Zurzeit haben Ärzte und Verwaltung scheinbar wichtigere Aufgaben, als sich um den Datenschutz zu bemühen. Während der Pandemie ist die Zahl der Beschwerden im Umgang mit Patientendaten gestiegen.
Wie so oft könnte ein „datenschutzrechtliches 10-für-10“ die Kliniken vor nachträglicher Mehrarbeit und unnötigen Kosten bewahren. Das Crew-Ressource-Management-Training in der Luftfahrt nutzt dieses 10-für-10-Prinzip: Problem erkennen, zehn Sekunden innehalten, Fakten, Optionen und Risiken abwägen und dann für die nächsten zehn Minuten wieder strukturiert weiterarbeiten. Das Prinzip würde sich manchmal auch für den Datenschutz anbieten. Egal, ob es darum geht, Daten zu erheben, Auskünfte zu erteilen, Daten an Dritte zu übermitteln oder damit zu forschen.
Auskunftsansprüche der Patienten
Patienten können gegenüber ihren behandelnden Ärzten oder Krankenhäusern verschiedene Auskunfts- und Abwehransprüche geltend machen. Die Ansprüche sind nicht erst mit der europäischen Datenschutz-Grundverordnung (DSGVO) entstanden, die auch Patienten Auskünfte über personenbezogene Daten gestattet (Art. 15 DSGVO). Bereits seit Jahren sind Auskunftsansprüche verfassungsrechtlich durch das Recht auf informationelle Selbstbestimmung garantiert. Sie sind Ausprägung des allgemeinen Persönlichkeitsrechts, das im Grundgesetz verankert ist. Einsicht in die Patientenakte gewährt auch das Bürgerliche Gesetzbuch (§ 630 g BGB).
Insoweit verwundert es nahezu, dass Gerichte immer wieder über Auskunftsbegehren der Patienten entscheiden müssen. So hat jüngst das Landgericht Dresden ein Krankenhaus verurteilt, der Klägerin eine unentgeltliche Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen (Urteil vom 29. Mai 2020, Az.: 6 O 76/20). Interessanterweise sollte dies durch das Übermitteln der vollständigen Behandlungsdokumentationen im PDF-Format geschehen. Tatsächlich gewährt die DSGVO auch das Übermitteln in einem gängigen elektronischen Format. Allerdings verpflichtet sie den Verantwortlichen, also das Krankenhaus, nicht dazu, die Daten in ein PDF-Format zu konvertieren, wenn auch ein anderes gängiges Datenformat zur Verfügung steht.
Arbeit ersparen, Misstrauen vermeiden
Leider fehlen in vielen Krankenhäusern noch immer Konzepte, um den Patienten unbürokratisch Zugriff auf ihre Akte und ihre Daten zu ermöglichen. Ein durchdachtes Konzept könnte sämtlichen Beteiligten nicht nur Arbeit ersparen, sondern darüber hinaus Misstrauen der Patienten gegenüber den Ärztinnen und Ärzten vermeiden, Doppeluntersuchungen reduzieren und gegebenenfalls die Compliance der Patienten erhöhen. Die Kliniken müssen dem Betroffenen jedenfalls auf Antrag eine Kopie seiner personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Nur für alle weiteren Kopien, die der Betroffene beantragt, können Kliniken ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangen.
Richtig ist, dass der Datenschutz mitunter auch als „taktisches Mittel“ oder „Folter“ Verwendung findet. Bekannt sind Fälle, in denen Patienten aus Frust „Anzeige“ erstatten, in der Sache allerdings unberechtigt. Mangels Konzept führen die daraus resultierenden Anfragen der Behörden dann allerdings zu Stress. Wer weiß schon auswendig, auf welche Rechtsgrundlage der begutachtende Arzt des Medizinischen Dienstes der Krankenkassen seine Anfrage bei den Kliniken stützt (vgl. LAG Düsseldorf, Urteil vom 11. März 2020, Az.: 12 Sa 186/19).
In zahlreichen Fällen sind die Anfragen der Patienten jedoch durchaus berechtigt. Der Umgang mancher Häuser mit personenbezogenen Daten kann als sorglos bezeichnet werden. Noch immer fragen Formulare in manchen Kliniken nicht nur die erforderlichen Daten ab, Auskünfte werden nicht erteilt, Daten nicht sorgsam aufbewahrt, Daten an Dritte ohne Einwilligung oder gesetzliche Grundlage übermittelt oder verarbeitet.
Keine Zuständigkeiten und Verantwortlichkeiten
Fehlende Konzepte haben die Beschwerden im Umgang mit personenbezogenen Daten der Patienten während der Pandemie noch verstärkt. Oft denken die Beteiligten nicht über die Verarbeitung personenbezogener Daten nach. Häufiges Problem sind fehlende Zuständigkeiten und Verantwortlichkeiten. In zahlreichen Projekten fehlen eindeutige Zuordnungen dahingehend, wer in wessen Namen, zu welchem Zweck und auf welcher Grundlage Daten verarbeitet. Projekte wachsen durch Kooperationen zwischen Ärzten verschiedener Abteilungen in unterschiedlichen Häusern und mitunter auch mit anderen Trägern. Dritte, ob öffentliche Träger oder private Unternehmer, beteiligen sich. Das Projekt läuft – und am Schluss weiß doch keiner, wer das Projekt eigentlich leitet. Damit einhergehen auch datenschutzrechtliche Fragen; denn ob die Datensammlung der Beteiligten rechtmäßig ist, weiß keiner.
Naheliegend ist, dass eine verzahnte Versorgung zwischen ambulanten Leistungserbringern, Apotheken, dem Rettungsdienst und auch zwischen den Kliniken und forschenden Unternehmen sowie Behörden vor allem während der Pandemie hilfreich ist. Dass aber auch gewisse Abwägungen erforderlich sind, sollte mittlerweile bekannt sein. Juristen können bei der Umsetzung unterstützen. Bestenfalls strukturieren sie Abläufe, hinterfragen kritisch die Beteiligungen und Zuständigkeiten und zeigen Handlungsalternativen auf.
Dass in einem Entsorgungsbetrieb der Kopf eines Mannes samt Sektionsprotokoll auftauchte, ist demgegenüber wohl eher eine krasse Ausnahme. Immerhin mussten die Datenschutzbehörden nicht tätig werden. Die DSGVO findet bei Verstorbenen keine Anwendung.
Gebot des Minderjährigenschutzes
Schutz bieten auch verschiedene weitere, das allgemeine Persönlichkeitsrecht betreffende Rechtsnormen. So darf die Presse das mit Einwilligung der Eltern in einer Krankenhaus-Babygalerie veröffentlichte Foto eines Neugeborenen nicht zur Belustigung seiner Leser verwerten, gestützt auf das weiterhin anwendbare Kunsturhebergesetz (OLG Dresden, Beschluss vom 20. Februar 2020, Az.: 4 U 2478/19).
Die Zeitung hatte in einem Artikel, der auch das Foto des Kindes abbildete, die kuriose Namenswahl der Eltern aufgegriffen. Dabei wies das Gericht auch auf die besonderen Gefahren und das Gebot des Minderjährigenschutzes hin. Es berücksichtigte, dass das streitgegenständliche Bildnis bis zum heutigen Tage durch Eingabe des Vor- und Zunamens des Klägers über die gängigen Internet-Suchmaschinen gefunden werden kann.
Dtsch Arztebl 2020; 117(51/52): [2]
Der Autor:
Dr. Andreas Staufer
Partner, Rechtsanwalt, Fachanwalt für Medizinrecht und für
Informationstechnologierecht
FASP Finck Sigl & Partner
80336 München
