Datenschutzgrundverordnung

Müssen Patienten eine Einwilligungserklärung zur DSGVO unterschreiben?
Es ist nicht erforderlich, dass Patienten eine Einwilligungserklärung zur DSGVO unterschreiben. Bereits aus dem Behandlungsvertrag bzw. der gesetzlichen Dokumentationspflicht ergibt sich, dass Daten der Patienten verarbeitet werden. Auch bei einer Datenweitergabe an andere Ärzte bzw. Gesundheitseinrichtungen im Rahmen einer medizinischen Behandlung ist eine (schriftliche) Einwilligung keine Voraussetzung. Die Einwilligung des Patienten ergibt sich schlüssig daraus, dass sich der Patient in die Behandlung des anderen Arztes bzw. der anderen Gesundheitseinrichtung begibt.
Zu beachten ist allerdings, dass der Zweck, für den die Daten erhoben wurden, genau eingehalten wird. Haben Sie z.B. die E-Mail-Adresse des Patienten zur Terminerinnerung erhoben, dürfen Sie dem Patienten keine Informationen über ein neues Medikament per E-Mail senden.

Was passiert mit den Patientendaten, wenn eine Ordination übernommen wird?
Der Kassenplanstellennachfolger bzw. der Ordinationsstättennachfolger ist verpflichtet, die Dokumentation von seinem Vorgänger zu übernehmen und für die der Aufbewahrungspflicht entsprechende Dauer aufzubewahren. Eine Einwilligung des Patienten ist hierfür nicht notwendig. Eine Weiterverwendung durch den Nachfolger ist nur zulässig, wenn der jeweilige Patient in die Weiterverwendung eingewilligt hat. Eine schlüssige Zustimmung ergibt sich dadurch, dass sich der Patient in die Behandlung des Nachfolgers begibt.

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Nachfolger abschließen, wenn ich meine Ordination schließe und die Patientendokumentation an den Nachfolger übergebe?
Der Kassenplanstellen- bzw. in bestimmten Fällen der Ordinationsstättennachfolger sind ärzterechtlich dazu verpflichtet, die Dokumentation zu übernehmen und aufzubewahren. Es ist hier kein Auftragsverarbeitungsvertrag zwischen Übergeber und Übernehmer zu schließen. Eine klare Regelung zur Datenübermittlung ist ausreichend.
Wenn jedoch die Patientenkartei zur reinen Aufbewahrung oder technischen Verwaltung z.B. an einen IT-Dienstleister übergeben wird, der die Daten im Auftrag und nach Weisung des ursprünglich Verantwortlichen verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art 28 DSGVO zwingend erforderlich.

In welchem Verhältnis steht die Pflicht zur Löschung von personenbezogenen Daten zur Aufbewahrungspflicht laut Ärztegesetz?
Daten sind grundsätzlich dann zu löschen, wenn sie für den jeweiligen Zweck nicht mehr notwendig sind. Wenn es einfachgesetzliche Regelungen gibt, die Speicherfristen vorsehen, sind die Daten so lange aufzubewahren, bis diese Frist erfüllt ist. Nach dem Ärztegesetz ist die ärztliche Dokumentation mindestens 10 Jahre aufzubewahren.

Wann und wie müssen Patientendaten gelöscht werden?
Die Löschung von personenbezogenen Daten muss unmittelbar nach Wegfall des Zwecks erfolgen. Das bedeutet, dass der Arzt in regelmäßigen Abständen prüfen muss, welche Patientendaten zu löschen sind. Löschen bedeutet, dass die Daten durch niemanden mehr abrufbar sind.

Muss ich alle Patientendaten löschen, wenn dies der Patient verlangt?
Patientendaten sind nach dem Ärztegesetz mindestens 10 Jahre aufzubewahren. Die absolute Verjährungsfrist für allfällige Schadenersatzansprüche von Betroffenen (z.B. aufgrund behaupteter Behandlungsfehler) beträgt 30 Jahre. Nach Ablauf dieser Frist ist darauf zu achten, dass sowohl digitale als auch Papierdokumentationen datenschutzgerecht gelöscht bzw. vernichtet werden.
Verlangt ein Patient die Löschung seiner Daten aus der Patientendokumentation, darf diesem Begehren nicht entsprochen werden, wenn noch (ärzterechtliche) Aufbewahrungspflichten bestehen.

