Braucht jeder Arzt einen Datenschutzbeauftragten?
Die Rolle des Datenschutzbeauftragten (DSBA) gibt es in Österreich derzeit nicht; es war in zwei Novellen des Datenschutzgesetzes geplant die Position des DSBA einzurichten, aber diese Bereiche des Gesetzes wurde nicht umgesetzt. Ab 25.05.2018 mit Geltungsbeginn der DSGVO wird das anders.
Aufgaben des DSBA
Die Aufgaben des DSBA umfassen
· Unterrichtung und Beratung des Verantwortlichen und der (datenverarbeitenden) Beschäftigten
· Überwachung der Einhaltung der DSGVO
· Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
· Auf Anfrage die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
· Zusammenarbeit mit der Aufsichtsbehörde sowie
· Tätigkeit als Anlaufstelle für die Aufsichtsbehörde
Verarbeitung von Patientendaten als mögliche Datenverarbeitung
Mit 25.05.2018 tritt die DSGVO in Kraft und diese sieht u.a. vor, dass unter bestimmten Voraussetzungen ein DSBA verpflichtend zu bestellen ist.
Die Regelung dazu findet sich in Art 37 DSGVO, und bezieht sich auch auf die Verarbeitung von „Patienten- und Gesundheitsdaten“ (als „besondere Datenkategorien“ des Art 9 DSGVO (siehe dazu Art 37 Abs 1 lit c DSGVO).
Werden Pateienten- bzw. Gesundheitsdaten verarbeitet, dann muss sich die Organisation die Frage stellen, ob aus diesem Grund verpflichtend ein DSBA zu benennen ist.
Wann ist ein DSBA zu bestellen? Was ist eine „Kerntätigkeit“ und wann ist diese „umfangreich“ iSd Art 37 Abs 1 lit c DSGVO?
Verarbeitung von Gesundheits- und Patientendaten als „Kerntätigkeit“
Bei der Beurteilung, ob ein DSBA (verpflichtend) zu bestellen ist, ist die „Kerntätigkeit“ maßgebend. Eine Kerntätigkeit ist diejenige Tätigkeit, die eine Organisation zwingend ausüben muss, um dann auch tatsächlich auch die „produktive“ Tätigkeit auszuüben.
Für einen Arzt ist unbedingt notwendig, die Patientendaten zu erfragen (erheben), zu speichern, um darauf wieder zurückgreifen zu können, und es ist nicht möglich, dass ohne die verwendeten Patientendaten, die Gesundheits- bzw. Krankheitsdaten beinhalten, die Tätigkeit des Arztes nicht erbracht werden kann.
Die Datenverarbeitung von Gesundheits- bzw. Patientendaten in diesem Zusammenhang ist daher als Kerntätigkeit iSd Art 37 DSGVO einzuordnen.
Wann ist eine Kerntätigkeit „umfangreich“?
Das zweite Abgrenzungskriterium ist, dass die Kerntätigkeit „umfangreich“ sein muss; hier findet sich weder in der DSGVO noch in den Erwägungsgründen ein Hinweis, wie und wodurch „umfangreich“ zu quantifizieren ist.
In ErwG 91 findet sich bei der Datenschutz-Folgenabschätzung (DSFA) ein Hinweis darauf, was nicht als umfangreich angesehen wird:
„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Die DSFA und die Frage, ob ein DSBA zu bestellen sind, haben jeweils einen ähnlichen Hintergrund, da es um die Frage von Risiko für die Rechte und Freiheiten von natürlichen Personen geht. Die Anlassfälle für eine DSFA und die Bestellung eines DSBA sind ebenfalls vergleichbar. Die Erklärungen, die für die Notwendigkeit einer DSFA in der DSGVO verwendet werden, können daher auch für die Frage der Bestellungen verwendet werden.
Die Tätigkeit eines Einzelarztes ist daher nicht ausreichend, um eine „umfangreiche“ Verarbeitung von Patientendaten zu bewirken, und dieser benötigt nicht zwingend einen DSBA.
Die Frage jedoch, ab welcher Anzahl von Patientendaten eine Gemeinschaftspraxis oder eine (kleine) Krankenanstalt einen DSBA benennen muss, kann nur im Einzelfall geklärt werden.
Es ist nicht möglich, eine exakte Quantifizierung vorzunehmen; Die Art 29 Datenschutz-Gruppe hat Leitlinien in Bezug auf Datenschutzbeauftragte ausgearbeitet, und nach diesen sind folgende Faktoren zu berücksichtigen:
· Die Anzahl der „Datensubjekte“, und zwar entweder als absolute Zahl oder als Anteil der relevanten Betroffenen
· Das Volumen der Daten oder die Anzahl unterschiedlicher Datenarten
· Die Dauer oder die „Permanenz“ der Datenverarbeitung
· Die geografische Ausdehnung der Datenverarbeitung
Auch in der Veröffentlichung der Art 29 Datenschutz-Gruppe wird auf ErwG 92 hingewiesen, in dem es heißt: „umfangreiche Verarbeitungsvorgänge […], die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und beispielsweise aufgrund ihrer Sensibilität - wahrscheinlich ein hohes Risiko mit sich bringen“.
Die Art 29 Datenschutzgruppe gibt einige Beispiele für „umfangreiche Datenverarbeitungen“:
· Verarbeitung von Patientendaten durch eine Krankenanstalt
· Verarbeitung von Verkehrsdaten (Reisedaten) von Personen, die den öffentlichen Verkehr einer Stadt benützen (z.B. durch das Tracking von Monats- oder Jahreskarten)
· Verarbeitung von Echt-Zeit-Geolokations-Daten von Kunden einer internationalen Fast-Food-Kette für statistische Zwecke
· Verarbeitung von Kundendaten durch eine Versicherung oder Bank
· Verarbeitung von personenbezogenen Daten für die verhaltensbezogene Werbung durch eine Suchmaschine
· Datenverarbeitung (inhaltliche Daten, Verkehrsdaten, Lokations-Daten) von Telefon- oder Internetanbietern
Schlussfolgerung zur Bestellpflicht bei Ärzten oder Privatkliniken
Die Frage, ob eine Gemeinschaftspraxis einen DSBA zu bestellen hat, wird daher im Einzelfall zu klären sein, und es wird insbes. auch auf die Art und Weise der Praxis (Allgemein-Praxis, Facharzt) und auch auf die Frage der Relevanz der Praxis für eine bestimmte örtliche Ausdehnung und damit einen Anteil an der Bevölkerung (welchen Anteil an Patienten eines oder mehrerer Orte betreuen die Ärzte) sowie auch die Frage der Fachrichtung (Allgemeinpraxis, Psychiatrie, HNO …) von Bedeutung sein. Geht man jedoch von den Bespielen der Art 29 Datenschutz-Gruppe und der Intention der DSGVO aus, dann werden wohl nur sehr große Arztpraxen, in denen eine große Anzahl von Patienten aus einem bestimmten Gebiet behandelt werden, das Kriterium „umfangreiche“ Verarbeitung erfüllen.
So könnte z.B. eine große Ordination in einem Schigebiet, in der auch direkt Operationen durchgeführt werden (zB Privatklinik) oder auch eine „Schönheitsklinik“ eine umfangreiche Verarbeitung von Patientendaten bewirken, eine Gemeinschaftspraxis von Allgemeinmedizinern, insbes. im Rahmen einer Nachfolgeregelunge vermutlich jedoch nicht.
Kommentar schreiben