Ärztliches Berufsrecht und Datenschutzrecht

„Der Schutzzweck der Verschwiegenheitspflicht und des Datenschutzrechts ist ähnlich, aber nicht identisch.“

KLARA GEUER, GEUER RECHTSANWÄLTE

Der Schutzzweck der Verschwiegenheitspflicht und des Datenschutzrechts ist ähnlich, aber nicht identisch. Auch ist das Verhältnis von Datenschutz und ärztlicher Schweigepflicht in der DSGVO nicht ausdrücklich geregelt. In einigen Bestimmungen nimmt die Datenschutz-Grundverordnung jedoch Bezug auf Berufsgeheimnisse:

Erlaubnistatbestände in der DSGVO

Die Voraussetzungen für die Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten sind besonders streng. Das öffentliche Interesse im Bereich der öffentlichen Gesundheit ist gem Art 9 Abs 2 lit i DSGVO als ein möglicher Grund für die Verarbeitung unter anderem von Gesundheitsdaten und genetischen Daten vorgesehen. Für eine zulässige Datenverarbeitung muss es eine konkrete Rechtsgrundlage (zum Beispiel im DSG) geben. Auch sind angemessene Maßnahmen, insbesondere zur Einhaltung der Berufsgeheimnisse, vorzusehen.

Für Zwecke der Gesundheitsvorsorge, Arbeitsmedizin etc. (Art 9 Abs 2 lit h DSGVO) dürfen besondere Kategorien personenbezogener Daten nach Art 9 Abs 3 DSGVO außerdem nur dann verarbeitet werden, wenn dies in der Verantwortung von Fachpersonal/Stellen erfolgt, die entsprechenden Geheimhaltungspflichten unterliegen.

„Das ärztliche Berufsgeheimnis schützt das Vertrauen des Patienten in seinen Arzt, das Datenschutzrecht die Selbstbestimmtheit des Einzelnen hinsichtlich seines Privatlebens in einer digitalisierten Welt.“

ERMANO GEUER, GEUER RECHTSANWÄLTE

Informationspflicht und ärztliches Berufsgeheimnis

Gem Art 14 Abs 1 DSGVO muss der Verantwortliche der betroffenen Person bestimmte Informationen erteilen. Und zwar dann, wenn er die personenbezogenen Daten dieser Person nicht bei der betroffenen Person selbst erhoben hat, sondern auf andere Weise in den Besitz der Daten gelangt ist. Ein Beispiel wäre die Übermittlung von namentlich beschrifteten Gewebeproben von einem Arzt an ein medizinisches Labor.

Allerdings gibt es in Art 14 Abs 5 lit d DSGVO eine Ausnahme für den Fall, dass die personenbezogenen Daten einem Berufsgeheimnis unterliegen und daher vertraulich behandelt werden müssen. Im gegenständlichen Fall unterliegen die Daten dem Berufsgeheimnis des Arztes und wohl auch dem Berufsgeheimnis des medizinischen Fachpersonals im Labor – es ist also keine Information an die betroffene Person erforderlich.

Vorsicht bei Datenverlust

Aus einigen Erwägungsgründen zur Datenschutz-Grundverordnung ergibt sich, dass bei einem Datenverlust, bei dem (potenziell) auch Berufsgeheimnisse verletzt werden besondere Vorsicht geboten ist. Da die Verletzung des Berufsgeheimnisses ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, muss dieses nach DSGVO durch geeignete technische und organisatorische Maßnahmen eingedämmt werden. Das Risiko hat demnach zwei Dimensionen: (1) die Schwere des Schadens und (2) die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.

In ErwGr 85 wird der „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten“ ebenfalls als möglicher Anknüpfungspunkt für einen Schaden angesehen. In einem solchen Fall ist unverzüglich (spätestens binnen 72 Stunden) nach Kenntnis der Verletzung eine Meldung an die Datenschutzbehörde zu erstatten.

Befugnisse der Datenschutzbehörde

Nach Art 90 Abs 1 DSGVO und ErwGr 164 können die Befugnisse der Datenschutzbehörde im Zusammenhang mit Durchsuchungen von Räumlichkeiten begrenzt werden, um Berufsgeheimnisse zu schützen. In Österreich wurde diese Regelung zum besonderen Schutz des Berufsgeheimnisses der Ärzte, soweit ersichtlich, nicht gesondert umgesetzt.

In § 144 Abs 2 StPO ist aber immerhin geregelt, dass bestimmte Ermittlungsmaßnahmen nur dann angeordnet werden dürfen, wenn sie nicht zur Umgehung von Aussageverweigerungsrechten (etwa der Ärzte) führen. Davon ausgenommen sind Situationen, in denen die betroffene Person selbst dringend einer Straftat verdächtigt ist. Zum Schutz des Berufsgeheimnisses ist dann ein Rechtsschutzbeauftragter beizuziehen (§ 144 Abs 3 StPO).

Gefährdung schutzwürdiger Geheimhaltungsinteressen

Die Datenschutzbehörde kann bei einer wesentlichen unmittelbaren Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) gem § 22 Abs 4 DSG die Weiterführung der Datenverarbeitung mit Bescheid untersagen. Die Ärztekammer muss in Fällen, in denen sie Kenntnis von einer Verletzung des Berufsgeheimnisses im Rahmen einer Datenverarbeitung erlangt, mit der DSB Kontakt aufnehmen.

Information der Kostenträger

Gem § 54 Abs 3 ÄrzteG besteht keine Verschwiegenheitspflicht, sofern die erforderlichen Unterlagen zum Zweck der Honorar- oder Medikamentenabrechnung den Krankenversicherungsträgern, Krankenanstalten etc. als Auftragsverarbeitern gem Art 4 Z 8 DSGVO überlassen werden. Eine allfällige Speicherung darf nur so erfolgen, dass Betroffene weder bestimmt werden können noch mit hoher Wahrscheinlichkeit bestimmbar sind.

Stark gekürzter und bearbeiteter Auszug des Fachbeitrags „Datenschutz im Lichte des ärztlichen Berufsrechts“ aus der MANZ-Zeitschrift „Recht der Medizin“. Mehr über das Verhältnis von Berufsgeheimnis und Datenschutz im Gesundheitswesen lesen Sie im vollständigen Text der Ausgabe RdM 2/2024.