Datenschutz: Einwilligung in Aspekte der Datensicherheit?

DSGVO: Art 6, Art 9, Art 24, Art 32

1. Von Aspekten der Datensicherheit nach Art 32 DSGVO kann mittels Einwilligung zum Nachteil von Betroffenen nicht abgewichen werden. Es ist vielmehr die Pflicht eines Verantwortlichen adäquate Maßnahmen zu ergreifen, damit es nach allgemeinem Ermessen zu keiner Verletzung des Schutzes personenbezogener Daten kommt und folglich die Vorgaben der DSGVO eingehalten werden (Art 24 DSGVO).

Die Frage, ob eine Übermittlung in verschlüsselter oder unverschlüsselter Form erfolgt, ist eine der Datensicherheitsmaßnahmen nach Art 32 DSGVO und somit alleine vom Verantwortlichen zu beurteilen. Von einer allfälligen Verpflichtung zur verschlüsselten Übermittlung kann nicht mit einer Einwilligungserklärung von betroffenen Personen abgegangen werden. Eine Einwilligung iSd Art 6 Abs 1 lit a bzw Art 9 Abs 2 lit a DSGVO ist schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu dient, eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können.

2. Die Entscheidung, ob ein Auftragsverarbeiter herangezogen wird, obliegt ebenfalls alleine der Verantwortlichen, die auch die Pflicht zur sorgfältigen Auswahl und zum Abschluss eines Vertrags mit bestimmtem Inhalt mit dem Auftragsverarbeiter trifft. Folglich ist die Heranziehung von Auftragsverarbeitern einer Einwilligung von Betroffenen nicht zugänglich, weshalb eine diesbezügliche Einwilligung auch nicht rechtswirksam erteilt werden kann.

3. Die Patientenverwaltung – begrenzt auf den Gegenstand der Verwaltung der Datensätze, die üblicher Weise auch bei einer Kundenverwaltung anfallen – ist nur dann nicht einer Datenschutzfolgenabschätzung (DSFA) zu unterziehen, wenn sie von einem einzelnen Arzt geführt wird.

Datenschutzbehörde 16. 11. 2018, DSB-D213.692/0001-DSB/2018

Entscheidung

Im vorliegenden Fall hat die Datenschutzbehörde zudem ua ausgesprochen, dass die Verantwortliche – eine Allergie-Tagesklinik – verpflichtend einen Datenschutzbeauftragten bestellen hätte müssen, weil sehr wohl eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art 9 DSGVO besteht:

Schon aus dem Wortlaut des Art 35 Abs 2 lit b DSGVO geht weiters klar hervor, dass die Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) erforderlich gewesen wäre, weil für folgende Verarbeitungstätigkeiten sämtliche der Verantwortlichen bekannten Gesundheitsdaten verwaltet, offengelegt und übermittelt werden:

Nach § 2 Abs 3 Z 1 DSFA-V unterliegt die umfangreiche Verarbeitung personenbezogener Daten gem Art 9 DSGVO jedenfalls dann einer DSFA, wenn zusätzlich zumindest ein weiteres Kriterium nach Abs 3 erfüllt ist (zur „umfangreichen Verarbeitung“ siehe die Leitlinien zur Datenschutz-Folgenabschätzung, abrufbar auf der Website der Datenschutzbehörde unter www.dsb.gv.at ).

Dabei ist zu berücksichtigen, dass die DSFA-V (Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist) und die DSFA-AV (Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung) keine abschließenden Aufzählungen enthalten, sondern nur Verarbeitungsvorgänge anführen, die jedenfalls einer oder keiner DSFA unterliegen. Ist ein Verarbeitungsvorgang nicht durch eine der beiden Verordnungen gedeckt, so trifft den Verantwortlichen die Pflicht, im Einzelfall zu prüfen, ob eine DSFA erforderlich ist oder nicht. Als Hilfestellung können hiezu die zitierten Leitlinien zur Datenschutz-Folgenabschätzung herangezogen werden.

Indem die Verantwortliche im vorliegenden Fall in unzutreffender Weise davon ausgegangen ist, dass sie jedenfalls keine DSFA durchzuführen hatte, hat sie gegen ihre Pflicht nach Art 35 DSGVO verstoßen.