Gesundheit

Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO), die besondere Anforderungen an Gesundheitsdaten stellt, vergl. Artikel 9 DS-GVO. Die folgenden Dokumente müssen im Lichte der DS-GVO gelesen werden.

Allgemeine Informationen zum Gesundheitsdatenschutz

Personenbezogene Gesundheitsdaten zählen nach Art. 9 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) zu den sogenannten „besonderen Kategorien“ von Daten. Diese besonderen Datenkategorein unterliegen aufgrund ihrer Sensibilität einem erhöhten Schutz, d.h. für die Verarbeitung dieser Daten gelten strengere Datenschutzvorgaben als für andere Daten. Diese Vorgaben sind in Art. 9 Abs. 2 DS-GVO (Link zur DS-GVO: https://dsgvo-gesetz.de/) aufgeführt.

informative Links

Stellungnahme Ethikrat zu Big Data und Gesundheit hat weiterhin Bestand:

https://www.ethikrat.org/fileadmin/Publikationen/Stellungnahmen/deutsch/stellungnahme-big-data-und-gesundheit.pdf

 

Orientierungshilfe Krankenhausinformationssysteme der DSK:

https://www.datenschutzzentrum.de/uploads/medizin/OH_KIS.pdf

 

Thüringer Krankenhausgesetz (ThürKHG)

https://www.landesrecht.thueringen.de/bsth/document/jlr-KHGTH2003rahmen

 

datenschutzrechtliche Leitlinie Arztbewertungsportal:

https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Leitlinien_Arztbewertung_final.pdf

(„Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet (AK Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Stand: 14.03.2013)

 

Pressemitteilung des Bayrischen Landesamtes für Datenschutzaufsicht, 3. Juni 2020

Die elektronische Gesundheitskarte

Am 3.12.2015 wurde das „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“ (E-Health-Gesetz) im Bundestag verabschiedet und trat zum 1.1.2016 in Kraft. Das Gesetz regelt die Einführung digitaler Anwendungen im deutschen Gesundheitswesen. Grundlegend hierbei ist die schrittweise Ablösung von bislang papiergebundenen Prozessen durch IT-unterstützte, digitale Verfahren – die Schaffung einer sogenannten „Telematikinfrastruktur“ (TI). Vorrangiges Ziel der TI ist laut Bundesgesundheitsministerium, „dass die Gesundheitsdaten, die für eine Behandlung benötigt werden, schnell und sicher elektronisch zur Verfügung stehen und so die Qualität der medizinischen Versorgung verbessert“ werden soll.

Mit dem E-Health-Gesetz wurde der von den Selbstverwaltungspartnern im Gesundheitswesen gegründeten Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) und der Industrie ein Zeitfenster für die bundesweite Einführung der TI gegeben: Bis Ende 2018 sollten Arztpraxen und Krankenhäuser flächendeckend an die TI angeschlossen sein. Dieser Zeitplan verzögerte sich aus organisatorischen und technischen Gründen jedoch.

Das zentrale Element bei der Umsetzung des E-Health-Gesetzes ist die elektronische Gesundheitskarte (eGK). Zukünftig sollen auf der eGK umfangreiche medizinische Daten gespeichert werden können. Hierzu zählen u.a. Medikationspläne der Patienten, elektronische Arztbriefe, ein Notfalldatensatz sowie eine elektronische Patientenakte und ein elektronisches Patientenpostfach (Sozialgesetzbuch V, § 31a und § 291a SGB V). Bislang sind auf der Karte lediglich personenbezogene Basisdaten (Name, Geburtsdatum, Adresse, Lichtbild der/des Versicherten) gespeichert; konkrete Gesundheitsdaten oder ein Notfalldatensatz wie er im Rahmen des Ausbaus der TI von der Bundesregierung vorgesehen ist, ist derzeit (noch) nicht erfasst.

Nach dem E-Health-Gesetz sollten niedergelassene Ärzte und Psychotherapeuten ab 1. Juli 2018 verpflichtet sein, ein sogenanntes Versichertenstammdatenmanagement (VSDM) durchzuführen einschließlich einer Prüfung des Versicherungsnachweises. Im Rahmen dieser Prüfung soll durch eine geschützte direkte Online-Verbindung der Praxis mit den Krankenkassen in Echtzeit („online“) geprüft werden, ob die auf der eGK eines Patienten gespeicherten Versichertenstammdaten aktuell sind und ob ein gültiges Versicherungsverhältnis besteht. Für die Durchführung des VSDM werden verschiedene technische Komponenten und Dienste in der Praxis benötigt, u.a. der ein sogenannter „Konnektor“ und das stationäre Kartenmaterial

