Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar?

Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein Betroffener in eine unsichere Datenverarbeitung einwilligen kann oder sind die objektiven Zielvorgaben an eine sichere Datenverarbeitung aus Art. 32 DSGVO quasi absolut?

Dies führt beispielsweise im Anwendungsbereich des Gesundheitswesens zur Überlegung, ob ein Patient in eine unsichere Kommunikation bzw. Verarbeitung seiner Patientendaten einwilligen kann oder ob die Anforderungen an die TOMs des Verantwortlichen nach Art. 32 DSGVO dem entgegenstehen. Daraus lässt sich die äußerst praxisnahe Frage ableiten: Kann der Patient einwilligen, dass ihm der Arzt seine Befunde per E-Mail an seine eigene private E-Mail-Adresse senden darf oder wäre dies unzulässig?

Auslöser dieser nun wieder aktuellen Diskussion war ein interner Vermerk der Hamburger Aufsichtsbehörde im Datenschutz vom Februar 2021, der vor wenigen Tagen veröffentlicht worden ist.

Überwiegt die Einwilligung?

Der Autor von der Hamburger Aufsichtsbehörde führt in diesem knapp elf Seiten umfassenden Gutachten relativ lesenswert aus, dass die Einwilligung des Betroffenen als Ausfluss seiner europäischen Grundrechte (Art. 8 Grundrechtecharta der EU), die auch in die DSGVO ausstrahlen,  in eine für ihn gewollte, unsichere Datenverarbeitung erteilt werden kann, wenn diese wirksam, freiwillig und vorab informiert erfolgt.

Mit juristisch überzeugenden Argumenten wird vorgetragen, dass die Einwilligung gem.  Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO, offenbar dem objektiven Schutzgedanken der DSGVO vorgehen kann (oder mit diesem in Einklang steht?) und somit eine solche Absenkung der Maßnahmen zum Schutze der personenbezogenen Daten im konkreten Einzelfall als Betroffener ermöglichen kann.

So heißt es im Vermerk:

“Die Gesetzessystematik spricht daher – entgegen der eingangs dargestellten Literaturauffassung – gerade für die Möglichkeit der betroffenen Person in die Herabsetzung der Sicherheit der Verarbeitung einzuwilligen, da die Dispositionsfreiheit der betroffenen Person durch die Artt. 6 und 7 DSGVO nur in Bezug auf das „Ob“ und nicht in Bezug auf das „Wie“ eingeschränkt wird. Da eine Regelung über eine Beschränkung der Dispositionsfreiheit über das „Wie“ fehlt, bleibt sie Bezug auf das „Wie“ unbeschränkt.“ (Seite 7).

Patienten und Mandanten

Dabei wird in diesem Vermerk sogar sehr konkret Bezug auf die Rolle als Patient und Mandant genommen, was überrascht, da sowohl der Arzt als auch beispielsweise der Rechtsanwalt jeweils in seiner Rolle als Berufsgeheimnisträger mit „eigener“ Haftung gilt und diesen Personen sogar gemäß § 203 StGB eine Strafbarkeit bei Weitergabe der geschützten Informationen (Patientengeheimnis) an Dritte droht:

„Auch an dieser Stelle soll abschließend noch einmal die Konsequenz der Gegenauffassung aufgezeigt werden: Ließe man nur eine Einwilligung in das „Ob“ der Verarbeitung zu, wäre es möglich, darin einzuwilligen, dass die eigenen personenbezogenen Daten, auch Gesundheitsdaten, wie z.B. ein ärztliches Attest im Internet durch einen Dritten veröffentlicht werden. Nicht möglich wäre es aber darin einzuwilligen, dass der Dritte dieselben Daten per unverschlüsselter E-Mail an die betroffene Person verschickt, weil dann nicht garantiert werden kann, dass bei der Übermittlung nicht auf die Daten zugegriffen wird und sie vielleicht öffentlich bekannt würden. Dieses Ergebnis ist weder sachgerecht noch lässt es sich– wie gezeigt – aus den. Artt. 6 Abs. 1 lit. a und 7 DSGVO ableiten. ” (Seite 7).

