Erlaubt die DSGVO den Handel mit Patientendaten?
DSGVO Art 4, 6, 9; DSG §§ 24, 29, 63; StGB §§ 304, 309;
Weitergabe von Patientendaten - Geheimhaltungsinteresse des Betroffenen - Weitergabe von bestimmbaren oder anonymen Patientendaten - Sonderregelung - Strafbarkeit - Recht auf Beschwerde und Schadenersatz
Identifizierte, pseudonyme und anonyme Patientendaten
Ob Patienten identifiziert sind oder die Daten nur pseudonym vorliegen, ist im Einzelfall zu prüfen. Es kann sein, dass selbst wenn der Name des Patienten gelöscht wurde oder nur seine Initialen verwendet wurden, er dennoch bestimmbar ist. Beispielsweise kann es sein, dass anhand der zusätzlichen Informationen (Datum und Besuche der Ordination, Befund oder der verschriebenen Medikamente) Rückschlüsse auf die konkrete Person geschlossen werden können. Wenn der Rückschluss auf eine bestimmte Person nicht nur dem Verarbeiter sondern auch Dritten möglich ist, liegt jedenfalls Identifikation vor.
Wenn der Rückschluss nur mit Mitteln möglich ist, die von der Verarbeitung getrennt sind (sei es rechtlich und/oder technisch), dann liegt Pseudonymisierung vor. Anonymität liegt vor, wenn unter keinen Umständen, von keinem Verarbeiter von den Daten auf individuelle Personen rückgeschlossen werden kann. Dieser Fall ist jedoch im Gesundheitsbereich die Ausnahme. Anonyme Gesundheitsdaten sind sowohl für die Gesundheitsforschung, als auch die Marktforschung nur von sehr geringen Wert.
Weitergabe von identifizierten, bestimmbaren oder anonymen Patientendaten
Die Annahme, dass die aus einer Behandlung resultierenden Daten dem jeweiligen Patienten gehören, ist nicht zwingend richtig. Ebenso unrichtig ist die Ansicht, dass der Patient grundsätzlich ein Einwilligungsrecht über jede Weitergabe von Informationen, die in irgendeinem Zusammenhang mit ihm stehen, hat.
Entscheidend ist vielmehr, ob durch die Weitergabe ein schutzwürdiges Geheimhaltungsinteresse verletzt wurde. Wurde der Personenbezug völlig gelöscht und sind die Daten anonym, unterliegen diese nicht mehr dem Datenschutzrecht. Im medizinischen Bereich wären das ausreichend anonymisierte Daten z.B. eine Aufzeichnung über die Anzahl der stationär behandelten Patienten, die Diagnosehäufigkeit oder generalisierte Fallbeschreibungen in Krankenhäusern. Solche anonymisierten Daten können ohne rechtlichen Schwierigkeiten verarbeitet bzw. an Dritte weitergegeben werden.
Wenn Patientendaten identifiziert sind oder die Möglichkeit der Bestimmbarkeit von Patientendaten besteht, bedarf die Verarbeitung neben einer Zweckbestimmung auch einer Rechtfertigung nach der Datenschutz-Grundverordnung (DSGVO).
Das Prinzip der Zweckbindung sieht Datenverarbeitungen nur für festgelegte, eindeutige und rechtmäßige Zwecke vor. Beispielsweise ist eine Verarbeitung der Gesundheitsdaten eines Patienten zulässig, sofern eine Einwilligung in die ärztliche Behandlung des betroffenen Patienten vorliegt (Art 9 Abs 2 lit h DSGVO). Ziel dieser Regelung ist, dass im Zuge der Erhebung personenbezogener Daten der Zweck einer Verarbeitung bereits vor Ermittlung der Daten feststeht.
Alle andere Zwecke müssen entweder mit dem Patienten individuell vereinbart werden ("Einwilligung", "Zustimmung") oder es ist eine gesetzliche Grundlage erforderlich (zB Meldepflichten bei ansteckenden Krankheiten, wissenschaftliche Forschung als privilegierter Verarbeitungszweck).
