Unverschlüsselter Versand von Gesundheitsdaten per Einwilligung zulässig?

Fachbeitrag

Die österreichische Datenschutzaufsicht (Datenschutzbehörde) hat sich im Rahmen der Überprüfung einer Klinik eingehend mit einer Einwilligungserklärung beschäftigt, die von den Patienten eingeholt wurde. Wesentlicher Inhalt der Einwilligung war die Zustimmung zum unverschlüsselten Versand von Gesundheitsdaten an Dritte.

Einwilligung der Klinik

In unserem Blogbeitrag werden wir nur auf einen Teil des Sachverhaltes eingehen. Zum restlichen Inhalt des rechtskräftigen Bescheids der österreichischen Datenschutzbehörde – Bescheid DSB-D213.692/0001-DSB/2018 vom 16.11.18 – sei nur so viel gesagt, dass die Aufsichtsbehörde auch beanstandet hat,

  • dass die Verantwortliche Allergie-Tagesklinik D… GmbH auch gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten verstoßen habe,
  • die Informationspflichten auf der Website der Verantwortlichen nicht erfüllt worden sein
  • und die Klink bisher keine Datenschutz-Folgenabschätzungen durchgeführt habe, da sie bisher unzutreffender Weise davon ausgegangen sei, dass jedenfalls keine Datenschutz-Folgenabschätzungen durchzuführen sind.

Der Teil mit dem wir uns beschäftigen möchten ist der folgende Auszug aus der „Einwilligungserklärung zur Datenverarbeitung – Datenschutz-Gesetz“ (Hervorhebung in fett durch uns zum besseren Verständnis):

„(…) Der unverschlüsselte Versand von personenbezogenen Daten (siehe Informationsblatt zum Datenschutz auf den Seiten 2 und 3) ist gemäß Europäischer Datenschutzgrundverordnung nicht erlaubt, da der Schutz und die Integrität der Daten nicht gewährleistet werden können.

Deshalb benötigt die Allergie-Tagesklinik D… GmbH eine ausdrückliche und schriftliche Zustimmung aller Patienten und Patientinnen, um personenbezogene Daten zukünftig zu verarbeiten und unverschlüsselt zu senden und zu empfangen (Befundversand per E-Mail, telefonische Befundauskunft, etc.). (…)

x Ich bin ausdrücklich damit einverstanden, dass personenbezogene Daten (insb. Informationen über meinen Zustand bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf, meine Befunde sowie Informationen über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten) verarbeitet, gespeichert und in unverschlüsselter Form an die und von den dementsprechend relevanten Dritten geschickt werden. Die Zustimmung über den unverschlüsselten Versand kann jederzeit mit Wirkung für die Zukunft widerrufen werden. (…) Ich nehme zur Kenntnis, dass durch die Übermittlung der Daten (unberechtigte) Dritte Kenntnis über die Informationen erhalten können und diese Daten verändert werden können. Mir ist bewusst, dass dies zur Offenlegung meines Gesundheitszustandes führen kann. Mir ist bewusst, dass die Allergie-Tagesklinik D… keinerlei Haftung für die korrekte und vollständige Übermittlung der Daten übernehmen kann.“

Das x in der Einwilligungserklärung war im Original der Einwilligungserklärung ein bereits vorausgefülltes Kästchen.

Zusammenfassend geht die Klink davon aus, dass nach der DSGVO eine Pflicht zum verschlüsselten Versand von personenbezogenen Daten besteht und diese Pflicht mit einer Einwilligung der betroffenen Person abbedungen werden könnte.

Ausführungen der Aufsichtsbehörde dazu

Die Aufsichtsbehörde stellt zutreffender Weise heraus, dass die vorliegende Einwilligung unzulässig sei.

Eine etwaige Verpflichtung zur verschlüsselten Übermittlung könne nicht mit einer Einwilligungserklärung von betroffenen Personen umgangen werden. Ob eine Übermittlung verschlüsselt oder unverschlüsselt erfolge, sei eine der Datensicherheitsmaßnahmen nach Art. 32 DSGVO und somit alleine von der Verantwortlichen zu beurteilen. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DSGVO sei schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu diene, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.

