24. Dezember 2020
Die datenschutzrechtliche Sicht
Geheimnisschutz & Praxisübernahme
Sie sind bereits registriert?
Loggen Sie sich mit Ihrem Universimed-Benutzerkonto ein:
Sie sind noch nicht registriert?
Registrieren Sie sich jetzt kostenlos auf allgemeineplus.at und erhalten Sie Zugang zu allen Artikeln, bewerten Sie Inhalte und speichern Sie interessante Beiträge in Ihrem persönlichen Bereich
zum späteren Lesen. Ihre Registrierung ist für alle Unversimed-Portale gültig. (inkl. universimed.com & med-Diplom.at)
Die Verschwiegenheitspflicht des Arztes ist im Ärztegesetz klar und deutlich geregelt, datenschutzrechtliche Bestimmungen geben strenge Regeln insbesondere für die Verarbeitung von Gesundheitsdaten vor. Wie ist aber im Falle einer Praxisübernahme aus datenschutzrechtlicher Sicht mit den Daten der Patienten umzugehen?
Die Ärztin/der Arzt und ihre/seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet“ – §54 Ärztegesetz regelt die Verschwiegenheitspflicht des Arztes sehr klar und deutlich. Die Verarbeitung von Gesundheitsdaten unterliegt datenschutzrechtlichen Bestimmungen. Wie geht man nun bei einer Praxisübernahme konform zum Datenschutzrecht mit Patientendaten um?
Due-Diligence-Prüfung
Bereits im Rahmen der Due-Diligence-Prüfung stellen sich datenschutzrechtliche Fragen: In der Praxis ist die Datenweitergabe in der Regel hierfür nicht unerlässlich und sensible personenbezogene Daten wie z.B. Patientendaten sollten vorab geschwärzt oder anonymisiert werden. Andere Daten sollten im Rahmen einer transparenten Regelung in den Datenschutzerklärungen der Verantwortlichen behandelt werden. Hier lohnt es sich also, spätestens vor einer geplanten Praxisübergabe die Datenschutzerklärungen der betroffenen Ordination auf den neuesten Stand zu bringen.
Praxisübernahme als Share Deal
Erfolgt eine Praxisübernahme durch eine reine Anteilsübertragung (sog. „Share Deal“), ist die datenschutzrechtliche Komponente verhältnismäßig unkompliziert: Die juristische Person, etwa eine GmbH, bleibt bestehen, ebenso wie die Gültigkeit allfälliger Zustimmungserklärungen in Bezug auf Datenverwendungen oder der datenschutzrechtlich Verantwortliche.
Praxisübernahme als Asset Deal
Komplexer wird das Thema bei einem „Asset Deal“, bei dem einzelne Wirtschaftsgüter und Rechtsbeziehungen separat an den Käufer übertragen werden: In diesem Fall wechselt daher auch der datenschutzrechtliche Verantwortliche – zuerst ist dies der Verkäufer, dann der Käufer. Es bedarf für die Datenweitergabe einer eigenen datenschutzrechtlichen Rechtsgrundlage. Hilfreich ist hier in der Praxis Art.6 Abs.1 lit. f. DSGVO, wonach ein berechtigtes Interesse die Datenverwendung rechtfertigt. Dieses liegt wohl im legitimen Wunsch des Käufers, Vertragsbeziehungen weiterzuführen und daher auch die diesbezüglichen Daten weiterzuverwenden.
Übernahme von sensiblen Daten
Heikel ist die Verwendung besonderer Datenkategorien nach Art.9 Abs.1 DSGVO, z.B. genetischer oder biometrischer Daten oder anderer Gesundheitsdaten: De facto wird die Rechtfertigung nur hinsichtlich der Entsprechung von arbeits- und sozialrechtlichen Verpflichtungen gegenüber den übernommenen Mitarbeitern oder in Bezug auf die Verfolgung von Rechtsansprüchen vorliegen. Darüber hinaus ist wohl die explizite Zustimmung der Betroffenen – insbesondere der Patienten – erforderlich, um auf der sicheren Seite zu sein.
Übernahme von datenschutzrechtlichen Zustimmungserklärungen
Weder gesetzlich noch höchstgerichtlich geklärt ist, ob vom Verkäufer eingeholte datenschutzrechtliche Zustimmungserklärungen bei einem Asset Deal auf den Käufer übergehen. Es sprechen aber gute Gründe dafür, dass sich der Käufer dann auf Einwilligungserklärungen, die der Verkäufer eingeholt hat, stützen kann, wenn der Käufer das mit der Einwilligung zusammenhängende Vertragsverhältnis übernimmt, den Betroffenen über die Übernahme des Vertragsverhältnisses, einschließlich der Einwilligung, informiert und der Betroffene – in der Praxis oft innerhalb von drei Monaten – widersprechen kann.
Auch kann argumentiert werden, dass die Zusendung von Newslettern, soweit dafür dem Verkäufer die Zustimmung vorlag, im bisherigen Rahmen auch an Nicht-Kunden zulässig ist. Auch in diesem Fall empfiehlt sich jedenfalls die Vorabinformation der Betroffenen mit einem ausdrücklichen Hinweis auf die Übernahme der Einwilligung sowie auf das Widerspruchsrecht. Erforderlich ist aber jedenfalls ein Zusammenhang mit der (bisherigen wie nunmehrigen) Geschäftstätigkeit, andernfalls ist nicht von einem die Datenverwendung rechtfertigenden berechtigten Interesse auszugehen.