Bis 25. Mai 2018 waren dies die einzigen Möglichkeiten Patientendaten zu verarbeiten, diese Rechtslage hat sich geändert. Zu erinnern ist an die Diskussion im Vorfeld der DSGVO. Es war geplant sensible ELGA-Daten für jede Art von mehr oder minder seriöser (Markt-)Forschung zu öffnen. Nicht zuletzt auf Grund der kritischen Stellungnahmen der ARGE DATEN wurde dieses Vorhaben abgeschwächt.
Erinnerungen an Vorfall im Jahr 2013 werden wach
Im August 2013 wurde bekannt, dass sich hunderte niedergelassene Ärzte durch die monatliche Weitergabe von Patientendaten an die Arztsoftewarefirma (C***), einen Zuverdienst von € 432,00 jährlich verschafft hatten. Die betroffenen Ärzte hatten den Behauptungen dieser Softwarefirma, dass die Daten anonymisiert und ausreichend gesichert seien, und die Weitergabe somit erlaubt sei, Glauben geschenkt.
Hinter der Arztsoftwarefirma (C***) stand das auf die Beratung von Pharmazie- und Gesundheitsunternehmen spezialisierte Marktforschungsunternehmen H***. Dieses war daran interessiert, mit Hilfe der erworbenen Daten herauszufinden, bei welcher Diagnose welche Medikamente ärztlich angeordnet wurden.
DSGVO erlaubt neue "kreative" Verarbeitungsmöglichkeiten
Seit 25. Mai 2018 erlaubt die DSGVO neue weitreichende Verarbeitungsmöglichkeiten. Die DSGVO sieht im Art 6 Abs 4 bestimmte Voraussetzungen für die zulässige Weiterverarbeitung von Daten zu anderen als den ursprünglich festgelegten Zwecken vor. Der neue Zweck ist anhand der im Art 6 Abs 4 DSGVO beispielhaft aufgezählten Kriterien zu prüfen. Ist der neue Zweck mit dem ursprünglichen Zweck grundsätzlich verträglich, dürfen Verantwortliche durch diese Regelung ohne gesonderte neue Rechtsgrundlage durchführen und ohne Zustimmung des Patienten weiter verarbeiten.
Freilich besteht bei Gesundheitsdaten ("Patientendaten") das grundsätzliche Verarbeitungsverbot gemäß Art 9 Abs 1. Dieses verarbeitungsverbot wird durch zahllose Ausnahmen nach Art 9 Abs 2 relativiert. Für einen Arzt interessant ist die Ausnahme lit j, die alle Verarbeitung erlaubt, die gesetzlich zulässig sind (nicht verboten) und bei denen im Wesensgehalt das Recht auf Datenschutz gewahrt bleibt "und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person" vorgesehen sind.
Hinter dieser sperrigen Formulierung verstecken sich brisante Möglichkeiten, die in Österreich derzeit nicht oder nur unzureichend gesetzlich geregelt sind. Zum einen kann der Arzt personalisierte Patientendaten für eigene Zwecke verarbeiten, zum anderen kann er sie sogar, bei "angemessenen Maßnahmen" sogar an Dritte weitergeben. An dieser Stelle der DSGVO wird nicht ausgeführt, was unter "angemessenen Maßnahmen" zu verstehen ist. Im Art 6 Abs 4 wird jedoch ausdrücklich auf Pseudonymisierung verwiesen.
Die weitreichenden Ausnahmebestimmungen des neuen österreichischen DSG, fehlende Bestimmungen im Ärztegesetz (das nur auf identifizierte Gesundheitsdaten abzielt) und die neuen DSGVO-Bestimmungen eröffnen damit völlig neue Geschäftsfelder.
