Datenschutzbehörde Österreich: Einwilligung in den unverschlüsselten Versand von Patientendaten ist unwirksam


Die österreichische Datenschutzbehörde hatte sich in einer kürzlich veröffentlichten Entscheidung mit den Pflichten einer Allergie-Tagesklinik im Umgang mit Patientendaten nach der EU-Datenschutzgrundverordnung (DSGVO) auseinanderzusetzen. Darin rügte sie die Klinik wegen verschiedener Pflichtverletzungen und verdeutlichte, dass gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten strenge Anforderungen gelten. Die Datenschutzbehörde stellte auch klar, dass Einwilligungserklärungen den (hohen) Anforderungen der DSGVO genügen müssen und dass eine Einwilligung der betroffenen Person nicht dazu dienen kann, um (ungenügende) Datensicherheitsmassnahmen zu rechtfertigen.
 

Verfahren gegen Tagesklinik

Die in der Entscheidung der österreichischen Datenschutzbehörde (DSB-D213.692/0001-DSB/2018) gerügte Tagesklinik betreibt Diagnostik und die Therapie von allergischen Erkrankungen und beschäftigt zahlreiche Mitarbeiter, darunter siebzehn Ärzte. Auf ihrer Website holt sie über eine Einwilligungserklärung die Einwilligungen der Patienten zur Datenverarbeitung von den Patienten ein. Dazu stellt sie den betroffenen Personen verschiedene Informationen zur Verfügung.

Die Datenschutzbehörde kam bei der datenschutzrechtlichen Prüfung jedoch zum Schluss, dass die Tagesklinik in verschiedenen Bereichen gegen die DSGVO verstösst, insbesondere gegen die Pflicht zur Bestellung eines Datenschutzbeauftragen, gegen die Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen für gewisse Datenverarbeitungen, gegen die Informationspflichten und schliesslich gegen die Voraussetzungen zur Einholung einer Einwilligung bei den Patienten zur Datenverarbeitung.
 

Bestellung eines Datenschutzbeauftragten bei umfangreicher Datenverarbeitung

Die Tagesklinik war der Ansicht, dass sie keinen Datenschutzbeauftragten hätte bestellen müssen, da dies für Ärzte aufgrund ihrer Kerntätigkeit freiwillig sei. Sie verwies dazu auf Informationen der österreichischen Wirtschaftskammer WKO. Die Datenschutzbehörde hielt jedoch fest (vgl. Erwägung D.2.), dass nach Art. 37 Abs. 1 lit. c DSGVO in jedem Fall ein Datenschutzbeauftragter zu bestellen sei, wenn besondere Kategorien von personenbezogenen Daten, wie z.B. Patientendaten „umfangreich“ verarbeitet würden. Was unter „umfangreicher Verarbeitung“ verstanden werden muss, sei zwar noch nicht restlos geklärt. Die Tagesklinik hätte aber aufgrund ihres Geschäftsmodells ohne weiteres zum Schluss kommen müssen, dass sie mit siebzehn Tagesärzten, vierzehn weiteren Mitarbeitern und Beratern sowie der Verarbeitung von Gesundheitsdaten über mindestens 10 Jahre durchaus „umfangreich“ Daten verarbeitet. Dem ist zuzustimmen. Die Erwägungsgründe zur DSGVO führen zur „umfangreichen“ Datenverarbeitung zudem weiter aus, dass die Verarbeitung durch einen einzelnen Arzt nicht als „umfangreich“ gelten könne – auch dies ein deutlicher Hinweis, dass bei siebzehn Ärzten umfangreiche Verarbeitungsvorgänge anzunehmen sind und damit nach Art. 37 DSGVO ein Datenschutzbeauftragter zu bestellen ist.
 

Informationspflichten und Datenschutz-Folgenabschätzung

Die Datenschutzbehörde befand sodann, dass die Tagesklinik ihre Informationspflichten verletzt habe (vgl. Erwägung D.4.), da sie in den Datenschutzinformationen nicht strukturell unterschieden habe, ob die Informationen nach Art. 13 DSGVO oder Art. 14 DSGVO erteilt würden. Den Patienten sei damit nicht klar, ob die Daten direkt bei der betroffenen Person und somit bei den Patienten selbst (Art. 13 DSGVO) oder bei Dritten (Art. 14 DSGVO) erhoben würden. Aus Sicht der Betroffenen sei es jedoch erforderlich, aus der Erklärung über die Datenverarbeitung zweifelsfrei entnehmen zu können, welche Quellen zur Datenerhebung herangezogen wurden. Insofern wurde die Informationspflicht nicht zuletzt aufgrund mangelnder Transparenz verletzt.

