#07 | DSGVO und Patienteninitiativen

In Episode 7 beschäftigen sich René Neubach & Dominik Flener mit einem der meist diskutierten Themen der gesamten Branche. Der Datenschutzgrundverordnung (DSGVO). Welche Implikationen hat sie auf die Branche? Müssen wir aufhören, Marketing zu betreiben? Was muss ich alles umstellen? Um diese Fragen zu beantworten und einige Mythen zu zerstören haben wir Dr. Maria-Luise Plank, Rechtsanwältin mit Spezialisierung im Gesundheitsbereich, zum Interview gebeten. Und einige überraschende, durchaus positive Informationen gewonnen.


Transkript:

Intro: R&D on Patients, der Podcast mit René Neubach und Dominik Flener über digitales Marketing und Kommunikation im Healthcare Bereich mit dem Patienten im Fokus.

René Neubach: Hallo und herzlich willkommen zu R&D on Patients, der Podcast mit dem Patienten im Fokus, Episode sieben, aufgenommen am 10. April 2018, mein Name ist René Neubach.

Dominik Flener: Und mein Name ist Dominik Flener und wir sind heute extern unterwegs und zu Gast bei Dr. Maria-Luise Plank, Rechtsanwältin für das Gesundheitswesen, Expertin seit 20 Jahren in dem Bereich und wir freuen uns auf ein spannendes Thema, nämlich DSGVO, ein bisschen das Schreckgespenst oder doch nicht und mit dieser Frage wollen wir uns heute beschäftigen.

René Neubach: Ja und herzlich willkommen.

Dr. Maria-Luise Plank: Ja, vielen Dank für die Einladung. Mich beschäftigt auch der Datenschutz, ich habe mich nicht nur selbst damit beschäftigt, sondern auch Weiterbildungen absolviert und freue mich auch schon auf das Gespräch, danke für die Einladung.

René Neubach: Sehr gerne, für uns ist es natürlich gut, dass wir direkt Fragen stellen können, die uns und vor allem unsere Zuhörer betreffen. Da gibt es gleich mal die große Frage der Eckpunkte beziehungsweise Neuerungen in der DSGVO oder im Englischen auch GDPR genannt. Falls man über diese vier Buchstaben stolpert, das ist dasselbe. Aber was sind wirklich die wichtigsten Eckpunkte beziehungsweise Neuerungen, mit denen wir zu tun haben?

Dr. Maria-Luise Plank: Da habe ich glaube ich eine gute Information. Es gibt in Österreich inhaltlich relativ wenig Neuerungen, weil die österreichische Datenschutzbehörde und das österreichische Datenschutzrecht bisher schon sehr streng war. Und man frech sagen könnte, Europa hat sich jetzt den österreichischen Standards angenähert. Und was wirklich neu ist, Österreich hat bisher keinen Datenschutzbeauftragten verpflichtend gekannt, da gibt es jetzt eben Neuerungen für bestimmte Unternehmen oder, wenn ich zum Beispiel Gesundheitsdaten speichere, muss ich verpflichtend einen Datenschutzbeauftragten ab 25. Mai, da geht es ja los, haben. Es wurden auch ein bisschen die Betroffenenrechte gestärkt, ich habe jetzt zum Beispiel ein Recht auf Vergessenwerden. Und ich habe ein Recht, darüber informiert zu werden, welche Daten in einer Datenbank aufgenommen werden, von mir, personenbezogene Daten, wenn ich Betroffener bin. Und die Voraussetzung der aktiven Zustimmung des Betroffenen sehe ich jetzt, dass es in ganz Europa ein großes Thema ist, in Österreich weniger, weil die Datenschutzbehörde bisher schon sehr streng darauf geachtet hat, dass man aktiv proaktiv Zustimmungen einholt. Die wichtigsten Änderungen für Österreich sind eigentlich Änderungen im Umgang mit dem Datenschutz und zwar habe ich bisher als Unternehmen eine Meldepflicht an die Datenschutzbehörde gehabt, wenn ich personenbezogene Daten verarbeitet habe, diese fällt zur Gänze weg. Das Register wird es nur noch zur Einsicht geben, ist aber nicht mehr aktiv. Was passiert ist, dass die Unternehmen verpflichtet sind, aktiv Datenschutz selbst im Unternehmen zu betreiben. Das heißt, sie müssen dokumentieren, welche Daten verarbeiten sie und welche Schutzmaßnahmen treffen sie. Diese berühmten TOMs, technisch organisierte Maßnahmen, wie zum Beispiel Zutrittskontrollen, Zugangskontrollen, es soll auch die Awareness im Unternehmen gefördert werden durch Schulungen zum Beispiel, die dann auch zu dokumentieren sind. Und wie sind die Daten gesichert, zum Beispiel Verschlüsselungen, nicht nötige Daten so ehe wie möglich wieder löschen, also das sind so die Grundvoraussetzungen, die jetzt den Unternehmen aufgebürdet werden. Dann natürlich wie motiviert man die Unternehmen, das auch einzuhalten? Da hat man sich drakonische Strafen einfallen lassen, die ja überall herumgeistern. Da kann ich ein bisschen Entwarnung geben, nach meiner Erfahrung ist die österreichische Datenschutzbehörde traditionell schon sehr zurückhaltend mit Strafen, sie hat sich auch das Recht nicht nehmen lassen, ein eigenes Datenschutzrecht, ein österreichisches, gibt es ergänzend, zu implementieren und hier gibt es auch die Möglichkeit, normale Verwaltungsstrafen zu verhängen und ich vermute, solange es Unsicherheit gibt und die Experten sind sich einig, dass die nächsten drei oder sogar bis fünf Jahre ein Unsicherheitszeitraum sind, erst dann wird man genau wissen, wie mit der neuen DSGVO umzugehen ist und ich glaube, in diesem Zeitraum wird die Datenschutzbehörde auch vorsichtig mit Strafen sein.

