Vorsicht liebe Ärzte & Therapeuten

EuGH nimmt Gesundheitssektor besonders in die Pflicht

Der Europäische Gerichtshof hat sich mit „besonderen“ personenbezogenen Daten beschäftigt, und zwar solchen, die primär in Praxen erhoben werden.

Wenn Sie also mehr personenbezogene Daten als nur die IP-Adresse, Name und Adresse Ihrer Kunden / Patienten erheben, ist Vorsicht angebracht. Denn dann handelt es sich nach europäischer Rechtsprechung um die Abfrage sogenannter „sensibler Daten“ oder aber auch um „indirekt sensible
Daten“.

Diese Informationen dürfen nicht ebenso wie die einfachen personenbezogenen Daten erhoben, gespeichert und bearbeitet werden.

Der EuGH hat in seinem Urteil vom 01.08.2022, AZ C 184/20, entschieden, dass hier empfindliche Abmahn- und Bußgeldgefahren drohen, wenn nicht die besonderen Voraussetzungen nach der DSGVO eingehalten werden.

Besonders relevant ist die Entscheidung für alle im Gesundheitsbereich tätigen, alle Coaches und Berater, denn sie betrifft alle die, die – gegebenenfalls auch indirekt sensible Daten abfragen.

Wir haben uns intensiv mit dem Urteil des EuGH beschäftigt und einen Leitfaden für Ärzte und Therapeuten erstellt.

I. Wann gelten besondere Speicher- und Verarbeitungsgrundsätze von personenbezogenen Daten, die über § 5 Abs. 1 DSGVO hinausgehen?

-> Wenn besondere personenbezogene Daten erhoben werden, und zwar sogenannte „sensible Daten“, die über die Daten in § 4 Ziffer 1 DSGVO hinausgehen.

Entsprechende Daten sind nach Art. 9 Abs. 1 DSGVO:

„… Personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten
oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person…“

II. Was ist bei der Erhebung dieser sensiblen Daten Fällen erforderlich?

1) Klassische Einwilligung
Wichtig ist zunächst die Einhaltung aller Anforderungen, die allgemein an eine Einwilligung bestehen. Diese ergeben sich aus Art. 4 Nr. 11 DSGVO.
a) Danach muss die Einwilligung:

• freiwillig sein – ohne Drohung und Zwang erfolgen und klar erkennbar sein. Wir empfehlen eine deutliche Unterscheidung von sonstigen Texten,
• für den bestimmten Fall erfolgen. Das heißt: Betroffene sind über den genauen Anlass und Umfang der Datenverarbeitung, zu informieren. Die Einwilligung muss einen konkreten Fall betreffen, der oder die Betroffene muss wissen, zu welchem Zweck und Anlass er / sie in die Erhebung und Verarbeitung seiner/ihrer Daten einwilligt. Ganz wichtig für alle Unternehmer:

Pauschale Zwecke reichen nicht aus (niemals zum Beispiel darf nur angegeben werden „Werbung”, „Newsletter“, „Kundeninformation“ oder ähnliches. Und an dieser Stelle auch ganz wichtig, je größer der Eingriff wiegt, desto genauer müssen Zweck und Anlass genannt werden. Jede Verwendung der Daten Ihrer Kunden darüber hinaus ist rechtswidrig!
• eindeutig und unmissverständlich sein, wir empfehlen klar den Begriff „einwilligen“ zu verwenden, es wurde bereits entschieden, dass Begriffe wie „zur Kenntnis genommen“ nicht ausreichen. Art 7 Abs. 2 DSGVO fordert eine „klare und einfache Sprache“.
-> Darüber informieren, an wen die Daten gegeben falls weitergegeben werden,
• nach Art. 7 Abs. 3 einen Hinweis zum Widerrufsrecht der Einwilligung enthalten, Schließlich sollten Sie aufgrund der Nachweispflichten des Art. 7 Abs. 1 DSGVO dokumentieren, wann und wo Ihr Kunde / Patient Zeit, ggf. mit welcher IP-Adresse eingewilligt hat.

