination, Assistenz), empfehlen wir hier den Abschluss einer Auftragsverarbeitervereinbarung.

 

Was muss ich bei Auftragsverarbeitervereinbarungen beachten, die ich von meinen Auftragsverarbeitern erhalte?

Ein Muster für einen Auftragsverarbeitervertrag finden Sie im Dokument Dokumentationspflichten. Grundsätzlich können Sie davon ausgehen, dass der jeweilige Auftragsverarbeiter seinen Vertrag gewissenhaft aufgesetzt hat und seine technischen und organisatorischen Maßnahmen im Rahmen der DSGVO entsprechend erfüllt. Als Verantwortlicher tragen Sie zwar grundsätzlich die Verantwortung für sämtliche Verarbeitungen und die durch Nichteinhaltung der Vorschriften der DSGVO entstandenen Schäden. Wenn jedoch ein Auftragsverarbeiter die ihn nach der DSGVO treffenden Verpflichtungen nicht einhält oder Ihre Anweisungen nicht befolgt, so trifft diesen in erster Linie die Haftung für allfällige daraus resultierende Schäden. Auch wenn Sie als Verantwortlicher im Schadensfall nachweisen können, dass Sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind, werden Sie von der Haftung befreit.


Benötige ich für die Zusammenarbeit mit anderen Ärztinnen und Ärzten – etwa für das Labor – eine Auftragsverarbeitervereinbarung?

Ärztinnen und Ärzte sind keine Auftragsverarbeiter für andere Ärztinnen und Ärzte (z.B. in der Zusammenarbeit mit Labors) und benötigen daher untereinander keine Auftragsverarbeitervereinbarung.

 

Patientendaten 

 

Was passiert mit den Patientendaten, wenn eine Ordination übernommen wird?

Gemäß § 51 Abs. 4 Ärztegesetz ist der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger verpflichtet, die Dokumentation von seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung des Patienten ist hierfür nicht notwendig. Eine Weiterverwendung durch den Nachfolger ist nur zulässig, wenn der jeweilige Patient in die Weiterverwendung eingewilligt hat.

Für die jeweilige Ärztin bzw. den jeweiligen Arzt bedeutet dies, dass er bei (vom Vorgänger) übernommenen Patienten vor Beginn der Behandlung fragen muss, ob er in die alte Patientenakte Einsicht nehmen darf.
 

In welchem Verhältnis steht die Pflicht zur Löschung von personenbezogenen Daten zur Aufbewahrungspflicht laut Ärztegesetz bzw. steuerlichen Verpflichtungen?

Grundsätzlich sieht die Datenschutzgrundverordnung vor, dass Daten zu löschen sind, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Darüber hinaus sind Daten solange zu speichern (aufzubewahren), als einfachgesetzliche Regeln die Speicherung vorsehen. Die Dokumentationspflicht gemäß dem Ärztegesetz verpflichtet zur Speicherung der personenbezogenen Daten für zumindest zehn Jahre. Da die Dokumentationspflicht vorsieht, dass die Unterlagen „mindestens" zehn Jahre aufzubewahren sind, besteht die Möglichkeit die Daten auch länger zu speichern.
  

Wann und wie müssen Patientendaten gelöscht werden?

Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass die Ärztin oder der Arzt in regelmäßigen Abständen prüfen muss, welche Patientendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.

Der Löschvorgang kann auch durch eine Anonymisierung erfolgen. Bei der Anonymisierung werden sämtliche Personenbezüge entfernt, sodass die jeweilige Information nicht mehr einer konkreten Person zugeordnet werden kann. Da das Anonymisieren meist aufwendig ist, ist die Anonymisierung nicht zu empfehlen.


Darf im Rahmen des Behandlungsvertrags ein Risikoaufklärungsbogen des Patienten angelegt werden?

Da die Aufklärung Teil des Behandlungsvertrages ist, ist es rechtlich geboten, allfällige Aufklärungsbögen aufzubewahren. 

 

Welche Daten müssen im Rahmen des Auskunftsrechts des Patienten an den Patienten übergeben werden?

Gemäß Artikel 15 DSGVO hat jede betroffene Person (somit jeder Patient) das Recht, vom Verantwortlichen (hier: der Ärztin/dem Arzt) eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten über den Betroffenen verarbeitet werden. Gleichzeitig kann die betroffene Person eine Kopie der verarbeiteten personenbezogenen Daten verlangen. Praktisch wird der Patient bei der Ärztin oder dem Arzt einen Antrag stellen, Auskunft über die verarbeiteten Daten zu erhalten.  Allenfalls ist mit dem Patienten zu klären, ob er tatsächlich ein Auskunftsbegehren nach der DSGVO stellt oder er doch (nur) Interesse an den Patientenakten hat. 

