Handbuch für Primär-Versorgungs-Einheiten

Grundsätzlich treffen Verantwortliche nach der DSGVO unter Berücksichtigung der berufsrechtlichen Regelungen die nachfolgenden Pflichten:

Informationspflicht gegenüber den betroffenen Personen

Im Hinblick auf Datenverarbeitungen, die zur Erfüllung von Berufspflichten im Rahmen der Berufsausübung durchzuführen sind (z.B. Dokumentation, Mitteilung über die Versicherte/den Versicherten zum Zweck der Honorarabrechnung, Übermittlung von Daten an den Gesundheitsdiensteanbieter…), besteht keine Informationspflicht.

Ansonsten kommt die Verantwortliche/der Verantwortliche ihrer/seiner Informationspflicht am besten durch die Erstellung einer Datenschutzerklärung nach. In dieser hat sie/er insbesondere Folgendes anzugeben:

  • die Zwecke der Datenverarbeitung
  • die Rechtsgrundlagen der Datenverarbeitung
  • die Übermittlungsempfängerinnen/Übermittlungsempfänger
  • die Dauer der Speicherung personenbezogener Daten
  • eine Beschreibung der ergriffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten
  • Informationen über eine allfällige Website (Kontaktformular, Web-Analyse-Tools, Cookies, Google-Maps, Google-Font, Newsletter etc.)
  • die Rechte der Betroffenen
  • die Kontaktdaten der Verantwortlichen/des Verantwortlichen sowie gegebenenfalls von deren/dessen Vertreterin/Vertreter

Die Verantwortliche/der Verantwortliche kommt ihren/seinen Informationspflichten am besten dadurch nach, dass sie/er ihre/seine Datenschutzerklärung im Warteraum zur freien Einsichtnahme auflegt und auch auf ihrer/seiner Website sowie in ihrer/seiner E-Mail-Signatur auf diese verweist. 

Auskunftspflicht gegenüber den betroffenen Personen

Auf Anfrage der betroffenen Person hat die Verantwortliche/der Verantwortliche Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten zu geben. Das Datenschutzrecht gewährt den betroffenen Personen insbesondere nachstehende Rechte:

  • das Recht auf unentgeltliche Auskunft, ob personenbezogene Daten von der Verantwortlichen/vom Verantwortlichen verarbeitet wurden
  • das Recht auf Überprüfung, welche personenbezogene Daten verarbeitet werden und zu welchen Zwecken
  • das Recht auf Berichtigung, Ergänzung oder Löschung der Daten* sowie Einschränkung der Verarbeitung*
  • das Recht auf Widerspruch gegen die Datenverarbeitung*
  • das Recht auf Widerruf der gegebenen Einwilligung zur Datenverarbeitung
  • das Recht auf Information über die Herkunft der Daten
  • das Recht auf Übertragung der Daten
  • das Recht auf Kenntnis der Identität der Übermittlungsempfängerinnen/ Übermittlungsempfänger
  • das Recht auf Information über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • das Recht auf elektronische Antragstellung
  • das Recht auf Erhalt einer unentgeltlichen Kopie der personenbezogenen Daten

Die Verantwortliche/der Verantwortliche sollte die Identität der Auskunft suchenden betroffenen Person überprüfen. Sie/er ist weiters dazu verpflichtet, die Auskunft innerhalb einer einmonatigen Frist zu erteilen. Diese kann um weitere zwei Monate erstreckt werden.

*) Hinsichtlich jener personenbezogenen Daten, die zur Erfüllung von Berufspflichten im Rahmen der Berufsausübung zu verarbeiten sind (z.B. Dokumentation, Mitteilung über die Versicherte/den Versicherten zum Zweck der Honorarabrechnung,…), hat die betroffene Person weder das Recht auf Löschung bzw. Einschränkung der Verarbeitung noch auf Widerspruch gegen die Datenverarbeitung.

Meldepflichten sowohl gegenüber den betroffenen Personen als auch der Datenschutzbehörde

Im Fall einer Verletzung des Schutzes personenbezogener Daten hat die Verantwortliche/der Verantwortliche diese binnen 72 Stunden nach Bekanntwerden der Behörde zu melden. Die Meldung hat unter anderem

  • eine Beschreibung über die Art der Verletzung mit der Angabe der Kategorie und der Zahl der betroffenen Personen sowie
  • die Kontaktdaten der Verantwortlichen/des Verantwortlichen und
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und Abmilderung der Auswirkungen

zu enthalten.

Eine Meldepflicht gegenüber der Datenschutzbehörde besteht nur dann nicht, wenn die Verantwortliche/der Verantwortliche nachweisen kann, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person führt.