René Neubach: Wie bereit siehst du die Gesundheitsindustrie oder die Pharmaindustrie, im Speziellen in Österreich, wie schaut es da im Detail aus deiner Meinung nach?

Dr. Maria-Luise Plank: Ich weiß, es gibt sehr viel Unsicherheit und es wird diskutiert, aber alleine das ist schon ein guter Punkt. Weil das heißt, die Awareness ist groß. Das ist in vielen anderen Industrien nicht so. Ich war zum Beispiel auf einer Schulung, wo eine Bank als Thema für den Besuch angegeben hat, sie wollen sich mal erkundigen. Und diese Schulung war vor Ostern, was denn jetzt mit dem Datenschutz passiert, also da sehe ich die österreichische Pharmaindustrie als top. Die Gefahr, die eher besteht ist, dass man sich zu sehr verunsichern lässt und man da versuchen sollte, Pragmatismus auch walten zu lassen.

Dominik Flener: Wenn ich es vorher richtig verstanden habe, wenn das Unternehmen bisher das DSG 2000 eigentlich gut umgesetzt hat, dann passiert jetzt nicht die Revolution.

Dr. Maria-Luise Plank: Richtig. Genau.

Dominik Flener: Wenn ich das bisher ordentlich gemacht habe, dann habe ich jetzt eine gute Ausgangsbasis. Wenn ich das DSG 2000 auch nicht ernst genommen habe, gut, dann habe ich eh generell ein Problem. Ich glaube, das ist schon mal ein wichtiger Punkt, den man da herausstreichen müsste.

Dr. Maria-Luise Plank: Was sich wirklich ändert ist weniger, wie gehe ich mit den Daten um, sondern dass ich es jetzt auch dokumentieren muss, was mache ich konkret. Und wie schütze ich die Daten. Ich bin überzeugt, dass fast alle Pharmaunternehmen in Österreich ein gutes System haben. Wichtig wäre, dass sie es jetzt ausreichend dokumentiert haben. Aber ich glaube, Änderungen muss es wenige geben.

René Neubach: Und gibt es noch irgendwo so kleine Baustellen, siehst du noch irgendwo Handlungsbedarf in der Gesundheitsindustrie?

Dr. Maria-Luise Plank: Ich glaube, man sollte die Prozesse doch anschauen, vor allem auch im Hinblick auf: Wie schaut mein Zustimmungsprozess aus, ich würde sagen, wahrscheinlich in 80 Prozent der Fällen kommt man zum Schluss, er passt wie er ist. Aber man hat einfach halt jetzt nochmal geschaut und festgestellt, das passt. Und in einigen wenigen Fällen wird man ein aktives Zustimmungssystem einführen müssen, die sich bisher auf passive Zustimmungen verlassen haben.

René Neubach: Siehst du da in deiner Zusammenarbeit mit den Firmen Unterschiede oder auch mit welchen Leuten du da zusammenarbeitest, also ob das jetzt Marketing ist, Medical, die Geschäftsführung direkt, wo gibt es da mehr oder weniger Awareness, wer hat da ein bisschen das Ruder in der Hand in den Unternehmen?