Nach Art. 9 Abs. 1 Europäische Datenschutzgrundverordnung (DS-GVO) stellen Gesundheitsdaten eine „besondere Kategorie“ personenbezogener Daten dar. Diese Daten dürfen grundsätzlich nur in Fällen von Art. 9 Abs. 2 DS-GVO verarbeitet werden. Gemäß Art 9 Abs. 2 Buchstabe h) DS-GVO ist die Verarbeitung von Gesundheitsdaten „für Zwecke der Gesundheitsvorsorge (…), für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich (…)“ grundsätzlich zulässig. Die DS-GVO enthält Öffnungsklauseln auf nationales Recht. Bezogen auf Gesundheitsdaten ist deren Verarbeitung nach Art. 9 Abs. 2 Buchstabe g) auch auf der Grundlage des Rechts eines Mitgliedstaats, vorliegend SGB V, zulässig.

Nationale Rechtsgrundlage für die Installation der technischen Komponenten im Rahmen der TI und die darüber erfolgende Verarbeitung von Gesundheitsdaten ist das E-Health-Gesetz und die damit beschlossenen Maßnahmen.

Bedenken zum Datenschutz in Bezug auf die technische Anbindung an die TI sind, wie so oft bei digitalen Anwendungen, durchaus nachvollziehbar. Dazu teilte das Bundesgesundheitsministerium mit, das „Datenschutz und Datensicherheit (…) zentrale Anforderungen an alle eingesetzten technischen Komponenten und auch an die organisatorischen Verfahren in der Telematikinfrastruktur [sind].“ Nach Aussage des Bundesgesundheitsministeriums ist „Für die Zulassung von Komponenten und Diensten in der Telematikinfrastruktur (…) eine Sicherheitszertifizierung nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik gemäß dem Stand der Technik und der aktuellen Bedrohungslage [die regelmäßig zu überprüfen ist] erforderlich. Das zentrale Netz der Telematikinfrastruktur ist ein in sich geschlossenes Netz. Der Zugang zu diesem ist nur über sichere zentrale Zugangspunkte möglich.“

Die im Rahmen der Telematikinfrastruktur über eine VPN-Verbindung (virtuelles-privates-Netzwerk) versendeten Daten sind stets verschlüsselt. „Es ist für eine nicht im Besitz des Schlüssels befindliche Person mit den heute verfügbaren technischen Mitteln nicht möglich, nach den Standards der Telematikinfrastruktur verschlüsselte Daten zu entschlüsseln und lesbar zu machen.“, teilte das Bundesgesundheitsministerium mit.

Aktuelle Links zum Thema elektronische Gesundheitskarte:

https://www.gematik.de/telematikinfrastruktur/

https://www.bundesgesundheitsministerium.de/elektronische-gesundheitskarte.html

https://www.datenschutzkonferenz-online.de/media/en/20200901_PDSG_Entschließung.pdf

Die Frage, wann Unternehmen einen betrieblichen Datenschutzbeauftragten (bDSB) benötigen, ist in § 38 Bundesdatenschutzgesetz (BDSG) und Art. 37 DS-GVO geregelt. Diese Regelungen gelten auch für den Gesundheitsbereich, vorliegend für Arzt- und Zahnarztpraxen, Apotheken und Sanitätshäuser.

§ 38 Abs. 1 BDSG lautet:

„Ergänzend zu Art. 37 Absatz 1 Buchstabe b und c DS-GVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Dabei spielt es keine Rolle, ob die Mitarbeiter vollzeit- oder teilzeitbeschäftigt sind. Auch freie Mitarbeiter, Leiharbeitnehmer, Auszubildende und Praktikanten sind hier einzubeziehen. Entscheidend ist, dass die betreffenden Mitarbeiter personenbezogene Daten automatisiert verarbeiten. Dies ist i.d.R. bereits bei einer regelmäßigen E-Mail-Kommunikation der Fall, wie sie insbesondere Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie Mitarbeiter von Personal- und Finanzabteilungen häufig führen.

Unabhängig von der Anzahl der Mitarbeiter nach § 38 Abs. 1 BDSG müssen Unternehmen nach Art. 37 Abs. 1 Buchst. b) und Buchst. c) DS-GVO auch einen Datenschutzbeauftragten bestellen, wenn sie folgende Kriterien bei der Verarbeitung von personenbezogenen Daten erfüllen:

„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn…

  1. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens, d.h. Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend und keine routinemäßigen Verwaltungsaufgaben sind. So stellt bspw. die Verarbeitung von Mitarbeiterdaten keine Kerntätigkeit dar, da dies i.d.R. nur ein verwaltungsorganisatorischer Prozess ist, der nicht zur Haupttätigkeit des Unternehmens gehört.