Betrifft die Verletzung des Datenschutzes Gesundheitsdaten, ist die Verantwortliche/der Verantwortliche weiters dazu verpflichtet, die von der Verletzung betroffene Person unverzüglich zu benachrichtigen. Die Benachrichtigung hat zumindest

  • die Kontaktdaten der Verantwortlichen/des Verantwortlichen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Datenschutzes sowie
  • eine Beschreibung der von ihr/ihm ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Datenschutzes und zur Abmilderung der Auswirkungen zu enthalten.

Dokumentationspflicht bei Verletzungen des Schutzes personenbezogener Daten

Sind Gesundheitsdaten von der Verletzung des Datenschutzes betroffen, ist die Verantwortliche/der Verantwortliche dazu verpflichtet, alle Fakten in Zusammenhang mit der Verletzung, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren.

Zu Melde- und Dokumentationspflicht empfiehlt es sich, einen schriftlichen „Notfallplan“ zu erstellen. Dessen schrittweise Einhaltung soll es der Verantwortlichen/dem Verantwortlichen im Fall eines Data Breach (Verletzung des Schutzes verarbeiteter personenbezogener Daten, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt) ermöglichen, ihre/seine Melde- und Dokumentationsverpflichtungen einzuhalten.

Erstellung eines Verarbeitungsverzeichnisses

Das Verarbeitungsverzeichnis ist jenes Dokument, aus dem unter anderem hervorgeht, für welche Zwecke und welche Art von personenbezogenen Daten verarbeitet werden, für welche Dauer und auf welcher Rechtsgrundlage dies geschieht, an wen die Daten gegebenenfalls übermittelt werden und wie diese Datenübermittlung erfolgt.

Das Verarbeitungsverzeichnis ist das „Kernstück“ der Dokumentationspflicht der Verantwortlichen/des Verantwortlichen. Es ist regelmäßig zu aktualisieren, insbesondere wenn sich Datenanwendungen verändern, d. h. sich neue Tätigkeitsbereiche ergeben.

Abschluss von Auftragsverarbeitungsverträgen

Auftragsverarbeitungsverträge sind verpflichtend mit all jenen Unternehmen abzuschließen, die als „verlängerter Arm“ Daten für die Verantwortliche/den Verantwortlichen verarbeiten.

Ein derartiger Vertrag hat mindestens nahfolgende Informationen zu enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte der Verantwortlichen/des Verantwortlichen

Abschluss von Vereinbarungen über das Datengeheimnis mit Mitarbeitern und Mitgliedern

Das ÄrzteG normiert die Verschwiegenheitsverpflichtung von Ärztinnen/Ärzten und deren Hilfspersonen über alle in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse.

Nichtsdestotrotz ist die Verantwortliche/der Verantwortliche verpflichtet, mit sämtlichen Mitarbeiterinnen/Mitarbeitern eine Datengeheimnisvereinbarung abzuschließen. Dies ist unter anderem darauf zurückzuführen, dass nicht nur der Personenkreis der „Hilfspersonen“ des ÄrzteG eingeschränkter ist als jener der „Mitarbeiterinnen“/„Mitarbeiter“, sondern auch auf den Umstand, dass im Rahmen von PVE neben Ärztinnen/Ärzten auch die Rechtsträger der PVE Verantwortliche iSd DSGVO sein können.

Übermittlung von Gesundheitsdaten

Die Verantwortliche/der Verantwortliche ist grundsätzlich dazu verpflichtet, Gesundheitsdaten ausschließlich mittels verschlüsselter Kommunikation zu übermitteln, wobei unter bestimmten Voraussetzungen auch die Übermittlung mittels Fax zulässig ist (siehe dazu „IT-Aspekte/Externer Datenschutz“).

Implementierung, Einhaltung und Dokumentation von technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus

Zum Schutz der in Bezug auf die Datenverarbeitung bestehenden Rechte betroffener Personen ist die Verantwortliche/der Verantwortliche nach der DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen und zu dokumentieren. Die zu ergreifenden Maßnahmen haben beispielsweise nachstehende Themenkreise zu umfassen:

  • Schulungen von Mitgliedern und Mitarbeiterinnen/Mitarbeitern (Mitteilungspflichten; private Nutzung der IT; Nutzung von Onlinespeichern; „Hausordnung“ etc.)
  • Sicherung der Räumlichkeiten
  • Auflistung sämtlicher Kommunikationsmittel
  • Nutzung des Arbeitsplatz-PC
  • Nutzung von Mobiltelefonen und Tablets
  • Geräte- und Arztsoftware (Speicherung von Daten; Wartung; Erstellung von Back-Ups etc.)
  • Server
  • Internet
  • E-Mail
  • Website
  • Kontaktformulare
  • Online-Kalender
  • uvm.

