Kategorien
Neueste Beiträge
Datenschutz bei Aufrufsystemen
In Arztpraxen ist das Szenario wohl das bekannteste: Ein Patient sitzt im Wartezimmer und plötzlich wird die Person aufgerufen und dies mit dem Vor- und Nachnamen. Nun stellt sich folgende Frage: Ist dieses Vorgehen datenschutzkonform? Gibt es eventuell eine datenschutzfreundlichere Variante? Wie steht es allgemein um den Datenschutz bei Aufrufsystemen? Wie sind diese DSGVO-konform umsetzbar?
Personenbezogenes Datum: der Name einer Person
Gewöhnlich werden Patienten mit ihrem Namen aufgerufen. Bei dem Namen handelt es sich gemäß Art. 4 Nr. 1 DSGVO um ein personenbezogenes Datum. In der Arztpraxis stellt sich die Frage, ob die Tatsache, dass jemand bei einem Arzt einer bestimmten Fachrichtung ist, in Verbindung mit seinem Namen ein Gesundheitsdatum nach Art. 9 Abs. 1 DSGVO darstellt. Dieses würde erhöhten Schutzanforderungen unterliegen. Gemeinhin werden unter Bezug des ErW. 35 schon die Anmeldedaten beim Arzt als Gesundheitsdaten angesehen.
Rechtsgrundlage bei diesem Verarbeitungsvorgang
Es ist also unter Berücksichtigung des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO eine Rechtsgrundlage in Art. 9 Abs. 2 DSGVO zu suchen. In Betracht käme Art. 9 Abs. 2 lit. h) DSGVO: „[…] die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich […]“. Das Aufrufen des Patienten wäre demnach Bestandteil des Behandlungsvertrages gem. § 630a Abs. 1 BGB. Fraglich ist allerdings, ob das namentliche Aufrufen erforderlich ist oder es auch eine andere Vorgehensweise gibt.
Ist ein Verantwortlicher nicht der Auffassung, dass es sich hierbei um ein Gesundheitsdatum handelt, muss er die Rechtsgrundlage zur Datenverarbeitung in Art. 6 Abs. 1 DSGVO finden.
Technische und organisatorische Maßnahmen
Ein Verantwortlicher – also der, der das personenbezogene Datum verarbeitet – hat die Pflicht, jegliches personenbezogenes Datum mit angemessenen Maßnahmen vor u. a. unbefugtem Zugriff zu schützen. Diese Vorgaben finden wir in Art. 32 Abs. 1 DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft [sic] der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ein absolutes Tabu wäre es, den Patienten mit Namen und Krankheit à la „Herr Müller mit dem eitrigen Abszess bitte in Zimmer 3.“ aufzurufen.
Beispiel: Arztpraxis
So zum Beispiel in der Arztpraxis. Besucht eine Person also eine Arztpraxis und der Arzt ruft sie namentlich auf, weiß jede andere anwesende Person, um wen es sich handelt. Die meisten Personen werden dabei solche Schlussfolgerungen ziehen, dass die Person eine Krankheit hat. Möglicherweise bekommen die Anwesenden, beispielsweise bei der Anmeldung, dann eventuell doch Details zum Gesundheitszustand mit.
Mit der Verarbeitung personenbezogener Daten in einer Arztpraxis haben wir uns auch schon in diesem Beitrag beschäftigt.
Beispiel: Behörde/Amt
Genauso könnte es sich bei einer Behörde oder beim Amt verhalten. Normalerweise kommt da inzwischen schon das Aufrufen anhand von Zahlen zum Einsatz. So manches Mal werden Personen dann aber doch mit Namen aufgerufen. Auch hier gibt es wieder das Szenario, dass Details gegebenenfalls schon im Flur ausgetauscht werden, während man zum Büro geht. Dies bietet für andere Personen wieder die Möglichkeit, Einzelheiten mitzuhören. Dabei kann es dann beispielsweise um sensible Themen wie Arbeitslosigkeit gehen.
Datenschutzkonforme Aufrufsysteme
Auch das Aufrufen mit dem Namen können wir als eine Art Aufrufsystem erfassen. Allerdings ist dies nicht die datenschutzsparsamste Variante unter den Aufrufsystemen. Machen wir uns also Gedanken darüber, wie eine Einrichtung Personen mit Blick auf den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) aufrufen könnte:
Aufrufen anhand von Zahlen
Dieses System kennt so mancher Leser von Behördenbesuchen. Ein Besucher betritt das jeweilige Gebäude und erhält an einem Automaten eine Nummer auf einem kleinen Blatt Papier. Ist der Besucher an der Reihe, zeigt ein Bildschirm seine Nummer und ggf. die Information, an welchen Schalter oder in welches Zimmer er sich begeben soll.
Aufrufen mithilfe von Buzzern
So manches Restaurant informiert die Gäste anhand von sogenannten Buzzern darüber, dass das bestellte Gericht abholbereit ist. Der Gast bestellt, was auch immer er zu sich nehmen möchte, und erhält ein Gerät, was bei beispielsweise der Fertigstellung des Gerichtes vibriert. Dann muss der Gast nur noch zum dafür festgelegten Schalter gehen, wo ein Beschäftigter des Verantwortlichen das Gericht anhand einer internen Nummer dem Gast zuordnet, und kann das fertige Gericht essen bzw. mitnehmen.
Pager für Patienten
Weiterführend bestünde auch die Möglichkeit, jedem Patienten einen Pager zur Verfügung zu stellen. Diesen Pager würde der Patient bei Anmeldung zum Termin erhalten und am Ende des Termins zurückgeben. Ist der Patient an der Reihe, kann ihm dies über den Pager mitgeteilt werden und bei Bedarf auch beispielsweise die Information, wo er sich hinbegeben soll.
