Einwilligungserklärung bei Bestehen einer gesetzlichen Grundlage für die Datenerhebung
Zwei Körperschaften des öffentlichen Rechts im Gesundheits- bzw. Sozialwesen verwendeten – unabhängig voneinander – Formulare, mit denen die Antragstellerin bzw. der Antragsteller in die Datenerhebung oder in die Datenübermittlung einwilligen kann. Diese Formulare wurden auch genutzt, wenn eine gesetzliche Verarbeitungsbefugnis für die zu erhebenden oder anzufordernden Daten im Raum stand. Die Formulare für die Einwilligungen sahen nicht vor, dass diese für eine/n konkret zu benennende Ärztin bzw. Arzt, beziehungsweise eine konkrete Einrichtung erteilt wird.
Dies wurde der Datenschutzbehörde jeweils durch Beschwerden von Betroffenen bekannt. Die Petenten rügten, dass sich die Körperschaft Daten von einer Gesundheitseinrichtung verschafft habe, obwohl die vom Petenten erteilte Einwilligungserklärung diese Einrichtungen nicht betraf. Aus Sicht der Petenten war die Datenerhebung deshalb rechtswidrig. In den Stellungnahmen zu den Petitionen beriefen sich beide Körperschaften des öffentlichen Rechts jeweils darauf, dass eine gesetzliche Grundlage für die Datenerhebung bzw. Datenübermittlung vorlag und diese daher rechtmäßig war. Die Prüfung hat ergeben, dass bei allen Beschwerden jeweils eine gesetzliche Verarbeitungsbefugnis vorlag. Den Körperschaften des öffentlichen Rechts wurde mitgeteilt, dass aus Sicht der Datenschutzaufsicht eine Einwilligung als Rechtsgrundlage regelmäßig ausscheidet, wenn eine gesetzliche Verarbeitungsbefugnis im Raum steht (vgl. Kühling/Buchner Kommentar zur DSGVO und BDSG. Art. 6 Rdnr. 24).
Die Vorgehensweise stellt nach Einschätzung der Datenschutzbehörde einen Verstoß gegen Treu und Glauben im Sinn von Art. 5 Abs. 1 Buchst. a DSGVO dar, wenn der betroffenen Person einerseits signalisiert wird, dass es für die Datenverarbeitung auf deren Einwilligung ankäme, andererseits aber doch jederzeit auf die Alternative der gesetzlichen Verarbeitungsbefugnis zurückgegriffen werden kann. Entweder wird eine Datenerhebung oder Datenübermittlung auf eine gesetzliche Grundlage gestützt, oder sie erfolgt auf der Grundlage einer Einwilligungserklärung. Eine „Kombination“ beider Rechtsgrundlagen hält die Datenschutzbehörde nicht für zulässig. Wird eine Einwilligungserklärung verwendet, so ist die Einwilligung jeweils für die konkrete Einrichtung bzw. die konkrete Ärztin bzw. den konkreten Arzt abzufordern. Die Erklärung ist von der oder dem Betroffenen so auszufüllen, dass sie bzw. er konkret aufführt, für welche Ärztin oder welchen Arzt, Einrichtung/Krankenhaus diese jeweils erteilt wird. Dazu kann das Formular verwendet werden, das auch auf der Internetseite der Datenschutzbehörde eingestellt ist. Eine „pauschale“ Einwilligung abzufordern ist nicht zulässig, da diese inhaltlich unbestimmt ist. Die beiden Körperschaften wurden daher aufgefordert, die Einwilligungserklärungen künftig nur noch zu verwenden, wenn keine gesetzliche Verarbeitungsbefugnis besteht. Einwilligungen, soweit im Einzelfall unbedingt nötig, sind nur für die konkrete Einrichtung bzw. die konkrete Ärztin oder den konkreten Arzt von den betroffenen Personen abzufordern. Eine Körperschaft hat bereits mitgeteilt, dass sie ihre Verfahrensweise entsprechend ändern wird. Von der zweiten Körperschaft liegt zwischenzeitlich eine Stellungnahme vor. Es sind weitere Abstimmungen erforderlich.
Was ist zu beachten? Eine Datenerhebung kann sich entweder auf eine gesetzliche Grundlage oder auf eine Einwilligungserklärung stützen.
Quelle: SDTB
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks