Sie haben sich getraut. Sie sind den Schritt über die Schwelle gegangen. Sie haben einen Termin bei Ihrem terzo-Hörakustiker oder Ihrer terzo-Hörakustikerin gemacht. Und nun halten Sie einen Zettel in der Hand, der langweiliger nicht sein könnte: Die Datenschutzerklärung mit Einwilligungen.
Gehören Sie auch zu den Menschen, die schnell alle Kreuze setzen und die Unterschrift tätigen? Tun Sie das in Zukunft nicht mehr! Denn diese Einwilligungen haben eine wichtige Bedeutung für Sie und Ihren Hörakustiker oder Ihre Hörakustikerin. Sie geben damit die Erlaubnis zur Nutzung Ihrer personenbezogenen Daten für bestimmte Zwecke. Geben Sie die Einwilligung nicht, kann Sie Ihr Hörakustiker oder Ihre Hörakustikerin im schlimmsten Fall nicht behandeln. Deshalb ist es wichtig, alles genau zu lesen und zu hinterfragen.
Warum erhalte ich die Datenschutzinformation und Einwilligungen?
Der Hauptgrund, weshalb Sie diese Informationen und Einwilligungen erhalten, ist die Europäische Datenschutzgrundverordnung (DSGVO). Diese wurde im Mai 2018 gültig und hat zum Ziel, die Grundrechte und Grundfreiheiten der Menschen zu schützen. Konkret geht es also um Sie als Person. Sie sollen wissen, welche Ihrer Daten bei welchem Unternehmen wie und wofür genutzt werden. Und Sie sollen die Möglichkeit haben, selbst darüber entscheiden zu können, ob Sie das möchten oder nicht.
So nicht!
Legt Ihnen also ein Arzt oder eine Ärztin die Datenschutzerklärung vor und sagt „Das müssen Sie unterschreiben.“, ist das nicht korrekt. Denn in erster Linie geht es darum, Sie zu informieren. Erst, wenn Sie mit dem, was Sie lesen und was Ihnen zusätzlich erklärt wird, einverstanden sind, können Sie unterschreiben.
Verpflichtung zur Information
Zu dieser Information sind alle Verantwortlichen für Datenverarbeitung verpflichtet. Dies besagen Art. 13 und 14 DSGVO. Sie verlangen die Angabe der Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten, die Angabe der Zwecke der Datenverarbeitung (also wofür die Daten genutzt werden), sowie die Empfänger der Daten. Darüber hinaus muss dargestellt werden, wie lange die Daten gespeichert und verarbeitet werden und ob eine automatisierte Entscheidungsfindung stattfindet. Zudem müssen Sie über Ihre Rechte aufgeklärt werden.
Doch beginnen wir zunächst mit ein paar Begriffsklärungen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Daten von Ihnen, die Sie direkt identifizieren oder über die Sie auch indirekt identifiziert werden können. In Art. 4 Nr. 1 DSGVO können Sie das genau nachlesen.
Beispiele direkt und indirekt identifizierende Daten
Ihr Name ist beispielsweise ein personenbezogenes Datum, das Sie direkt identifiziert. Indirekt identifizierende Daten sind solche, die verschiedene Merkmale beinhalten und durch deren Gesamtheit Sie identifiziert werden können. Die Angabe „Die 40-jährige Verantwortliche für den Einkauf der Firma XY.“ lässt mit Sicherheit nur eine einzige Person zu. Auch das sind somit personenbezogene Daten.
Sie merken, je mehr Daten von Ihnen bekannt sind, die zunächst keinen Schluss auf Sie zulassen, desto eher wird es möglich, genau Sie zu identifizieren. Aus diesem Grund dürfen Daten, die zu unterschiedlichen Zwecken erhoben werden, nicht zusammengeführt werden. Das nennt sich in der DSGVO Zweckbindung und ist in Art. 5 Abs. 1 S. 1 lit b) DSGVO nachzulesen. Ebenso verlangt das Gesetz die Datenminimierung (Art. 5 Abs. 1 S 1 lit. c) DSGVO), wonach nur die Daten erhoben werden sollen, die für den Zweck angemessen sind und benötigt werden.
Besondere Kategorien personenbezogener Daten
Nun gehen Sie zum Hörakustiker, um Ihr Hörvermögen testen zu lassen und gegebenenfalls gut versorgt und betreut zu werden, wenn Sie eine Hörminderung haben. Beispielsweise wird im terzo-Fachgeschäft eine Hörfiltermessung durchgeführt, wodurch Sie erfahren, wie gut Ihr Hörvermögen auf jedem Ihrer Ohren ist.
Diese Daten verdienen einen besonderen Schutz und werden deshalb in Art. 9 DSGVO gesondert gehandhabt. Für sie besteht ein Verarbeitungsverbot, für das nur bestimmte Ausnahmen gelten. Eine Ausnahme ist die Einwilligung (Art. 5 Abs. 2 S. 1 lit. a) DSGVO), eine andere die Verarbeitung zum Zwecke der Gesundheitsvorsorge (Art. 5 Abs. 2 S. 1 lit. h) DSGVO). Gleichzeitig muss eine Rechtsgrundlage gem. Art. 6 DSGVO vorliegen. In diesem Fall ist das meist der Behandlungsvertrag mit Ihrem Hörakustiker oder Ihrer Hörakustikerin.
Besonderer Schutz für Gesundheitsdaten
Das berechtigte Interesse des Unternehmens oder Hörakustikers gibt es bei Gesundheitsdaten übrigens nicht. Zudem müssen deutlich strengere Sicherheitsvorkehrungen getroffen werden, um den Zugriff Unberechtigter auf diese sensiblen Daten zu verhindern. Einsehbare Computerdisplays, auf denen Sie noch die Daten des Patienten vor Ihnen sehen können, stellen bereits einen groben Datenschutzverstoß dar, den Sie unbedingt melden sollten.
Was ist ein Verantwortlicher?
Rechtlich gesehen ist der Verantwortliche die Person oder das Unternehmen, das über die Zwecke und Mittel zur Verarbeitung Ihrer personenbezogenen Daten bestimmt (Art. 4 Nr. 7 DSGVO). Gehen Sie ins terzo-Zentrum, so ist in der Regel dieses der Verantwortliche für die Datenverarbeitung. Ihnen wird dort eine entsprechende Datenschutzinformation vorgelegt.
Pflichten des Verantwortlichen
Der Verantwortliche muss einige Pflichten erfüllen. Er muss sicherstellen, dass er durch technische Vorkehrungen und über organisatorische Maßnahmen einen angemessenen Schutz Ihrer personenbezogenen Daten bewirkt. Je mehr Daten er verarbeitet und je sensibler diese sind, desto strenger sind die Verpflichtungen und desto höher muss der Schutz sein. Diese Vorkehrungen muss der Verantwortliche regelmäßig überprüfen und ggf. anpassen, um neuen Herausforderungen oder geänderten technischen Möglichkeiten gerecht zu werden.
Technische und organisatorische Maßnahmen
Beispiele für technische Maßnahmen sind die Verschlüsselung der Daten auf den Rechnern, Anti-Viren- und Anti-Spam-Programme, Beschränkung der Zugriffsberechtigungen auf bestimmte Daten, aber auch das Sperren des Bildschirms, wenn der Arbeitsplatz verlassen wird, sowie für jeden Mitarbeiter individuelle Anmeldedaten. Organisatorische Maßnahmen sind zum Beispiel die Schulung der Mitarbeiter hinsichtlich Datenschutzes und IT-Sicherheit, ein Empfang, durch den der ungehinderte Zugang in bestimmte Räumlichkeiten verhindert wird oder die Verpflichtung zum Abschließen der Räume, auch wenn diese nur kurzzeitig verlassen werden.
Kommuniziert Ihr Hörakustiker oder Ihre Hörakustikerin mit Ihnen per E-Mail und werden darüber auch Befunde ausgetauscht oder Entscheidungen zu Hörlösungen, sollte der Mailverkehr unbedingt verschlüsselt werden. Denn hierbei werden Gesundheitsdaten ausgetauscht, die einem besonderen Schutz unterliegen. Das Versenden solcher Informationen mittels unverschlüsselter Mail stellt einen Datenschutzverstoß dar, den Sie melden sollten.
Was ist eine Einwilligung und kann diese auch unwirksam sein?
Mit der Einwilligung willigen Sie zur Nutzung der Daten ein, so wie dies in der beigefügten Datenschutzinformation beschrieben wird. Diese erfolgt in der Regel schriftlich, da der Verantwortliche dazu verpflichtet ist, Ihre Einwilligung nachweisen zu können. Ist Ihnen hierbei etwas unklar oder haben Sie den Eindruck, dass von Ihnen Daten abgefragt werden, die für den Zweck nicht benötigt werden, fragen Sie nach. Es ist wichtig, dass Sie verstehen, wofür und wie die Daten verarbeitet werden.