Dr. Maria-Luise Plank: Das Ruder in der Hand sollte der Datenschutzkoordinator haben. Es sollte nämlich so sein, dass Datenschutz auch zentral organisiert wird, sodass überall gleiche Standards herrschen. Wenn ich mir jetzt die Praxis anschaue, gibt es sehr hohe Awareness bei Medical und zum Beispiel Pharmakovigilanz, weil die traditionell sehr gut organisierte Prozesse haben und auch sehr standardisierte Prozesse haben und ich mir Datenschutz dann einmal nur überlegen muss. Marketing hat große Awareness, hat aber den Nachteil oder Vorteil, eine sehr innovative Branche zu sein oder Abteilung innerhalb des Unternehmens, daher wenn es ständig neue Ideen gibt, muss man halt immer versuchen, im Hinterkopf den Datenschutz mit zu bedenken. Aber ich glaube nicht, und es sollte auf keinen Fall so sein, dass Datenschutz jetzt dazu führt, dass ein Projekt nicht durchgeführt wird oder dass es ein Hindernis ist oder zu unglaublichem Mehraufwand führt. Also so ist Datenschutz nicht gedacht.

René Neubach: Siehst du, weil wir ja sehr stark natürlich über Patienteninitiativen im Rahmen unseres Podcasts sprechen, siehst du Vorteile für Patienten durch die Änderungen selbst?

Dr. Maria-Luise Plank: Ich sehe wenig Änderungen in Österreich für Patienten, sie haben jetzt mehr Möglichkeiten sich zu informieren, welche Daten über die Patienten gespeichert werden. Der Zustimmungsprozess war bisher in Österreich eh schon sehr intensiv. Es gibt auch das Recht, wie wir schon besprochen haben, auf Vergessenwerden, also ich darf auch beanspruchen, gelöscht zu werden. Was aber bisher auch durchgeführt wurde von den Unternehmen, wenn das gewollt wurde, was ich weiß. Also insofern hat sich da auch zumindest in der praktischen Handhabung wenig geändert. Und ich persönlich glaube, dass Patienten, die aktiv an einem Programm teilnehmen, dann auch durchaus committed sind, dass ihre Daten in der Datenbank sind.

René Neubach: Das ist vielleicht eine recht gute Überleitung zu dem ganzen Thema, das ein bisschen auch ein Mythos ist, wir kommen später noch ein bisschen auf Mythen zu sprechen, aber das ganze Thema Optin. Also wenn ich jetzt, klassisch bei Patientenprogrammen ist es ja oft so, dass Patienten sich registrieren für ein Programm. Jetzt glaubt man natürlich, schließt uns mit ein, dass man zusätzlich ein Opt-in-Feld installieren muss, ich stimme jetzt ausdrücklich nochmal zu, dass ich Informationen per E-Mail bekommen muss. Wie ist da die Lage?

Dr. Maria-Luise Plank: Nein. Also wenn ich aktiv als Patient mich auf einer zum Beispiel Website anmelde und sage, ich möchte an einem Programm teilnehmen, dann brauche ich kein zusätzliches Opt-in-Feld. Was sie allerdings brauchen, ist eine Information, welche Daten werden wo und wie lange gespeichert und an wen werden sie übermittelt, sollten sie irgendwo außerhalb des Unternehmens…

René Neubach: Das würde also im Rahmen einer normalen Datenschutzerklärung, wie sie auf einer Webseite zu finden sein sollte, auf der ich Daten speichere, eigentlich abgedeckt sein.

Dr. Maria-Luise Plank: Richtig. Aber es wäre glaube ich empfehlenswert, dass ich nicht einen Opt-in zusätzlich habe, sondern einfach eine Information in dem Moment wo ich…

René Neubach: In dem Moment der Registrierung.

Dr. Maria-Luise Plank: Genau, welche Daten von mir wo wie gespeichert sind.

René Neubach: Das ist wunderbar, also eigentlich gibt es da sehr viel Aufheben und Umstellung, die eigentlich gar nicht so notwendig wäre.

Dr. Maria-Luise Plank: Ja, es ist glaube ich immer wenn es etwas Neues ist und die Pharmaindustrie ist ja Gott sei Dank eine Industrie, die immer sehr compliant sein möchte, gibt es auch viel Verwirrung, weil um ehrlich zu sein auch die Juristen noch nicht hundertprozentig wissen, wie es ist. Und wenn man jetzt drei verschiedene Seminare besucht, hört man drei verschiedene Meinungen, was natürlich dann für die Umsetzung für den Laien sehr schwierig ist. Und ich glaube, da kann man durchaus Pragmatismus walten lassen und mal die nächsten Monate schauen, was tut sich am Markt und da ein bisschen immer entsprechend adaptieren, aber ich glaube nicht, dass die große Tragödie am 26. Mai, nach Einführung, passieren wird.

