Ich war neulich beim Arzt und habe anschließend vom Arzt eine SMS mit einem Link erhalten und dem Hinweis, dass hier die gerade gemachten Röntgenbilder abgerufen werden können.
Über den Link waren dann tatsächlich meine Röntgenbilder direkt abrufbar (ohne Authentifizierung, Geburtstagsabfrage o.ä.)
Auf dem Bild wurden die Patientendaten entfernt, somit ist es „nur“ ein Bild von einem Körperteil von mir in einem anderen Spektrum (Röntgen) als wir normalerweise sehen können.
Neben dem empfunden Unbehagen gibt es hier einen konkreten Rechtsverstoß?
Darüber hinaus ist mir auch aufgefallen, dass auf der Seite weder ein Impressum noch eine Datenschutzerklärung abrufbar ist. Ich habe diese später auf einer anderen Website gefunden - in Ordnung ist das aber gerade bei der Art der verarbeiteten Daten nicht. Wo/wie kann ich mich denn da beschweren?
Über den Link den du uns genannt hast, kommt allerdings eine Verifizierungsabfrage (Mail/Passwort). Also muss es doch eine Registrierung - in welcher Form auch immer - gegeben haben.
Wer ein wenig bei duckduckgo recherchiert, kommt auf Trice Imaging, Inc. und von dort dann zu den DSGVO-Angaben. Alles ein wenig schwierig und für den nicht bedurften User wohl schwer zu finden bzw. zu durchschauen, sofern du von der Praxis keine Aufklärung erhalten hast. Du hast kein Merkblatt oder dergleichen überreicht bekommen?
Bin kein Jurist, habe aber folgende Erfahrung gemacht und möchte auf diese Punkte eingehen.
In Arztpraxen, in denen bisher Röntgenbilder von mir erstellt wurden, musste ich wenn die Bilder anschließend auf einen Server geladen werden sollen explizit zustimmen. Da ich mich vorher stets informiere wie das bei den einzelnen Praxen gehandhabt und umgesetzt wird habe ich das daher auch schon mal abgelehnt.
Ich gehe daher davon aus das du ähnlichem zugestimmt hast. Was natürlich gar nicht geht das du ohne Anmeldung zugriff auf die Bilder hast.
Im übrigen sehe ich die Röntgenbilder ohne Namen als nicht zulässig an. Laut meines Wissens ist es (aus guten Grund) vorgeschrieben das Röntgenbilder gekennzeichnet sein müssen. Wem sollte man die denn vorzeigen ohne Namen? Weis ja niemand ob du dem jeweiligen Arzt nicht deinen Nachbar zeigst Nichts desto trotz halte ich es für nicht zulässig sie ohne Anmeldung zugängig zu machen.
@Moderatoren Btw warum ist war das ein Wiki Eintrag?
Nehmt es mir nicht krum, dass ich hier nicht den Link zu meinem Röntgenbild gepostet habe. Der Link auf die „Hauptseite“ ist leider ein redirect.
Aber ich muss michdefinitv nicht anmelden.
Das hatte ich ja angedeutet und ist auch Teil meiner Frage, ist es legal das Impressum und die Datenschutzerklärung unter einer anderen Domain ohne jede Verlinkung zuverstecken?
Da ich da auch ziemlich sensibel bin, bin ich mir nicht bewusst eine solche Einwilligung (schriftlich) gegeben zu haben.
Die Frage/Schutzbehauptung könnte ja sein, dass ein Röntgenbild ohne Namen etc. Keine personenbezogene Daten sind.
Darüber habe ich mir noch keine Gedanken gemacht, könnte Betrug und Medikamenten Schwindel Tür und Tor öffnen - gibt es hierzu Gesetze für Ärzte die das regeln?
Wie gesagt, bin kein Jurist, meine aber mal gelesen zu haben, da das Röntgen einen besonderen Eingriff in deinen Körper darstellt muss da dann auch das Bild gekennzeichnet werden wegen Verwechselung / unnötige Doppeluntersuchung (weil nicht mehr zuordenbar). Irgendsowas meine ich gelesen zu haben.
