Instant-Messenger-Dienste gehören zu unserem täglichen Leben. Doch ist die Nutzung solcher Dienste in einer Arztpraxis überhaupt zulässig? Seit dem Inkrafttreten der DS-GVO im Mai 2018 beschäftigt diese Fragen zahlreiche Wahlärzte in Österreich. Wir haben diese Frage aufgegriffen und haben gemeinsam mit ao Univ.Prof. Dr. Dietmar Jahnel, Professor für Datenschutzrecht an der Universität Salzburg, die Rechtslage analysiert.
Die Vorteile von Instant-Messenger-Diensten im Überblick
Instant-Messenger-Dienste (wie zum Beispiel Whatsapp) werden häufig in Wahlarzt-Ordinationen eingesetzt. Kein Wunder, denn die Vorteile liegen auf der Hand. Sollten Sie derartige Dienste in Ihrer Wahlarzt-Ordination verwenden, müssen Sie jedoch darauf achten, dass die gesetzlichen Regelungen eingehalten werden. Die Übermittlung von Nachrichten an den Patienten stellt eine Datenverarbeitung dar. Die Rechtmäßigkeit der Übermittlung hängt von der Erfüllung bestimmter Voraussetzungen ab.
Die Zulässigkeit von Instant-Messenger-Diensten in der Ordination
Die Zulässigkeit der Nutzung von Instant-Messenger-Diensten hängt wie der Versand von SMS- und E-Mail-Terminerinnerungen maßgeblich vom Inhalt der Nachricht ab. In jedem Fall müssen die gesetzlichen Bestimmungen der DS-GVO eingehalten werden und für jede Datenverarbeitung ein gesetzlicher Rechtmäßigkeitstatbestand vorliegen. Sollten über Messenger-Dienste auch Gesundheitsdaten übertragen werden, müssen zusätzlich die strengeren Regelungen des GTelG 2012 (verschlüsselte Übertragung und Speicherung) eingehalten werden. In jedem Fall benötigt der Arzt für die Verarbeitung der Daten einen Auftragsverarbeitungsvertrag (Art 28 DS-GVO) mit dem Messenger-Dienst-Anbieter.
Wann handelt es sich um Gesundheitsdaten?
Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art 4 Z 15 DS-GVO). Aktuell gibt es noch keine Rechtsprechung der DSB oder der übergeordneten Gerichte zur Auslegung des Begriffs „Gesundheitsdaten“. Aus diesem Grund möchten wir darauf hinweisen, dass es sich bei der nachfolgenden Argumentation lediglich um eine vorläufige Einschätzung von unserem Rechtsgutachter handelt.
Im Einzelfall ist darauf zu achten, dass der Arzt keine Daten überträgt, welche einen Rückschluss auf den Gesundheitszustand eines Patienten ermöglichen, da ansonsten die strengen Anforderungen des GTelG 2012 insbesondere im Hinblick auf die verschlüsselte Übertragung und Speicherung der Daten zur Anwendung gelangen. Einige Instant-Messenger-Dienste verschlüsseln mittlerweile die Inhalte der übertragenen Nachrichten, jedoch werden dabei regelmäßig Metadaten nicht verschlüsselt. Diese Metadaten dürfen nach § 6 Abs 2 GTelG 2012 keine Hinweise auf die betroffene Person bzw. auf allfällige Authentifizierungsdaten enthalten. Aufgrund einer mangelhaft verschlüsselten Übertragung und Speicherung ist unserer Meinung nach davon auszugehen, dass der Versand von Gesundheitsdaten über Instant-Messenger-Dienste nicht zulässig ist.