René Neubach: Das heißt, du siehst das jetzt vielleicht auch noch nicht oder Gott sei Dank nicht so, dass jetzt die Unternehmen reihenweise ihre Patienteninitiativen einstampfen, weil sie irgendwie Angst haben, wie sie mit den Daten umgehen.

Dr. Maria-Luise Plank: Es wäre sehr schade und unnötig aus meiner Sicht.

René Neubach: Aber ist es zu beobachten?

Dr. Maria-Luise Plank: Ich sehe das gar nicht, also bei größeren Unternehmen vielleicht, aber bei kleineren, die schon immer pragmatisch sein mussten, auch jetzt ein pragmatischer Zugang.

René Neubach: Und siehst du aus deiner Praxis jeden Tag Unternehmen, ohne die jetzt zu nennen, aber Unternehmen, wo du sagst, die gehen sehr gut damit um und was machen die dann eigentlich im Detail, wo du sagst, das geht eigentlich genau in die richtige Richtung?

Dr. Maria-Luise Plank: Also Unternehmen die sehr gut damit umgehen sind die, die jetzt schon ihre Mitarbeiter geschult haben, wo Datenschutz ein Hintergrundprogramm ist und nicht im Vordergrund steht und eine Hürde darstellt.

Dominik Flener: Das ist nochmal ein wichtiger Punkt, also soweit wir das miterleben, es gibt so zwei Lager im Unternehmen, es gibt die einen, die sich mit der DSGVO beschäftigen und zwischen Nervenzusammenbruch und doch noch klarem Denken sind und dann gibt es die anderen, die sagen: DSGVO, was ist das genau? Und da ist nochmal ein wichtiger Punkt gekommen, dass auch durch diese technisch organisatorischen Maßnahmen ich eigentlich eines schaffen muss, die gesamte Awareness zum Thema Datenschutz in den Unternehmen in die Höhe zu kriegen.

Dr. Maria-Luise Plank: Richtig und Awareness bedeutet für mich, was sind die absoluten Musts und wo bin ich im sicheren Bereich, bedeutet aber nicht, dass Datenschutz zum Selbstzweck wird. Weil es ist in Wahrheit nur eine Hilfe für alle.

Dominik Flener: Was aber auch in der Kommunikation nach außen eigentlich auch ein positives Signal sein kann, weil das ist ja auch immer so die Frage, die viel diskutiert wird, ist es ein Hindernisgrund oder kann es nicht sogar schon ein Marketing-Tool werden, wo ich sage: Leute, wir gehen ganz offensiv mit dem Datenschutz um, bei uns ist das alles super safe, super sicher, etc.

Dr. Maria-Luise Plank: Ja und ich glaube, es ist auch eine gute Vertrauensmaßnahme, wenn man aktiv das alles angeht, auch gegenüber Patienten zum Beispiel.

René Neubach: Du hast ja auch in der Vorbereitung zu dieser Podcast-Aufnahme auch erwähnt, dass ja teilweise so ein bisschen Panik auch besteht, die du ja Gott sei Dank immer wieder ein bisschen relativierst, dass man irgendwie jetzt am 25. Mai irgendwie plötzlich als Arzt oder Patient mehr oder weniger erwarten muss, dass man von allen möglichen Stellen Zuschriften bekommt, um sich nochmal einzuopten.

Dr. Maria-Luise Plank: Ja, da gibt es eine gewisse Unsicherheit, da sind sich die Juristen auch noch nicht einig, ursprünglich war die Auslegung die, dass mit dem 25. Mai müssen alle, die Patienten oder alle Datenbanken, in denen personenbezogene Daten aufgenommen sind, die konkreten Personen über diese Tatsache, welche Daten wann, wo, wie gespeichert sind, informiert werden. Das war so vor einem Jahr Status quo, inzwischen hat man sich das pragmatisch überlegt, was es bedeuten würde, alleine zum Beispiel für Ärzte, wenn sie von allen ihren Kreditkarten von jedem Pharmaunternehmen, von überall wo man in einer Datenbank ist, plötzlich rund um den 25. Mai E-Mails und Briefe erhalten würde. Jetzt gibt es bei der Datenschutzbehörde informell schon ein kleines Zurückrudern, wo man sagt: Vielleicht ist das doch nicht so eine gute Idee und die Menschen sind gar nicht in der Lage, das zu erfassen. Man startet clean break 25. Mai neu und wenn ich da neue Menschen aufnehme, werden die dann entsprechend der DSGVO, wie wir vorher besprochen haben, beim Opt-in informiert und das war es.

