Im Zusammenhang mit der Datenverarbeitung in medizinischen Registern wurde die Datenschutzbehörde um eine Stellungnahme gebeten, ob darauf gerichtete Einwilligungserklärungen von Patienten einer bestimmten Gültigkeitsdauer unterliegen. Hintergrund der Anfrage waren offensichtliche Schwierigkeiten bei der Einholung der für die Registertätigkeit notwendigen Informationen. So hatten wohl wiederholt Arztpraxen ihre Auskunfts- und Kooperationsbereitschaft mit dem Argument eingestellt, die von den Patienten abgegebenen Einwilligungen seien älter als fünf Jahre und deshalb nicht mehr gültig.
In seiner Stellungnahme verwies die Datenschutzbnehörde auf die eindeutige Rechtslage. Datenschutzrechtliche Einwilligungen unterliegen den rechtlichen Anforderungen des Art. 7 DS-GVO sowie ggf. bestehender bereichsspezifischer Besonderheiten. Die Befristung der Gültigkeit von Einwilligungserklärungen ist hiernach regelmäßig nicht vorgesehen, sodass diese sich lediglich aus dem Text der jeweiligen Einwilligungserklärung selbst ergeben könnte. So sieht beispielsweise der im Rahmen der Medizin-Informatik- Initiative bereitgestellte Mustertext einer Patienteneinwilligung eine Gültigkeitsdauer der Einwilligung von fünf Jahren vor.
Eine Verweigerung der Datenverarbeitung mit dem Hinweis auf das Alter der zugrundeliegenden Einwilligungserklärung ist somit aus datenschutzrechtlicher Sicht nicht haltbar, wenn nicht eine zeitliche Befristung der Gültigkeit in der Erklärung selbst enthalten ist. Im Interesse der betroffenen Personen hält es die Datenschutzbehörde allerdings grundsätzlich für begrüßenswert, wenn zumindest bei Einwilligungserklärungen, die sich auf eine zeitlich unbegrenzte Verarbeitung besonders schutzbedürftiger Daten im Sinne des Art. 9 DS-GVO beziehen, die betroffenen Personen in regelmäßigen Intervallen von den Verantwortlichen auf die von ihnen abgegebenen Erklärungen und deren Relevanz aufmerksam gemacht werden. Dies dient dem in Art. 5 Abs. 1 DS-GVO verankerten Grundsatz der Transparenz der Datenverarbeitung und stärkt die informationelle Selbstbestimmung der Betroffenen.
Quelle: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Sind Sie sicher, ob Ihre medizinische Einrichtung im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks