Datenschutz

Aufgrund der mit 25.05.2018 national unmittelbar anzuwendenden europäischen Datenschutz-Grundverordnung und dem in Umsetzung der DSGVO novellierten und mit 25.05.2018 in Kraft tretenden DSG treffen mich als freiberufliche Diätologin auch die neuen datenschutzrechtliche Verpflichtungen in Bezug auf die Dokumentation der Datenverarbeitung und der gesetzten Datenschutzmaßnahmen.
Diese Verpflichtungen bringen die Notwendigkeit einer konkreten neuen Form der formellen Dokumentation der im Rahmen der beruflichen Tätigkeit durchgeführten Daten- Verarbeitungsvorgänge nämlich als Datenverarbeitungsverzeichnis mit sich.
Dieses Verzeichnis enthält eine formelle Niederschrift der standardmäßig durch die freiberuflich angewandte Diätologie, die konkreten Verarbeitungsvorgänge sowie gleichzeitig eine Darstellung der zum Schutz der im Rahmen der beruflichen Tätigkeit verarbeiteten Daten gesetzten Datensicherheitsmaßnahmen.
Es stellt eine Verpflichtung dar, ein solches Datenverarbeitungsverzeichnis über die durchgeführten Datenverarbeitungen zu führen.
Es hat unter anderem Informationen über die im Rahmen der freiberuflichen Tätigkeit standardmäßig verarbeiteten Datenkategorien von Betroffenen (z.B. Name, Diagnose, Versicherungsnummer), den jeweiligen Zweck und die rechtlichen Grundlagen für die einzelnen Verarbeitungen (wie u.a. die Dokumentationspflicht, Auskunftspflicht, Abrechnung mit Sozialversicherungsträgern) und der Art der Verarbeitung (u.a. Speicherung, Übermittlung) zu enthalten. Das Verzeichnis ist schriftlich zu führen und kann elektronisch verwaltet werden.
Die durchgeführten Daten-Verarbeitungen und die gesetzten Datensicherheitsmaßnahmen bedürfen der sorgsamen Durchführung und regelmäßigen Evaluierung.

Auf welcher Grundlage darf ich als freiberufliche Diätologin personenbezogene Gesundheitsdaten verarbeiten?
Die berufsrechtlichen Verpflichtungen zur Verarbeitung von Gesundheitsdaten von PatientInnen/KlientInnen im Zusammenhang mit der Berufsausübung und deren Flankierung durch die berufsrechtliche Schweigepflicht sind die Grundlage für die Zulässigkeit der Verwendung von Gesundheitsdaten durch gesetzlich geregelte Gesundheitsberufe.
Aufgrund der DSGVO und der mit 25.05.2018 in Kraft tretenden Novellierung des DSG stellen Gesundheitsdaten gem. Artikel 9 „besondere Kategorien personenbezogener Daten“ dar. Grundsätzlich besteht für besondere Kategorien von Daten ein Verarbeitungsverbot, welches nur durch ausdrückliche gesetzliche Ausnahmen durchbrochen wird. Eine solche ausdrückliche Ausnahme bildet die Verwendung von Gesundheitsdaten durch hierfür berufsrechtlich verpflichtete Gesundheitsberufe im Rahmen ihrer auf dem Berufsgesetz basierenden Berufsausübung im Gesundheitswesen.
Gesundheitsdaten dürfen daher auch nach dem 25.05.2018 als „besondere Kategorien personenbezogener Daten“ gemäß Art. 9 Abs.2 Ziff. h der DSGVO zum Zwecke der Gesundheitsvorsorge von berufsrechtlich hierzu berechtigten Gesundheitsberufen (die auch eine entsprechende Schweigepflicht trifft) wie Angehörige der gehobenen medizinisch- technischen Dienste verwendet werden.
Brauchen freiberuflich tätige Diätologen zur Verarbeitung von Gesundheitsdaten im Rahmen der berufsrechtlichen Tätigkeit eine Einwilligung durch die/den PatientIn/KlientIn?
Nein, solange die Datenverarbeitung im Rahmen der beruflichen Tätigkeit zur Erfüllung berufsrechtlicher Verpflichtungen (Dokumentationspflicht, Auskunftspflicht) oder zur Erfüllung des Behandlung erfolgt. Diese Datenverarbeitungen wurden ab 2012 inhaltlich im Rahmen der Standardanwendungen SA 024 „PatientInnen/KlientInnenverwaltung und Honorarabrechnung“ und SA 028 „Abrechnung mit den Sozialversicherungsträgern“ gedeckt und werden in der Folge ab 25.05.2018 inhaltlich im Rahmen des von Ihrem Berufsverband bereitgestellten Musters für ein Daten- Verarbeitungsverzeichnis abgebildet.
