Heikle Patientendaten
Offene Datenschutzfragen bei Krankenstandskontrollen
Wien – Die Datenschutzgrundverordnung, die seit 25. Mai in Kraft ist, hält aktuell viele Betriebe auf Trab. Das neue Regelwerk wirft aber auch im Zusammenhang mit der von den Regierungsparteien geplanten Änderung zur Kontrolle von Krankenstandstagen Fragen auf. Wie berichtet haben ÖVP und FPÖ in den heftig diskutierten Entwurf zum Arbeitszeitgesetz auch einen Passus zum vermuteten Missbrauch bei Krankschreibungen hineingeschrieben. Demnach sollen die Krankenkassen künftig jenes Analysetool für ihre Kontrollen einsetzen, das bisher nur zum Aufspüren von Scheinanmeldungen durch Arbeitgeber zum Einsatz kam.
Immer, wenn es um heikle Daten geht und mit der Verarbeitung ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“verbunden ist, muss nun aber eine sogenannte Datenschutzfolgeabschätzung erstellt werden, erklärt Thomas Lohninger von der Datenschutzorganisation Epicenter Works. Das gilt vor allem dann, wenn es um „automatisierte Verarbeitung einschließlich Profiling“geht. Diese Einschätzung bestätigt auch die beim Justizministerium angesiedelte Datenschutzbehörde auf STANDARD- Anfrage.
In dieser Analyse muss konkret aufgeschlüsselt werden, wie die Datenverarbeitung erfolgt, aber auch, warum sie in der geplanten Form notwendig und verhältnismäßig ist, welche Risiken für die Rechte und Freiheiten der betroffenen Personen damit verbunden sind und welche Maßnahmen zur Bewältigung dieser Risiken geplant sind.
Kein Kontakt zur Behörde
Theoretisch könnte der Gesetzgeber bereits vorab die Datenschutzbehörde kontaktieren, um offene Fragen zu klären. Das ist bis jetzt aber laut der Behörde nicht geschehen. Im Initiativantrag von ÖVP und FPÖ, der ohne Begutachtung beschlossen werden soll, wird auch nicht näher erläutert, warum die Maßnahme notwendig sein soll.
Passiert das nicht, müssen jene Stellen die Datenschutzfolgeabschätzung erstellen, die für die Krankenstandskontrollen zuständig sind. Also die Krankenkassen. Erfolgen muss das jedenfalls, bevor die Datenanwendung in Betrieb geht, wie die Datenschutzbehörde erklärt. Hier wird es dann interessant. Sowohl die Gebietskrankenkassen als auch der Hauptverband der Sozialversicherungsträger haben die Regierung nämlich bereits wissen lassen, dass man keinen Handlungsbedarf sehe. Man habe nämlich längst eine Analysesoftware im Einsatz, die zufriedenstellend funktioniere.