Freiwilligkeit der Einwilligung
Eine Einwilligung muss freiwillig geschehen. Sie haben in terzo-Zentren immer die Möglichkeit, keine Einwilligung oder Einwilligungen nur zu bestimmten Zwecken zur Verarbeitung Ihrer personenbezogenen Daten zu geben. Es werden dann nur die Daten erhoben und nur für die Zwecke verarbeitet, denen Sie zugestimmt haben.
Damit Sie betreut werden können, müssen bestimmte Daten erhoben und verarbeitet werden. Vielleicht möchten Sie sich in einem terzo-Zentrum nur informieren, aber in einem anderen terzo-Zentrum betreuen lassen. Dann können Sie in ersterem die Einwilligung zur Datenverarbeitung verweigern, um sie in dem anderen zu erteilen.
Informierte Einwilligung
Gemäß Art. 4 Nr. 11 DSGVO muss eine Einwilligung zudem informiert und unmissverständlich erteilt werden. Daher ist ein schnelles Abtun, wie es in manchen Arztpraxen gehandhabt wird, nicht rechtens. Ihnen muss ausreichend Zeit zum Lesen der Datenschutzinformation gegeben werden. Ihre Fragen dazu sollten Ihnen verständlich beantwortet werden. Wird Ihnen diese Zeit nicht gegeben, sollten Sie auf eine Einwilligung verzichten und eine andere Praxis aufsuchen.
Unwirksam ist eine Einwilligung, wenn sie nicht freiwillig, nicht informiert und nicht unmissverständlich geschieht. Zudem ist sie unwirksam, wenn die Einwilligung an spezielle Angebote gekoppelt ist oder wenn die Zwecke nicht eindeutig sind. Zu den oben genannten Informationspflichten kommt bei einer Einwilligung die Aufklärung darüber hinzu, dass Sie die Einwilligung jederzeit widerrufen können. Hierbei ist wichtig zu wissen, dass ein Widerruf immer nur für die Zukunft gilt und die Verarbeitung Ihrer personenbezogenen Daten bis zu Ihrem Widerruf auch dann noch rechtmäßig war.
Erfolgt die Verarbeitung der personenbezogenen Daten nicht im Rahmen eines Vertrages?
Möchten Sie sich in einem terzo-Zentrum mit einer für Sie optimalen und ganzheitlichen Hörlösung versorgen lassen, schließen Sie im Regelfall einen entsprechenden Behandlungsvertrag ab. Über diesen ist der Verantwortliche berechtigt, die zur Erfüllung des Vertrages notwendigen personenbezogenen Daten zu erheben und zu verarbeiten. Dies wird durch Art. 6 Abs. 1 S. 1 lit. b) DSGVO geregelt.
Für die Gesundheitsdaten besteht damit allerdings immer noch ein Verarbeitungsverbot. Die Verarbeitung dieser wird durch die Ausnahme in Art. 9 Abs. 2 S. 1 lit. h) DSGVO ermöglicht: „[Die] Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder […] für […] die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich […] erforderlich.“
Hierüber werden Sie in der Datenschutzinformation aufgeklärt. Mit Unterschrift, dass Sie die Datenschutzinformation gelesen und verstanden haben, erkennen Sie dies an.
Was passiert, wenn ich nicht einwillige oder nicht bereit bin, bestimmte Daten abzugeben?
Eine nicht abgegebene Einwilligung hat unterschiedliche Folgen, je nachdem, welcher Datenverarbeitung Sie damit widersprechen. In der Einwilligungserklärung der terzo-Zentren finden Sie zum Beispiel die Möglichkeit zur Teilnahme an Forschungsprojekten oder den Datenaustausch mit Ihrem HNO-Arzt oder Ihrer HNO-Ärztin.
Verweigerung des direkten Datenaustausches
Möchten Sie nicht, dass Ihre Daten zwischen Ihrem Hörakustiker / Ihrer Hörakustikerin und Ihrem HNO-Arzt / Ihrer HNO-Ärztin ausgetauscht werden, kreuzen Sie dieses nicht an. In diesem Fall kann Ihr Hörakustiker / Ihre Hörakustikerin die Daten der Hörfiltermessung und andere Gesundheitsdaten, die sich auf Ihre Behandlung beim HNO-Arzt auswirken, nicht übermitteln. Gegebenenfalls erfragt Ihr HNO-Arzt / Ihre HNO-Ärztin diese Daten direkt bei Ihnen. Ebenso kann Ihr Arzt / Ihre Ärztin keine Informationen an Ihren Hörakustiker / Ihre Hörakustikerin übermitteln. Auch dieser wird gegebenenfalls notwendige Informationen bei Ihnen direkt erfragen.