Da die Untersuchung von Patienten mit entsprechender Diagnose eine Haupttätigkeit von Ärzten darstellt, ist der Begriff der Kerntätigkeit erfüllt.Die Kerntätigkeit von Ärzten liegt damit in der Verarbeitung sensibler Daten; (…) Entscheidend wird daher der Umfang der Verarbeitung sein, sodass jedenfalls bei Einzel-Praxen keine Pflicht besteht, einen Datenschutzbeauftragten zu benennen…“ (Kühling/Buchner, Kommentar DS-GVO/BDSG, Verlag C.H.Beck München, 2. Aufl. 2018, Art. 37 Rn. 24)

Die Verarbeitung der o.g. Daten muss dem Wortlaut nach „umfangreich“ sein. Doch wann ist dies der Fall? Das heißt, wann gilt die Verarbeitung von Patientendaten (genetische Daten, biometrische Daten, Gesundheitsdaten) in Arzt- und Zahnarztpraxen oder Apotheken i.S. der Kerntätigkeit als „umfangreich“? Der Begriff „umfangreich“ ist in der DS-GVO selbst nicht weiter definiert. Lediglich in Bezug auf die Datenschutz-Folgenabschätzung (DSFA) in Art. 35 DS-GVO wird der Begriff nochmals verwendet. Im Hinblick auf die Verarbeitung von personenbezogenen Patientendaten in medizinischen und/ oder heilberuflichen Einrichtungen, vorliegend Arzt- und Zahnarztpraxen oder Apotheken, führt Erwägungsgrund 91 DS-GVO konkreter u.a. aus:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“ Dies ist auch adäquat anzunehmen für die Notwendigkeit, einen betrieblichen Datenschutzbeauftragten zu bestellen, die in diesem Falle nicht gegeben ist. Somit ist i.S. Art. 37 Abs. 1 Buchst. b) und Buchst. c) DS-GVO für die Bestellung eines betrieblichen Datenschutzbeauftragten die Größe der Arztpraxis entscheidend.

Als Orientierungshilfe zur Bestellung ist insofern eine Untergrenze festgelegt. Eine ärztliche Einzelpraxis muss grundsätzlich keinen Datenschutzbeauftragten bestellen. Anders kann es aber bei Gemeinschaftspraxen aussehen. Für Gemeinschaftspraxen gilt diese Ausnahme nicht mehr. Doch ab wann fängt eine „umfangreiche Verarbeitung“ an? Eine gesicherte Antwort auf diese Frage ergibt sich unter Bezugnahme auf § 38 Abs. 1 BDSG: Im Falle von 20 Mitarbeitern in der Gemeinschaftspraxis muss auf jeden Fall ein Datenschutzbeauftragter bestellt werden.


Zum 1. März 2020 ist das Masernschutzgesetz in Kraft getreten. Alle nach 1970 geborenen Personen, die in einer Gemeinschaftseinrichtung, zum Beispiel Schulen und Kindergärten, betreut werden, müssen den Impfschutz gegen Masern nachweisen.

Nach § 20 Abs. 9 Satz 1 Infektionsschutzgesetz (IfSG) ist der Nachweis über die Masernschutzimpfung gegenüber der Leitung der jeweiligen Einrichtung zu erbringen. Der/die Leiter/in ist die Person, die mit den Leitungsaufgaben in der jeweiligen Einrichtung beauftragt ist, vgl. § 2 Nr. 15 IfSG. Im Falle der Thüringer Schulen wurden durch die Gesundheitsämter i.d.R. die jeweiligen Klassenlehrer mit der Entgegennahme des Impfnachweises beauftragt. In den Thüringer Kindergärten obliegt diese Aufgabe der/dem Kindergartenleiter/in. Die damit beauftragten Personen (Schulleiter/in oder der/die Klassenlehrer/in und Kindergartenleiter/in) dürfen den Immunitätsnachweis (Impfpass und/oder ärztliches Attest) jedoch nur einsehen und sich einen entsprechenden Vermerk über die Vorlage machen; sie dürfen keine Kopie davon anfertigen. Für die Anfertigung und Speicherung einer Kopie des Impfausweises oder ärztlichen Attestes besteht keine Rechtsgrundlage. Dies kann allenfalls mit Einwilligung der Eltern bzw. Sorgeberechtigten nach Art. 9 Abs. 2 Buchst. a) Datenschutz-Grundverordnung (DS-GVO) erfolgen.

Eine Ausnahme von der Impfpflicht besteht u.a. für Personen, die mit einem ärztlichen Attest nachweisen, dass eine Impfung aus gesundheitlichen Gründen kontraindiziert ist oder wenn sie bereits immun sind. Diese Kontraindikation muss jedoch – ebenso wie der Nachweis der Impfung – ärztlich bestätigt sein.