Mit anderen Worten: Nach dieser Auffassung dürfte der Patient in eine Zusendung / Verarbeitung seiner Patientendaten durch unverschlüsselte E-Mail – und damit in die Herabsenkung des Datenschutzniveaus einwilligen. Der Arzt dürfte dann ein solches, niedrigeres Datenschutzniveau hinnehmen und somit dem Willen des Patienten Folge leisten, ohne selbst gegen die DSGVO zu verstoßen.

Jedoch darf diese Herabsenkung  nicht uferlos sein und muss an konkrete Voraussetzungen geknüpft sein, wie die Freiwilligkeit und vorherige Informiertheit (Aufklärung) des Handelnden:
“Voraussetzung jeder Abbedingung ist daher eine freiwillige Einwilligung, insbesondere muss der Betroffene frei von (auch faktischem) Zwang sein und eine echte Entscheidungsmöglichkeit haben. Er kann nicht gezwungen sein, einer unsicheren Datenverarbeitung zuzustimmen, wenn er einen Online-Dienst oder einen Arzt oder Rechtsanwalt seiner Wahl aufsucht. [..] . Der Verantwortliche hat deshalb von vornherein Sorge dafür zu tragen, dass auf konkret definierte und absehbare Zeit auch Möglichkeiten der sicheren digitalen Abwicklung eröffnet werden, die frei von diesen Nachteilen sind. ” (Seite 10).

Hohe Anforderungen an die Einwilligung

Die Freiwilligkeit der Einwilligung dürfte in der Realität relativ leicht zu erfüllen sein, da dem Patienten in der Regel auch ein anderer, wenn gleich etwas umständlicherer Weg zusteht, die ihn betreffenden Befunde/Daten per Briefpost zu erhalten oder beim Arzt direkt einzusehen bzw. im Rahmen einer Sprechstunde ausgehändigt zu bekommen. Ebenso werden dem Patienten mittlerweile Ergebnisse von Untersuchungen direkt auf CD mitgegeben.

Im Übrigen muss die Einwilligung auch den weiteren Anforderungen (gem. 7 DSGVO) standhalten, insofern also vorab über den konkreten Vorgang und damit einhergehenden Risiken aufklären und jederzeit widerrufbar sein (Art. 7 Abs. 3 DSGVO).

Auch wenn dies im Vermerk nicht hinreichend beleuchtet worden ist, sollten diese Vorgaben weiterhin beachtet werden. Im oben genannten Beispielsfall des Patienten dürften weiterhin angesichts der sensiblen Daten aus einem Befund oder einer Patientenakte hohe Hürden für diesen Weg bestehen. Insbesondere müsste bei dem Versand solcher Inhalte per E-Mail an die private E-Mail-Adresse des Patienten transparent und verständlich beschrieben werden, dass diese Daten auf dem beabsichtigten, unsicheren technischen Weg abgefangen oder an weiteren Stellen verarbeitet werden können. Denkbar wäre beispielsweise ein E-Mail Postfach des Patienten, das dieser per IMAP oder Weiterleitung auf diversen privaten weiteren Endgeräten (PC, Smartphone, Tablet-PC) oder in der Cloud abruft und dann weitere Personen einen ggfs. ungesicherten Zugriff auf diese Inhalte erhielten, ebenso aber auch diese Daten für eine unbestimmte Zeit auf diesen Geräten und Speichermedien abgelegt werden könnten. Auch könnte eine Datenübermittlung in die USA drohen, beispielsweise bei Gmail oder Yahoo.

Zudem sollte die Einwilligung zur Dokumentation schriftlich eingeholt werden.

An dieser Stelle sei darauf hingewiesen, dass Prof. Dr. Caspar, HmbBfDI im 27. Tätigkeitsbericht für das Jahr 2018 der Hamburger Aufsichtsbehörde relativ ausführlich zum Datenschutz in Arztpraxen berichtet hatte und hier auf einen vergleichbaren Fall bereits datenschutzrechtlich eingegangen war.