In bestimmten Fällen kann das dazu führen, dass die ganzheitliche Betreuung eingeschränkt ist. Ärzt*innen und Hörakustiker*innen können sich unter Umständen detaillierter austauschen und so gemeinsam eine bessere Lösung finden, als wenn die Möglichkeit des direkten Austauschs nicht besteht. Das kann allerdings nur individuell entschieden werden. Sie sollten diese Thematik direkt mit Ihrer/m Hörakustiker*in oder Ihrem HNO-Arzt / Ihrer HNO-Ärztin besprechen, wenn Sie sich unsicher sind.
Verweigerung zur Teilnahme an Forschungsprojekten
Willigen Sie nicht zur Teilnahme an Forschungen ein, hat das für Sie keine direkte Auswirkung. Wir beteiligen uns im terzo-Institut an Forschungsprojekten im Gesundheitsbereich. Hierdurch wollen wir erzielen, die Gesundheitsvorsorge und die Behandlungsmöglichkeiten, sowie die terzo®Gehörtherapie stetig zu verbessern. Durch die Nutzung bestimmter Gesundheitsdaten können Methoden zur Behandlung, vor allem aber Früherkennungsmerkmale für bestimmte Krankheiten entdeckt werden. Je früher Krankheiten erkannt werden, desto besser können sie behandelt werden.
Auch die ganzheitliche Betrachtung der Patient*innen spielt hierbei eine große Rolle. Veränderungen zum Beispiel im Gehör können auch auf andere Gesundheitsfaktoren Einfluss haben. Ebenso können andere Krankheiten das Hörvermögen beeinflussen. Je mehr über solche Zusammenhänge bekannt ist, desto besser und schneller können Betroffene versorgt werden.
Machen Sie mit!
Weitere zukunftsweisende Behandlungsformen sind Teil unserer Forschungstätigkeiten. Wir freuen uns daher über jede und jeden, die / der sich daran beteiligt. Für Forschungszwecke nutzen wir vorrangig anonyme Daten. Dazu beteiligen wir uns aktuell an einem Forschungsprojekt, das sich mit der sicheren Anonymisierung von Gesundheitsdaten beschäftigt.
Uns ist sehr wichtig, dass Ihre Persönlichkeitsrechte und Sie als Person geschützt bleiben. Vor jedem Teilen wägen wir genau ab, welche Daten tatsächlich für den jeweiligen Zweck benötigt werden und welche Sicherheitsmaßnahmen getroffen wurden.
Fazit
Datenschutzerklärungen, Datenschutzinformationen und Einwilligungen sind beim Hörakustiker und bei der Hörakustikerin wichtige Dokumente für Sie. Hiermit erhalten Sie die Möglichkeit, selbstbestimmt mit Ihren personenbezogenen Daten umzugehen. Sie können entscheiden, wem Sie Ihre Daten anvertrauen und wem nicht. Dazu müssen Sie detailliert informiert werden und es sollte sich genügend Zeit für Ihre Fragen genommen werden. Erst, wenn Sie alles verstanden haben und mit der angegebenen Verarbeitung einverstanden sind, unterschreiben Sie, dass Sie die Datenschutzerklärung gelesen und verstanden haben. Geben Sie Ihre Einwilligung nur für die Zwecke, mit denen Sie einverstanden sind. Sie können Ihre Meinung später jederzeit ändern und gegebene Einwilligungen widerrufen oder nicht gegebene Einwilligungen erteilen.
Schreiben Sie uns doch einmal in die Kommentare, welche Erfahrungen Sie bereits mit Datenschutzerklärungen gemacht haben. Was fanden Sie gut, was fanden Sie nicht gut? Wurden Sie schon einmal zur Unterschrift genötigt? Haben Sie sonstige Fragen zum Thema Datenschutzerklärungen, Datenschutzinformationen und Einwilligungen oder auch zu anderen Datenschutzthemen? Dann schreiben Sie uns in die Kommentare oder kontaktieren Sie uns direkt.
Wir hören uns.
Ihr terzo-Team
P.S.: Die DSGVO finden Sie auch im Internet unter https://dsgvo-gesetz.de/.