Welche Daten müssen im Rahmen des Auskunftsrechts des Patienten an den Patienten übergeben werden?
Jede betroffene Person (also auch jeder Patient) hat das Recht, vom Verantwortlichen (dem Arzt) zu erfahren, ob und welche personenbezogenen Daten über den Betroffenen verarbeitet werden und gleichzeitig eine Kopie der Daten zu verlangen.

Muss ich die Patientenakte kostenlos herausgeben?
Der Europäische Gerichtshof hat entschieden, dass Patienten ein Recht darauf haben, eine erste Kopie ihrer Daten aus der Patientenakte kostenlos zu erhalten. Diese Informationen zu den Gesundheitsdaten umfassen beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde und Angaben zu den vorgenommenen Behandlungen oder Eingriffen. Für jede weitere Kopie können Ärzte einen Kostenersatz verlangen.

Ist eine Videoüberwachung zulässig?
Videoüberwachungen dürfen immer nur dann erfolgen, wenn es dafür einen bestimmten begründeten Zweck gibt. In der Regel ist dies ein Überwachungszweck, z.B. gegen Diebstahl. Die berechtigten Interessen des Verantwortlichen (Arzt) oder eines Dritten müssen im Einzelfall überwiegen und verhältnismäßig sein. Dies wird in Behandlungsräumen nicht vorliegen, weshalb Aufzeichnungen im Behandlungs- und Umkleidebereich aus Schutz der Privatsphäre von Patienten nicht zulässig sind.

Darf ich Patienten mit Namen in der Ordination aufrufen?
Patienten sollen in der Ordination diskret aufgerufen werden, dies möglichst nur mit Nachnamen. Der Patient hat allerdings die Möglichkeit, dem Aufrufen mit Namen zu widersprechen. Eine alternative, sehr diskrete Möglichkeit wäre es, Patienten über ein Nummernsystem aufzurufen.

Was muss ich bei der persönlichen Kommunikation mit Patienten in den Praxisräumlichkeiten beachten?
Bei jeder Form der persönlichen Kommunikation in den Praxisräumen ist sicherzustellen, dass die Gespräche nicht von unbefugten Dritten mitgehört werden können. Vor allem im Empfangsbereich ist auf die Wahrung der Vertraulichkeit zu achten und dafür zu sorgen, dass auch administrative Patientenbelange unter Wahrung der Vertraulichkeit der Patientendaten besprochen werden können.
Ebenso vertraulich sollten die Arzt-Patienten-Gespräche im Behandlungsraum selbst bleiben und beispielsweise darauf geachtet werden, dass die Gespräche bei verschlossener Türe nicht mitgehört werden können.

Was sind vertrauliche Informationen?
Vertrauliche Informationen sind u.a. alle Informationen, die die Sozialversicherungsnummer enthalten, Gesundheitsdaten, Kontakt- und Adressinformationen, Informationen über Patienten und Befunde.

Wie übermittle ich vertrauliche Informationen an Verantwortliche?
Vertrauliche Informationen wie Gesundheitsdaten dürfen an zulässige Übermittlungsempfänger (u.a. Apotheken, Ärzte, Krankenhäuser, Pflegeheime, Krankenversicherungen) nur mittels verschlüsselter Kommunikation versendet werden.

Wie kann ich meinen Patienten vertrauliche Informationen übermitteln?
Für die Arzt-Patienten-Kommunikation ist neben persönlicher Übergabe und der Übersendung mittels normaler Briefpost die Übersendung auf elektronischem Wege nur zulässig, wenn die Gesundheitsdaten vollständig verschlüsselt übermittelt werden oder ein System zur sicheren Datenbereitstellung genutzt wird.

Dürfen Überweisungsscheine, Befunde etc. für einen Patienten von Angehörigen oder Vertrauenspersonen abgeholt werden?
Wenn Angehörige oder Vertrauenspersonen Befunde, Überweisungsscheine etc. für den Patienten abholen sollen, muss eine ausdrückliche und nachweisliche Einwilligung des Patienten vorliegen. Für die Praxis ist es ratsam, dass der Patient jene Vertrauenspersonen oder Einrichtungen bekannt gibt, an die seine Patientendaten weitergegeben werden dürfen.

