Rechtsgrundlage
Rechtsgrundlagen und Pflichten
Ist die DSGVO auf eine Datenverarbeitung anwendbar, gilt das Grundprinzip: Die Datenverarbeitung ist verboten, wenn sie nicht ausnahmsweise erlaubt ist. Die DSGVO sieht in Art. 6 DSGVO bestimmte Vorschriften vor, die Datenverarbeitungen zu bestimmten Zwecken erlauben (sog. Erlaubnistatbestände).
Gemäß Art. 6 Abs. 1 DSGVO kann eine Datenverarbeitung z.B. ausnahmsweise dann zulässig sein, wenn die betroffene Person und der Verantwortliche (auf Deutsch: z.B. der Patient und der Arzt) einen Behandlungsvertrag abschließen und wenn dann zur Erfüllung dieses Verfahrens die Verarbeitung von Daten erforderlich ist. Die Verarbeitung von Daten beginnt meist sofort mit der (Erst-)Erhebung von Patientendaten für die Handakte oder Patientenkartei und dann mit Speicherung des Befundes, der diverse Gesundheitsdaten enthält. In diesem Fall wäre Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit dem Behandlungsvertrag die Rechtsgrundlage, die diese Erhebung und Speicherung von Daten soweit erlaubt, wie dies für die Erreichung des Behandlungszwecks nötig ist.
Häufig besteht besonders zur Erleichterung von Abrechnungen oder Vermittlung von Fachärzten der Bedarf, weitere Daten zu erheben oder Gesundheitsdaten an andere Stellen zu übermitteln. Soweit dies nicht mehr von dem konkreten Behandlungszweck gedeckt sein sollte, muss der Verantwortliche prüfen, auf welche weitere Rechtsgrundlage diese Datenverarbeitung gestützt werden kann, damit diese rechtmäßig durchgeführt wird. Je nach Sachverhalt kann diese Datenverarbeitung auf eine Einwilligung der betroffenen Person gestützt werden, soweit diese rechtlich wirksam formuliert ist. Bspw. für die Weiterleitung von Kontaktdaten an einen Facharzt wäre dann die Einwilligung in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO die zulässige Rechtsgrundlage.
Art. 6 Abs. 1 DSGVO enthält weitere Rechtsgrundlagen, aufgrund derer eine Verarbeitung von personenbezogenen Daten erlaubt sein kann (z.B. aus gesetzlichen Pflichten, aus berechtigten Interessen, im Fall eines Notfalls mit Lebensgefahr). Auch eine nach den Vorschriften der DSGVO rechtmäßige Auftragsverarbeitung gem. Art. 28 DSGVO kann eine Rechtsgrundlage dafür sein, Gesundheitsdaten an einen Abrechnungsdienstleister weiterzugeben.
Der Verantwortliche ist verpflichtet, für jede Datenverarbeitung zu prüfen, ob diese aufgrund der richtigen Rechtsgrundlage erfolgt und ob die dafür maßgeblichen Datenschutzgrundsätze (Art. 5 Abs. 1 DSGVO) eingehalten werden. Rasiermesserscharf ist dabei vor allem die Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO). Denn dort ist ganz lapidar geregelt, dass der Verantwortliche nachweisen können muss, dass er sich an die Datenschutzgrundsätze (und damit an die DSGVO) hält. Kann er das nicht, z.B. weil es an der nötigen Dokumentation, Einwilligungserklärungen, Verarbeitungsverzeichnissen usw. fehlt, läuft er Gefahr, im Falle eines behördlichen Ermittlungsverfahrens oder eines Schadenersatzprozesses zu verlieren.
Daneben gibt es betriebsbezogene Pflichten, z.B. zur Führung eines Verarbeitungsverzeichnisses, zur Gewährleistung von Sicherheitsmaßnahmen, zur Bestellung eines Datenschutzbeauftragten oder zur Informationen von Betroffenen und zum Umgang mit Betroffenenrechten (Auskunft, Widerruf, Widerspruch u.v.m.)