 

Technische und organisatorische Maßnahmen

 

Müssen Backups grundsätzlich verschlüsselt werden?

Gemäß der Datenschutzgrundverordnung sind Datensicherheitsmaßnahmen zu ergreifen, welche auch die Wiederherstellbarkeit der Daten sicherstellen. Da Backups problemlos „mitgenommen" werden können, müssen diese gesichert werden.

Falls die niedergelassene Ärztin oder der niedergelassene Arzt nicht sicherstellen kann, dass ein unberechtigter Zugriff auf die Daten unmöglich ist, ist eine Verschlüsselung des Backups erforderlich.


Darf ich personenbezogene Daten in der Cloud speichern?

Grundsätzlich sollten Sie gesundheits- bzw. personenbezogene Daten niemals in der Cloud speichern, weil Sie nicht wissen, wie ein Cloudanbieter wo mit den Daten umgeht - außer Sie sind sich sicher, dass das Cloudprodukt nach der DSGVO handelt und die Speicherung der Daten jedenfalls auf EU-Ebene (Europäisches Datenschutzrecht) und nicht in Amerika (oder einem Drittland ohne angemessenem Schutzniveau) erfolgt.

Erfragen Sie diese Grundlagen bitte beim jeweiligen Anbieter und lassen Sie sich die Rahmenbedingungen bei Nutzung schriftlich bestätigen.


Ist die Nutzung des Google-Kalenders datenschutzkonform?

Die Nutzung der Terminplanung des Google-Kalenders ist unzulässig, da Sie Google – im Rahmen der Gratisversion des Google-Kalenders – das Recht einräumen, den Inhalt des Kalenders (sowie der E-Mails) zu analysieren. Dies ist mit der Geheimhaltungspflicht der Ärzte nicht in Einklang zu bringen.

 

Welcher E-Mail-Provider ist DSGVO-konform?

Die Datenverarbeitung von gratis E-Mail-Anbietern erfolgt in der Regel in Drittländern und ist somit nicht DSGVO-konform. Wir raten Ihnen daher von der beruflichen Verwendung von gratis E-Mail-Providern ab.

Einige Arztsoftwarehersteller bieten Module zur verschlüsselten elektronischen Kommunikation für die Übermittlung von Gesundheitsdaten innerhalb der jeweiligen Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen hier  zur Verfügung.

 

Wie vernichte ich in Zukunft haptische Unterlagen, die personenbezogene Daten enthalten?

Sie vernichten die Dokumente mithilfe eines Aktenvernichters mit Schutzklasse 3 (sehr hoher Schutzbedarf), oder Sie übergeben die betreffenden Unterlagen an ein Unternehmen, das die Vernichtung entsprechend für Sie durchführt.

 

Wie darf ich Patienten in meiner Ordination aufrufen?

Als Verantwortlicher stellen Sie sicher, dass Patienten diskret aufgerufen werden. Dazu werden die verantwortliche Ärztin bzw. der Arzt oder dessen Mitarbeiter lediglich den Nachnamen des Patienten aufrufen. Der Verantwortliche und dessen Mitarbeiter werden so mit dem Patienten kommunizieren, dass ein Dritter keine Kenntnis über den Inhalt der Kommunikation erhält. Eine alternative sehr diskrete Möglichkeit wäre, Patienten über ein Nummernsystem aufzurufen.

 

Ist eine Videoüberwachung zulässig?

Grundsätzlich ist eine Bildaufnahme zulässig ist, wenn im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist. Eine Bildaufnahme ist insbesondere dann zulässig, wenn

1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

Die Überwachung von öffentlichem Grund (Straßen) ist nicht zulässig, abgesehen von einem kleinen Stück im Rahmen einer zulässigen Videoüberwachung (siehe oben). Die Überwachung (auch eine ledigliche Echtzeitüberwachung) ist jedenfalls zu kennzeichnen.

Der Verantwortliche hat geeignete Sicherheitsmaßnahmen zu treffen, dass der Zugang zur Bildaufnahme durch Unbefugte ausgeschlossen ist. Außerdem muss der Verantwortliche – außer bei der Echtzeitüberwachung – jeden Verarbeitungsvorgang protokollieren. Wenn die Aufnahmen länger als 72 Stunden aufbewahrt werden, so muss dies verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

Videoüberwachung im Behandlungszimmer:

Videoüberwachungen dürfen wie gesagt immer nur erfolgen, wenn es dafür einen bestimmten begründeten Zweck gibt. In der Regel ist dies ein Überwachungszweck, etwa gegen Diebstahl. Es müssen im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit muss gegeben sein. In den Behandlungsräumen ist dies eher schwer argumentierbar. Aufzeichnungen im Behandlungs- und Umkleidebereich sind aus dem Grund des Schutzes der Privatsphäre von Patienten nicht zulässig.