Dort war die Aufsichtsbehörde offenbar strenger in der Empfehlung und formulierte:

„Angesichts der Sicherheitsanforderungen an die Verarbeitung von Gesundheitsdaten gilt sowohl bei der elektronischen Speicherung als auch bei der elektronischen Übermittlung von Gesundheitsdaten grundsätzlich eine Verschlüsselungspflicht. Das heißt, dass ein Versand von Patientendaten mittels einfacher (lediglich transport-, nicht aber Ende-zu-Ende-verschlüsselter) E-Mail regelmäßig keinen zulässigen Übermittlungsweg darstellt. Das gilt auch dann, wenn die Patientin/der Patient sich ausdrücklich mit dem Versand per einfacher E-Mail einverstanden erklärt hat, da die Verpflichtung zur Gewährleistung eines angemessenen Schutzniveaus nicht durch eine Vereinbarung zwischen Praxis und Patient abbedungen werden kann. Eine Übermittlung von Gesundheitsdaten wie Diagnosen, Krankheitsverläufen, Arzt- und Befundberichten, radiologischen Bildern oder Symptombeschreibungen per einfacher E-Mail ist daher nur dann vertretbar, wenn die „Umstände der Verarbeitung“ (vgl. Art. 32 DSGVO) den Verschlüsselungsverzicht rechtfertigen. Dies kann zum Beispiel bei medizinischen Notfällen aufgrund der Dringlichkeit oder bei wechselndem Auslandsaufenthalt des Patienten mangels Erreichbarkeitsalternativen der Fall sein.“ (S. 120, 121, TB. 2018).

Fazit

Eine freiwillige, informierte Einwilligung des Patienten in die Zusendung der ihn betreffenden Befunde/Gesundheitsdaten auf einem solch unsicheren Weg, wie z.B. per (in der Regel mittlerweile durch eine Transport-Verschlüsselung geschützte) E-Mail an seine private E-Mail-Adresse ist nach der hier vertretenden Auffassung (wohl) möglich. Eine solche Zustimmung müsste durch ein entsprechendes Dokument vorab und direkt vom Patienten eingeholt werden und gilt nur für die eigenen Daten. Der Patient müsste auf die Risiken umfassend hingewiesen werden.

Die Frage der Verifikation der Person wurde hier ausgeklammert, aber besteht natürlich weiterhin: Es muss sichergestellt werden, dass die E-Mail-Adresse auch dem Patienten gehört und ferner diese Daten nur ihm zugehen und dass die Person ohnehin einwilligungsfähig ist. Letztgenanntes Kriterium könnte bei sehr jungen und sehr alten Menschen vielleicht fragwürdig sein.

Es sollte dennoch und vor allem aus Gründen der Rechtssicherheit dieser Vermerk nicht als Freifahrtschein verstanden werden, da selbiger zunächst nur für Hamburg gelten mag, kein deutschlandweit abgestimmtes Positionspapier der Aufsichtsbehörden darstellt und die üblichen Anforderungen an die Einwilligung und Verifikation der Person weiterhin bestehen. Inwiefern die Aufsichtsbehörden anderer Bundesländer diese Auffassung teilen, ist nicht bekannt. Es wird vermehrt durch andere Aufsichtsbehörden eine gegenteilige Auffassung vertreten.

Sofern dieses zusätzliche, praxisnahe Angebot bestehen soll, sollte dies auch nur als Ausnahmesituation im gründlich geprüften Einzelfall gelten. Auch sollte in der Regel ein sicherer, anderer Weg der Zusendung bzw. Verarbeitung dieser personenbezogenen Daten gewählt werden, der ohnehin als Alternative bestehen muss. So kommen beispielsweise immer mehr Apps auf den Markt, die sich dieser Thematik annehmen.

Soweit das Ergebnis aus dem Vermerk auch überzeugen mag und pragmatische Lösungen erlaubt, sollte diese Option dennoch mit Vorsicht genossen werden. Fehlende Sicherheitsvorkehrungen können durch die Einwilligung nicht ersetzt werden.

Zudem muss der Verantwortliche ohnehin seine getroffenen Maßnahmen zu den technisch-organisatorischen Maßnahmen vorhalten, also ohnehin seinerseits zunächst anbieten.