Der rechtliche Hintergrund

Die österreichische Aufsichtsbehörde differenziert hier zwischen einer erforderlichen Rechtsgrundlage für die Verarbeitung personenbezogener Daten und der Umsetzung von technischen- und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung.

Aufgrund des mit der Verarbeitung von personenbezogenen Daten verbundenen Grundrechtseingriffs darf eine solche Verarbeitung grundsätzlich nur erfolgen, wenn entweder der Betroffene seine Einwilligung erteilt hat oder die Datenschutz-Grundverordnung (z.B. nach Art. 6) oder ein anderes Gesetz die Verarbeitung der personenbezogenen Daten ausdrücklich erlauben (so genanntes Verbot mit Erlaubnisvorbehalt).

Dies bedeutet, dass die Einwilligung nach Art. 6 Abs. 1 lit. a) bzw. Art. 9 Abs. 2 lit. a) DSGVO lediglich die rechtliche Grundlage dafür schafft, dass ein Verantwortlicher bestimmte personenbezogene Daten überhaupt zu einem bestimmten Zweck verarbeiten darf.

Das „Wie“ der Verarbeitung ist durch Vorliegen einer Rechtsgrundlage nicht geklärt. Jedoch hat der Verantwortliche nach Art. 32 DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Dabei ist der risikobasierte Ansatz der DSGVO zu berücksichtigen. Je sensibler die personenbezogenen Daten sind, desto größer ist auch der Schutzbedarf, der bei der Auswahl der zu treffenden Maßnahmen zugrunde zu legen ist. Ein unverschlüsselter Versand von personenbezogenen Daten ist daher nicht grundsätzlich nach der Datenschutz-Grundverordnung ausgeschlossen („verboten“), jedoch ist bei Versand von sensiblen Daten (wie Gesundheitsdaten) unter Berücksichtigung des Stands der Technik Verschlüsselung durchaus eine erforderliche Maßnahme.

Kann Art. 32 DSGVO nun abbedungen werden?

In Deutschland wurde bereits im Zusammenhang mit § 9 BDSG-alt in Literatur und Praxis darüber diskutiert, ob betroffene Personen mittels Einwilligung auf die Einhaltung technischer und organisatorischer Maßnahmen verzichten können. Dabei wurde vor allem herangezogen, dass die betroffene Person im Rahmen ihres Rechts auf informationelle Selbstbestimmung gerade selbst über die sie betreffenden Daten entscheiden können sollte und dies auch für die Datensicherheit gelte. Hierbei ist zu beachten, dass die bisher für eine Abdingbarkeit der Sicherheit angeführten Argumente nur die nationalrechtliche Perspektive widerspiegeln und nicht 1 zu 1 auf das Europarecht übertragen werden können.

Der Wortlaut des Art. 32 DSGVO stellt die Sicherheit der Datenverarbeitung jedenfalls als zwingende Pflicht dar, welche darüber hinaus auch in Art. 5 Abs. 1 lit. f) DSGVO als Grundsatz für die Verarbeitung personenbezogener Daten festgeschrieben ist.

In einem ähnlichen Fall besteht allerdings ausdrücklich die Möglichkeit aufgrund einer Einwilligung die Risiken für die Rechte und Freiheiten der betroffenen Person zu erhöhen. Nach Art. 49 DSGVO kann die Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation (bei Fehlen eines Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO und geeigneter Garantien nach Art. 46 DSGVO) auf eine ausdrückliche Einwilligung der betroffenen Person gestützt werden, wenn diese zuvor über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Das bedeutet jedoch auch hier nicht, dass die technischen und organisatorischen Maßnahmen selbst vernachlässigt werden dürften. Auch bei einer Einwilligung in die Übermittlung ins Drittland sind z.B. Dienstleister im Drittland genau zu überprüfenund auch der Versand sensibler Daten ins Drittland zu verschlüsseln.

Bis abschließend geklärt ist, ob Art. 32 DSGVO abbedungen werden kann, wird noch einige Zeit vergehen. Die DSGVO hat hier ein altes Streitthema wieder aufgewärmt und verleiht ihm durch die hohe Bußgeldandrohung bei einem Verstoß gegen Art. 32 DSGVO neue Sprengkraft. Der Bescheid aus Österreich ist nun der erste Beitrag auf europäischer Ebene zu diesem Thema.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz im Gesundheitswesen

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.