Oder: Ist die Einwilligung in eine unsichere Datenverarbeitung trotz Art. 32 DSGVO denkbar?
Schon seit vielen Jahren beschäftigten sich die Datenschützer mit der Diskussion, ob die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) aus Art. 32 DSGVO auf Grundlage der Einwilligung des Betroffenen ihm gegenüber abgesenkt werden können. Sieht es die DSGVO überhaupt vor, dass ein Betroffener in eine unsichere Datenverarbeitung einwilligen kann oder sind die objektiven Zielvorgaben an eine sichere Datenverarbeitung aus Art. 32 DSGVO quasi absolut?
Dies führt beispielsweise im Anwendungsbereich des Gesundheitswesens zur Überlegung, ob ein Patient in eine unsichere Kommunikation bzw. Verarbeitung seiner Patientendaten einwilligen kann oder ob die Anforderungen an die TOMs des Verantwortlichen nach Art. 32 DSGVO dem entgegenstehen. Daraus lässt sich die äußerst praxisnahe Frage ableiten: Kann der Patient einwilligen, dass ihm der Arzt seine Befunde per E-Mail an seine eigene private E-Mail-Adresse senden darf oder wäre dies unzulässig?
Auslöser dieser nun wieder aktuellen Diskussion war ein interner Vermerk der Hamburger Aufsichtsbehörde im Datenschutz vom Februar 2021, der vor wenigen Tagen veröffentlicht worden ist.
Überwiegt die Einwilligung?
Der Autor von der Hamburger Aufsichtsbehörde führt in diesem knapp elf Seiten umfassenden Gutachten relativ lesenswert aus, dass die Einwilligung des Betroffenen als Ausfluss seiner europäischen Grundrechte (Art. 8 Grundrechtecharta der EU), die auch in die DSGVO ausstrahlen, in eine für ihn gewollte, unsichere Datenverarbeitung erteilt werden kann, wenn diese wirksam, freiwillig und vorab informiert erfolgt.
Mit juristisch überzeugenden Argumenten wird vorgetragen, dass die Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a, Art. 7 DSGVO, offenbar dem objektiven Schutzgedanken der DSGVO vorgehen kann (oder mit diesem in Einklang steht?) und somit eine solche Absenkung der Maßnahmen zum Schutze der personenbezogenen Daten im konkreten Einzelfall als Betroffener ermöglichen kann.
So heißt es im Vermerk:
„Die Gesetzessystematik spricht daher – entgegen der eingangs dargestellten Literaturauffassung – gerade für die Möglichkeit der betroffenen Person in die Herabsetzung der Sicherheit der Verarbeitung einzuwilligen, da die Dispositionsfreiheit der betroffenen Person durch die Artt. 6 und 7 DSGVO nur in Bezug auf das „Ob“ und nicht in Bezug auf das „Wie“ eingeschränkt wird. Da eine Regelung über eine Beschränkung der Dispositionsfreiheit über das „Wie“ fehlt, bleibt sie Bezug auf das „Wie“ unbeschränkt.“ (Seite 7).
Patienten und Mandanten
Dabei wird in diesem Vermerk sogar sehr konkret Bezug auf die Rolle als Patient und Mandant genommen, was überrascht, da sowohl der Arzt als auch beispielsweise der Rechtsanwalt jeweils in seiner Rolle als Berufsgeheimnisträger mit „eigener“ Haftung gilt und diesen Personen sogar gemäß § 203 StGB eine Strafbarkeit bei Weitergabe der geschützten Informationen (Patientengeheimnis) an Dritte droht:
„Auch an dieser Stelle soll abschließend noch einmal die Konsequenz der Gegenauffassung aufgezeigt werden: Ließe man nur eine Einwilligung in das „Ob“ der Verarbeitung zu, wäre es möglich, darin einzuwilligen, dass die eigenen personenbezogenen Daten, auch Gesundheitsdaten, wie z.B. ein ärztliches Attest im Internet durch einen Dritten veröffentlicht werden. Nicht möglich wäre es aber darin einzuwilligen, dass der Dritte dieselben Daten per unverschlüsselter E-Mail an die betroffene Person verschickt, weil dann nicht garantiert werden kann, dass bei der Übermittlung nicht auf die Daten zugegriffen wird und sie vielleicht öffentlich bekannt würden. Dieses Ergebnis ist weder sachgerecht noch lässt es sich– wie gezeigt – aus den. Artt. 6 Abs. 1 lit. a und 7 DSGVO ableiten. “ (Seite 7).
