Denn Arztpraxen verarbeiten mit personenbezogenen Gesundheitsinformationen besonders sensible Daten. Seit Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) müssen diese noch einmal verstärkt geschützt werden. In Sachen elektronischer Kommunikation bedeutet dies etwa, dass vertrauliche Informationen per E-Mail nur mit Passwort verschlüsselt verschickt werden sollten. Auch die Nutzung von speziellen Befundplattformen sei eine Option.
Bei Telefonaten empfiehlt die Ärztekammer Wien, dass mit Patientinnen und Patienten ein Passwort festgelegt wird. Dieses soll genannt werden, wenn vertrauliche Informationen telefonisch besprochen werden. Von Kommunikation via WhatsApp rät die Ärztekammer ab, da der Messenger Daten in die USA schickt.
Wahl der Software zentral
Die Wahl der Software ist auch für die Datenschutzbehörde zentral – auch bei Videokonferenzen. Hier sei auf eine sichere Datenverarbeitung zu achten. Grundsätzlich sei eben eine Lösung zu empfehlen, bei der keine Übertragungsdaten in ein Land außerhalb der EU transferiert werden. Weiters ist eine verschlüsselte Kommunikationsverbindung zu verwenden. Informationen diesbezüglich finden sich in den Datenschutzerklärungen von Anbietern.
Die Datenschutzbehörde verweist in diesem Zusammenhang auch auf die verstärkt auftretende Cyberkriminalität. Kriminelle nutzen die allgemeine Verunsicherung aus, um sich Zugang zu Systemen zu verschaffen. Die Installation von Software müsse in jedem Fall genau geprüft werden, auch E-Mails sollten genau geprüft werden – etwa ob der Absender auch tatsächlich derjenige ist, der er vorgibt zu sein.
Elektronisches Rezept gedeckt
Rechtlich gedeckt ist laut der Behörde das seit Dienstag verfügbare elektronische Rezept. Hier gilt: Die Daten dürfen im erforderlichen Ausmaß verarbeitet werden, das notwendig ist, um Rezepte auszustellen. Mit dem elektronischen Rezept können sich Patienten ihr Rezept ab sofort telefonisch und auf elektronischem Weg holen.
Das Prozedere ist einfach: Der Patient ruft in der Praxis seines Kassenarztes an. Der Arzt stellt, ohne dafür die E-Card des Patienten zu benötigen, das Rezept aus und speichert es in der E-Medikation. Über die E-Medikation gelangt die Information an die Apotheke, dort kann es dann geholt werden.
Eine andere datenschutzrechtliche Frage ist der Austausch zwischen verschiedenen Gesundheitsinstitutionen – gerade bei Coronavirus-Verdachtsfällen. Eine Aufweichung der Trennung scheint angesichts der aktuellen Situation naheliegend. Allerdings gelten laut Datenschutzbehörde hier klare Regeln: Eine Übermittlung von Gesundheitsdaten von einer privaten Institution an eine andere private Institution ist ohne Einwilligung des Patienten grundsätzlich nicht möglich.
Gesundheitsbehörden als zentrale Stellen
Allerdings fungieren die Gesundheitsbehörden als zentrale Stellen: Sie werden von Coronavirus-Erkrankungen in Kenntnis gesetzt. Es besteht sogar eine Auskunftspflicht an die Gesundheitsbehörden nach dem Epidemiegesetz 1950. Diese wiederum können Daten über den Gesundheitszustand in jenem Ausmaß verwenden, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen.
Weiters sei zu beachten, dass ein Arzt Daten über eine Infektion in die Elektronische Gesundheitsakte (ELGA) eines Patienten eintragen kann. Sofern ein Patient in Folge bei einer anderen Institution, z. B. einem Spital, in Behandlung ist, kann das Spital auf den Gesundheitsakt zugreifen und so in Erfahrung bringen, ob ein Patient infiziert ist. Der Teilnahme am ELGA-System kann aber widersprochen werden.