FAQs Datenschutz Stand:

Transkript

1 FAQs Datenschutz Stand: Die hier dargestellten Antworten auf FAQ basieren auf dem derzeitigen Informationsstand zur DSGVO und den nationalen Regelungen zum Datenschutz. Da derzeit noch keine gerichtlichen oder verwaltungsbehördlichen Entscheidungen zur neuen Rechtslage vorliegen und die Regelungen in vielen Bereichen einen Interpretationsspielraum zulassen, kann die Ärztekammer für Oberösterreich keine Verantwortung oder Haftung für die Richtigkeit sowie Vollständigkeit der Inhalte übernehmen. Was sind personenbezogene Daten? Die DSGVO sieht einen sehr weiten Begriff der personenbezogenen Daten vor. Es handelt sich dabei um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Was sind Gesundheitsdaten? Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Es fällt also schon die reine Inanspruchnahme einer ärztlichen Behandlung durch eine betroffene Person unter den Begriff der Gesundheitsdaten. Was bedeutet Verarbeitung von Daten? Der Begriff der Verarbeitung in der DSGVO ist ebenfalls sehr weit gefasst. Darunter ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten zu verstehen. Als Beispiele werden in der DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung angeführt. Wer ist Verantwortlicher isd DSGVO? Sie als selbständig tätige(r) Ärztin/Arzt sind Verantwortliche(r) und haften für etwaige Verstöße gegen die Datenschutzbestimmungen. Wer ist Auftragsverarbeiter? Auftragsverarbeiter ist jeder externe Dienstleister, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Banken, Rechtsanwälte, Steuerberater, etc sind idr keine Auftragsverarbeiter, sondern selbst Verantwortliche isd DSGVO.

2 Auftragsverarbeiter sind beispielsweise Softwarehersteller, IT-Support-Unternehmen, -Provider, etc, sofern diese Zugriff auf personenbezogene Daten haben. Mit Auftragsverarbeitern ist ein Vertrag abzuschließen, dessen Mindestinhalt in der DSGVO vorgegeben ist. Benötige ich eine Einwilligung des Patienten, um seine Daten zu erheben und zu speichern? Nein. Ärzte sind aufgrund des Ärztegesetzes sowie des abgeschlossenen Behandlungsvertrages berechtigt bzw verpflichtet Patientendaten zu verarbeiten. Muss ich den Patienten bei Erhebung der Daten über die Datenverarbeitung informieren? Eine Information der Patienten bei Erhebung der Daten ist - aufgrund des neu eingeführten 3b Ärztegesetz - nicht erforderlich. Kann der Patient Auskunft über die verarbeiteten Daten verlangen? Die DSGVO sieht vor, dass jeder Betroffene Auskunft darüber verlangen kann, ob und welche personenbezogenen Daten Sie über ihn verarbeiten. Das Auskunftsrecht erstreckt sich auch auf Informationen über die Verarbeitungszwecke, die verarbeiteten Datenkategorien, die Empfänger, denen die Daten offengelegt werden/wurden, die geplante Speicherdauer, die Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch), das Beschwerderecht bei der Datenschutzbehörde sowie die Datenquelle. Dem Betroffenen ist auf Verlangen eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen. Wie lange darf / muss ich die Patientendaten aufbewahren? Muss ich die Daten auf Wunsch des Patienten löschen? Das Ärztegesetz legt fest, dass die Patientendokumentation zehn Jahre aufzubewahren ist. Innerhalb dieses Zeitraumes darf einem Löschungsbegehren des Patienten nicht nachgekommen werden. Die Datenschutzgrundverordnung sieht vor, dass kein Löschungsrecht besteht, soweit die Speicherung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Da die absolute Verjährungsfrist für Schadenersatzansprüche nach dem Österreichischen Recht 30 Jahre beträgt, ist u.u. eine 30jährige Speicherung der Patientendaten gerechtfertigt. Muss ich meine Datenanwendungen einer Behörde melden?

