Bilder-Cloud statt CD für Patienten: Einwilligung erforderlich?

➧ Was ist die Ausgangslage?

Eine Radiologie-Praxis erstellt mit einer ganzen Palette von bildgebenden Verfahren ständig medizinische Bilder. Damit Patienten und deren Ärzte problemlos darauf zugreifen können, übermittelt sie die Daten in die Cloud eines Auftragsverarbeiters. Dort können Patienten und deren Ärzte die Daten abrufen. Ein sicheres Zugriffsverfahren kommt dabei zum Einsatz.

➧ Was sichert die Wahlfreiheit der Patienten?

Eine Einwilligung der Patienten zu dieser Vorgehensweise holt die Praxis nicht ein. Sie informiert aber jeden Patienten durch ein ausführliches Merkblatt über die zusätzliche elektronische Abrufmöglichkeit. Falls ein Patient der zusätzlichen Speicherung beim Auftragsverarbeiter widerspricht, werden seine Bilder gelöscht.

➧ Was sind die Argumente des Beschwerdeführers?

Mit dieser Vorgehensweise war ein Patient schon vom Grundsatz her nicht einverstanden. Er hatte vor der Behandlung ausdrücklich erklärt, dass die Praxis seine Gesundheitsdaten keinesfalls an einen Dritten weitergeben dürfe. Zwar löschte die Praxis seine Daten in der Cloud sofort, als er dies verlangte. Dennoch lag aus seiner Sicht ein Datenschutzverstoß vor. Sein Argument: Die Praxis hätte von vornherein seiner Einwilligung einholen müssen.

➧ Warum sieht die Datenschutzaufsicht das anders?

Die Datenschutzaufsicht sah in der Einschaltung eines Auftragsverarbeiters durch die Radiologie-Praxis kein Problem:

• Eine Einwilligung ist nicht erforderlich, weil es eine andere Rechtsgrundlage für die Verarbeitung der Daten gibt.
• Diese Rechtsgrundlage besteht darin, dass die Bereithaltung der medizinischen Bilder durch die Radiologie-Praxis zur Erfüllung ihres Behandlungsvertrags mit dem Patienten gehört.
• Ein solcher Behandlungsvertrag ist durch Art. 9 Abs. 2 Buchstabe h DSGVO ausdrücklich als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten anerkannt.
• Der Behandlungsvertrag rechtfertigt auch die Einschaltung eines Auftragsverarbeiters. Ein Auftragsverarbeiter ist nämlich nicht „Dritter“ im Sinn der DSGVO. Vielmehr muss ein Auftraggeber für das geradestehen, was sein Auftragnehmer mit den Daten tut.
• Die Datenschutz-Grundverordnung (DSGVO) sieht auch im medizinischen Bereich keine besonderen Einschränkungen für die Einschaltung eines Auftragsverarbeiters vor.

➧ Welche besondere Rolle hat eine Radiologie-Praxis?

Ausdrücklich hebt die Datenschutzaufsicht hervor, dass es sich bei der Bereitstellung der Bilder in der Cloud nicht etwa um einen bloßen zusätzlichen Service handelt. Vielmehr würden Patienten und Ärzte heute gerade bei einer Radiologie-Praxis erwarten, dass sie medizinische Bilder auf eine unkomplizierte Weise zur Verfügung stellt.

Diese Erwartung sei auch berechtigt, weil Radiologie-Praxen weitgehend aufgrund von Überweisungen durch andere Fachärzte tätig werden. Sie hätten deshalb meist die Funktion einer mitbehandelnden Einrichtung. Deshalb gehöre die unkomplizierte Übermittlung von Bildern an den behandelnden Arzt zu ihrer vertraglichen Pflicht.

➧ Was sagt die Datenschutzaufsicht zum Stand der Technik?

Für absolut nachvollziehbar hält die Datenschutzaufsicht den Hinweis der Radiologie-Praxis, dass viele Arztpraxen physische Speichermedien wie etwa CD-ROM überhaupt nicht mehr verarbeiten könnten. Da die Daten ausreichend geschützt auch unmittelbar elektronisch übermittelt werden könnten, müsse niemand an veralteten Technologien festhalten.

➧ Warum hat der Fall grundlegende Bedeutung?

Die Datenschutzaufsicht weist darauf hin, dass die Einschaltung eines externen Cloud-Dienstes durch Arztpraxen nach heutigem Stand nicht mehr gegen die ärztliche Schweigepflicht des § 203 Abs.1 Strafgesetzbuch verstößt. Das begründet sie mit einer entsprechenden Äußerung des Bundesgesetzgebers bei der letzten Änderung der Regelung über die ärztliche Schweigepflicht.

Vorausgesetzt ist dabei selbstverständlich, dass alle Sicherheitsvorkehrungen gegen unbefugte Zugriffe eingehalten werden, die nach aktuellem Stand möglich und üblich sind. Schlampereien bei der Datensicherung in Arztpraxen lassen sich nicht damit entschuldigen, dass die Einschaltung externer Dienstleister heutzutage üblich sei.

➧ Daher haben wir unsere Weisheiten

Unsere Quelle ist der 51. Tätigkeitsbericht zum Datenschutz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2022, Seiten 227-229. Der Bericht ist abrufbar unter https://www.zaftda.de/tb-bundeslaender/hessen/landesdatenschutzbeauftragter-2.

Dr. Eugen Ehmann