Eine österreichische Tagesklinik verwendete formularmäßige Einwilligungserklärungen, mit der Patienten in die unverschlüsselte Übertragung ihrer Gesundheitsdaten einwilligen sollten. Die Datenschutzbehörde in Österreich leitete wegen des Verdachts auf einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein Prüfverfahren gegen die Klinik ein und fasste am 16.11.2018 einen inzwischen rechtskräftigen Beschluss (Geschäftszahl: DSB-D213.692/0001-DSB/2018). Die Behörde stufte die Einwilligungserklärung als rechtswidrig ein und setzte der Klinik eine Frist zur Überarbeitung mehrerer unwirksamer Klauseln. Außerdem wurde die Klinik verpflichtet, einen Datenschutzbeauftragten zu bestellen und hinsichtlich bestimmter Vorgänge zu prüfen, ob sie eine Datenschutz-Folgenabschätzung vornehmen muss.
Hinweispflichten nach Art. 13 und 14 Datenschutzgrundverordnung
Die Datenschutzgrundverordnung enthält in den Artikeln 13 und 14 detaillierte Vorgaben über die Mitteilungs- und Hinweispflichten, die Datenerheber und -verarbeiter zu erfüllen haben. Art. 13 bezieht sich auf Daten, die direkt bei der betroffenen Person erhoben wurden, Art. 14 auf die Daten, die bei Dritten gesammelt werden. Neben Namen und Kontaktdaten des Verantwortlichen sind nach Art. 13 DSGVO im Zeitpunkt der Datenerhebung zum Beispiel der Zweck der Datenverarbeitung und die Rechtsgrundlage zu nennen. Die Erklärung der österreichischen Klinik enthielt nach Ansicht der Datenschutzbehörde zahlreiche Schwachstellen, so ließ sich der richtige Verantwortliche nicht entnehmen, die Angabe mehrerer Rechtsgrundlagen stiftete Verwirrung und der Zweck der Datenverarbeitung wurde nicht genannt. Außerdem fehlte der Hinweis auf die Widerrufsmöglichkeit der Einwilligung.
Einwilligung kann sich nicht auf die Sicherheitsmaßnahmen beziehen
Weiterhin führte die Datenschutzbehörde aus, dass eine Einwilligung in die unverschlüsselte Datenübertragung generell nicht statthaft sei. Denn eine Einwilligung nach Art. 6 DSGVO könne höchstens dazu dienen, einem Verwender die Datenverarbeitung zu einem bestimmten Zweck zu erlauben, also eine Rechtsgrundlage zu schaffen. Die Art und Weise der Verarbeitung habe sich jedoch nach Art. 32 DSGVO zu richten, wonach der Verwender geeignete Sicherheitsmaßnahmen ergreifen muss. Danach ist zum Beispiel zu berücksichtigen, wie sensibel die Daten sind, welche Maßnahmen nach dem aktuellen Stand der Technik zur Verfügung stehen und ob diese wirtschaftlich vertretbar sind. Im Umgang mit sensiblen Patientendaten dürfte im Ergebnis nahezu immer die Verschlüsselung erforderlich sein. Diese Entscheidung müsse jedoch letztlich der Verwender treffen.
Auch wenn es sich in diesem Fall um den Beschluss einer österreichischen Behörde handelt, könnte die Entscheidung auch in Deutschland Kreise ziehen. Hierzulande ist die Frage der unverschlüsselten Datenübertragung noch nicht gerichtlich geklärt worden, aber es zeichnet sich bereits ein Trend zur allgemeinen Verschlüsselung des E-Mail-Verkehrs ab. Wer mit sensiblen Daten zu tun hat, sollte jedenfalls hohe Sicherheitsvorkehrungen treffen, dabei kommt die E-Mail-Verschlüsselung als geeignete Maßnahme infrage.