Dominik Flener: Das heißt aber, ich darf alte Daten dann weiter verwenden, weil das ist ja auch oft bei vielen Initiativen die Frage, ich habe hunderte Patienten, hunderte Daten in meiner Datenbank, wie kann ich die weiter nutzen?

René Neubach: Kann ich sie weiter nutzen?

Dominik Flener: Jetzt mal unter der Grundvoraussetzung, ich habe das bisher gemäß DSG 2000 korrekt erhoben.

Dr. Maria-Luise Plank: Richtig, wenn es nach dem österreichischen Datenschutzrecht erhoben wurde, habe ich eine aktive Zustimmung in irgendeiner Form gebraucht, wenn die vorliegt, dann kann ich mit den Daten weitergehen. Es wäre vielleicht geschickt, wenn es zum Beispiel Newsletter oder so gibt, dass man da bei einem Newsletter unten noch eine Information anhängt, Sie haben die Möglichkeit des Widerrufes.

René Neubach: Das ist ja sowieso verpflichtend nach Telekommunikationsgesetz.

Dr. Maria-Luise Plank: Ja, aber dass ich da noch eine Spur mehr Information…

René Neubach: Also ein bisschen größeren Druck mache als es noch kleiner zu machen in Wirklichkeit.

Dr. Maria-Luise Plank: Ja. Genau.

René Neubach: Ja, und vielleicht dass man noch so ein bisschen auf so Mythen ein bisschen eingeht, weil es gibt ja sehr viele Mythen, wie diese Geschichte mit dem Opt-in Statement, also nochmal jetzt sozusagen, ist es Mythos oder Wahrheit, ich muss ein Opt-in Statement einführen, das ich aktiv anklicken muss, um DSGVO-konform zu sein, bei einer Newsletter-Anmeldung oder einer Registrierung.

Dr. Maria-Luise Plank: Wenn sich die Person aktiv selbst einloggt, dann ist das das Opt-in. Dann brauche ich nicht zusätzlich noch ankreuzen.

René Neubach: Sprich auch wenn ich sage, ich möchte mich für einen Newsletter anmelden… 

Dr. Maria-Luise Plank: Dann ist es ja der Zweck, dann ist es aktiv die Zustimmung, dass ich sage, ich will diesen Newsletter.

René Neubach: Gut, bringt mich zur nächsten Frage, Mythos oder Wahrheit, ein Double-Opt-in, das heißt, ich muss dann meine E-Mail Adresse bestätigen in so einem Fall, ist verpflichtend nach DSGVO?

Dr. Maria-Luise Plank: Nein, es ist vielleicht gut, die richtige E-Mail Adresse zu haben dann, aber es ist nicht verpflichtend.

René Neubach: Ich glaube, in Deutschland ist das Double-Opt-in verpflichtend.

Dr. Maria-Luise Plank: Das war früher im deutschen Gesetz, ist aber durch die DSGVO…

René Neubach: Keine Änderung. Das heißt, das Gesetz bleibt bestehen oder nicht bestehen?

Dr. Maria-Luise Plank: Das kann ich noch nicht sagen, weil das deutsche Gesetz obsolet wird, das heißt, ob die das jetzt erneuert haben, kann ich noch nicht sagen.

René Neubach: Weil es ja lokale Datenschutzgesetze auch noch gibt, zusätzlich zur DSGVO.

Dr. Maria-Luise Plank: Richtig, Österreich hat auch ein zusätzliches. Und damit ist diese Einheitlichkeit doch wieder ein bisschen aufgesprengt. Es hat Österreich ein eigenes zusätzliches zur DSGVO Datenschutzgesetz, Deutschland wird eines haben, andere Länder, es gibt wieder eine gewisse Variabilität.

Dominik Flener: Kann man das auch sagen, gibt es in Europa jetzt Vorreiter, die jetzt einen Datenschutz, Sie haben es am Anfang gesagt, Österreich war da sehr brav und die DSGVO hat ein bisschen an Österreich Anlehnung genommen, weil das ja auch für viele Mitarbeiter in der Pharma-Industrie spannend ist, der trifft jetzt den Kollegen aus Spanien, den Kollegen aus Deutschland, den Kollegen aus Italien, wie ist da das österreichische Datenschutzrecht einzuordnen und gibt es noch Länder, die dann noch eigentlich strenger werden, auf gut Deutsch, mit den Kollegen sollte man vielleicht nicht reden weil die sind doch strenger?