3 Nein. Mit der DSGVO wurde das Datenverarbeitungsregister (DVR) abgeschafft. Stattdessen sind Sie als selbständig tätige(r) Ärztin/Arzt verpflichtet, ein (internes) Verzeichnis von Verarbeitungstätigkeiten zu führen (schriftlich oder elektronisch). Über Aufforderung ist das Verzeichnis der Datenschutzbehörde zur Verfügung zu stellen. Inhalt dieses Verzeichnisses sind im Wesentlichen folgende Punkte: Namen und Kontaktdaten der/des Verantwortlichen und ggf des Vertreters Die Zwecke der Verarbeitung sowie die Rechtsgrundlage Eine Beschreibung der Kategorien betroffener Personen (Patienten, Mitarbeiter, Lieferanten, etc) und der Kategorien personenbezogener Daten (Kontaktdaten, Gesundheitsdaten, etc) Die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (zb Sozialversicherungsträger, Rechtsanwälte, etc) Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien Wenn möglich, die Beschreibung der technischen und organisatorischen Maßnahmen Muss ich einen Datenverlust melden? Im Falle einer Verletzung des Schutzes personenbezogener Daten (zb Hackerangriff, Verlust Datenträger) ist unverzüglich (spätestens binnen 72 Stunden ab Kenntnisnahme) die Datenschutzbehörde zu verständigen. Diese Meldung kann unterbleiben, sofern die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies könnte beispielsweise Sofern die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, sind grundsätzlich auch die vom Datenverlust betroffenen Personen unverzüglich zu verständigen. Die Verständigung kann unter gewissen Umständen unterbleiben (zb bei Verlust eines verschlüsselten Datenträgers) Muss ich einen Datenschutzbeauftragten benennen? Nach der DSGVO ist ein u.a. dann ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten) liegt. In Erwägungsgrund 91 zur DSGVO ist hierzu festgehalten, dass eine Verarbeitung nicht als umfangreich gelten sollte, wenn die Verarbeitung von Patientendaten durch einen einzelnen Arzt erfolgt.

4 Aus diesem Grund gehen wir davon aus, dass in einer Standard -Einzelordination die Benennung eines Datenschutzbeauftragten nicht erforderlich ist. Wie dies bei Gruppenpraxen, PVE, etc aussieht, ist nicht abschließend geklärt. Als Richtlinie könnte hier möglicherweise die Regelung im deutschen BDSG herangezogen werden. Diese sieht vor, dass der Verantwortliche einen Datenschutzbeauftragten zu benennen hat, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Muss ich eine Datenschutz-Folgenabschätzung durchführen? Sofern eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Dies ist insbesondere dann erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten) gegeben ist. Wie bei der Pflicht zur Benennung eines Datenschutzbeauftragten ausgeführt, ist bei Standard -Einzelordinationen keine umfangreiche Verarbeitung vor, sodass eine Datenschutz-Folgenabschätzung nicht als erforderlich erachtet wird. Bei Gruppenpraxen, PVE, etc herrscht hier jedoch noch Unklarheit. Ist eine Fax-Übermittlung zwischen Ärzten, Krankenanstalten, Pflegeheimen und Sozialversicherungsträgern zulässig? Das Gesundheitstelematikgesetz lässt die Faxübermittlung derzeit unter folgenden Voraussetzungen noch zu: Gemäß 27 Abs 12 Gesundheitstelematikgesetz dürfen Gesundheitsdaten ausnahmsweise per Fax übermittelt werden, wenn die Faxanschlüsse vor unbefugtem Zugang geschützt sind, die Rufnummern regelmäßig auf Aktualität geprüft werden, automatische Weiterleitungen deaktiviert sind, die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind. Diese erleichterten Bedingungen können jedoch nicht in Anspruch genommen werden, wenn die nach dem 2. Abschnitt des Gesundheitstelematikgesetzes erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten zumutbar sind.

5 Darf ich bei Ordinationsübergabe /-übernahme die Patientendaten an den Nachfolger übergeben bzw vom Vorgänger übernehmen? Gemäß 51 Abs 4 ÄrzteG kann die Dokumentation dem Kassenplanstellennachfolger bzw. dem Ordinationsstättennachfolger übergeben werden. Eine Einwilligung der Patienten ist hierfür nicht erforderlich. Eine Weiterverwendung ist aber nur zulässig, wenn der jeweilige Patient in die Weiterverwendung eingewilligt hat. Der Patient ist daher vor Beginn der ersten Behandlung durch den Nachfolger zu fragen, ob er in die alten Patientenakte Einsicht nehmen darf.