Mit anderen Worten: Nach dieser Auffassung dürfte der Patient in eine Zusendung / Verarbeitung seiner Patientendaten durch unverschlüsselte E-Mail – und damit in die Herabsenkung des Datenschutzniveaus einwilligen. Der Arzt dürfte dann ein solches, niedrigeres Datenschutzniveau hinnehmen und somit dem Willen des Patienten Folge leisten, ohne selbst gegen die DSGVO zu verstoßen.
Jedoch darf diese Herabsenkung nicht uferlos sein und muss an konkrete Voraussetzungen geknüpft sein, wie die Freiwilligkeit und vorherige Informiertheit (Aufklärung) des Handelnden:
„Voraussetzung jeder Abbedingung ist daher eine freiwillige Einwilligung, insbesondere muss der Betroffene frei von (auch faktischem) Zwang sein und eine echte Entscheidungsmöglichkeit haben. Er kann nicht gezwungen sein, einer unsicheren Datenverarbeitung zuzustimmen, wenn er einen Online-Dienst oder einen Arzt oder Rechtsanwalt seiner Wahl aufsucht. [..] . Der Verantwortliche hat deshalb von vornherein Sorge dafür zu tragen, dass auf konkret definierte und absehbare Zeit auch Möglichkeiten der sicheren digitalen Abwicklung eröffnet werden, die frei von diesen Nachteilen sind. “ (Seite 10).
Hohe Anforderungen an die Einwilligung
Die Freiwilligkeit der Einwilligung dürfte in der Realität relativ leicht zu erfüllen sein, da dem Patienten in der Regel auch ein anderer, wenn gleich etwas umständlicherer Weg zusteht, die ihn betreffenden Befunde/Daten per Briefpost zu erhalten oder beim Arzt direkt einzusehen bzw. im Rahmen einer Sprechstunde ausgehändigt zu bekommen. Ebenso werden dem Patienten mittlerweile Ergebnisse von Untersuchungen direkt auf CD mitgegeben.
Im Übrigen muss die Einwilligung auch den weiteren Anforderungen (gem. 7 DSGVO) standhalten, insofern also vorab über den konkreten Vorgang und damit einhergehenden Risiken aufklären und jederzeit widerrufbar sein (Art. 7 Abs. 3 DSGVO).
Auch wenn dies im Vermerk nicht hinreichend beleuchtet worden ist, sollten diese Vorgaben weiterhin beachtet werden. Im oben genannten Beispielsfall des Patienten dürften weiterhin angesichts der sensiblen Daten aus einem Befund oder einer Patientenakte hohe Hürden für diesen Weg bestehen. Insbesondere müsste bei dem Versand solcher Inhalte per E-Mail an die private E-Mail-Adresse des Patienten transparent und verständlich beschrieben werden, dass diese Daten auf dem beabsichtigten, unsicheren technischen Weg abgefangen oder an weiteren Stellen verarbeitet werden können. Denkbar wäre beispielsweise ein E-Mail Postfach des Patienten, das dieser per IMAP oder Weiterleitung auf diversen privaten weiteren Endgeräten (PC, Smartphone, Tablet-PC) oder in der Cloud abruft und dann weitere Personen einen ggfs. ungesicherten Zugriff auf diese Inhalte erhielten, ebenso aber auch diese Daten für eine unbestimmte Zeit auf diesen Geräten und Speichermedien abgelegt werden könnten. Auch könnte eine Datenübermittlung in die USA drohen, beispielsweise bei Gmail oder Yahoo.
Zudem sollte die Einwilligung zur Dokumentation schriftlich eingeholt werden.
An dieser Stelle sei darauf hingewiesen, dass Prof. Dr. Caspar, HmbBfDI im 27. Tätigkeitsbericht für das Jahr 2018 der Hamburger Aufsichtsbehörde relativ ausführlich zum Datenschutz in Arztpraxen berichtet hatte und hier auf einen vergleichbaren Fall bereits datenschutzrechtlich eingegangen war.