Für nähere Informationen zur Videoüberwachung kontaktieren Sie bitte direkt die Datenschutzbehörde (https://www.dsb.gv.at/kontakt).

 

Wie halte ich die Verschwiegenheitspflicht meiner Mitarbeiter fest?

Ein allumfassendes und datenschutzrechtlich aktualisiertes Muster für eine Verpflichtungserklärung zur Einhaltung des Datengeheimnisses für Ihre Mitarbeiter finden Sie als .pdf und als Word-Dokument bei den Downloads rechts auf dieser Seite. Die Generelle Weisung des Dienstgebers, die Sie darin auf Seite 3 finden, können Sie Ihren Mitarbeitern gesammelt per E-Mail zukommen lassen oder per Ausdruck überreichen.

 

Kommunikation mit vertraulichen Informationen
 

Was sind vertrauliche Informationen?
 

Information

Informationen, die die Sozialversicherungsnummer enthalten

Gesundheitsdaten

Adressinformationen

Kontaktinformationen

Informationen über Patienten

Befunde

 
Ist eine elektronische Übermittlung an die Krankenkassen nach der DSGVO überhaupt noch zulässig?

Gemäß § 51 Abs. 2 Ärztegesetz sind Ärzte berechtigt, die Dokumentation an die Sozialversicherungsträger und Krankenfürsorgeanstalten zu übermitteln. Eine gesonderte Datenschutzerklärung oder Ähnliches ist nicht notwendig.

 

Benötige ich zur Übermittlung von vertraulichen Informationen von Patienten an andere Ärztinnen und Ärzte bzw. Gesundheitseinrichtungen eine Einverständniserklärung?

Die Zustimmung des Patienten für die Übermittlung von personenbezogenen Daten bzw. vertraulichen Informationen an andere Ärztinnen und Ärzte oder Gesundheitseinrichtungen muss eingeholt und im Patientenakt vermerkt oder anhand dieser Einwilligungserklärung eingeholt werden.

 

Wie übermittle ich vertrauliche Informationen an Verantwortliche?

Ärztinnen oder Ärzte als Verantwortliche verpflichten sich, vertrauliche Informationen (etwa Gesundheitsdaten) an zulässige Übermittlungsempfänger (etwa: Apotheken, Ärzte, Krankenhäuser, Pflegeheime, Krankenversicherungen) ausschließlich mittels verschlüsselter elektronischer Kommunikation oder mittels Fax zu senden.

Einige Arztsoftwarehersteller bieten Module zur verschlüsselten elektronischen Kommunikation innerhalb der Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen hier zur Verfügung.


Wie kann ich meinen Patienten vertrauliche Informationen übermitteln?

Vertrauliche Informationen dürfen nur persönlich übergeben, per Post versandt oder per verschlüsselter elektronischer Kommunikation übermittelt werden, bzw. siehe nächster Punkt „Darf ich meinen Patienten E-Mails schicken?"

 

Darf ich meinen Patienten E-Mails schicken?  Achtung - Update Juli 2019

Eine Zusendung von E-Mails, die nicht der Direktwerbung dienen, ist auch ohne Einwilligung zulässig. Die frühere Beschränkung auf maximal 50 Empfänger gibt es seit Dezember 2018 nicht mehr. Damit sind E-Mails ohne Werbecharakter unabhängig von der Empfängerzahl zulässig.

Eine kürzlich ergangene Entscheidung der Datenschutzbehörde hält aber fest, dass eine Einwilligungserklärung in unverschlüsselten elektronischen Versand (Mailversand) von Gesundheitsdaten an Patientinnen und Patienten rechtsunwirksam ist. Daher wird das bisher zur Verfügung gestellte Einwilligungsformular in der Checkliste DSGVO für die niedergelassenen Ärztinnen bzw. Ärzte nicht weiter empfohlen und folglich auch nicht mehr zur Verfügung gestellt.

Die elektronische Übermittlung von Gesundheitsdaten im Rahmen der Arzt-Patienten-Kommunikation wird daher jedenfalls nur verschlüsselt empfohlen (z.B. mit Passwort geschützt). Ebenso kommt die Bereitstellung über eine dem Stand der Technik entsprechende Befundplattform in Betracht.