Rechtmäßigkeitstatbestände für den Versand von Instant-Messages
In einem letzten Schritt ist zu prüfen, welche Rechtmäßigkeitstatbestände für die Nutzung von Instant-Messenger-Diensten herangezogen werden können, wenn keine Gesundheitsdaten übertragen werden. Hier können grundsätzlich zwei unterschiedliche Tatbestände herangezogen werden. Erstens kann die Erfüllung eines Behandlungsvertrags (Art 6 Abs 1 lit b) als Rechtmäßigkeitstatbestand geltend gemacht werden. Zweitens lässt sich über das berechtige Interesse des Arztes (Art 6 Abs 1 lit f) ein dementsprechender Rechtmäßigkeitstatbestand argumentieren. Dank dieser beiden Rechtmäßigkeitstatbeständen dürfen Instant-Messenger-Dienste gemäß der DS-GVO genutzt werden, solange keine Gesundheitsdaten übertragen werden. Allerdings sollte zusätzlich folgender Absatz bei der Beurteilung der Rechtmäßigkeit beachtet werden.
Automatischer Abgleich des Telefonbuchs
Bei der Nutzung von gängigen Messenger-Diensten werden in regelmäßigen Abständen die Telefonnummer aus dem Telefonbuch des Nutzers (Arzt) an den Instant-Messenger-Dienst-Anbieter übertragen. Dabei handelt es sich aus datenschutzrechtlicher Sicht ebenfalls um eine Datenverarbeitung. Die Personen, deren Namen und Telefonnummer an den Messenger-Dienst übermittelt werden, sind deshalb Betroffene iSd DS-GVO. Der Arzt, welcher den Instant-Messenger-Dienst nutzt und aus dessen Telefonbuch die Nummern übermittelt werden, ist Verantwortlicher iSd DS-GVO. Eine Übermittlung von Namen und Telefonnummer ist nur dann zulässig, wenn eine Einwilligung aller betroffenen Personen (Patienten) vorliegt. Der Arzt müsste somit von allen in seinem Telefonbuch gespeicherten Kontakten (Betroffenen) eine Einwilligung einholen, damit er Instant-Messaging-Dienste rechtmäßig in seiner Ordination einsetzen darf.
Folgenschwere Strafen bei Verstößen gegen Datenschutzbestimmungen
Bei Verstößen gegen die Datenschutzbestimmungen (GTelG und DS-GVO) können nach der aktuellen Rechtslage erhebliche Geldbußen in der Höhe von bis zu EUR 20 Mio oder bis zu 4 Prozent des Jahresumsatzes verhängt werden (Art 83 Abs 3 und 4 DS-GVO) – je nachdem, welcher der Beträge im Einzelfall höher ist. Die Risiken sind für Ärzte somit nicht unerheblich und können im Ergebnis existenzbedrohend sein.
Zusammenfassung
Die Nutzung von gängigen Instant-Messenger-Diensten ist aus datenschutzrechtlicher Sicht auf mehreren Ebenen bedenklich und in der Ordination nicht zu empfehlen! Denn im Zuge der Nutzung von Instant-Messaging-Diensten kommt es zu einem automatischen Austausch von Kontaktdaten des Telefonbuchs, welche ohne die Einwilligung aller im Telefonbuch enthaltenen Kontakte (Patienten) nicht zulässig ist. Darüber hinaus ist der Versand von Gesundheitsdaten über Instant-Messaging-Dienste nicht zulässig, da unserem Wissensstand nach die strengen Voraussetzungen des GTelG 2012 nicht eingehalten werden. Weiters wird es in der Praxis schwierig sein, mit dem Messenger-Dienst-Anbieter einen schriftlichen Auftragsverarbeitungsvertrag über die Verarbeitung der Daten abzuschließen. Im Ergebnis raten wir insbesondere auch aufgrund der existenzbedrohlichen Strafen dringend von einer Nutzung von Instant-Messenger-Diensten ab!
Wichtiger Hinweis
Hinzuweisen gilt, dass es sich bei den obigen Ausführungen um unsere Rechtsansicht und Interpretation der gesetzlichen Vorgaben handelt. Eine ständige Rechtsprechung gibt es zu diesem Thema bis dato noch nicht.
Wir halten Sie am Laufenden
Sind Sie an weiteren Informationen zum Thema Datenschutz in der Ordination interessiert? Mit Latido sind Sie stets auf der (rechts)sicheren Seite! Haben Sie weitere Fragen zu unserer Wahlarzt-Software? Dann kontaktieren Sie uns jetzt!