4. Juli 2019 Latido

Update Datenschutz #1 – Nutzung von Online-Kalendern zur Terminadministration

Online-Kalender werden in Wahlarzt-Ordinationen häufig zur Terminadministration eingesetzt. In regelmäßigen Abständen werden wir von Interessenten und Kunden gefragt, ob eine Nutzung von Cloud-Kalendern für den Arzt rechtlich zulässig ist. Gemeinsam mit ao Univ.Prof. Dr. Dietmar Jahnel, Professor an der Universität Salzburg, sind wir dieser Frage nachgegangen.

 Die Vorteile von Online-Kalendern

Online-Kalender werden in der Praxis häufig verwendet, da diese die Terminorganisation zwischen Arzt und Ordinationsassistenz erheblich erleichtern. Die Ordinationsassistenz kann telefonisch Terminanfragen von Patienten entgegennehmen und in den Ordinationskalender des Arztes eintragen. Der Arzt kann seinen Terminkalender von überall einsehen und bleibt dadurch stets über seine bevorstehenden Patiententermine up-to-date. Die Daten (Termine) werden hierbei zum Server des jeweiligen Cloud-Kalender-Betreibers übertragen und dort gespeichert.

Zulässigkeit von Online-Kalendern

Grundsätzlich können Cloud-Dienste sowohl zur Speicherung von Patientendaten als auch zur Speicherung von Patiententerminen verwendet werden – vorausgesetzt die gesetzlichen Regelungen werden erfüllt. Der Umfang der gesetzlichen Bestimmungen richtet sich danach, ob Gesundheitsdaten übertragen und gespeichert werden. Für die Übermittlung von Gesundheitsdaten gelten gemäß GTelG 2012 wesentlich strengere Maßstäbe.

Handelt es sich bei Termineinträgen um Gesundheitsdaten?

Bei Gesundheitsdaten handelt es sich um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art 4 Z 15 DS-GVO). Aktuell gibt es noch keine Rechtsprechung der DSB oder der übergeordneten Gerichte zur Auslegung des Begriffs „Gesundheitsdaten“. Aus diesem Grund möchten wir darauf hinweisen, dass es sich bei der nachfolgenden Argumentation lediglich um eine vorläufige Einschätzung von unserem Rechtsgutachter handelt.

In der Praxis werden im Zuge von Terminvereinbarung neben Vornamen, Nachname und Uhrzeit des Termins regelmäßig auch weiterführende und für den Arzt wichtige Informationen (z.B: Grund des Arztbesuches, Informationen zu Symptomen, etc.) aufgenommen und gespeichert. Diese zusätzlichen Informationen können unserer Ansicht nach einen Rückschluss auf den Gesundheitszustand eines Patienten erlauben. Somit handelt es sich bei den verarbeiteten Daten (Termineinträgen im Online-Kalender) oftmals um Gesundheitsdaten iSd GTelG 2012, mit der Folge, dass die strengen Vorgaben des GTelG 2012 zur Anwendung gelangen.

Verarbeitung von Gesundheitsdaten gemäß GTelG 2012

Das Gesundheitstelematikgesetz GTelG enthält als „lex specialis“ Sonderbestimmungen (§ 3 GTelG und § 6 GTelG 2012) für die elektronische Weitergabe von Gesundheitsdaten. Insbesondere erfordert das GTelG die verschlüsselte Übertragung und Speicherung von Gesundheitsdaten. Als Verantwortlicher im Sinn des Gesetzes hat der Arzt die Pflicht sicherzustellen, dass die Daten vom Online-Kalender-Anbieter verschlüsselt übertragen und gespeichert werden und somit die gesetzlichen Voraussetzungen entsprechend erfüllt werden.

Ergänzende Bestimmungen bei Verwendung von Cloud-Speichern in Drittländern

Große, weltweit tätige Anbieter von Cloud-Kalendern betreiben häufig Server-Zentren in Drittländern (z.B: außerhalb der EU). Sollte Ihr Anbieter die Daten in ein Drittland übertragen und speichern, sind zusätzlich zu den Vorgaben des GTelG die ergänzenden Bestimmungen des Art 44ff und Art 27 DS-GVO anzuwenden. Eine Übertragung und Speicherung in Drittländern (z.B: USA) ist somit nur dann zulässig, wenn für solche Länder ein sog. Angemessenheitsbeschluss der EU-Kommission vorliegt (für die USA ist dies der sog. „Privacy Shield“).