Darf ich meinen Patienten E-Mails schicken?
Sollten Gesundheitsdaten elektronisch übermittelt werden, ist darauf zu achten, dass dies verschlüsselt, also mit einem Passwort geschützt, durchgeführt wird. Das gilt auch für Rezeptbestellungen per E-Mail.
Die Einwilligung von Patienten in unverschlüsselten elektronischen Versand von Gesundheitsdaten ist rechtsunwirksam und somit unzulässig.

Darf ich per WhatsApp mit meinen Patientinnen kommunizieren?
Mit Patienten darf nicht über WhatsApp kommuniziert werden, da WhatsApp Zugriff auf alle Kontakte hat und diese analysiert. Aus diesem Grund sollte WhatsApp auch nicht auf dem Handy installiert sein, dass Sie für berufliche Zwecke nutzen.
Die Übermittlung von Gesundheitsdaten per Messengerdiensten – insbesondere WhatsApp – ist datenschutzwidrig.

Was ist die Datenschutzgrundverordnung und für wen gilt sie?
Die Datenschutzgrundverordnung ist seit 27.4.2016 in Kraft. Obwohl die Datenschutzgrundverordnung nunmehr unmittelbar in jedem Mitgliedstaat gilt, haben die Mitgliedstaaten der EU dennoch die Möglichkeit, (eingeschränkt) Sonderregeln zu erlassen. Die Regeln der Datenschutzgrundverordnung müssen seit dem 25.5.2018 angewendet werden.

Für welche Art von Daten ist die DSGVO anwendbar?
Die DSGVO muss bei der Verarbeitung sämtlicher personenbezogener Daten beachtet werden, egal, ob diese in Papierform oder automationsunterstützt (elektronisch) verarbeitet werden.

Was ist ein Verantwortlicher?
Bei einem Verantwortlichen handelt es sich um jene Person, die personenbezogene Daten für gewisse Zwecke verarbeitet. Der Verantwortliche entscheidet, was mit den Daten passiert. Er ist der „Herr“ über die Daten. Der Arzt, der gemäß § 51 Ärztegesetz Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person erfasst, ist ein Verantwortlicher im Sinne der Datenschutzgrundverordnung.
Weitere Verantwortliche neben Ärzten sind z. B. Krankenhäuser, Apotheken, Therapeuten, Anbieter von Telefon- und Internetleitungen, Post und Steuerberater.

Was ist ein Auftragsverarbeiter?
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Das bedeutet, dass der Verantwortliche zwar über den Zweck der Verarbeitung die Entscheidung trifft, der Auftragsverarbeiter jedoch entscheidet, welche Mittel für die Verarbeitung eingesetzt werden.
Auftragsverarbeiter sind z.B. IT-Support Unternehmen, die Zugriff auf personenbezogene Daten haben, Arztsoftwarehersteller, wenn diese Zugriff auf personenbezogene Daten haben, E-Mailprovider oder Unternehmen, die Online-Terminvereinbarungen anbieten.

Wer ist ein Betroffener?
Der Betroffene ist derjenige, dessen personenbezogene Daten verarbeitet werden. Es handelt sich dabei immer um eine natürliche Person (einen Menschen). Datenschutzrechtlich Betroffene sind nicht nur Patienten, sondern auch Mitarbeiter oder Lieferanten.

Benötige ich eine Datenschutzbeauftragen?
Der einzelne Arzt ist nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Das Datenschutzrecht legt die Kriterien, ab welcher Praxisgröße ein Datenschutzbeauftragter zu bestellen ist, nicht klar dar, weshalb offen ist, ab welcher Praxisgröße der Verantwortliche einen Datenschutzbeauftragten bestellen muss.
Im Falle von ärztlichen Kooperationen, wie Gruppenpraxen und Primärversorgungseinrichtungen, aber auch im Falle der Anstellung eines Arztes in der Einzelordination, empfehlen wir, bei der Entscheidung über die Bestellung eines Datenschutzbeauftragten auf das Kriterium der Patientenzahlen pro Jahr abzustellen. Dies gilt auch für Ordinations- und Apparategemeinschaften, wenn die Patientenverwaltung gemeinsam erfolgt.
Sollten durchschnittlich mehr als 5.000 verschiedene Patienten pro Jahr betreut werden, empfehlen wir auf Basis der Kriterien der DSGVO die Bestellung eines Datenschutzbeauftragten. Daraus folgt: Für Gruppenpraxen und Primärversorgungseinrichtungen empfehlen wir aufgrund der Annahme einer höheren Patientenzahl und des daraus folgenden Datenumfangs, einen Datenschutzbeauftragten zu bestellen.
Sollten Sie einen Datenschutzbeauftragten bestellt haben, müssen Sie dessen Kontaktdaten der Aufsichtsbehörde (Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at ) melden.