Szenario 1: der Arzt als Verkäufer
Zu denken ist an einen Augenarzt, der neben der ärztlichen Behandlung auch Kontaktlinsen an seine Patienten verkauft. Dieser Verkauf ist gemäß DSGVO eine andere Datenverarbeitung. Bisher wäre der Verkauf von Kontaktlinsen (bzw. die Verkaufsanbahnung) nur mit Einwilligung des Patienten möglich gewesen. Jetzt kann ein Arzt unter Berücksichtigung des Art 6 Abs 4 DSGVO zur Verkaufsanbahnung die Patientendaten zulässigerweise weiterverarbeiten. Beispielsweise wäre die Zusendung von Werbematerial des Arztes an die Patienten zulässig oder die Organisaiton von Werbefahrten usw.
Szenario 2: das Labor als App-Anbieter
Ein weiterer Einsatzbereich wären telemedizinische Angebote, Telefon-Hotline-Angebote oder Gesundheitsapp. Ein Labor entwickelt gemeinsam mit einer IT-Firma eine derartige App. Damit diese auch in Realszenarien funktionieren kann, benötigt er schon vor Einsatzbeginn sehr große Datenmengen zur Simuation verschiedenster Szenarien und Lösungen. Zur Validierung der App verwendet das Labor bisher erhobene Gesundheitsdaten. In diesem Fall wird die Verwendung der Gesundheitsdaten in pseudonymisierter Form geboten sein. Will das Labor die App an ihre bisherigen "Kunden" (Patienten) verkaufen, wird sie die Labordaten auch in personalisierter Form verwenden dürfen.
Szenario 3: die Apotheke als Big-Data-Lieferant
Aus der Häufigkeit eines Apothekenbesuches, der Art der gekauften Medikamente und sonstigen Produkte, angereichtert mit Angaben wie Geschlecht, Alter und persönliche Vorlieben lässt sich recht gut der Lebensstil, die Lebenserwartung und die Bereitschaft weitere Medizinprodukte zu kaufen ermitteln. Viele Apotheken haben mittels Kundenkartenprogramme sehr gute Kentnisse über ihre Besucher. Diese Daten, in diesem Fall pseudonymisiert, können an Marktforschungsunternehmen, Pharmabetriebe oder Versicherungen verkauft werden. Auch einzelne Kunde muss mit unmittelbaren Konsequenzen rechnen, etwa wenn der Big-Data-Analyst dem Datenlieferant (Apotheke) eine App bereitstellt um "Beratung" und Verkauf zu optimieren.
Einen Vorgeschmack dazu bot eine Pharmafirma, die gemeinsam mit einer Apotheke eintretende Besucher scannte und ihnen auf Basis der Daten aus der Kundenkarte zielgerichtete Produkte auf einem Display anbot. Dieses - eher plumpe - Experiment wurde wegen Kundenproteste bald wieder eingestellt, rechtlich wäre es zulässig gewesen. Das versteckte nudging (also Steuerung des Kunden) durch Verkaufsapps wird wohl bald bei österreichischen Apotheken Einzug finden.
Auch indirekte, für den Patienten negative Konsequenzen sind zu erwarten. Als Mitglied einer besonders "gefährdeten" oder besonders "kaufkräftigen" Gruppe wird er in Zukunft mit höheren Preisen bei Versicherungen oder Medikamenten rechnen müssen.
Österreichs Politik ist säumig
Im Vorfeld der Einführung der DSGVO hatte sich Österreichs Politik ausschließlich auf die Strafbestimmungen konzentriert und diese - wohl aus schlechtem Gewissen - kleinzureden versucht "Verwarnen statt Strafen"). Übersehen wurde, dass durch Art 6 Abs 4 völlig neue Verarbeitungsszenarien möglich sind, die - rechtlich zulässig - weitreichende Eingriffe in den Datenschutz von Betroffenen erlauben.
