Im Bescheid DSB-D213.692/0001-DSB/2018 wurde ein Unternehmen zu einem umfassenden Leistungsauftrag verpflichtet. Wie die Pflicht zur Bestellung eines Datenschutzbeauftragten ausgelegt wird und wie eine zulässige Einwilligungserklärung gestaltet sein muss, erfahren Sie in diesem Blogbeitrag.
1. „Verpflichtende Bestellung eines Datenschutzbeauftragten (Art 37 DSGVO)“
Das Unternehmen hat zwar auf der eigenen Homepage und in diversen Unterlagen einen Ansprechpartner für Datenschutz angeführt, bei der Behörde aber keinen Datenschutzbeauftragten benannt.
Verantwortliche benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO).
Die in den Leitlinien der WP29-Arbeitsgruppe (https://www.dsb.gv.at/europaischer_datenschutzausschuss_edsa) festgehaltenen Ausnahmen gelten nicht, weil es sich beim Verantwortlichen nicht um einen einzelnen Arzt handelt, sondern um ein Unternehmen, das mehrere Ärzte und medizinische Berater beschäftigt.
Zu berücksichtigen ist:
a) die Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe;
b) die verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente;
c) die Dauer oder Dauerhaftigkeit der Datenverarbeitung;
d) das geografische Ausmaß der Datenverarbeitung.
Daraus folgt:
Unter dem Aspekt, dass Daten der besonderen Kategorie (Art 9 DSGVO) im Rahmen der Kerntätigkeit verarbeitet werden, dem Umstand, dass die Daten mindestens 10 Jahre zu speichern sind und mehr als ein Arzt „verarbeitet“ ergibt sich der Schluss, dass gemäß Art 37 DSGVO ein Datenschutzbeauftragter verpflichtend offiziell benannt hätte werden sollen.
2. „Unzulässige Einwilligung“
Das verantwortliche Unternehmen möchte sich in einer Einwilligung vom Patienten die Freigabe holen, entgegen anderslautender Regeln Daten unverschlüsselt zu transportieren. In der angeführten Einwilligungserklärung wird festgehalten, dass ohnedies andere Rechtsgrundlagen vorliegen und die Einwilligung nur ergänzend eingeholt wird. Dabei muss der Betroffene unter anderem auch „unwiderruflich“ zustimmen, dass der Verantwortliche jederzeit andere Unternehmen und/oder Personen zur Durchführung der vereinbarten Dienstleistung heranziehen darf.
Die Sachlage:
a) Eine mit der Einwilligung zur Verarbeitung verknüpfte Freigabe zur unverschlüsselten Übermittlung ( die der Betroffene nicht geben kann – das ist vom Verantwortlichen auf Basis von Art 32 selbst zu entscheiden; gegenwärtig gibt es dafür auch keine gültigen gesetzlichen Regelungen) .
b) Durch die Vermischung mit anderen Rechtsgrundlagen, die durchwegs unspezifisch angegeben wurden, ist unklar, wofür die Einwilligung überhaupt erteilt wurde.
a. Vertragliche Dokumentationspflicht auf Basis des Ärztegesetzes?
b. Unspezifische gesetzliche Verpflichtungen
c. Zur Wahrung (unspezifischer) berechtigter Interessen
c) Vom Betroffenen wurde die „unwiderrufliche“ Einwilligung eingeholt, dass Sublieferanten eingesetzt werden können.
Daraus folgt:
Die Koppelung von verschiedenen Themen in einer Verarbeitung ist für sich bereits rechtswidrig (unverschlüsselte Übermittlung und Einwilligung zur Verarbeitung). Die Rechtsgrundlagen werden in einer Form angeführt, die nicht rechtlich gültig sind. Es werden gesetzliche Verpflichtungen und berechtigte Interessen angeführt, die bei Vorliegen eine Einwilligung überflüssig machen würden, aber gleichzeitig so unspezifisch sind, dass ein Betroffener gar nicht wissen würde, wogegen er widersprechen müsste. Die Frage ob eine verschlüsselte Übermittlung gemäß Art 32 angemessen wäre, ist wiederum keine die der Betroffene entscheiden muss oder kann, sondern nur durch den Verantwortlichen begründet und entschieden wird.
Zu guter Letzt will sich der Verantwortliche noch die Erlaubnis vom Betroffenen holen, Sub-Dienstleister einzusetzen, um das Gesetz zu befolgen - also Auftragsverarbeiter nach Art 28 DSGVO in die Verarbeitung einzubinden. Auch das entzieht sich der Entscheidung eines Betroffenen, der nur über eine Datenübermittlung an andere Unternehmen informiert werden muss. Die Auftragsverarbeitung selbst muss aber Art 28 DSGVO genügen und darf ausschließlich durch das verantwortliche Unternehmen entschieden werden.
>> Weiter zu "DSGVO Leuchtturm-Entscheidung der Datenschutzbehörde, Teil 3"
Autor: Wolfgang Mader
Zert. Datenschutzbeauftragter
www.median.one
Seminartipp! Update Datenschutzrecht