Persönliches Abholen der betroffenen Person im Wartebereich
Es besteht natürlich auch die Möglichkeit, die betroffene Person persönlich im Wartebereich abzuholen. Um das Nennen von Namen zu vermeiden, müsste die Person, die abholt, allerdings ganz genau wissen, wie die abzuholende Person aussieht. Bei diesem Szenario geben wir allerdings zu, dass sich die tatsächliche Umsetzung kompliziert gestalten könnte.
Weitere zu bedenkende Einzelheiten
Die oben genannten Beispiele sind keineswegs die absolut besten, sondern nur Vorschläge. Darüber hinaus gäbe es noch weitere Einzelheiten zu betrachten. So müsse ein Verantwortlicher die tatsächliche Umsetzung analysieren. Dabei stellen sich u. a. folgende Fragen:
1) Wie werden die Daten auf das Gerät übermittelt?
2) Werden personenbezogene Daten online verarbeitet?
3) Sind bei der Verarbeitung der personenbezogenen Daten Auftragsverarbeiter involviert und liegt folglich eine Auftragsverarbeitung vor?
5) Findet eine Übermittlung der personenbezogenen Daten in ein Drittland statt?
6) Auf welcher Rechtsgrundlage ist diese Verarbeitung personenbezogener Daten zu stützen?
7) Besteht die Möglichkeit des Widerrufes der Einwilligung oder des Widerspruches gegen berechtigte Interessen als Rechtsgrundlage der Verarbeitung?
8) Welche Folgen bzw. Alternativen gibt es, sofern eine betroffene Person eine etwaige Einwilligung widerruft oder gegen die Verarbeitung ihrer Daten hierbei widerspricht?
Nicht zu vergessen ist die Datenschutzdokumentation bezüglich der Verarbeitung personenbezogener Daten bei Einsatz eines Aufrufsystems. Es ist ein entsprechender Datenschutzhinweis für die Patienten zur Verfügung zu stellen. Ein Verantwortlicher muss das Verzeichnis von Verarbeitungstätigkeiten ergänzen. Löschfristen sind umzusetzen. Je nachdem, in welcher Branche ein Verantwortlicher arbeitet oder welche Art von personenbezogenen Daten ein Verantwortlicher bei einem Aufrufsystem verarbeitet, kann eine Durchführung einer Datenschutz-Folgenabschätzung vonnöten sein.
Stellungnahmen der Datenschutzaufsichtsbehörden
Eine eindeutige Meinung gibt es bei den Datenschutzaufsichtsbehörden nicht. So äußerten sich mehrere Behörden, überwiegend speziell mit Bezug auf das Beispiel der Arztpraxis, zu diesem Thema:
Zum einen gibt es Aufsichtsbehörden, die das namentliche Aufrufen eines Patienten als zulässig ansehen, solange ein Patient dem nicht widerspricht. So besagt das Bayerische Landesamt für Datenschutzaufsicht, dass es sich hierbei um eine sozial- und grundrechtsadäquate Praxis handele, an der auch die DSGVO nichts geändert habe (Link). Gemäß dem 27. Tätigkeitsbericht 2017/2018 (Punkt 10.1) würde die Auslegung der DSGVO dem Unabhängigen Datenschutzzentrum Saarland im Regelfall zu weit gehen, wenn man „[…] Patienten im Wartezimmer nicht mehr mit ihrem Namen aufrufen […]“ dürfe. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein erwähnt in einem Selbst-Check für Arzt-/Zahnarztpraxen, dass Patienten mit ihrem Namen aufgerufen werden dürfen.
Zum anderen nahmen der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (Punkt 7.6 im 1. Tätigkeitsbericht zum Datenschutz nach der DS-GVO) und der Landesbeauftragte für den Datenschutz Sachsen-Anhalt (Punkt 22.8 im 10. Tätigkeitsbericht) die Position ein, dass betroffene Personen – also auch Patienten – generell nicht mehr mit ihrem Namen aufgerufen werden sollten. Möchte eine Einrichtung diese Praxis fortführen, wäre dies auf Grundlage der Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO möglich.
Fazit
Nun obliegt es der jeweiligen Einrichtung als Verantwortlichen, zu entscheiden, wie sie dieses Thema handhabt. Hierbei handelt es sich um eine Verarbeitung personenbezogener Daten. Folglich bedarf es einer Rechtsgrundlage. Ein Verantwortlicher muss begründen können, weshalb er eine Verarbeitung personenbezogener Daten beispielsweise auf eine Einwilligung oder dem berechtigten Interesse stützt und dies dokumentieren.
Falls Sie als Verantwortlicher ein Aufrufsystem einsetzen oder einsetzen möchten, helfen wir Ihnen gern bei der Umsetzung der Datenschutzdokumentation. Dies auch, falls sie sich dafür entscheiden, die gängige Praxis des Aufrufens beim Namen beizubehalten. Auch können wir Sie zu Ihren Pflichten als Verantwortlichen beraten und Sie bei der Umsetzung unterstützen. So beispielsweise auch, falls Sie bemerken, bei der Aktualisierung oder Implementation eines Datenschutz-Management-Systems zu benötigen. Oder vielleicht sind Sie als Verantwortlicher dazu verpflichtet, einen Datenschutzbeauftragten zu benennen oder möchten dies freiwillig. Auch hierbei können wir Ihnen helfen.
Positive Folgen der Auseinandersetzung mit dem Datenschutz sind, dass Sie ggf. Datenschutzvorfälle, Bußgelder, Abmahnungen oder Schadensersatzansprüche vermeiden können. Kontaktieren Sie uns also sehr gern für ein kostenfreies Erstgespräch, um ein unverbindliches Angebot für Sie erstellen zu können.