Dr. Maria-Luise Plank: Nein, also es gibt einzelne Punkte, wo sich bestimmte Länder spezialisiert haben, Österreich hat zum Beispiel ein Faible für Videoaufnahmen, ist da besonders streng mit der Speicherung und Dokumentation. Und es gibt halt bestimmte Länder, je nach welche Personen halt dort bei der Datenschutzbehörde sind, wo es bestimmte Themen gibt.

René Neubach: Darf man kurz hängen bleiben bei dem Thema Videos, was ist da in Österreich stark zu beachten?

Dr. Maria-Luise Plank: Also wenn das ein Live-Video ist, was nicht gespeichert wird, muss ich gar nichts beachten.

Dominik Flener: Also Videoüberwachung.

Dr. Maria-Luise Plank: Videoüberwachung, die nur live ist, ohne Speicherung, ist okay. Aber sobald ich die Filme speichere und archiviere, brauche ich bestimmte Anforderungen der Kennzeichnungen, wo diese gespeichert werden, ich darf sie überhaupt nicht länger als 72 Stunden speichern, sonst brauche ich eine Zustimmung der Datenschutzbehörde, also hier haben wir wieder die Zustimmung und da ist Österreich wieder strenger als Teile oder fast der Rest von Europa.

René Neubach: Da geht es aber um Überwachungsvideos. Würde ich jetzt zum Beispiel eine Veranstaltung live im Internet übertragen und diese aufzeichnen?

Dr. Maria-Luise Plank: Dann bräuchte ich die Zustimmung der Teilnehmer.

René Neubach: Jedes einzelnen Teilnehmer, dann müsste ich die Teilnehmer einopten und ihren sagen: Ihr werdet wahrscheinlich gefilmt im Rahmen der Veranstaltung und durch die Teilnahme stimmt ihr zu, dass das dann veröffentlicht wird.

Dr. Maria-Luise Plank: Richtig, genau. Was ich noch machen kann, ist natürlich dann die Personen durch einen Nebel nicht erkenntlich machen oder nur bestimmte, die ich halt zeigen möchte.

René Neubach: Das ist ja hässlich. Aber natürlich, ja. Man muss das jetzt ein bisschen praktisch sehen, also in Wirklichkeit würde ich sagen, wenn ihr da reingeht in den Raum, stimmt ihr automatisch dem zu. Müsste ich auch nicht unterschreiben lassen, oder?

Dr. Maria-Luise Plank: Und das wird vielfach auch bei Vortragenden schon gemacht, ist schon lange bei vielen Unternehmen Klausel in Verträgen, dass er zustimmt, dass ein Video gemacht wird, das dann auch veröffentlicht und genutzt wird.

René Neubach: Ich glaube, bei den Vortragenden selber ist es wahrscheinlich Standard und Usus bei vielen Unternehmen, vergessen viele immer noch, aber sagen wir mal, das ist Standard und Usus, aber es geht ja jetzt auch um die Teilnehmer, das ist ja eigentlich das Spannende.

Dr. Maria-Luise Plank: Wenn ich die Teilnehmer erkenntlich abbilden möchte, müsste ich sie fragen und das geht mit den Teilnahmebedingungen.

René Neubach: Sprich, um das nochmal ganz klar zu übersetzen, wenn ich eine Veranstaltung filme und das eigentlich unausweichlich ist, dass ich Leute fotografiere oder filme, muss ich sie irgendwie darauf aufmerksam machen, dass diese Informationen veröffentlicht werden.

Dr. Maria-Luise Plank: Richtig.

René Neubach: Ich muss nicht jedem einen Zettel in die Hand drücken, wo ich ihn unterschreiben lasse, aber eigentlich muss auf der Eintrittskarte irgendwie sowas draufstehen oder bei der Anmeldung schon vermerkt sein.

René Neubach: Sehr interessant, das vergessen wahrscheinlich viele.

Dominik Flener: Und wenn jemand sagt: Nein, will ich nicht. Also zum Beispiel diese Zustimmung zur Filmaufnahme darf nicht von der Teilnahme abhängig sein, also der muss trotzdem teilnehmen können, auch wenn er sagt, zum Thema: Ich möchte nicht gefilmt werden.

Dr. Maria-Luise Plank: Was sein kann, er kann dann widersprechen der Veröffentlichung. Er müsste sich dann aber aktiv melden.

René Neubach: Im Nachhinein auch noch? Spielen wir das ganz praktisch durch, ist vielleicht jetzt ein bisschen ein schwieriger Fall. Ich lade ein zu einer Veranstaltung, die Leute registrieren sich für die Veranstaltung und ich sage ihnen, wenn ihr zu dieser Veranstaltung kommt, dann stimmt ihr automatisch zu, dass Bilder von euch veröffentlicht werden. Somit ist das mal gegeben. Es wird acknowledged, mehr oder weniger zur Kenntnis genommen. Muss es dem Teilnehmer möglich sein, dass er im Nachhinein sagt: Ich widerspreche der Veröffentlichung.

