TOMs ... Datensicherheits- maßnahmen sind nicht disponibel

 

In einem Bescheid vom 18.12.2018 (DSB-D213.692/0001-DSB/2018) beschäftigte sich die DSB in einem amtswegigen Prüfverfahren intensiv mit einer Einwilligungserklärung im Gesundheitsbereich. Ein Teilbereich der Erklärung betraf die Datensicherheitsmaßnahmen bzw. technischen und organisatorischen Maßnahmen gem. Art 32 DSGVO (Verschlüsselung, unsichere Übermittlung).

 

 

 

Die Einwilligung.

 

Einwilligungserklärung zur Datenverarbeitung – Datenschutz-Gesetz

 

 

 

Die Allergie-Tagesklinik D*** GmbH (im Folgenden Allergie-Tagesklinik D***) ist zur Verschwiegenheit verpflichtet, hat personenbezogene Daten, die ihr bei ihrer Tätigkeit bekannt werden, vertraulich zu behandeln, gemäß Datenschutz zu wahren und Dritten nur solche Informationen weiterzugeben, die zur Bearbeitung notwendig sind. Der unverschlüsselte Versand von personenbezogenen Daten (siehe Informationsblatt zum Datenschutz auf den Seiten 2 und 3) ist gemäß Europäischer Datenschutzgrundverordnung nicht erlaubt, da der Schutz und die Integrität der Daten nicht gewährleistet werden können.

 

 

 

Deshalb benötigt die Allergie-Tagesklinik D*** eine ausdrückliche und schriftliche Zustimmung aller Patienten und Patientinnen, um personenbezogene Daten zukünftig zu verarbeiten und unverschlüsselt zu senden und zu empfangen (Befundversand per E-Mail, telefonische Befundauskunft, etc.).

 

 

 

Bitte deshalb folgende ausdrückliche und schriftliche Zustimmung in Blockbuchstaben ausfüllen und unterschreiben. Pro Person – auch für Kinder – muss eine eigene Zustimmung ausgefüllt werden.

 

 

 

Abgeschlossen zwischen der Allergie-Tagesklinik D*** einerseits, und andererseits:

 

 

 

[…]

 

 

 

× Ich bin ausdrücklich damit einverstanden, dass personenbezogene Daten (insb. Informationen über meinen Zustand bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf, meine Befunde sowie Informationen über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten) verarbeitet, gespeichert und in unverschlüsselter Form an die und von den dementsprechend relevanten Dritten geschickt werden. Die Zustimmung über den unverschlüsselten Versand kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Ich stimme weiters unwiderruflich zu, dass die Allergie-Tagesklinik D*** jederzeit andere Unternehmen und/oder Personen zur Durchführung der vereinbarten Dienstleistung heranziehen darf. Dies betrifft auch die Verarbeitung inkl. Speicherung von personenbezogenen Daten. Ich nehme zur Kenntnis, dass durch die Übermittlung der Daten (unberechtigte) Dritte Kenntnis über die Informationen erhalten können und diese Daten verändert werden können. Mir ist bewusst, dass dies zur Offenlegung meines Gesundheitszustandes führen kann. Mir ist bewusst, dass die Allergie-Tagesklinik D*** keinerlei Haftung für die korrekte und vollständige Übermittlung der Daten übernehmen kann.

 

 

 

 

Datensicherheitsmaßnahmen sind nicht disponibel.

 

Der Verantwortliche (ein Gesundheitsdiensteanbieter) ist der Meinung, dass eine Datenübermittlung nur in verschlüsselter Form erfolgen darf. Er versuchte daher von den Betroffenen, eine Einwilligung zu erhalten, die es erlauben sollte, medizinische Daten auch in unverschlüsselter Form zu versenden.

 

Die DSB führte dazu aus:

 

Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung kann aber nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden.“

 

 

Datensicherheitsmaßnahmen sind im alleinigen Verantwortungsbereich des Verantwortlichen, der beurteilen muss, ob die getroffenen bzw. zu treffenden technischen oder organisatorischen Maßnahmen angemessen iSd Art 32 DSGVO sind. Die Frage, ob die Datenübermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, stellt eine derartige Datensicherheitsmaßnahme iSd Art 32 DSGVO dar.

 

Eine Einwilligung stellt eine mögliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, dient aber nicht dazu, von angemessenen Datensicherheitsmaßnahmen zum Nachteil der betroffenen Personen abzuweichen.

 

 

 

Datenübermittlung als „unsicherer Weg“.

 

In der Einwilligungserklärung fand sich auch eine Erklärung, in der betroffene Personen zur Kenntnis nehmen, „dass durch die Übermittlung der Daten (unberechtigte) Dritte Kenntnis über die Informationen erhalten können und diese Daten verändert werden können. Mir ist bewusst, dass dies zur Offenlegung meines Gesundheitszustandes führen kann. Mir ist bewusst, dass […] keinerlei Haftung für die korrekte und vollständige Übermittlung der Daten übernehmen kann.

 

Auch in dieser Passage der Einwilligungserklärung werden Bereiche der Datensicherheit iSd Art 32 DSGVO angesprochen. Von den adäquaten technischen und organisatorischen Maßnahmen kann mittels Einwilligung nicht zum Nachteil der betroffenen Personen abgewichen werden.

 

„Es ist vielmehr die Pflicht eines Verantwortlichen adäquate Maßnahmen zu ergreifen, damit es nach allgemeinem Ermessen zu keiner Verletzung des Schutzes personenbezogener Daten kommt und folglich die Vorgaben der DSGVO eingehalten werden (Art. 24 DSGVO).

 

15.04.2019, Autor: 
Michael Schweiger, zert DSBA


Download
Datensicherheitsmaßnahmen sind nicht disponibel
Die DSB hat entschieden, dass die betroffene Person einer Kommunikation durch unverschlüsselte Emails nicht "zustimmen" kann. Die TOMs liegen in der Verantwortlichkeit des Verantwortlichen
Datensicherheitsmaßnahmen sind nicht dis
Adobe Acrobat Dokument 892.7 KB

Kommentar schreiben

Kommentare: 0