2) Qualifizierte Einwilligung

Sind Sie insbesondere im Gesundheitssektor tätig und arbeiten mit sensiblen Daten, dann wird eine qualifizierte Einwilligung gefordert. Das bedeutet, in diesen Fällen reicht die einfache Einwilligung nicht, das heißt auch nicht die Einwilligung, die von den Generatoren für Datenschutzerklärungen angeboten wird!

Eine solche qualifizierte Einwilligungserklärung ist nur in absoluten Ausnahmefällen – wie nach Art. 9 Abs. 2 h) für die Gesundheitsfürsorge im Zusammenhang der Arbeitsfähigkeit entbehrlich.
Für die qualifizierte Einwilligung ist es wichtig, dass keinerlei konkludentes Einverständnis ausreicht. Die Einwilligung muss ausdrücklich erfolgen.
Es muss zudem nach Art. 9 Abs. 2 DSGVO die speziellen Kategorien genannt werden, auf die sich die Einwilligung bezieht, zum anderen muss die besondere Verarbeitung in der Erklärung Erwähnung finden.

3) Datenschutz-Folgenabschätzung

Schließlich hat nach Art. 35 Abs. 3 b) DSGVO bei sensiblen Daten grundsätzlich eine Datenschutz-Folgenabschätzung zu erfolgen. Das bedeutet, das Gesetz geht davon aus, dass hier die Datenerhebung grundsätzlich ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen zur Folge hat. Insofern muss der Verantwortliche, der- oder diejenige der / die die Daten erhebt, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen.

III. Indirekt sensible Daten

Jetzt mögen diese sensiblen Daten nach obiger Definition recht einfach abgrenzbar sein, aber der EuGH entschied mit Urteil vom 01.08.2022, dass diese unter II. aufgeführten Anforderungen auch für „indirekt sensible Daten” gelten. Was ist damit gemeint?

Das sind Daten, die nicht direkt sensible Informationen enthalten, sondern durch die sich auf sensible Daten schließen lässt.
In der Entscheidung ging es um die Veröffentlichung von Daten zu Partnern von Personen. Tatsächlich kann in fast allen Fällen aus den Namen der Partner auf die sexuelle Orientierung geschlossen werden. Dies veranlasste den EugH dazu, auch hier Art. 9 DSGVO anzuwenden. Weitere Beispiele aus der täglichen Praxis sind Größen- und Gewichtsangaben, die Frage nach Hilfsmitteln wie Brille oder Hörgerät, den Konsum von Rauschmitteln. Hieraus lässt sich in einigen Fällen auf den Gesundheitszustand schließen.

IV. Was bedeutet das für Ihre Praxis?

1) Gehen Sie mit sensiblen Daten aber auch indirekt sensiblen Daten sorgfältig um. Beachten Sie den Einwilligungszweck, überlegen Sie, wer sich mit diesen Daten beschäftigen darf, sind diese Personen ausreichend geschult? Nehmen Sie grundsätzlich eine Datenschutz-Folgenabschätzung vor.
Und schließlich vernichten Sie später die sensiblen Daten, ob analog oder digital gründlich. Der Praxispapierkorb ist nicht ausreichen.
2) Kontrollieren Sie Ihre Sicherheitssysteme. Ist die Seite, auf der die Daten erhoben werden, verschlüsselt, wie werden die Daten gespeichert?
3) Achten Sie darauf, wem Sie die Daten weitergeben. Dies muss in jedem Fall in der Einwilligung angegeben werden, es sei denn es handelt sich um Personen, die einer Verschwiegenheitsverpflichtung unterliegen.
4) Und schließlich, beachten Sie bei allen Abfragen von sensiblen Daten eine qualifizierte Einwilligung zu verwenden, die den Erfordernissen des Art. 9 DSGVO Rechnung trägt.

Bei all diesen Prozessen unterstützen wir Sie gerne, wir haben nicht erst seit dieser Entscheidung auf die besonderen datenschutzrechtlichen Anforderungen im Gesundheitssektor spezialisiert.

Kommen Sie jederzeit auf uns zu!