Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
02. Mai 2023

Bilder-Cloud statt CD für Patienten: Einwilligung erforderlich?

Auch Arztpraxen können Auftragsverarbeiter beauftragen
Bild: metamorworks / iStock / Getty Images
3,00 (2)
drucken
Inhalte in diesem Beitrag
Arztpraxen im Kampf mit der Datenflut
Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.

➧ Was ist die Ausgangslage?

Eine Radiologie-Praxis erstellt mit einer ganzen Palette von bildgebenden Verfahren ständig medizinische Bilder. Damit Patienten und deren Ärzte problemlos darauf zugreifen können, übermittelt sie die Daten in die Cloud eines Auftragsverarbeiters. Dort können Patienten und deren Ärzte die Daten abrufen. Ein sicheres Zugriffsverfahren kommt dabei zum Einsatz.

➧ Was sichert die Wahlfreiheit der Patienten?

Eine Einwilligung der Patienten zu dieser Vorgehensweise holt die Praxis nicht ein. Sie informiert aber jeden Patienten durch ein ausführliches Merkblatt über die zusätzliche elektronische Abrufmöglichkeit. Falls ein Patient der zusätzlichen Speicherung beim Auftragsverarbeiter widerspricht, werden seine Bilder gelöscht.

➧ Was sind die Argumente des Beschwerdeführers?

Mit dieser Vorgehensweise war ein Patient schon vom Grundsatz her nicht einverstanden. Er hatte vor der Behandlung ausdrücklich erklärt, dass die Praxis seine Gesundheitsdaten keinesfalls an einen Dritten weitergeben dürfe. Zwar löschte die Praxis seine Daten in der Cloud sofort, als er dies verlangte. Dennoch lag aus seiner Sicht ein Datenschutzverstoß vor. Sein Argument: Die Praxis hätte von vornherein seiner Einwilligung einholen müssen.

➧ Warum sieht die Datenschutzaufsicht das anders?

Die Datenschutzaufsicht sah in der Einschaltung eines Auftragsverarbeiters durch die Radiologie-Praxis kein Problem:

  • Eine Einwilligung ist nicht erforderlich, weil es eine andere Rechtsgrundlage für die Verarbeitung der Daten gibt.
  • Diese Rechtsgrundlage besteht darin, dass die Bereithaltung der medizinischen Bilder durch die Radiologie-Praxis zur Erfüllung ihres Behandlungsvertrags mit dem Patienten gehört.
  • Ein solcher Behandlungsvertrag ist durch Art. 9 Abs. 2 Buchstabe h DSGVO ausdrücklich als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten anerkannt.
  • Der Behandlungsvertrag rechtfertigt auch die Einschaltung eines Auftragsverarbeiters. Ein Auftragsverarbeiter ist nämlich nicht „Dritter“ im Sinn der DSGVO. Vielmehr muss ein Auftraggeber für das geradestehen, was sein Auftragnehmer mit den Daten tut.
  • Die Datenschutz-Grundverordnung (DSGVO) sieht auch im medizinischen Bereich keine besonderen Einschränkungen für die Einschaltung eines Auftragsverarbeiters vor.

➧ Welche besondere Rolle hat eine Radiologie-Praxis?

Ausdrücklich hebt die Datenschutzaufsicht hervor, dass es sich bei der Bereitstellung der Bilder in der Cloud nicht etwa um einen bloßen zusätzlichen Service handelt. Vielmehr würden Patienten und Ärzte heute gerade bei einer Radiologie-Praxis erwarten, dass sie medizinische Bilder auf eine unkomplizierte Weise zur Verfügung stellt.

Diese Erwartung sei auch berechtigt, weil Radiologie-Praxen weitgehend aufgrund von Überweisungen durch andere Fachärzte tätig werden. Sie hätten deshalb meist die Funktion einer mitbehandelnden Einrichtung. Deshalb gehöre die unkomplizierte Übermittlung von Bildern an den behandelnden Arzt zu ihrer vertraglichen Pflicht.

➧ Was sagt die Datenschutzaufsicht zum Stand der Technik?

Für absolut nachvollziehbar hält die Datenschutzaufsicht den Hinweis der Radiologie-Praxis, dass viele Arztpraxen physische Speichermedien wie etwa CD-ROM überhaupt nicht mehr verarbeiten könnten. Da die Daten ausreichend geschützt auch unmittelbar elektronisch übermittelt werden könnten, müsse niemand an veralteten Technologien festhalten.

➧ Warum hat der Fall grundlegende Bedeutung?

Die Datenschutzaufsicht weist darauf hin, dass die Einschaltung eines externen Cloud-Dienstes durch Arztpraxen nach heutigem Stand nicht mehr gegen die ärztliche Schweigepflicht des § 203 Abs.1 Strafgesetzbuch verstößt. Das begründet sie mit einer entsprechenden Äußerung des Bundesgesetzgebers bei der letzten Änderung der Regelung über die ärztliche Schweigepflicht.

Vorausgesetzt ist dabei selbstverständlich, dass alle Sicherheitsvorkehrungen gegen unbefugte Zugriffe eingehalten werden, die nach aktuellem Stand möglich und üblich sind. Schlampereien bei der Datensicherung in Arztpraxen lassen sich nicht damit entschuldigen, dass die Einschaltung externer Dienstleister heutzutage üblich sei.

➧ Daher haben wir unsere Weisheiten

Unsere Quelle ist der 51. Tätigkeitsbericht zum Datenschutz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2022, Seiten 227-229. Der Bericht ist abrufbar unter https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
08. April 2024
DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Analyse
02. April 2024

Muster: Gliederungspunkte einer IT-Sicherheitsrichtlinie

Downloads
IT-Sicherheit Vorlagen
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
27. März 2024
DP+

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Downloads
Checklisten Vorlagen
weitere Beiträge laden
5 Kommentare
11. Mai 2023 | 16:53
Besser Wisser
Mehr anzeigen Weniger anzeigen
    11. Mai 2023 | 16:56
    Besser Wisser (Antwortet auf Besser Wisser)
    Mehr anzeigen Weniger anzeigen
      Antwort der Redaktion
      12. Mai 2023 | 8:04
      Die Redaktion (Antwortet auf Besser Wisser)
      Mehr anzeigen Weniger anzeigen
4. Mai 2023 | 17:13
Besser Wisser
Mehr anzeigen Weniger anzeigen
    Antwort der Redaktion
    5. Mai 2023 | 7:30
    Die Redaktion (Antwortet auf Besser Wisser)
    Mehr anzeigen Weniger anzeigen
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.