Die datenschutzrechtliche Einwilligung – Geht ohne sie in der diabetologischen Praxis nichts mehr?
Seit 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) der Europäischen Union in Kraft. Gerade in der Diabetologie, die stark durch die fortschreitende Digitalisierung beeinflusst ist, sind datenschutzrechtliche Themen von Belang.
Im Datenschutzrecht gilt der Grundsatz, dass jeglicher Umgang mit personenbezogenen Daten (also Informationen, die auf einen Menschen zurückgeführt werden können) verboten ist – es sei denn, eine Bestimmung der DSGVO gestattet die Verarbeitung. Diese sogenannten Erlaubnistatbestände sind also die Grundvoraussetzung dafür, dass überhaupt ein Umgang mit personenbezogenen Daten rechtlich zulässig ist. Einer dieser Erlaubnistatbestände ist die Einwilligung der Person, auf die sich die Daten beziehen (der sog. Betroffene). Erteilt dieser seine Einwilligung, ist ein Umgang mit seinen Daten so weit erlaubt, wie seine Einwilligung reicht – und sie muss bestimmten Vorgaben entsprechen: Die Einwilligung muss freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Die Abgabe kann in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung erfolgen. Diese Vorgaben sollen im Weiteren näher beleuchtet werden.
Einwilligung muss Vorgaben entsprechen
Die Einwilligung ist freiwillig erteilt, wenn der Betroffene sich keinem Zwang ausgesetzt sieht, also keine Nachteile fürchten muss, wenn er die Einwilligung nicht erteilt. An dieser Voraussetzung wird bereits die Funktionsweise der Einwilligung deutlich. Sie ist vor allem für solche Datenverarbeitungen gedacht, die für den Betroffenen nicht essenziell sind, sondern ihm z.B. mehr Komfort bieten. Wenn jedoch eine Einwilligung für eine Datenverarbeitung verlangt wird, die für den Betroffenen sehr wichtig ist, und er ohne diese Verarbeitung erhebliche Nachteile erleiden würde, ist diese Einwilligung regelmäßig nicht freiwillig erteilt und damit unwirksam. Allerdings ist in solchen Situationen auch keine Einwilligung erforderlich, weil die Datenverarbeitung auf andere Erlaubnistatbestände in der DSGVO gestützt werden kann.
Des Weiteren muss die Einwilligung für einen bestimmten Fall erteilt werden. Der Umfang der Einwilligung muss somit abgrenzbar sein, also dem Betroffenen die konkreten Zwecke der Datenverarbeitung benannt werden. Dieses Bestimmtheitsgebot ist eng verbunden mit dem Erfordernis der Informiertheit des Betroffenen. Dieser muss abschätzen können, welche Folgen seine Einwilligung hat, insbesondere welche Risiken auf ihn zukommen und wie umfangreich die geplante Datenverarbeitung sein wird. Wenn zum Beispiel ein Diabetologe mit seinem Patienten per E-Mail kommunizieren möchte, so benötigt er für die unverschlüsselte Übermittlung personenbezogener Daten per E-Mail die Einwilligung des Patienten. Der Arzt muss dem Patienten daher mitteilen, dass seine Daten über unverschlüsselte E-Mails ausgetauscht werden sollen und daher nicht sichergestellt ist, dass Dritte davon keine Kenntnis erlangen.
Eine aktive und konkrete Einwilligung ist nötig
Eine weitere Voraussetzung ist, dass die Einwilligung unmissverständlich erteilt wird. Das setzt voraus, dass die Einwilligung durch eine eindeutige Handlung erklärt wird. Bloßes Schweigen oder Nichtstun reichen dafür nicht aus. Es ist also nicht möglich, eine Einwilligung dadurch einzuholen, dass dem Betroffenen lediglich ein Widerspruchsrecht gegen eine Datenverarbeitung eingeräumt wird. Wenn also in dem Beispiel des Diabetologen, der über E-Mail mit seinen Patienten kommunizieren möchte, der Diabetologe einfach unverschlüsselte E-Mails an seine Patienten versendet und diese auffordert, zu widersprechen, wenn sie keine Kommunikation über eine unverschlüsselte E-Mail wünschen, reicht dies für eine wirksame Einwilligung der Patienten nicht aus. Diese muss vielmehr vorab und durch eine bestätigende Handlung (z.B. eine Unterschrift oder einen Klick auf einer Webseite) erteilt werden.