Dort war die Aufsichtsbehörde offenbar strenger in der Empfehlung und formulierte:
„Angesichts der Sicherheitsanforderungen an die Verarbeitung von Gesundheitsdaten gilt sowohl bei der elektronischen Speicherung als auch bei der elektronischen Übermittlung von Gesundheitsdaten grundsätzlich eine Verschlüsselungspflicht. Das heißt, dass ein Versand von Patientendaten mittels einfacher (lediglich transport-, nicht aber Ende-zu-Ende-verschlüsselter) E-Mail regelmäßig keinen zulässigen Übermittlungsweg darstellt. Das gilt auch dann, wenn die Patientin/der Patient sich ausdrücklich mit dem Versand per einfacher E-Mail einverstanden erklärt hat, da die Verpflichtung zur Gewährleistung eines angemessenen Schutzniveaus nicht durch eine Vereinbarung zwischen Praxis und Patient abbedungen werden kann. Eine Übermittlung von Gesundheitsdaten wie Diagnosen, Krankheitsverläufen, Arzt- und Befundberichten, radiologischen Bildern oder Symptombeschreibungen per einfacher E-Mail ist daher nur dann vertretbar, wenn die „Umstände der Verarbeitung“ (vgl. Art. 32 DSGVO) den Verschlüsselungsverzicht rechtfertigen. Dies kann zum Beispiel bei medizinischen Notfällen aufgrund der Dringlichkeit oder bei wechselndem Auslandsaufenthalt des Patienten mangels Erreichbarkeitsalternativen der Fall sein.“ (S. 120, 121, TB. 2018).
Fazit
Eine freiwillige, informierte Einwilligung des Patienten in die Zusendung der ihn betreffenden Befunde/Gesundheitsdaten auf einem solch unsicheren Weg, wie z.B. per (in der Regel mittlerweile durch eine Transport-Verschlüsselung geschützte) E-Mail an seine private E-Mail-Adresse ist nach der hier vertretenden Auffassung (wohl) möglich. Eine solche Zustimmung müsste durch ein entsprechendes Dokument vorab und direkt vom Patienten eingeholt werden und gilt nur für die eigenen Daten. Der Patient müsste auf die Risiken umfassend hingewiesen werden.
Die Frage der Verifikation der Person wurde hier ausgeklammert, aber besteht natürlich weiterhin: Es muss sichergestellt werden, dass die E-Mail-Adresse auch dem Patienten gehört und ferner diese Daten nur ihm zugehen und dass die Person ohnehin einwilligungsfähig ist. Letztgenanntes Kriterium könnte bei sehr jungen und sehr alten Menschen vielleicht fragwürdig sein.
Es sollte dennoch und vor allem aus Gründen der Rechtssicherheit dieser Vermerk nicht als Freifahrtschein verstanden werden, da selbiger zunächst nur für Hamburg gelten mag, kein deutschlandweit abgestimmtes Positionspapier der Aufsichtsbehörden darstellt und die üblichen Anforderungen an die Einwilligung und Verifikation der Person weiterhin bestehen. Inwiefern die Aufsichtsbehörden anderer Bundesländer diese Auffassung teilen, ist nicht bekannt. Es wird vermehrt durch andere Aufsichtsbehörden eine gegenteilige Auffassung vertreten.
Sofern dieses zusätzliche, praxisnahe Angebot bestehen soll, sollte dies auch nur als Ausnahmesituation im gründlich geprüften Einzelfall gelten. Auch sollte in der Regel ein sicherer, anderer Weg der Zusendung bzw. Verarbeitung dieser personenbezogenen Daten gewählt werden, der ohnehin als Alternative bestehen muss. So kommen beispielsweise immer mehr Apps auf den Markt, die sich dieser Thematik annehmen.
Soweit das Ergebnis aus dem Vermerk auch überzeugen mag und pragmatische Lösungen erlaubt, sollte diese Option dennoch mit Vorsicht genossen werden. Fehlende Sicherheitsvorkehrungen können durch die Einwilligung nicht ersetzt werden.
Zudem muss der Verantwortliche ohnehin seine getroffenen Maßnahmen zu den technisch-organisatorischen Maßnahmen vorhalten, also ohnehin seinerseits zunächst anbieten.