Kann der Patienten mittels Einverständniserklärung einer Nutzung dieser Dienste durch den Arzt zustimmen?

Seit dem Inkrafttreten der DS-GVO werden Patienten in Arztpraxen regelmäßig umfängliche Einverständniserklärungen ausgehändigt. Der Patienten soll durch seine Unterschrift eine Rechtsgrundlage für die Datenverarbeitung durch den Arzt schaffen. Eine derartig schriftliche Einverständniserklärung des Patienten kann den Arzt jedoch nicht von ausdrücklichen gesetzlichen Verpflichtungen betreffend der Übermittlung und Speicherung von Gesundheitsdaten (Verschlüsselungspflicht iSd GTelG 2012) oder sonstigen erforderlichen Datensicherheitsmaßnahmen entbinden und ist im Ergebnis unzulässig! Somit dürfen auch mit Einwilligung des Patienten Gesundheitsdaten durch den Arzt nicht entgegen den Vorgaben des GTelG 2012 (z.B. unverschlüsselte Übertragung und Speicherung) und der DS-GVO verarbeitet werden! Dies wurde inzwischen von der Datenschutzbehörde bestätigt: DSB 16.11.2018, DSB-D213.692/0001-DSB/2018

Es drohen erhebliche Folgen bei Verstößen

Bei Verstößen gegen die Datenschutzbestimmungen (GTelG und DS-GVO) können nach der aktuellen Rechtslage erhebliche Geldbußen in der Höhe von bis zu EUR 20 Mio oder bis zu 4 Prozent des Jahresumsatzes verhängt werden (Art 83 Abs 3 und 4 DS-GVO) – je nachdem, welcher der Beträge im Einzelfall höher ist. Die Risiken sind für Ärzte somit nicht unerheblich und können im Ergebnis existenzbedrohend sein.

Zusammenfassung – Einzelfallprüfung erforderlich!

Zusammenfassend lässt sich sagen, dass die Nutzung von Cloud-Kalendern grundsätzlich erlaubt ist, sofern die gesetzlichen Voraussetzungen der DS-GVO (keine Datenverarbeitung in Drittländern ohne Angemessenheitsbeschluss) und des GTelG 2012 (verschlüsselte Datenübertragung und Datenspeicherung) erfüllt sind. Die Einhaltung der gesetzlichen Bestimmungen obliegt dem Arzt als Verantwortlicher im Sinne des Gesetzes. Selbst mit schriftlicher Einwilligung des Patienten dürfen Ärzte Gesundheitsdaten nicht entgegen den gesetzlichen Bestimmungen verarbeiten. Um allfälligen Strafen vorzubeugen, empfehlen wir Ihnen, Ihre Kalenderlösung unbedingt auf die gesetzlichen Voraussetzungen zu überprüfen!

Wichtiger Hinweis

Hinzuweisen gilt, dass es sich bei den obigen Ausführungen um unsere Rechtsansicht und Interpretation der gesetzlichen Vorgaben handelt. Eine ständige Rechtsprechung gibt es zu diesem Thema bis dato noch nicht.

In Sachen Datenschutz immer up-to-date mit Latido!

Sind Sie an weiteren Informationen zum Thema Datenschutz in der Ordination interessiert? Mit Latido sind Sie stets auf der (rechts)sicheren Seite! Haben Sie weitere Fragen zu unserer Wahlarzt-Software? In einem persönlichen Gespräch zeigen wir Ihnen unsere Wahlarzt-Software mit integrierter Online-Terminverwaltung und informieren Sie gerne zum Thema Datenschutz. Kontaktieren Sie uns einfach!


Tagged:

Kontaktieren Sie uns!

Wir freuen uns über Ihr Interesse und beantworten unverzüglich Ihre Anfragen - garantiert!

Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies zu.  Datenschutzerklärung

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close