Das ist schon recht, mit dem Link. Mit der Erklärung ist es nun plausibel.
Es gibt durchaus auch Links, die direkt Nutzername und Passwort übergeben.
Es kann also schon so sein, wie Du es beschreibst.
Röntgenbilder ohne Namen sind pseudonymisierte (Dein Nutzername) personenbezogene Daten.
Der Betrug, mit den Röntgenbildern des Nachbarn zum Arzt zu gehen, fände dann in dieser Praxis statt und deswegen sind Röntgenbilder eben auch nur mit Namen als Befunde zulässig. Aber man kann Dich damit inoffiziell „beglücken“ – allerdings ebenfalls mit den Bildern aus einem anderen Account (absichtlich oder versehentlich).
Um zur ursprünglichen Frage zurückzukommen: Es kommt auf die Art des Links an - und dazu hast Du nix gesagt. Wenn der Link richtig gemacht ist, d.h. mit einer Zufallskomponente mit ausreichend Entropie, dann ist das Vorgehen in Ordnung, weil sicher. Es ist gelegentlich schon vorgekommen, dass man die Links enumerieren konnte, sowas ist natürlich ein gigantischer Fail.
wobei die x zahlen und Buchstaben symbolisieren.
Ich habe jetzt einfach mal aus Spaß das letzte Zeichen geändert, dann kommt die Meldung this Link is no longer valid.
Da findet man den Link zur Unterseite bzgl. DSGVO, die @dino oben schon verlinkt hatte: https://triceimaging.com/de/compliance/
Das ist insofern keine externe Seite, sondern die selbe Domain und die Frage hat sich damit also erledigt, oder?
Der TE nr845h hatte nicht nach Impressum und Datenschutzerklärung zu dem Link, der ihm per SMS zugeschickt worden ist, gefragt.
Der müsste über die Genehmigung zu finden sein, die er dem Arzt dafür gegeben hat, würde ich vermuten. Also: dessen Angaben.
Ich bin aufgrund der Rückmeldungen etwas verwirrt.
Meine erste Frage, ob das nicht abgesicherte versenden von Links mit medizinischen Informationen ohne konkreten Personenbezug legal ist, haben wir geklärt → legal
Bei der zweiten Frage, ob es legal ist (in Deutschland) eine Website zu betreiben ohne auf der Kontaktseite (z.B. meine) direkt auf das Impressum und/oder die Datenschutzerklärung zu verlinken.
Ich habe die oben mehrfach verlinkten Seiten ebenfalls gefunden, aber diese Links beantworten nicht die Frage danach ob es legal ist, dass diese auf der Domain tricefy4.com an keiner Stelle zu finden sind.
Zunächst zur DS-Erklärung und der DS-GVO: die Verordnung kennt den Begriff nicht, sondern spricht von Informationspflichten. Ob der Arzt die seinen erfüllt hat, das wissen wir nicht - aber das möchte ich annehmen (schon weil er Deine E-Mail-Adresse hat). Ob der Site-Betreiber seine erfüllt (ggü EU-Nutzer), will ich nicht prüfen (siehe dazu aber die Posts weiter oben).
Eine Impressumspflicht gibt es nicht überall, ist eher was „deutsches“
Korrektur: sorry, E-Mail hat er nicht, die Rede war von SMS …
Ich hab halt ein bisschen rumgeklickt und von der Main-Domain tricefy4.com aus versucht habe vorzuarbeiten, aber da gibt es ja nichts.
Danke für den Link, weil da steht in der ersten Zeile des TMG
(1) Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:
Jetzt ist nur noch die Frage, was das heißt … (und ob das für die Datenschutzerklärung gilt)
http://tricefy4.com/ ist eine reine Login-Seite, da ist nix zu sehen von Telemedien. Der Begriff „Telemedien“ hat was mit „Medien“ zu tun - darunter versteht man Inhalte - zumindest irgendwelche Inhalte. Die sind da nicht.
Ansonsten stünde im TMG: „gilt für jede Webseite“ - das ist aber nicht der Fall.