Eine wirksam erteilte Einwilligung rechtfertigt die Datenverarbeitung zwar für die Gegenwart und die Vergangenheit, nicht jedoch auch zwangsläufig für die Zukunft. Der Betroffene kann nämlich seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Bereits erfolgte Datenverarbeitungen bleiben damit zwar rechtmäßig, müssen aber ab dem Zeitpunkt des Zugangs des Widerrufs beendet werden. Das gilt auch dann, wenn die jeweilige Datenverarbeitung noch auf einen anderen Erlaubnistatbestand der DSGVO gestützt werden könnte. Denn wenn der Betroffene nach seiner Einwilligung für eine bestimmte Datenverarbeitung gefragt wird, obliegt es auch dem Betroffenen, ob er die Einwilligung erteilt und damit die Datenverarbeitung legitimiert oder nicht. Sollte der Betroffene seine Einwilligung nicht erteilen oder später widerrufen, ist ein Rückgriff auf andere Erlaubnistatbestände der DSGVO ausgeschlossen, weil sonst die Einwilligung des Betroffenen letztlich wertlos, da jederzeit überwindbar wäre. Somit birgt das Einholen einer Einwilligung immer das Risiko, dass die jeweilige Datenverarbeitung nicht durchgeführt werden kann, weil der Betroffene nicht einwilligt oder Widerrufung einlegt.
Bereits unter der Rechtslage vor Inkrafttreten der DSGVO war anerkannt, dass derjenige, der für eine Datenverarbeitung rechtlich verantwortlich war und diese auf eine Einwilligung stützen wollte, belegen musste, dass er über eine wirksame Einwilligung verfügte. Dies gilt unter der DSGVO weiterhin und wird durch die neu eingeführte Rechenschaftspflicht noch verstärkt. Diese besagt, dass der für die Datenverarbeitung Verantwortliche belegen muss, dass er die Vorgaben der DSGVO einhält. Es muss also nachgewiesen werden, dass der Betroffene eingewilligt hat, seine Einwilligung nicht widerrufen hat und die Einwilligungserklärung die übrigen o.g. Voraussetzungen erfüllt. In der Praxis muss also der Einwilligungstext (bei schriftlichen oder elektronischen Einwilligungen) reproduzierbar sein und festgehalten werden, wann der Betroffene eingewilligt hat (z.B. mit Unterschrift und Datum oder einem elektronischen time stamp) und ob er die Einwilligung zwischenzeitlich widerrufen hat.
Kein sicherer Hafen
Das Einholen einer wirksamen Einwilligung ist also nicht so einfach und überdies wegen der jederzeitigen Widerrufbarkeit alles andere als ein „sicherer Hafen“. Die Einholung ist daher nur dann sinnvoll, wenn keine andere datenschutzrechtliche Rechtfertigung vorhanden ist. In der diabetologischen Praxis ist der Umgang mit personenbezogenen Daten schon in vielen Fällen durch andere Erlaubnistatbestände der DSGVO abgedeckt, z.B. für die medizinische Diagnostik und Behandlung von Patienten. Dazu gehören auch das namentliche Aufrufen von Patienten im Wartezimmer und das Führen von (elektronischen) Patientenakten. Diese Datenverarbeitungen sind also ohne eine Einwilligung zulässig. Eine Einwilligung des Betroffenen ist daher nur in wenigen Bereichen erforderlich, z.B. bei der Kommunikation mit Patienten (über Messenger-Dienste wie WhatsApp oder über unverschlüsselte E-Mails) oder bei Privatpatienten für die Abtretung von Vergütungsforderungen an einen Abrechnungsdienstleister. Bei gesetzlich Versicherten ist zu beachten, dass in der hausärztlichen Versorgung ein Austausch von Behandlungsdaten und Befunden mit anderen Leistungserbringern (z.B. Fachärzten) nur mit schriftlicher Einwilligung möglich ist.
Die datenschutzrechtliche Einwilligung ist also keinesfalls die Lösung für alle datenschutzrechtlichen Probleme. Und ohne sie geht oftmals mehr, als auf den ersten Blick scheint.