Einige Arztsoftwarehersteller bieten Module zur verschlüsselten elektronischen Kommunikation innerhalb der Arztsoftware an. Eine beispielhafte Auflistung (ohne Testung, Wertung und Empfehlung) von möglichen Diensten zur verschlüsselten elektronischen Kommunikation stellen wir Ihnen hier zur Verfügung.

 

Darf ich meinen Patienten eine SMS zur Terminerinnerung schicken?

SMS lediglich zu Zwecken der Terminerinnerung sind grundsätzlich zulässig, allerdings wird auch hier empfohlen, vorab eine Einwilligung des Patienten einzuholen bzw. diesem die Möglichkeit der Ablehnung zu geben.

 

Was darf ich am Telefon mit meinen Patienten besprechen?

Um vertrauliche Information telefonisch bekanntzugeben bzw. zu besprechen, müssten Sie vorab mit dem Patienten ein telefonisches Passwort festlegen, das Sie dann am Telefon abfragen (das Geschlecht des Patienten muss dem Patienten entsprechen – also keine Bekanntgabe von vertraulichen Informationen einer Patientin an eine Männerstimme mit richtigem Passwort, außer dies wurde vorab so festgehalten).


Falls kein Passwort vorliegt und ein dringendes Gespräch mit vertraulichen Inhalten mit dem Patienten erforderlich ist, können Sie diesen telefonisch um eine Konsultation in der Ordination bitten oder die Informationen postalisch übermitteln.
 

Darf ich per WhatsApp mit meinen Patienten kommunizieren?

Sie dürfen weder per WhatsApp mit Ihren Patienten kommunizieren, noch sollten Sie WhatsApp auf dem Mobiltelefon installiert haben, das Sie für berufliche Zwecke nutzen, da WhatsApp Zugriff auf Ihre gesamten Kontakte auf Ihrem Mobiltelefon hat und diese analysiert. Die Übermittlung von Gesundheitsdaten per Messengerdiensten – insb. WhatsApp – ist datenschutzwidrig.


Wer darf Rezepte, Bestätigung oder Befunde in der Ordination entgegennehmen?

Der betreffende Patient selbst, oder eine dazu bevollmächtigte Person (Verwandte, Pfleger, Heime, …).

 

Was muss ich bei meiner Homepage beachten?


Erfülle ich die Vorgaben laut E-Commerce-Gesetz?

Die Vorgaben laut E-Commerce-Gesetz für Webseiten finde Sie hier.

 

Welche Informationspflichten habe ich bezüglich meiner Website?

Nach der Datenschutzgrundverordnung sind grundsätzlich alle niedergelassenen Ärzte dazu verpflichtet, eine Speicherung von Daten der betroffenen Person transparent zu machen. Es ist gelungen, für Ärztinnen und Arzte als datenschutzrechtliche Verantwortliche von dieser Pflicht jedoch eine grundsätzliche Ausnahme im Ärztegesetz zu verankern. Erhebungen und Verarbeitungen personenbezogener Daten, die im Zusammenhang bzw. im Rahmen des Behandlungsvertrags erfolgen, bedürfen daher keiner gesonderten Informationspflicht den Patienten gegenüber; d.h. Ärzte müssen nicht bei jeder Behandlung die Patienten unterschreiben lassen, dass Daten gespeichert werden.

Lediglich für Datenanwendungen im Zusammenhang mit Websites gilt diese Ausnahme von den Informationspflichten nicht! Daraus folgt, dass auch Ärztinnen und Ärzte, sofern sie Websites betreiben und dort personenbezogene Daten verarbeiten, darüber informieren müssen, was mit diesen erhobenen Daten passiert. Nähere Informationen darüber können diesem Schreiben der Bundeskurie niedergelassene Ärzte der Österreichischen Ärztekammer entnommen werden und ein Muster für eine solche Datenschutzerklärung finden Sie als .pdf und als Word-Dokument bei den Downloads rechts auf dieser Seite. Die Ärztekammer für Wien rät - falls Websites betrieben werden - diese mit den Webdesignern durchzugehen, und dann mit deren Hilfe eine individuell geeignete Datenschutzerklärung auf Basis der personenbezogenen Daten, die auf der Website verarbeitet werden, zu erstellen.


Kontakt

 Jennifer Panholzer

Jennifer Panholzer

Stellvertretende Kurienmanagerin


 Sonja Winkelmann

Sonja Winkelmann

Assistenz der Kurie niedergelassene Ärzte


 Christoph Ruprecht, MBA

Christoph Ruprecht, MBA

QS Consultant, GO2ORDI, EQUIP4ORDI