Zur Nachweisführung der Impfbescheinigung hat das Thüringer Ministerium Bildung, Jugend und Sport (TMBJS) den Schulen ein Musterformular zur Verfügung gestellt. Dieses Formular kann auch von den Kindergärten genutzt werden. In diesem Formular ist mittels Ankreuzverfahren anzugeben, ob ein Impfnachweis vorgelegt wurde oder nicht; das Anfertigen von Kopien ist nicht vorgesehen. Das ausgefüllte Formular bzw. eine Kopie des Formulars kann in die Schülerakte aufgenommen bzw. im Kindergarten, unzugänglich für Dritte (unbefugte) Personen) aufbewahrt werden.

Gemäß dem Formular des TMBJS ist der Schulleiter verpflichtet, das Gesundheitsamt zu informieren, wenn kein Impfnachweis erbracht wurde, d.h. wenn weder eine Impfbescheinigung noch ein ärztliches Attest über eine bestehende Kontraindikation für die Impfung vorgelegt wurden, müssen der Schulleiter bzw. die Kindergartenleitung das Gesundheitsamt informieren. Eine Übermittlung von personenbezogenen (Gesundheits-) Daten des Kindes an das Gesundheitsamt muss also nur erfolgen, wenn der Nachweis nach § 20 Abs. 9 Infektionsschutzgesetz (IfSG) nicht erbracht wurde. Gegebenenfalls wird das Gesundheitsamt dann im, Rahmen seiner amtlichen Zuständigkeiten und Befugnisse, Kontakt zu den Eltern aufnehmen und um persönliche Vorlage von Impfdokumenten bitten. Sofern die Impf- bzw. Impfunfähigkeitsbescheinigung ordnungsgemäß vorgelegt wurde, besteht somit keine Rechtsgrundlage, dass der/die Schulleiter/in oder die Kindergartenleitung personenbezogene (Gesundheits-) Daten an das Gesundheitsamt übermittelt (vgl. § 20 Abs. 9 Satz 4 und Satz 5 IfSG).

Weitere Informationen zur Frage der Nachweisführung der Masernschutzimpfung finden Sie auch auf der Internetseite des TMBJS unter https://bildung.thueringen.de/schule/aktiv/gesundheit/

 

weitere Informationen:

Musterformular des TMBJS zum Nachweis der Masernschutzimpfung:

https://bildung.thueringen.de/fileadmin/schule/aktiv/gesundheit/Erfassungsbogen_Impfstatus_Masern_Schueler.pdf


Gemäß § 6 Abs. 3 Nr. 2 der 2. ThürSARS-CoV-2-IfSGrundVO sind Personen, denen die Verwendung einer Mund-Nasen-Bedeckung wegen Behinderung oder aus gesundheitlichen oder anderen Gründen nicht möglich oder unzumutbar lediglich verpflichtet, „dies in geeigneter Weise glaubhaft zu machen.“ Mit Beschluss 132/20 (Rn. 27) vom 4.1.2021 hat das OVG Berlin Brandenburg entschieden, dass ärztliche Atteste, die die Ausnahme von der Verpflichtung zum Tragen einer Mund-Nasen-Bedeckung aus gesundheitlichen Gründen bescheinigen, keine medizinische Diagnose enthalten müssen. Zur Begründung führt das OVG an, dass der Betroffen durch Angabe der medizinischen Diagnose auf dem Attest gezwungen sei, seine personenbezogenen Gesundheitsdaten an vielen privaten, d.h. nicht-öffentlichen Stellen wie Geschäften, öffentlichen Verkehrsmitteln oder bei Demonstrationen etc. zu offenbaren. Dies sei mit dem Datenschutz und dem hohen Schutzniveau von Gesundheitsdaten unvereinbar, so das OVG.

Das Verwaltungsgericht Würzburg (VG) hatte im September 2020 entschieden, dass die Angabe der medizinischen Diagnose im ärztlichen Attest zur Maskenbefreiung zwingend erforderlich sei (VG Würzburg vom 16.09.2020, Az. W 8 E 20.1301). Jedoch bezog sich die Entscheidung des VG Würzburg nur auf den schulischen Bereich, d.h. öffentlich-rechtliche Einrichtungen. In diesem Bereich erhalten nur Personen Kenntnis von der ärztlichen Diagnose (beispielsweise Schulleitung, Gesundheitsamt, Ordnungsbehörde), die ihrerseits der Amtsverschwiegenheit unterliegen.

