Handbuch für Primär-Versorgungs-Einheiten

Unter personenbezogene Daten fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche (oder juristische[1]) Person beziehen. Dies können sein: Name, Adresse, Telefonnummer, E-Mail-Adresse uvm.

Besondere Kategorien personenbezogener Daten

Ärztinnen/Ärzte, Gruppenpraxen, selbstständige Ambulatorien sowie andere nichtärztliche Angehörige von Gesundheits- und Sozialberufen haben im Umgang mit den Patientinnen und Patienten und sohin in ihrem Arbeitsalltag sogar mit sogenannten besonderen Kategorien personenbezogener Daten zu tun. Bei diesen vormals als „sensible Daten“ bezeichneten Informationen handelt es sich um eine Teilmenge der personenbezogenen Daten. Ihnen kommt ein höherer Schutz zu, da sie die ethnische Herkunft, politische Meinung, Religion, Gewerkschaftszugehörigkeit, die sexuelle Orientierung sowie insbesondere die Gesundheit der Person betreffen.

Im Gesundheitsbereich fallen unter besondere Kategorien personenbezogener Daten beispielsweise Patientenbefunde, Sozialversicherungsnummern, Diagnosen, Behandlungsinformationen, Proben von Patientinnen und Patienten, ärztliche Bestätigungen und Atteste, genetische und biometrische Daten uvm.

Verarbeitung personenbezogener Daten

Unter Verarbeitung versteht das Gesetz das Erheben, das Erfassen, die Organisation, das Ordnen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung sowie die Einschränkung, das Löschen und die Vernichtung der Daten. Nicht von Bedeutung dabei ist, ob die Verarbeitung mit oder ohne Hilfe automatisierter Verfahren durchgeführt wird.

Letzteres hat zur Folge, dass nicht nur sämtliche personenbezogene Daten unter das Regime der DSGVO fallen, die beispielsweise in einem elektronisch geführten Patientenakt gespeichert werden, sondern auch all jene personenbezogenen Daten, die in physischen Akten systematisch aufbewahrt werden.

Praktisch heißt das, dass jedes strukturierte Aufbewahren von personenbezogenen Daten, ob elektronisch oder analog (z.B. Patientenakten oder Personalakten), aber auch jede Weiterleitung an einen Dritten (z.B. Befundübermittlung) eine Verarbeitung darstellt.

Für jede Datenverarbeitung ist nach der DSGVO eine Rechtsgrundlage erforderlich. Sohin gilt – „Jede Datenverarbeitung ist grundsätzlich verboten, außer sie ist erlaubt“. Hierbei ist jedoch zu berücksichtigen, dass die Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten und sohin von Gesundheitsdaten besonders eingeschränkt sind.

Was gilt als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten?

Als Rechtsgrundlagen für die Verarbeitung von Gesundheitsdaten kommt insbesondere Nachstehendes in Betracht:

  • die ausdrückliche Einwilligung des Betroffenen (diese kann jedoch jederzeit widerrufen werden)
  • die Notwendigkeit der Datenverarbeitung für die Ausübung von Rechten oder die Erfüllung von Pflichten im Bereich des Arbeits- und Sozialrechts, sei es durch den Verantwortlichen, sei es durch die betroffene Person (z. B.: Erfassung der Krankheitstage)
  • die lebensnotwendigen Interessen des Betroffenen, ohne dass die betroffene Person ihre Einwilligung (aus körperlichen oder rechtlichen Gründen) erteilen kann
  • die Ausübung oder Verteidigung von Rechtsansprüchen
  • das erhebliche öffentliche Interesse; dieses bedarf einer gesetzlichen Grundlage
    (z. B.: gesetzlich vorgesehene Melde- und Anzeigepflichten nach dem AIDS-Gesetz, Tuberkulosegesetz etc.)
  • Die Verarbeitung von Gesundheitsdaten ist aber jedenfalls auch dann gerechtfertigt, wenn sie für Zwecke der Gesundheitsvorsorge, der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich, oder aufgrund eines Vertrages mit Angehörigen eines Gesundheitsberufs erforderlich ist und die Daten für diese Zwecke von Fachpersonal, welches der Berufs- oder sonstigen Geheimhaltungspflicht unterliegt, oder unter dessen Verantwortung verarbeitet werden; auch hierfür bedarf es entsprechender gesetzlicher Grundlagen (z. B.: Dokumentationspflichten gemäß §§ 51 ff ÄrzteG, Verarbeitungsmöglichkeiten in ELGA nach dem GTelG 2012)

Was gilt als Rechtsgrundlage für die Verarbeitung „normaler“ personenbezogener Daten?

Als Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten, die keine besonderen Kategorien personenbezogener Daten (also keine Gesundheitsdaten, sondern beispielsweise Daten von den Lieferantinnen/den Lieferanten oder den Mitarbeiterinnen/den Mitarbeitern, wie Rechnungsdaten, Namen, E-Mail-Adressen etc.) darstellen, kommen demgegenüber beispielsweise bereits

  • die Erfüllung eines Vertrages oder
  • die Wahrung berechtigter Interessen

in Betracht.

Gibt es eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten innerhalb eines PVN?

Für gewöhnlich haben niedergelassene Ärztinnen/Ärzte sowie Gruppenpraxen, selbstständige Ambulatorien und nichtärztliche Angehörige von Gesundheits- und Sozialberufen, die nicht Mitglied eines PVN sind, für die Übermittlung von Gesundheitsdaten an eine andere Behandlerin/einen anderen Behandler stets vorab die Einwilligungserklärung des Betroffenen einzuholen, da diese Datenübermittlung in der Regel nicht vom Behandlungsvertrag gedeckt ist. Anders ist dies allerdings in jenen Fällen, in denen die Datenübermittlung zur Erfüllung der Pflichten aus dem Behandlungsvertrag notwendig und von diesem demnach auch umfasst ist.

Anders ist dies weiters bei PVN, bei denen der Behandlungsvertrag nicht mit dem Rechtsträger der PVE, sondern mit deren Mitgliedern geschlossen wird (Verein, Genossenschaft) sowie bei PVZ. In diesen Fällen stellen § 12 PrimVG iVm § 3 Abs 2 iVm 24a GTelG die gesetzliche Grundlage für die Weitergabe von Gesundheitsdaten an die in diesem Fall eingebundene Behandlerin/den eingebundenen Behandler innerhalb der PVE dar.

Dem Gesetzeswortlaut zufolge ist die PVE in diesem Zusammenhang verpflichtet, Vorsorge dafür zu treffen, dass die Weitergabe für die Patientin/den Patienten ersichtlich ist. Darüber hinaus ist in jenen Fällen, in denen der Behandlungsvertrag mit dem Mitglied eines PVN abgeschlossen wird, auch das Mitglied als datenschutzrechtlicher Verantwortlicher dazu angehalten, zur Wahrung seiner datenschutzrechtlichen Pflichten gemäß Art 14 DSGVO der Patientin/dem Patienten diese Weitergabe von Gesundheitsdaten an die Behandlerin/den Behandler innerhalb des PVN zur Kenntnis zu bringen.


[1] Daten, welche sich auf juristische Personen beziehen, sind von der DSGVO nicht umfasst.