17. Mai 2022 @ 22:41
Um an meine Blutwerte zu kommen, muß ich extra 15 km mit dem Auto fahren. Dann gurke ich darum, bis ich endlich einen Parkplatz habe. Wenn Briefe und Faxe sicherer sein sollen als eMails, dann ist die Behörde auf dem Holzweg. Eine schriftliche Einwilligungserklärung seitens des Patienten sollte genügen und den Arzt von etwaigem Mißbrauch freisprechen. Dies sollte auch für Mandant/Antwalt gelten. So wie es jetzt ist, werden wir Bürger bevormundet und das in einer Demokratie.
10. Mai 2022 @ 17:48
Jepp, das ist wieder mal Deutschland. Fax und Brief gilt als gut und sicher (beides komplett unverschlüsselt) aber E-Mail ist natürlich böse. Zurücklehnen und weiterwurschteln wie bisher. Die digitale Patientenakte kommt natürlich auch nicht vom Fleck. Wegen „Datenschutzbedenken“. Was sonst.
1. April 2022 @ 15:28
auch ich stelle mir die Frage, warum ein klassischer Brief als sicherer Kommunikationsweg angesehen wird, wenn insbesondere in Mehrfamilienhäusern nicht selten die Post im Treppenhaus zentral abgelegt wird und für Dritte zugänglich ist. Ich würde mir auch wünschen, dass Versender durch eine Erklärung des Empfängers rechtssicher freigestellt werden können, da ich nicht die Zeit habe beleghafte Post zu digitalisieren. Und ein Laborbericht enthält keine Angaben die den Zugang zum Online-Banking freigibt. Jedermann könnte ohne große Anstrengung Postsendungen abfangen, Mails mitzulesen erfordert Spezialwissen, wage ich zu behaupten. Und wer hat ernsthaftes Interesse an meinen Laborwerten und würde zu diesem Zweck meine Mails mitlesen wollen? Übertreiben die Verfasser der DSGVO nicht, wenn wir den Bürgern das Recht absprechen, über das „ob“ und „wie“ selbst zu entscheiden. Behörden müllen uns mit beleghafter Post zu und die Umwandlung von digitalen Daten in die analoge Form und zurück in die digitale Form beim Empfänger verschlingt ganz sicher mehr Energie und erzeugt mehr Co2 als die rein elektronische Übermittlung. Ohne Planet Erde auch kein Datenschutz……..
26. März 2022 @ 9:13
Was ist an einem Fax sicher? Zu Hause haben das die wenigsten, also ins Büro damit und man bekommt das auch, wenn es vorher dann alle gelesen haben und eine Kopie am schwarzen Brett hängt. Wo bitte ist da die Sicherheit?
14. Mai 2021 @ 9:49
Komisch, dass die LDI Brandenburg das anders sieht – zumindest bei E-Mails von Kreditablehnungen durch Banken …
11. Mai 2021 @ 10:20
a) dass ein Betroffener in unsichere Kommunikationswege einwilligen kann – ja.
b) dass Anwälte bei Offenlegung per Email haften – nein, ist extra geändert worden
c) Caspar zu E2E-Emails: Im B2C-Bereich gibt die Betroffene Person eine Kontaktmöglichkeit an. Ob dies eine persönliche Emailadresse ist, eine Arbeits-Emailadresse oder eine gemeinschaftliche Familienemailadressse, ist der Betroffenen Person überlassen. Das ist ihr Verfügungsbereich und eine Transportverschlüsselung ist bei Emails Stand der Technik.
10. Mai 2021 @ 13:48
Für mich heißt das nach allem für und wieder einfach „nicht machen“ weil man sonst je nachdem an wen man gerät „mit einem Bein im Knast“ (bzw. im Bußgeldverfahren) steht. Wer hat schon Lust sich mit der Interpretation einer Verordnung durch eine(n) Behörde(nmitarbeiter) auseinanderzusetzen, ohne dass es dazu eindeutige Rechtsprechung von höchster Stelle gibt? Außer natürlich man möchte gerne derjenige sein der diese erwirkt. Was auch nach hinten losgehen kann.
11. Mai 2021 @ 18:00
*Für und Wider natürlich, meine Güte. War in Eile.