Somit muss zwischen den beiden Bereich (öffentlich-rechtlich einerseits und privat andererseits) unterschieden werden. Diese erforderliche Unterscheidung bestätigt auch das OVG Berlin-Brandenburg in einer weiteren Entscheidung vom 19.1.2021 (OVG Berlin-Brandenburg vom 19.1.2021, Az. 11 S 4/21, Rn. 17 f.). Daher muss ein ärztliches Attest zur Glaubhaftmachung der Befreiung vom Tagen einer Mund-Nasen-Maske regelmäßig nur den Namen und das Geburtsdatum der betroffenen Person einschließlich Signatur/Stempel des Arztes enthalten. Lediglich für den Fall, dass eine hierzu befugte Behörde (beispielsweise Gesundheitsamt) die Vorlage des ärztlichen Attestes fordert, sind konkrete Angaben (zur medizinische Diagnose) zu machen, warum die betroffene Person vom der Tragepflicht befreit ist. Die behördlichen Mitarbeiter sind verpflichtet, aufgrund des Gebots der Amtsverschwiegenheit, Stillschweigen über die erhobenen Daten zu bewahren. 

Weiterhin muss die Behörde sicherstellen, dass die Kenntnisnahme der Daten durch unbefugte Personen ausgeschlossen ist. Sofern zu Dokumentationszwecken erforderlich, kann die Behörde über die Vorlage der ärztlichen Diagnosen eine schriftliche Notiz anfertigen, die die medizinische Diagnose sowie Name und Adresse des Arztes/der Ärztin enthält, der/die das Attest ausgestellt hat. Die Anfertigung einer Kopie ist nur zulässig, wenn die betroffene Person gemäß Art. 9 Abs. 2 Buchstabe a) DS-GVO hierin einwilligt. Die verarbeiteten Gesundheitsdaten dürfen nur für den Nachweiszweck von vorgeschriebenen Hygieneregeln zur Eindämmung der Ausbereitung des Coronavirus verwendet werden; sämtliche Datenschutzvorschriften des Thüringer Datenschutzgesetzes (ThürDSG) und der DS-GVO sind hierbei zu beachten. Sobald die Daten für den genannten Nachweiszweck nicht mehr benötigt werden, sind sie nach Art. 17 Abs. 1 Buchst. a) DS-GVO umgehend zu löschen bzw. zu vernichten.

 

weitere Informationen:

VG Würzburg vom 16.9.2020:

https://openjur.de/u/2296778.html

 

OVG Berlin-Brandenburg vom 4.1.2021: https://www.kostenlose-urteile.de/OVG-Berlin-Brandenburg_OVG-11-S-13220OVG-Berlin-Brandenburg_OVG-11-S-13820_Vorerst-keine-Diagnose-auf-Attest-fuer-Maskenpflicht-Befreiung.news29685.htm


Jeder Betroffene hat das Recht auf Auskunft darüber, welche personenbezogenen Daten von ihm in welcher Form verarbeitet und an wen diese Daten ggf. übermittelt werden (Auskunftsrecht nach Art. 15 DS-GVO). Über dieses Auskunftsrecht hinaus steht dem Betroffenen auch eine Kopie seiner Daten zu, die der Verantwortliche verarbeitet (hat). Das Recht auf den Erhalt einer Kopie der eigenen personenbezogenen Daten ist in Art. 15 Abs. 3 DS-GVO geregelt: Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“

Art. 15 Abs. 3 DS-GVO bestimmt darüber hinaus, dass die erste Kopie der verarbeiteten personenbezogenen Daten dem Betroffenen kostenfrei zur Verfügung gestellt werden muss. Alle weiteren Kopien nach der ersten Kopie sind für den Betroffenen kostenpflichtig.

Die Regelung, dass der Verantwortliche dem Betroffenen eine kostenfreie Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen muss, erstreckt auch auf sämtliche personenbezogenen Patientendaten, d.h. auf die Patientenakte der betroffenen Person. Dies ist in Erwägungsgrund 63 zur DS-GVO konkret festgelegt:

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten.“

Das Landgericht Dresden (LG) hat die Verpflichtung des Verantwortlichen, der betroffenen Person eine Kopie von personenbezogenen Patientendaten bzw. der Patientenakte zur Verfügung zu stellen, bereits im Mai 2020 klar entschieden und führt in seinem Orientierungssatz aus: „Art. 15 Abs. 3 DS-GVO berechtigt den Patienten, unentgeltlich vom Behandler Auskunft über die verarbeiteten personenbezogenen Daten des Patienten in Form der Herausgabe der Patientendokumentation in Kopie bzw. einem maschinenlesbaren Format (hier PDF-Datei) zu verlangen. Dieser Anspruch steht neben der spezialgesetzlichen Regelung des § 630g BGB."