So wurde verabsäumt systematisch zu prüfen, welche dieser neuen Verarbeitungsmöglichkeiten eigentlich erwünscht sind, welche nicht. Die de facto Freigabe des Patientenhandels für kreative Internetunternehmen steht offenkundig nicht auf dem Wunschzettel der österreichischen Bürger und Bürgerinnen. Auch in diesem Punkt entpuppt sich österreichs Politik weniger gut vorbereitet, als international agierende App-Anbieter und Internet-Konzerne.
Recht auf Beschwerde und Schadenersatz
Die neuen Bestimmungen der DSGVO erlauben weitreichenden Handel mit Patientendaten. Kommte es trotzdem zu einer Übertretung, bestehen Beschwerderechte gegenüber der Datenschutzbehörde und Anspruch auf Schadenersatz. Im Fall von Gesundheitsdaten ist von einem immateriellen Schadenersatz ab 2.000,- Euro auszugehen, wenn diese Daten rechtswidrig veröffentlicht werde, geht die ARGE DATEN von 5.000,- Euro und mehr aus. Je Patient versteht sich. Der Schadenersatz ist beim Zivilgericht, das führ den Wohnort des Patienten zuständig ist nach § 29 DSG gegen den Verursache (Arzt, Labor, Apotheke, Marktforschungsunternehmen, ...) geltend zu machen.
Die ARGE DATEN bietet bei illegalem Handel mit Gesundheitsdaten ihren Mitgliedern eine erste Prüfung und Verfaahrensunterstützung bei der Durchsetzung der Schadneersatzansprüche an.
Sonstige Strafbarkeit bei Verarbeitung von Patientendaten
Die Weitergabe von anonymisierten Patientendaten fällt nicht under die DSGVO und wird generell straffrei sein. Ob Daten ausreichend anonymisiert sind, ist im Einzelfall zu prüfen.
Nach § 63 DSG ist strafbar, wer personenbezogene Daten, die ihm ausschließlich anlässlich seines Berufes anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene ein schutzwürdiges Geheimhaltungsinteresse hat. Ein schutzwürdiges Geheimhaltungsinteresse ist auszuschließen, wenn die Daten allgemein verfügbar sind oder es sich um anonyme Daten handelt, die auf den Betroffenen nicht rückzuführen sind. Handelt der Arzt mit nicht hinreichend anonymisierten Patientendaten und hat dabei Gewinnerzielungsabsicht ist eine Strafbarkeit nach § 63 DSG grundsätzlich denkbar.
Strafbar wegen Bestechlichkeit nach § 304 StGB kann nach dem Gesetzeswortlaut nur ein Amtsträger sein. Ärzte sind keine Amtsträger. Sie haben zwar oft einen Kassenvertrag, sind jedoch organisatorisch nicht in das Unternehmen des Versicherungsträgers eingegliedert. Die Anti-Korruptionsbestimmung im privaten Bereich gemäß § 309 StGB umfasst Bedienstete oder Beauftragte eines Unternehmens. Da zwischen dem Versicherungsträger und dem Vertragsarzt aber keine Weisungsbefugnis besteht, sind diese keine Bediensteten des Versicherungsträgers. Damit ist die Weitergabe von Patientendaten durch Kassenvertragsärzte aus korruptionsrechtlicher Sicht nicht strafbar.
mehr --> Darf ein Arbeitgeber Gesundheitsdaten verlangen?
mehr --> Besteht gemäß DSGVO Auskunftsrecht bei pseudonymen Daten (Beis...
mehr --> Schadenersatz und Strafen für Datenschutzverletzungen
mehr --> ELGA - die Katze ist aus dem Sack
mehr --> Sicherheit der Verarbeitung elektronischer Patientendokumentation
mehr --> Was für den ELGA Widerspruch ("OptOut") tun?
Archiv --> Gesundheitsdaten von Arbeitslosen in falsche Hände?
Archiv --> Missbrauch von Patientendaten - die Fakten
Archiv --> Datenschutzfragen bei der Übermittlung gesundheitsrelevanter D...
|