Dr. Maria-Luise Plank: Ja, weil ich habe das Recht auf Vergessenwerden.

René Neubach: Das gilt auch für Video?

Dr. Maria-Luise Plank: Das gilt für alle meine Daten.

René Neubach: Okay, das heißt, das muss man dann schon im Hinterkopf behalten, es könnte dann schon sein, dass ich irgendwann mal nachträglich Leute verpixeln muss in irgendwelchen Videos, weil sie zu sehen sind.

Dr. Maria-Luise Plank: Genau.

René Neubach: Das wird lustig. Wenn nur noch verschwommene Menschen herumlaufen.

Dominik Flener: Für Foto und Eventseiten, wo dann einzelne Teilnehmer …

René Neubach: Man könnte das auch humorvoll gestalten, irgendwelche Videos, wo dann irgendwelche Masken draufkommen. Das ist wunderbar. Noch ein Mythos, Mythos oder Wahrheit, das wir gerne ansprechen würden, das Cookie-Statement, das man jetzt immer öfter auf Webseiten sieht, wo ich mehr oder weniger auch einer Datenschutzerklärung aktiv oder passiv zustimme, Mythos oder Wahrheit, ich muss dem auch widersprechen dürfen und dann dürfen meine Daten nicht gespeichert werden.

Dr. Maria-Luise Plank: Das ist ein Mythos und wir sind hier nicht im Datenschutzrecht, sondern in der Cookie-Verordnung, die eigens geregelt ist. Hat also eigentlich mit der aktuellen Änderung nichts zu tun, war schon immer so, bleibt auch so. Und ich kann der Cookie-Nutzung zum Beispiel durch meine Browser-Einstellung zustimmen, das heißt, diese ganzen Banner die es da gibt mit Zustimmung oder nicht sind Fleißaufgaben, weil wenn ich es durch meine Browsereinstellung zugelassen habe, habe ich zugestimmt. Und dadurch, dass wir im Privatrecht sind und wenn ich der Cookie-Verwendung nicht zustimme, muss auch die Homepage nicht funktionieren.

René Neubach: Sind das wirklich Fleißaufgaben, eigentlich ist es wirklich ein extrem weit verbreiteter Mythos, also es ist nicht so, dass ich das ablehnen muss, sondern eigentlich brauche ich diese Cookie-Banner immer noch nicht.

Dr. Maria-Luise Plank: Richtig.

René Neubach: Ist das europäisches oder österreichisches Recht?

Dr. Maria-Luise Plank: Europäisches.

René Neubach: Das heißt, in ganz Europa, wenn ich Cookie-Statement sehe, sind sie eigentlich nicht notwendig.

Dr. Maria-Luise Plank: Ja. Ich glaube, das ist jetzt auch ein Ausfluss dieser Awareness, Datenschutz und dieser ganze Google-Skandal und Facebook, ich glaube, daraus kommt das, man möchte sich absichern und schützen.

René Neubach: Das heißt, um jetzt nochmal auf das Thema von vorhin zurückzukommen, eine leicht einsehbare öffentliche Datenschutzerklärung, was mit meinen Daten auf dieser Webseite passiert, anonymisiert oder nicht, reicht eigentlich aus.

Dr. Maria-Luise Plank: Richtig.

René Neubach: Das heißt, ich speichere nach Google Analytics, ich speichere Cookies für andere Zwecke und wenn du dich registrierst, verwende ich folgende Daten, die werden so und so gespeichert, ist ausreichend auch nach DSGVO.

Dr. Maria-Luise Plank: Ist völlig ausreichend.

René Neubach: Wunderbar, ein weiterer Mythos mit dem wir aufgeräumt haben.

Dominik Flener: Die Frage, die da nochmal interessant wäre, wäre mal dieses Recht auf Vergessenwerden und ich habe auch das Recht, eine Auskunft zu bekommen, welche Daten gespeichert sind. Kann man da vielleicht nochmal ganz kurz in dieses Thema hineinspringen, weil diese Frage ist immer, was habe ich jetzt gespeichert und Unternehmen haben ja viel auch in ihren CRM-Systemen gespeichert, was muss jetzt zum Beispiel ein Arzt, der sagt: Ich möchte wissen, welche Daten ihr von mir habt, was muss ich dem offenlegen?