Weiterhin hat sich das LG Dresden in seinem Urteil klar zur Kostenfreiheit der ersten Kopie positioniert: „Dass die vom Arzt auf Anforderung bereitzustellende „Erstkopie“ nach der DSGVO kostenfrei zu sein hat, ergibt sich eindeutig aus Art. 15 Abs. 3 Satz 2 DS-GVO, der bestimmt, dass „für alle weiteren Kopien“, die die betroffene Person verlangt, ein „angemessenes Entgelt auf Grundlage der Verwaltungskosten“ verlangt werden kann.“ (LG Dresden, Urteil vom 29.05.2020 Az. 6 O 76/20)


Können oder müssen Ärzte von ihren Patienten schriftliche Einwilligungen in die Verarbeitung ihrer personenbezogenen (Gesundheits-) Daten verlangen? Diese Frage lässt sich nicht einfach mit „ja“ oder „nein“ beantworten; wie in vielen Fällen, so sind auch hier die genaueren Umstände, in denen sich die betroffene Person, vorliegend der versicherte Patient, befindet, entscheidend.

Die einschlägigen datenschutzrechtlichen Normen für die Verarbeitung von personenbezogenen (Patienten-) Daten ergeben sich aus Art. 9 DS-GVO, Art. 6 DS-GVO und § 22 Bundesdatenschutzgesetz (BDSG).

Die Verarbeitung personenbezogener Daten kann sich gemäß Art. 9 DS-GVO i.V.m. Art. 6 DS-GVO und § 22 BDSG auf folgende Rechtsgrundlagen stützen:

  • auf einen Behandlungsvertrag, Art. 9 Abs. 2 lit. h) DS-GVO („Vertrag mit einem Angehörigen eines Gesundheitsberufes“) i.V.m. Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO (Vertrag, bspw. für Zwecke der Abrechnung) oder
  • auf spezielle Rechtsnormen wie bspw. §§ 294 ff. SGB V, Art. 9 Abs. 2 lit. h) DS-GVO („Zwecke der Gesundheitsfürsorge“) i.V. m. Art. 6 Abs.1 Satz 1 lit. e) DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse) i.V.m. §§ 294 ff. Sozialgesetzbuch V (SGB V) oder
  • auf eine Einwilligung, Art. 9 Abs. 1 lit. a) DS-GVO

Einer Einwilligung der Patienten bedarf es grundsätzlich nicht, wenn die Datenverarbeitung auf Grund eines Behandlungsvertrags, der in aller Regel abgeschlossen wird, erfolgt. Der Vertragsschluss erfolgt üblicherweise konkludent, indem der Patient sich in die Behandlung begibt.  „Dem Vertrag mit ihm [dem Kassenpatient] liegt grundsätzlich die Einigung über eine medizinische Behandlung ohne Kostenbelastung des Patienten zugrunde.  Der Kassenpatient schuldet wegen des gesetzlichen Anspruchs auf Sach- und Dienstleistung gegen seine Krankenkasse dem Behandelnden, der zur medizinischen Behandlung von Kassenpatienten zugelassen ist, keine vertragliche Vergütung für eine Behandlung im Rahmen des Leistungskatalogs der Krankenkasse (…) An die Stelle des zivilrechtlichen Vergütu8ngsanspruchs tritt ein sozialrechtlicher Anspruch des Behandelnden. Er richtet sich bei ambulanter Behandlung gegen die kassenärztliche Vereinigung, die die Vergütung auf Grund der mit den Krankenkassen geschlossenen Gesamtverträge abrechnet (SGB V, § 82 Abs. 2).“ (Palandt, Kommentar zum BGB, Verlag C.H. Beck München, 77. Auflage 2018, § 630a Rn. 8)

 

Für die beiden Rechtsgrundlagen (privatrechtlicher Behandlungsvertrag / SGB V) gilt Folgendes:

Besteht ein Behandlungsvertrag, ist keine (zusätzliche) Einwilligung erforderlich:

Arzt und Patient vereinbaren i.d.R. mündlich das ärztliche Tätigwerden (beim Facharzt bspw. aufgrund einer Überweisung durch den Hausarzt); dies umfasst regelmäßig die Durchführung von Untersuchungen, Behandlungen, Beratungen usw. Die Verarbeitung personenbezogener Daten, die zur Durchführung dieses Behandlungsvertrages erforderlich ist, ist nach Art. 9 Abs. 2 lit. h) DS-GVO i.V.m. Art. 6 Abs. 1 lit. b) DS-GVO sowie § 22 Abs. 1 Nr. 1 lit. b) BDSG aufgrund des Behandlungsvertrages zulässig. Die Einbeziehung weiterer behandelnder Ärzte wird grundsätzlich im Rahmen des Behandlungsvertrages festgelegt, so dass sich hieraus auch die Rechtsgrundlage zur Datenverarbeitung für die weiterbehandelnden Ärzte ergibt, d.h. die Einholung und Weitergabe von patientenbezogenen Informationen. Mit den weiterbehandelnden Ärzten schließt der Patient i.d.R. ebenfalls Behandlungsverträge ab, die die Rechtsgrundlage für deren Datenverarbeitung bilden. Weiterhin muss nach dem Berufsrecht (§ 9 Abs. 3 Musterberufsordnung Ärzte – MBO-Ä) eine entsprechende Schweigepflichtentbindungserklärung vorliegen bzw. für die Datenübermittlung anzunehmen sein, die es den weiterbehandelnden Ärzten ermöglicht, Patienteninformationen vom Hausarzt einzuholen und die den Hausarzt befugt, die entsprechenden Informationen herauszugeben.