Die Bestellung eines Datenschutzbeauftragten

Art. 37 DSGVO normiert, dass die/der Verantwortliche dann eine Datenschutzbeauftragte/einen Datenschutzbeauftragten zu bestellen hat, wenn ihre/seine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Im Fall der medizinischen Behandlung und Betreuung durch Ärztinnen/Ärzte, Gruppenpraxen, selbstständige Ambulatorien und Angehörige anderer Gesundheits- und Sozialberufe stellt die Datenverarbeitung allerdings lediglich eine Nebentätigkeit dar. Vor diesem Hintergrund ist es somit fraglich, ob die Verantwortliche/der Verantwortliche einer PVE überhaupt dazu verpflichtet ist, eine Datenschutzbeauftragte/einen Datenschutzbeauftragten zu bestellen. Die Ärztekammer stellt bei der Beurteilung der Erforderlichkeit der Bestellung einer Datenschutzbeauftragten/eines Datenschutzbeauftragten bislang nicht auf die Frage nach der Kern- bzw. Nebentätigkeit, sondern primär auf die einzelne Ordinationsgröße ab. Sollten mehr als zehn Mitarbeiterinnen/Mitarbeiter (Vollzeitäquivalent) Zugriff auf personenbezogene Daten haben, ist diesem Standpunkt zufolge eine Datenschutzbeauftragte/ein Datenschutzbeauftragter zu bestellen.

Für eine PVE bedeutet dies grundsätzlich, dass dann, wenn pro Rechtsträger eines PVZ in Form eines selbstständigen Ambulatoriums oder einer Gruppenpraxis mehr als zehn Mitarbeiterinnen/Mitarbeiter (Vollzeitäquivalent) Zugriff auf personenbezogene Daten haben, eine Datenschutzbeauftragte/ein Datenschutzbeauftragter zu bestellen ist. Für als dislozierte Gruppenpraxen geführte PVN gilt Selbiges. Demgegenüber wird bei als Vereinen oder Genossenschaften geführten PVN wohl nicht primär die Anzahl der Mitarbeiterinnen/der Mitarbeiter des Rechtsträgers der PVN, sondern eher die Anzahl aller seiner Mitglieder und derer Mitarbeiterinnen/Mitarbeiter (Vollzeitäquivalent) ausschlaggebend sein.

Zur Datenschutzbeauftragten/zum Datenschutzbeauftragten darf nur bestellt werden, wer eine entsprechende Qualifikation (facheinschlägige Ausbildung oder einschlägige Berufserfahrung) nachweisen kann. Darüber hinaus muss die Datenschutzbeauftragte/der Datenschutzbeauftragte entweder bei der Verantwortlichen/beim Verantwortlichen beschäftigt sein oder ihre/seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erbringen. Außerdem sieht die DSGVO hinsichtlich deren/dessen arbeitsrechtlicher Stellung einige Besonderheiten vor. Wurde eine Datenschutzbeauftragte/ein Datenschutzbeauftragter bestellt, fungiert sie/er als Anlaufstelle für die betroffenen Personen. Sie/er überwacht darüber hinaus die Einhaltung des Datenschutzes, berät in Angelegenheiten des Datenschutzes und arbeitet mit der Datenschutzbehörde zusammen. Die Kontaktdaten der Datenschutzbeauftragten/des Datenschutzbeauftragten müssen  veröffentlicht werden, nicht jedoch der Name. Datenschutzerklärungen sind demnach nicht jedes Mal anzupassen, wenn sich die Person der Datenschutzbeauftragten/des Datenschutzbeauftragten ändert.

Die Erstellung einer Datenschutz-Folgenabschätzung

Gemäß Art 35 ist eine Datenschutz-Folgenabschätzung insbesondere bei hohem Risiko der Verarbeitung erforderlich, d. h. insbesondere bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten. In diesen Fällen hat jeder Rechtsträger eines PVZ bzw. jedes verantwortliche Mitglied eines PVN vor Aufnahme der Tätigkeit eine Datenschutz-Folgenabschätzung durchzuführen.

Sie enthält insbesondere

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
  • eine Bewertung der Risiken
  • die geplanten Abhilfemaßnahmen.

Die Erstellung sonstiger Dokumente

Werden vom Rechtsträger der PVE oder von verantwortlichen Mitgliedern des PVN Newsletter an betroffene Personen versandt, so ist deren ausdrückliche Einwilligung vorab einzuholen. Gemäß § 107 TKG sind sie darüber hinaus explizit auf die jederzeitige Widerrufsmöglichkeit der erteilten Einwilligung hinzuweisen.

Ist eine private Nutzung der IT-Infrastruktur gestattet, hat die Verantwortliche/der Verantwortliche mit ihren/seinen Mitarbeiterinnen/Mitarbeitern eine entsprechende Vereinbarung abzuschließen, in der sich diese zu einem sicheren Umgang mit der Infrastruktur und den privaten Daten verpflichten.