Ob die Tagesklinik tatsächlich eine Datenschutz-Folgenabschätzung hätte vornehmen müssen, klärt die Datenschutzbehörde in ihrem Entscheid nicht abschliessend (vgl. Erwägung D.5.). Die Tagesklinik habe sich jedoch ohne Weiteres  auf eine Ausnahmebestimmung in einer Ausführungsverordnung der österreichischen Datenschutzbehörde berufen und nicht einmal eine Prüfung einer allfälligen Pflicht zur Erstellung einer Datenschutz-Folgenschabschätzung vorgenommen. Bereits aus diesem Grund sei Art. 35 DSGVO verletzt. Die Ausführungen der Aufsichtsbehörde verdeutlichen, dass bereits der Prüfung, ob eine Datenschutz-Folgenabschätzung vorzunehmen sei, gewichtige Bedeutung zukommt und auch bei allfälligen Ausnahmebestimmungen sorgfältig abzuklären ist, ob die eigene Unternehmung tatsächlich von einer Ausnahme profitieren kann. Um den Dokumentationspflichten der DSGVO nachzukommen, ist es diesbezüglich ratsam die Abklärung, ob eine Datenschutz-Folgeabschätzung durchgeführt werden muss oder nicht, zu dokumentieren und aufzubewahren.
 

Unwirksame Einwilligung und Verstoss gegen Vorgaben zur Datensicherheit

Aufschlussreich für die Praxis und von erheblicher Bedeutung sind schliesslich die Ausführungen zur Einwilligungserklärung, welche die Tagesklinik von ihren Patienten eingeholt hatte. Dazu verwendete die Tagesklinik eine „Einwilligungserklärung zur Datenverarbeitung“ in welcher sie ausführte, dass nach der DSGVO der unverschlüsselte Versand personenbezogener Daten nicht erlaubt sei, weswegen die Patienten hierfür eine gültige Einwilligung erteilen müssten. Ebenfalls sollten Patienten mit dieser Einwilligungserklärung ihr unwiderrufliches Einverständnis dazu geben, dass die Tagesklinik andere nicht namentlich genannte Dritte zur Erbringung vereinbarter Dienstleistungen beiziehen könne und zur Kenntnis genommen werde, dass bei der Übermittlung der personenbezogenen Daten Dritte davon Kenntnis erhalten sowie die Daten verändert werden könnten.

Die Ausführungen der Datenschutzbehörde, wieso ihrer Ansicht nach unklar bleibt, für welche konkreten Datenverarbeitungen die Einwilligung die Rechtsgrundlage sei, sind bedauerlicherweise etwas unübersichtlich (vgl. Erwägungen D.3.). Für die Gültigkeit der Einwilligung eines Betroffenen in eine Datenverarbeitung ist jedoch in Erinnerung zu rufen, dass diese nur gültig erfolgen kann, wenn sie auf hinreichenden Informationen beruht. Die betroffene Person muss wissen wozu, d.h. für welche Datenverarbeitung sie einwilligt. Die Datenschutzbehörde stört sich daran, dass zwar angeführt wird, die Verarbeitung beruhe auf einer Einwilligung des Patienten, aber auch andere Rechtsgrundlagen genannt werden, ohne jedoch zu spezifizieren, welche konkrete Verarbeitung auf welcher Rechtsgrundlage beruht. Zumindest im Text der Einwilligungserklärung sind allerdings einigermassen konkrete Datenverarbeitungen genannt. Anders verhält es sich jedoch mit den weiteren Informationen, die auf den Seiten 2 und der Einwilligungserklärung abgedruckt sind. Darin wurden, wie in der Praxis häufig anzutreffen, in einem allgemeinen Abschnitt bloss die verschiedenen in der DSGVO vorgesehen Rechtsgrundlagen aufgeführt, ohne aber zu präzisieren, für welche konkreten Verarbeitungen diese gelten sollen. Ob die Behörde somit einen Widerspruch der Texte beanstandet oder aber auch die Informationen über die Datenverarbeitungen im Einwilligungstext als ungenügend betrachtet, ist somit unklar. Das Ergebnis der Beurteilung vermag aber letztlich nicht zu überraschen zustimmen. Denn auch zur Einhaltung der Informationspflichten nach Art. 13 und 14 DSGVO muss nicht nur über die Zwecke der Verarbeitung informiert werden, sondern auch über die Rechtsgrundlage, auf welche sich die Verarbeitung stützt. Die blosse Aufzahlung der der verschiedenen Rechtsgrundlagen ohne nähere Spezifizierung kann hierfür nicht genügen.