Bei privat versicherten Patienten wird vor der Behandlung ein schriftlicher Behandlungsvertrag zwischen Arzt und Patient geschlossen, der i.d.R. eine Einwilligungserklärung zur Übermittlung der Patientendaten enthält. Bei gesetzlich versicherten Patienten ergibt sich die Rechtsgrundlage zur Datenübermittlung aus den Regelungen des SGB (§ 95 Abs. 3 SGB V) und der Vorlage der jeweiligen Krankenkassen-Chipkarte.

Datenschutzrechtliche Normen:

Neben dem (privatrechtlichen) Behandlungsvertrag legitimieren verschiedene Rechtsnormen die Übermittlung personenbezogener Daten i.S. von Art. 9 Abs. 1 lit. h) für „Zwecke der Gesundheitsfürsorge“ i.V. m. Art. 6 Abs.1 e) DS-GVO, der Wahrnehmung einer Aufgabe im öffentlichen Interesse und/oder in Ausübung öffentlicher Gewalt (bspw. Amtsarzt)

Einwilligung

Bedarf es angesichts eines privatrechtlichen Behandlungsvertrags und SGB V überhaupt einer Einwilligung des Patienten im Falle einer medizinischen Behandlung? Kurze Antwort: Wenn es ums Geld geht, dann ja.

Die datenschutzrechtliche Grundlage für die Einwilligung der Patienten zur Verarbeitung und Übermittlung personenbezogener Daten bildet Art. 9 Abs. lit. a) DS-GVO i.V.m. Art. 6 Abs.1 Satz 1 lit. a) DS-GVO. Sofern die Verarbeitung personenbezogener Daten zur Erfüllung des Behandlungsvertrags nicht erforderlich ist und keine Rechtsnorm besteht, die die Verarbeitung legitimiert oder die Art der medizinischen Behandlung selbst die Verpflichtung begründet, muss die Einwilligung des Patienten eingeholt werden. Beispielsweise muss bei der externen Abrechnung der Behandlungskosten durch private Abrechnungsstellen eine solche Einwilligung eingeholt werden. Dies war jedoch auch vor Inkrafttreten der DS-GVO der Fall.

Weiterhin ist die Einwilligung für die Datenübermittlung im Rahmen der hausarztzentrierten Versorgung nach § 73 Abs. 1 b) SGB V oder nach § 140 a SGB V im Rahmen der „besonderen Versorgung“ erforderlich. Hierbei dürfen die Patientendaten selbst im Verhältnis von Arzt zu Arzt jedoch nur in den Fällen offenbart werden, in denen dies durch eine gesetzliche Normierung gestattet ist oder der Patient eingewilligt hat. Insofern muss für die Beauftragung eines externen Labors die Zustimmung vom betroffenen Patienten eingeholt werden, wenn dabei personenbezogene Daten, d.h. Daten, die die Identität der Person erfassen, übermittelt werden. Dies ist bspw. der Fall, wenn das Labor seine Leistung direkt mit dem Patienten abrechnet und nicht über den Arzt. Dies betrifft jedoch in erster Linie privat versicherte Patienten.

Werden die personenbezogenen (Patienten-)Daten hingegen einer Veränderung unterzogen (bspw. mittels Zahlencode anonymisiert) und Identifikationsmerkmale (bspw. Patientenname und Geburtsdatum) durch ein Kennzeichen, bspw. eine Zahl, ersetzt (Pseudonymisierung), ist die Weitergabe an ein externes Labor ohne gesonderte Einwilligung des Patienten datenschutzrechtlich nicht zu beanstanden und kann als zulässig erachtet werden.


Einige Arztpraxen wandten sich an den TLfDI mit dem Anliegen, für ihre Patienten einen zusätzlichen Kommunikationskanal auf der Basis von WhatsApp Business anzubieten. Doch welche Aspekte sind nach dem Bundesdatenschutzgesetz (BDSG) und der DS-GVO als rechtlich problematisch bei der Nutzung von WhatsAPP einzustufen und können Arztpraxen überhaupt datenschutzrechtskonform Messenger-Dienste zur Patientenkommunikation einsetzen?

