Die Allergieambulanz-Entscheidung >

Die Allergieambulanz-Entscheidung

Ein Jahr nach Wirksamwerden der Datenschutz-Grundverordnung lichten sich langsam die Nebel, wie manche interpretationsbedürftige Bestimmungen in der Praxis anzuwenden sind. Hervorzuheben ist aktuell eine besonders reichhaltige Entscheidung der Datenschutzbehörde (DSB) betreffend die Verarbeitung von Gesundheitsdaten durch eine Allergieambulanz.

Anlässlich der Meldung einer Datenschutzverletzung gemäß Artikel 33 DSGVO durch die Allergieambulanz leitete die Datenschutzbehörde ein amtswegiges Prüfverfahren ein. Nach Ersteinschätzung der Behörde auf Basis der Data-Breach-Meldung und den Angaben auf der Webseite der Allergieambulanz wäre nämlich die Bestellung eines Datenschutz-Beauftragten gemäß Artikel 37 DSGVO verpflichtend erforderlich gewesen. Die Allergieambulanz verfügte jedoch lediglich über einen Datenschutz-Koordinator.

Im Zuge des Verfahrens ließ sich die Datenschutzbehörde unter anderem folgende Dokumente und Informationen vorlegen:

  • Verzeichnis der Verarbeitungstätigkeiten,
  • Datenschutzerklärungen zur Erfüllung der Informationspflichten,
  • Allfällig durchgeführte Datenschutz-Folgenabschätzungen (Artikel 35 DSGVO)
  • Auskunft,  warum kein Datenschutzbeauftragter benannt wurde,
  • Auskunft betreffend fehlende Cookies- Hinweise bzw. Opt-Out-Möglichkeiten der Webseite,
  • Auskunft über bestehende Datensicherheitsmaßnahmen,
  • Auskunft über vorgesehene Speicherdauern sowie,
  • Auskunft über allfällige Auftragsverarbeiter und Übermittlungsempfänger.

Im Ergebnis stellte die Datenschutzbehörde zahlreiche Mängel fest und trug deren Beseitigung binnen acht Wochen auf: So hatte die Allergieambulanz gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten verstoßen. Sie verpflichtete Betroffene zur Abgabe einer gesetzwidrigen Einwilligung und hatte in mehreren Punkten die Informationspflichten nicht korrekt erfüllt. Schließlich ist die Allergieambulanz ihrer Pflicht zur Prüfung der Notwendigkeit einer Durchführung von Datenschutz-Folgenabschätzungen nicht im erforderlichen Maße nachgekommen.

Neben dem Umfang der amtswegigen Prüfung sind insbesondere die Ausführungen zur Bestellung eines Datenschutzbeauftragten sowie zur Notwendigkeit einer Datenschutz-Folgenabschätzung interessant.

Die zwei zentralen Punkte des Prüfverfahrens

Hinsichtlich des nicht bestellten Datenschutzbeauftragten berief sich die Allergieambulanz auf Informationen der Ärztekammer und der WKO, wonach ihrer Ansicht nach Ärzte keinen Datenschutzbeauftragten benötigen. Dem hielt die Datenschutzbehörde entgegen, dass die Allergieambulanz auf Basis des Artikel 37 Abs 1 lit c DSGVO der Leitlinien der Artikel 29 Gruppe zum Datenschutzbeauftragten sowie der Leitlinien zur Datenschutz-Folgenabschätzung zu dem Schluss hätte kommen müssen, dass in ihrem Fall eine umfangreiche Verarbeitung von besonderen Datenkategorien (Gesundheitsdaten) besteht und entsprechend verpflichtend ein Datenschutzbeauftragter zu bestellen ist. Dies begründet die DSB unter anderem mit der Anzahl der Ärzte und Mitarbeiter der Allergieambulanz und der gesetzlich zumindest zehnjährigen Aufbewahrungsdauer für Gesundheitsdaten.

Hinsichtlich der Datenschutz-Folgenabschätzung (DSFA) berief sich die Allergieambulanz auf die Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV). Die betroffenen Datenverarbeitungen würden der darin festgelegten Ausnahme DSFA-A12 (Patienten-/Klienten-/Kundenverwaltung) entsprechen. Die Datenschutzbehörde hielt dem entgegen, dass die Allergieambulanz schon aus den erläuternden Bemerkungen zur Verordnung hätte feststellen müssen, dass die Patientenverwaltung (im Umfang einer „Kundenverwaltung“, also ohne Gesundheitsdaten) nur dann von der Pflicht zur Datenschutz-Folgenabschätzung ausgenommen ist, wenn sie von einem einzelnen Arzt geführt wird. Die Allergieambulanz verfügt jedoch über 17 Ärzte. Für sechs Verarbeitungen der Allergieambulanz, die allesamt Gesundheitsdaten umfassen, geht gemäß DSB bereits aus Artikel 35 Abs 3 lit b DSGVO  hervor, dass in diesen Fällen die Prüfung der Notwendigkeit einer DSFA erforderlich gewesen wäre.

Für die Praxis sollte man aus dieser Entscheidung folgende Punkte jedenfalls mitnehmen:

  • Die Datenschutzbehörde fordert aktiv Informationen ein, die gemäß Dokumentationspflicht jedenfalls vorliegen müssen.
  • Die Webseite eines Verantwortlichen ist auch für die Datenschutzbehörde eine wesentliche Informationsquelle.
  • Informationen von Interessensvertretungen und Branchenverbänden können eine Einzelfallprüfung der anwendbaren Pflichten nicht ersetzen.
  • Besondere Sorgfalt ist bei der Gestaltung von Einwilligungen sowie der Formulierung der Informationspflichten geboten.
  • Die Pflicht zur Bestellung von Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen ist jeweils im Einzelfall zu prüfen und das Ergebnis zu dokumentieren. Schon das Fehlen der Prüfung stellt einen Verstoß gegen die DSGVO dar.

Update:

Mittlweile wurde bekannt dass auch ein Bußgeld ausgesprochen wurde.
Laut Datenschutzbehörde "...wurde – unter Berücksichtigung der „Erschwerungs- und Milderungsgründe“ eine ... „Gesamtstrafe“ von € 50.000,00 verhängt."

DRUCKEN:
Diesen Beitrag drucken >