Daher muss der Zweck der Verarbeitung von Daten sehr genau beachtet werden. Wird beispielsweise die Kontaktdaten einer Patientin zwecks Behandlungskommunikation erhoben, dann dürfen diese Daten nicht z.B. für die postalische Bewerbung eines Seminars verwendet werden.
Warum benötigen freiberuflich tätige Berufsangehörige keine Einwilligung der PatientInnen zur Verwendung von Gesundheitsdaten im Rahmen der berufsrechtlichen Tätigkeit als Diätologin?
Angehörige der gehobenen medizinisch-technischen Dienste verarbeiten personenbezogene Daten im Rahmen ihrer beruflichen Tätigkeit meist in Erfüllung des Behandlungsvertrages und in diesem Zusammenhang in Erfüllung der gesetzlichen Dokumentationspflicht (§ 11a) MTD-Gesetz). Eine separate Einwilligung der PatientInnen zur aufgrund der
berufsgesetzlichen Verpflichtungen erfolgenden Datenverarbeitung ist daher zumeist nicht erforderlich, da sich die zweckgebundene Verwendung mit der obig bereits beschriebenen gesetzlichen Ausnahme vom Verarbeitungsverbot deckt.
Welche Übertragungsarten sind für Gesundheitsdaten aufgrund deren besonderen Schutzwürdigkeit und dem Bedarf an gesicherter und verschlüsselter Übertragung zulässig?
a) Die Kommunikation mit weiteren Gesundheitsberufen, die bei der konkreten Behandlung das durch die/den PatientIn für die behandlungsoptimierende Kommunikation genehmigte Behandlungsteam bilden (jedenfalls verordnende/r Arzt/ÄrztIn) unterliegt dem Gesundheitstelematikgesetz 2012 (GTelG 2012). Niedergelassene Gesundheitsberuf als auch Krankenanstalten und Sozialversicherungsträger stellen sogenannte Gesundheitsdiensteanbieter (GDA) nach diesem Gesetz dar, welche verpflichtet sind die Vorgaben dieses Gesetzes u.a. zur besonders gesicherten Übertragungsart von Gesundheitsdaten einzuhalten.
Die elektronische Übermittlung an verordnende/n Arzt/Ärztin und die durch PatientInnen benannten Gesundheitsberufe des jeweiligen Behandlungsteams darf ausschließlich gesichert und verschlüsselt erfolgen. Hierfür bestehen bereits zahlreiche – durch den Hauptverband der Sozialversicherungsträger zertifizierte – Software-Lösungen die häufig auch als „Praxis/Ordinations-Software“ oder auch „Abrechnungs-Software“ bezeichnet werden. Um bei der Anschaffung und Nutzung solcher Produkte die Nutzbarkeit für Gesundheitsdaten und die Erfüllung der gesetzlichen Anforderungen nachvollziehen zu können ist die Beachtung der Zertifizierung sehr wesentlich.
b) Die Vertragspartner-Abrechnung an die Sozialversicherungsträger muss aufgrund der gesetzlichen Regelungen (§ 349a) ASVG) elektronisch erfolgen. Die Abrechnung darf ausschließlich mit Software-Lösungen durchgeführt werden, die den Anforderungen des Hauptverbandes der österreichischen Sozialversicherungsträger entsprechen. Softwarehersteller haben die Möglichkeit, ihre Software zur elektronischen Rechnungslegung durch den Hauptverband der österreichischen Sozialversicherungsträger zertifizieren zu lassen.
c) Die Übermittlung von Gesundheitsdaten an Sozialversicherungsträger zwecks Bewilligung Wie obig geschildert, stellen auch Sozialversicherungsträger Gesundheitsdiensteanbieter im Sinne des Gesundheitstelematikgesetzes 2012 dar. Sowohl sie als auch freiberufliche Gesundheitsberufe trifft die gesetzliche Verpflichtung, Gesundheitsdaten ausnahmslos nur auf die im GTelG 2012 genannten Wegen untereinander auszutauschen. Da die Sozialversicherung noch auf eine gesamthafte ELGA-Lösung für die Kommunikation von Gesundheitsdaten mit dem gesamten niedergelassenen Bereich warten, dürfen Gesundheitsdaten Gesundheitsdaten auch an den Chefärztlichen Dienst nur per Post oder per Fax (aufgrund einer ausdrücklichen Ausnahme und Zulässigkeit des Faxen als Übergangslösung im § 27 GTelG 2012) übermittelt werden.
d) Die Kommunikation mit PatientInnen/KlientInnen
Gesundheitsdaten bedürfen gemäß DSGVO und DSG besonderer Behandlung und entsprechender Datenschicherheitsmaßnahmen bei der elektronischen Übertragung: ausschließlich die gesicherte, verschlüsselte Übertragung ist zulässig. Selbstverständlich dürfen Gesundheitsdaten auch postalisch übermittelt werden. Eine unmittelbare Übergabe an PatientInnen ist zu bevorzugen.