Was ist eine Datenanwendung im Sinne der DSGVO?
Grundsätzlich dürfen personenbezogene Daten nur für einen gewissen Zweck erhoben und verarbeitet werden. Dabei kommt es insbesondere darauf an, dass der sogenannten „Datenminimierungspflicht“ Rechnung getragen wird. Diese Pflicht sieht vor, dass nur so viele Daten verarbeitet werden dürfen, wie zum Erfüllen des jeweiligen Zwecks notwendig sind.
Eine „Datenanwendung“ im Sinne der DSGVO hat nichts mit Technik zu tun. Eine Datenanwendung liegt vor, wenn der Verantwortliche personenbezogene Daten für einen gewissen Zweck verarbeitet.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten und wofür benötige ich dieses?
Damit die Behörde prüfen kann, ob der Verantwortliche die Grundregeln der DSGVO einhält, muss dieser sämtliche Datenanwendungen dokumentieren. Dabei muss der Verantwortliche angeben, für welche Zweck dieser die Daten verarbeitet, welche Kategorien von Betroffenen von der Verarbeitung betroffen sind, sowie welche Kategorien von Daten der Verantwortliche verarbeitet.
Dabei sind sämtliche Personengruppen, deren Daten verarbeitet werden, bekanntgeben. So müssen bei der Patientendokumentation auch die „Mitarbeiter“ als Kategorien von Betroffenen angegeben werden, da in der Patientenakte vermerkt sein kann, welcher Mitarbeiter welche Leistung erbracht hat.

Muss ich ein Verarbeitungsverzeichnis führen?
Jeder Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, insbesondere dann, wenn besondere Kategorien von Daten (z.B. Gesundheitsdaten) verarbeitet werden. Somit sind Ärzte dazu verpflichtet, ein solches Verarbeitungsverzeichnis zu führen und der Datenschutzbehörde auf Verlange zur Verfügung zu stellen. Ein Muster für ein solches Verzeichnis finden Sie hier: https://www.aekooe.at/index.php?eID=dumpFile&t=f&f=3492&token=63782ebb21ab5bf6923f122cb2e35cfe2839bed4

Was ist eine Datenschutzfolgeabschätzung und muss ich eine solche haben?
Eine Datenschutzfolgenabschätzung ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung samt einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck. Darüber hinaus muss der Verantwortliche eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen vornehmen und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, sodass der Schutz der personenbezogenen Daten sichergestellt ist.
Aufgrund der Ausnahmeverordnung zur Pflicht zur Datenschutzfolgenabschätzung (vgl. BGBl. II Nr. 108/2018) trifft den einzelnen Arzt für die Patientenverwaltung und für die Honorarabrechnung keine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung. Diese Ausnahme gilt nicht für Gruppenpraxen, Primärversorgungseinheiten, sonstige ärztliche Kooperationsformen (wie Ordinations- und Apparategemeinschaften) oder Einzelordinationen, in denen mehrere Ärzte beschäftigt sind, und damit eine erhöhte Patientenzahl (mehr als 5.000 verschiedene Patienten pro Jahr) verbunden ist.
Ein Muster für eine Datenschutzfolgenabschätzung finden Sie hier: https://www.aekooe.at/index.php?eID=dumpFile&t=f&f=4758&token=324e5c139b7e5f82c85048b68a3fe0d913fc266f