Im Rahmen der Patientenkommunikation werden regelmäßig auch Gesundheitsdaten nach Art. 4 Nr. 15 Datenschutz-Grundverordnung (DS-GVO) verarbeitet. Gesundheitsdaten gehören gemäß Art. 9 Abs. 1 DS-GVO zu den sog. besonderen Kategorien von Daten, für die ein besonderer Schutz gilt. Nach Art. 9 Abs. 2 DS-GVO dürfen diese Daten nur unter bestimmten Voraussetzungen verarbeitet werden. So ist eine Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 Buchst.  h) u.a. zulässig „für Zwecke der Gesundheitsvorsorge, oder der Arbeitsmedizin,  (…) für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage  (…) des Rechts eines Mitgliedsstaats…“

Gemäß Art. 5 Abs. 1 Buchst. b) DS-GVO unterliegt die Verarbeitung personenbezogener Daten einer Zweckbindung, d.h. die Daten dürfen nur für einen eindeutig festgelegten, bestimmten Zweck verarbeitet werden. Das Unternehmen WhatsApp Inc. stellt als Tochterunternehmen von Facebook mit WhatsApp eine Plattform zur Kommunikation zwischen einzelnen Nutzern als auch innerhalb von Gruppen über das Internet zur Verfügung. Der Zugriff auf die Plattform kann dabei über verschiedene Apps, API (application programming interface) oder Webbrowser erfolgen.

Unter den Bezeichnungen WhatsApp Business App und WhatsApp Business API stellt WhatsApp zwei ähnlich lautende aber in ihrer Funktionsweise unterschiedliche Produkte zur Verfügung. Für eine genaue datenschutztechnische Bewertung ist es daher entscheidend, welches der beiden Produkte genutzt werden soll.

Identisch ist bei beiden Varianten, dass die zwischen Sender und Empfänger versendeten Nachrichten Ende-zu-Ende verschlüsselt übermittelt werden. Die Meta-Informationen wie bspw. Telefonnummern, die Teilnehmer des Nachrichtenaustauschs oder Zeitpunkt und Häufigkeit des Nachrichtenaustauschs sind jedoch nicht verschlüsselt und werden durch WhatsApp gespeichert. Ebenso werden diese Meta-Daten von WhatsApp an andere Facebook-Unternehmen weitergegeben.

Nach Angaben von WhatsApp werden zwar keine Benutzer-Metadaten an Facebook weitergegeben; allerdings ist nicht bekannt, wie WhatsApp konkret Benutzer-Metadaten definiert (vgl. https://faq.whatsapp.com/de/general/26000112?eea=1 und https://www.golem.de/news/weitergabe-von-metadaten-whatsapp-widerspricht-datenschutzbeauftragtem-kelber-2005-148551.html).

Dies erscheint aus datenschutzrechtlicher Sicht problematisch, da bereits aus den Meta-Daten erkennbar ist, dass eine medizinische Behandlungsbeziehung vorliegt. Daher wird aus datenschutztechnischer und -rechtlicher Sicht vom WhatsApp Einsatz bei der Arzt-Patienten-Kommunikation abgeraten.

Hinzu kommt, dass Ärzte und anderes medizinisches Personal als Berufsgeheimnisträger nach § 203 Abs. 1 Nr. 1 Strafgesetzbuch (StGB) zur Verschwiegenheit verpflichtet sind. Insofern muss bei der Verarbeitung von Patientendaten, über eine MessengerApp, gewährleistet sein, dass keine unbefugten Personen Zugang zu diesen Daten erhalten bzw. diese zur Kenntnis nehmen können. Genau dies erscheint durch die WhatsApp Business App jedoch nicht gewährleistet.

Nach Art. 32 Abs. 1 DS-GVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Gesundheitsdaten bedürfen eines sehr hohen Schutzniveaus.  Nach dem Grundsatz der Vertraulichkeit (s. auch Art. 5 Abs. 1 Buchstabe f) DS-GVO) darf keine unbefugte Person diese Daten zur Kenntnis nehmen.

Die Frage unter welchen technischen Bedingungen eine Messenger-App zur Patientenkommunikation möglich ist lässt sich in allgemeiner Form nicht beantworten. Hierzu wäre nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung für den konkreten Nutzungszweck durchzuführen. Diesbezüglich haben die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz-DSK) zur Nutzung von Messenger-Diensten in Krankenhäusern bereits am 7.11.2019 einen Beschluss gefasst:

https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf

Dieser Beschluss wird derzeit durch die DSK überarbeitet. Sobald das aktuelle Dokument vorliegt finden sei es an dieser Stelle.