Dr. Maria-Luise Plank: Seine personenbezogenen Daten, das heißt, was sind personenbezogene Daten? Alle, die ihn als Person identifizierbar machen. Es macht ihn nicht identifizierbar, wenn Sie dazu schreiben: Ist lästig. Zum Beispiel. Darauf hat er kein Recht, das ist Ihre Interpretation und Ihr Betriebsgeheimnis. Sie müssen auch nicht offenlegen, wie Sie ihn kategorisieren, wenn das gemacht wurde. Ist auch ein Betriebsgeheimnis. Das heißt, wirklich nur die Daten, die zu seiner Person gehören. Die müssen offengelegt werden.

Dominik Flener: Okay, das heißt, ich müsste mir sozusagen in meiner internen Datenorganisation überlegen, was sind jetzt Daten die personenbezogen sind, die ich auch im Fall der Fälle offenlegen muss, im Sinne des Reports zum Beispiel, folgende Daten gibt es von dir und dann gibt es bestimmte interne, die mein Betriebsgeheimnis sind, ich vermute auch zum Beispiel wann habe ich den besucht, sind auch Dinge…

Dr. Maria-Luise Plank: Betriebsgeheimnis.

Dominik Flener: Besuchshäufigkeit und solche Sachen. Auch das ist nochmal spannend, weil das ist ja für viele eine Frage, muss ich dann alles offenlegen?

Dr. Maria-Luise Plank: Ja, und da gibt es auch sehr viel Mythos unter dem Stichwort Profiling. Die DSGVO versteht unter Profiling, wenn die Maschine automatisch eine Entscheidung trifft aufgrund bestimmter personenbezogener Angaben wie Kreditvergabe online oder Telefonvertrag wird nicht gewährt aufgrund bestimmter Informationen personenbezogener Daten die man hat. Aber ist in der Bewertung ein Mensch involviert, zum Beispiel entscheidet man sich, okay, das ist ein Arzt, ich überlege mir noch, wird der zum Kongress eingeladen, ist das keine Entscheidung, die online passiert ist und damit sind wir nicht im Profiling der DSGVO.

René Neubach: Und wäre es so? Würde ich jetzt automatisch eine Einladung verschicken aufgrund des Profilings?

Dr. Maria-Luise Plank: Da sind wir wieder im Unsicherheitsbereich der drei bis fünf Jahre, da wäre ich aber eher geneigt, persönlich, zu sagen, eher ja.

René Neubach: Über Profiling unterhalten wir uns nochmal zu einem späteren Zeitpunkt, wenn es wirklich auch ein bisschen mehr praktische Beispiele und Herangehensweisen gibt.

Dr. Maria-Luise Plank: Und ich glaube, die Zukunft, was kommen wird, Sie haben das vorher angedeutet, diese e-Privacy Richtlinie, die da auch im Kommen ist oder Verordnung, die wird dann auch, glaube ich, zum Profiling sehr viel Auskunft dann geben oder es besser verstehen lassen.

Dominik Flener: Da kommt das nächste große Kapitel auf uns zu. Damit haben wir fix die Vorausschau auf eine Episode zwei dieses Podcasts.

René Neubach: Absolut. Vielen Dank nochmal, möchtest du unseren Zuhörern noch irgendwas mitgeben, jetzt auf dem DSGVO-Weg, auf den letzten knapp eineinhalb Monaten, bevor es dann wirklich so weit ist. Für die letzte Meile.

Dr. Maria-Luise Plank: Nicht die Nerven wegschmeißen, pragmatisch bleiben und den Rechtsanwalt fragen.

René Neubach: Ich wollte gerade sagen, im Zweifelsfall anrufen, wir werden auch die Kontaktdaten von der Frau Dr. Plank in unseren Shownotes hinterlegen, wir sagen mal dankeschön, danke für die Zeit, das war wirklich sehr aufschlussreich, auch für uns, für mich ganz besonders, also ich werde jetzt gleich ein paar Dinge wieder rückgängig machen, die wir versucht haben teuer zu implementieren. Ja, vielen Dank fürs Zuhören, wenn es Fragen gibt, natürlich wie immer bitte taggen mit RnD and Patients oder hier auf unserer Webseite http://rdonpatients.contentglory.com, wo man Kommentare hinterlassen kann, wir freuen uns natürlich auch wie immer über Feedback.

Dominik Flener: Ja, vielen Dank und bis zum nächsten Mal.  

Outro: Das war die aktuelle Ausgabe von R&D on Patients. Vielen Dank fürs Zuhören! Wie immer freuen wir uns über Fragen, Kommentare und Anregungen. Und natürlich freuen wir uns auch, wenn Sie uns weiterempfehlen. Bis bald!