Wie gehe ich bei einer Datenschutzverletzung vor?
Grundsätzlich muss jede Datenschutzverletzung (sog. „data breach“) binnen einer Frist von 72 Stunden an die Datenschutzbehörde gemeldet werden. Die Datenschutzbehörde hat hier ein eigenes Meldeformular zur Verfügung gestellt (https://dsb.gv.at/ueber-die-datenschutzbehoerde/data-breach-verfahren).
Eine Datenschutzverletzung ist grundsätzlich jede Verletzung des Schutzes personenbezogener Daten. Das kann sein, wenn Daten gestohlen oder kopiert werden (Verletzung der Vertraulichkeit), wenn Daten unautorisiert geändert wurden (Verletzung der Integrität) oder wenn Daten gelöscht wurden bzw. aus anderen Gründen nicht mehr verfügbar sind (Verletzung der Verfügbarkeit).
Als Datenschutzverletzung gilt z.B. der Verlust des Ordinationslaptops oder eines Speichermediums (USB-Stick, Festplatte), aber auch z.B. die irrtümliche Löschung von Patientenakten oder die Vertauschung von Befunden. Irrelevant ist hierbei, ob es sich um elektronisch gespeicherte Daten oder aber um eine manuell geführte Patientendokumentation handelt.
Besteht ein hohes Risiko für die persönlichen Rechte der betroffenen Patienten, müssen auch diese selbst von der Datenschutzverletzung benachrichtigt werden. Eine Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Was passiert, wenn ich die Regeln der Datenschutzgrundverordnung nicht einhalte?
Die Strafdrohung der DSGVO beträgt bis zu 20 Mio € oder 4 % des weltweiten Jahresumsatzes.
Auch wenn diese Strafen primär zur Abschreckung von Datenschutzverstößen bei multinationalen Unternehmen gedacht sind, können die Strafen – in Zukunft – bei den einzelnen Verantwortlichen empfindlicher sein als in der Vergangenheit.

Weitere Informationen und Dokumente:
RS Datenschutzgrundverordnung (04/2018)
RS DSGV Überarbeitete Checkliste (06/2018)
Checkliste DSGVO
Mustervorlage Verarbeitungsverzeichnis
Ausgefülltes Muster - Verarbeitungsverzeichnis
DSFA Patientenverwaltung

Was ist im Zusammenhang mit Websites zu beachten?
Sofern im Rahmen der Website personenbezogene Daten erhoben und erfasst werden, sind die von dieser Datenverarbeitung betroffenen Personen hierüber zu informieren. Eine Datenverarbeitung auf Websites kann z.B. in der Form erfolgen, dass der Besucher selbst die Daten eingibt (z.B. im Rahmen eines Kontaktformulars). Der Informationspflicht unterliegen jedoch auch Daten, die von Analysetools verarbeitet werden oder Daten, die in Protokolldateien gespeichert werden.

Muss ich eine Datenschutzerklärung auf meiner Website haben?
Vom Betreiber einer Website, auf der personenbezogene Daten verarbeitet werden, muss zur Erfüllung der Informationsverpflichtung eine Datenschutzerklärung auf die Website gestellt werden. Der notwendige Inhalt der Datenschutzerklärung hängt von der konkreten Art der vorgenommenen Datenverarbeitung ab, weshalb die Muster-Datenschutzerklärung (https://www.aekooe.at/index.php?eID=dumpFile&t=f&f=3488&token=1adb6dab7dee1dbc52050974a03e2f3600386f61) individuell angepasst werden muss. Insbesondere sind Zwecke, Rechtsgrundlage, Speicherdauer sowie sofern bestellt die Kontaktdaten des Datenschutzbeauftragen zu ergänzen, Sofern „Cookies“ verwendet werden, sind auch die Namen der Cookies anzuführen.
Der Webdesigner oder diejenige Person, die Ihre Website erstellt hat, weiß, welche Daten im Rahmen der Website verarbeitet werden und kann Sie somit bei der Erstellung der Datenschutzerklärung unterstützen.

Muss auf der Website ein Impressum sein?
Neben den datenschutzrechtlichen Vorgaben bestehen weitere gesetzliche Verpflichtungen für Websites, welche zu beachten sind. Hier ist insbesondere die Impressumspflicht gemäß ECG und Mediengesetz zu nennen, welche – unabhängig von einer Datenverarbeitung – für jede Website gilt. Ein Musterimpressum, das den Anforderungen dieser beiden Gesetze genügt, finden Sie hier: https://www.aekooe.at/index.php?eID=dumpFile&t=f&f=3489&token=1e92aa320f6ad1dde3384f5758ebd93760d0231e

Weitere Informationen und Dokumente:
RS Informationspflichten Websites
Anlage 1 Muster-Datenschutzerklärung
Anlage 2 Muster-Impressum

Barrierefreie Homepage