Bedeutsam ist ferner auch die Feststellung der Datenschutzbehörde, dass die Vornahme – oder Nichtvornahme – von Datensicherheitsmassnahmen keiner Einwilligung der Betroffenen zugänglich sei und nicht herangezogen werden könne, um zum Nachteil der Betroffenen davon abzuweichen. Ob eine Übermittlung in verschlüsselter Form erfolgen könne oder nicht, sie keine Frage des Vorliegens einer Einwilligung, sondern eine Frage der Datensicherheitsmassnahmen (Art. 32 DSGVO, Sicherheit der Verarbeitung) und somit in der alleinigen Entscheidung des Verantwortlichen. Das Gleiche gelte, wenn für die Verarbeitung Dritte beigezogen werden. Dabei handle es sich nämlich der Sache nach um das Heranziehen von Auftragsverarbeitern, wobei die Vorgaben nach Art. 28 DSGVO zu berücksichtigen seien. Die Entscheidung, ob ein Auftragsverarbeiter herangezogen wird, obliege ebenfalls alleine den Verantwortlichen, welchen auch die Pflicht zur sorgfältigen Auswahl und zum Abschluss eines Vertrages mit bestimmtem Inhalt mit dem Auftragsverarbeiter auferlegt werde. Folglich sei die Heranziehung von Auftragsverarbeitern einer Einwilligung von Betroffenen nicht zugänglich, weshalb eine diesbezügliche Einwilligung auch nicht rechtswirksam erteilt werden könne.

Schliesslich wird im Entscheid auch festgestellt, dass eine „unwiderrufliche“ Einwilligung nicht verlangt werden könne. Nach der DSGVO ist eine Einwilligung der betroffenen Person jederzeit mit Wirkung für die Zukunft widerrufbar. Somit ist eine „unwiderrufliche“ Einwilligung, sollte sie dennoch erteilt werden, für die betroffene Person nicht verbindlich (Art. 7 DSGVO, Anforderungen an eine rechtsgültige Einwilligung).
 

Fazit und Anmerkungen

Die Entscheidung verdeutlicht einmal mehr die hohen Anforderungen an die Erfüllung der Informationspflichten und an die Gültigkeit von Einwilligungen nach der DSGVO. Bei der Auflistung der vorgenommenen Datenverarbeitungen ist stets auf die einschlägige Rechtsgrundlage zu verweisen und zwar für jede Verarbeitungstätigkeit einzeln. Gleichzeitig liefert der Fall auch Anschauungsmaterial dafür, dass die Anforderungen gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheitsdaten zusätzlich erhöht sind. Hierbei gilt es insbesondere auch klar zu unterscheiden zwischen dem Erfordernis, jede Datenverarbeitung auf eine Rechtsgrundlage abstützen zu können, und den Anforderungen an die Datensicherheit, wie z.B. der Verschlüsselung von Datenübermittlungen. Die Entscheidung macht klar, dass eine Einwilligung kein taugliches Instrument ist, um von den Datensicherheitsmassnahmen zu Ungunsten der betroffenen Personen abzuweichen. Die Entscheidung, mit welcher keine Busse verhängt, sondern der Tagesklinik eine Frist von acht Wochen zur gesetzeskonformen Umsetzung angesetzt wurde, macht ferner auch deutlich, dass bei erstmaliger Verletzung der DSGVO-Pflichten zumindest in Österreich noch eine gewisse Kulanz an den Tag gelegt wird. Unternehmen ist jedoch davon abzuraten, sich darauf zu verlassen.

Interessant aus Schweizer Sicht ist sodann, dass die Bearbeitung von Personendaten durch private Unternehmen ohne angemessene Datensicherheitsmassnahmen als Verletzung der Persönlichkeitsrechte zu betrachten ist. Als solche könnte sie zumindest theoretisch einer Rechtfertigung, bspw. durch eine Einwilligung, zugänglich sein. Allerdings bleibt es fraglich, ob eine solche Einwilligung durch die Schweizer Behörden und Gerichte tatsächlich als wirksam erachtet würde, gerade wenn es um besonders schützenswerte Daten geht. Der Unterschied zwischen den Rechtsordnungen dürfte deshalb letzten Endes gleichwohl nicht derart gross sein.

 

Weitere Informationen: