Datenschutz im Krankenhaus E-Book

Die Autorinnen

Andrea Hauser

Rechtsanwältin Andrea Hauser, LL.M., erlangte neben ihrem Studium der Rechtswissenschaften sowie dem juristischen Vorbereitungsdienst den postgraduierten akademischen Grad »LL.M.« (Master of Laws) in den USA.

Bereits seit dem Jahr 2004 ist sie als Referentin in der Rechtsabteilung der Deutschen Krankenhausgesellschaft e. V. in Berlin tätig und dort unter anderem für die Themen Allgemeinen Vertragsbedingungen, Behandlungsverträge, Wahlleistungen, Haftung sowie Datenschutz zuständig. Diese Tätigkeit bildet die Grundlage für ihre umfangreiche Seminartätigkeit, die sie seit dem Jahre 2006 ausübt. Daneben ist sie Autorin zahlreicher Bücher bzw. Publikationen zum Krankenhausrecht.

© DKG/Otto

Kontaktdaten:

Rechtsanwältin Andrea Hauser, LL.M.

Deutsche Krankenhausgesellschaft (DKG)

Dezernat IV (Justitiariat)

Wegelystraße 3

10623 Berlin

Ina Haag

Rechtsanwältin Ina Haag war nach dem Studium der Rechtswissenschaften und dem juristischen Vorbereitungsdienst zunächst Referentin bei der Berliner Landeskrankenhausgesellschaft e. V.

Seit 2005 ist sie Referentin in der Rechtsabteilung der Deutschen Krankenhausgesellschaft e. V. in Berlin. Sie hat zum Thema Krankenhausrecht diverse Aufsätze und Bücher veröffentlicht und ist seit Ende 2006 in Seminaren als Referentin für das Deutsche Krankenhausinstitut tätig.

© DKG/Otto

Kontaktdaten:

Rechtsanwältin Ina Haag

Deutsche Krankenhausgesellschaft (DKG)

Dezernat IV (Justitiariat)

Wegelystraße 3

10623 Berlin

Andrea Hauser, Ina Haag

Datenschutz im Krankenhaus

6., aktualisierte Auflage

Verlag W. Kohlhammer

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und für die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Warenbezeichnungen, Handelsnamen und sonstigen Kennzeichen in diesem Buch berechtigt nicht zu der Annahme, dass diese von jedermann frei benutzt werden dürfen. Vielmehr kann es sich auch dann um eingetragene Warenzeichen oder sonstige geschützte Kennzeichen handeln, wenn sie nicht eigens als solche gekennzeichnet sind.

Es konnten nicht alle Rechtsinhaber von Abbildungen ermittelt werden. Sollte dem Verlag gegenüber der Nachweis der Rechtsinhaberschaft geführt werden, wird das branchenübliche Honorar nachträglich gezahlt.

Dieses Werk enthält Hinweise/Links zu externen Websites Dritter, auf deren Inhalt der Verlag keinen Einfluss hat und die der Haftung der jeweiligen Seitenanbieter oder -betreiber unterliegen. Zum Zeitpunkt der Verlinkung wurden die externen Websites auf mögliche Rechtsverstöße überprüft und dabei keine Rechtsverletzung festgestellt. Ohne konkrete Hinweise auf eine solche Rechtsverletzung ist eine permanente inhaltliche Kontrolle der verlinkten Seiten nicht zumutbar. Sollten jedoch Rechtsverletzungen bekannt werden, werden die betroffenen externen Links soweit möglich unverzüglich entfernt.

6. Auflage 2021

Alle Rechte vorbehalten

© W. Kohlhammer GmbH, Stuttgart

Gesamtherstellung: W. Kohlhammer GmbH, Stuttgart

Print:

ISBN 978-3-17-039354-7

E-Book-Formate:

pdf:        ISBN 978-3-17-039355-4

epub:     ISBN 978-3-17-039356-1

mobi:     ISBN 978-3-17-039357-8

Inhalt

Vorwort

Abkürzungsverzeichnis

I      Grundlagen

1   Das informationelle Selbstbestimmungsrecht – Historie

2   Hintergrund und Ziele zur DS-GVO

3   Besondere Bedeutung der Patientendaten im Krankenhaus

II   Zentraler Grundsatz der Verarbeitung

1   Verbot mit Erlaubnisvorbehalt gem. DS-GVO

2   »Verarbeitung« als neuer Oberbegriff

3   Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz

III   Datenschutznormen/-regelungen

1   Übersicht über die Regelungen

2   EU Datenschutz-Grundverordnung (DS-GVO)

2.1   Persönlicher Anwendungsbereich

2.2   Kirchliche Krankenhausträger

2.3   Sachlicher Anwendungsbereich

2.4   Besondere Datenkategorien (Gesundheitsdaten)

2.5   Fazit zur Zulässigkeit der Verarbeitung von Gesundheitsdaten unter der DS-GVO

3   Bundesdatenschutzgesetz (BDSG)

4   Fazit zur DS-GVO und zum BDSG als Befugnisnormen

5   Bereichsspezifische Bundesregelungen

6   Landesrechtliche Regelungen

6.1   Landeskrankenhausgesetze

6.2   Bereichsspezifische Landesregelungen

6.3   Landesdatenschutzgesetze (LDSG)

7   Übersicht: Anwendbarkeit Gesetz je nach Trägerschaft

8   Auflistungen vorhandener Befugnisnormen speziell für Krankenhäuser

IV   Einwilligungen

1   Einsichtsfähigkeit

2   Kirchliche Krankenhausträger

3   Hintergrund – »besonders sensible Daten«

4   Gesetzliche Grundlagen

5   Verbot mit Erlaubnisvorbehalt, Art. 9 DS-GVO

6   Sanktionen

7   Weitergeltung bereits eingeholter Einwilligungserklärungen

8   Anforderungen insgesamt – Checkliste

V     Ärztliche Schweigepflicht

1   Allgemeines

2   Grundlagen der Verschwiegenheitspflicht

3   Tatbestandsvoraussetzungen des § 203 StGB

3.1   Geschütztes Rechtsgut

3.2   Täterkreis

3.3   Fremdes Geheimnis

3.4   Kenntnis im Rahmen der ärztlichen Funktion

3.5   Unbefugtes Offenbaren

4   Gesetzliche Offenbarungsbefugnisse oder -verpflichtungen

5   Einwilligung des Patienten

6   Wahrnehmung berechtigter Interessen

7   Rechtfertigender Notstand

8   Verhalten bei Verdacht auf Straftaten

8.1   Berechtigung zur Anzeige

8.2   Pflicht zur Anzeige

9   Verhalten bei Verdacht auf Kindesmisshandlung

9.1   Schwerwiegende lebensbedrohliche Verletzungen

9.2   Feststellung aktueller und älterer Verletzungen

9.3   »Typischer Spielunfall«

9.4   Bundeskinderschutzgesetz

9.5   Mitteilungspflichten gegenüber den Krankenkassen

9.6   Rechtliche Grundlage für eine Einschaltung des Jugendamtes

9.7   Rechtliche Grundlage für eine Einschaltung der Polizei

9.8   Inhalt der Anzeige

9.9   Dokumentation

VI   Durch die DS-GVO bedingte Änderungen

1   Informationspflichten gegenüber Patienten im Krankenhausbereich auf der Grundlage der Art. 12 ff. DS-GVO

1.1   Kirchliche Krankenhausträger

1.2   Rechtliche Grundlagen

1.3   Hintergrund

1.4   Zeitpunkt der Information

1.5   Form und Darstellung der Information

1.6   Notwendige Informationen im Einzelnen

1.7   Mögliche Ausnahmen von der Informationspflicht?

1.8   Verstöße und Sanktionen gegen die Informationspflicht

1.9   Stationärer Bereich – Musterformulierung

1.10 Institutsambulanzen/MVZ – Musterformulierung

2   Auskunftsrecht gemäß Art. 15 DS-GVO

2.1   Kirchliche Krankenhausträger

2.2   Rechtslage vor Geltungsbeginn der DS-GVO

2.3   Informationspflichten vs. Auskunftsrecht

2.4   Stufen des Auskunftsrechts

2.5   Antragstellung formlos, ohne Angabe eines Grundes

2.6   Frist für die Auskunftserteilung

2.7   Ausnahmen vom Auskunftsrecht

2.8   Beachtung Rechte Dritter

2.9   Grenzen des Auskunftsrechts

2.10 Form der Auskunftserteilung

2.11 Umsetzung im Krankenhausbereich

2.12 Kosten

2.13 Rechtsfolgen bei Verstoß

3   Recht auf Löschung / Recht auf »Vergessenwerden« gemäß Art. 17 DS-GVO / § 21 DSG-EKD / § 19 KDG

3.1   Pflicht zur Löschung personenbezogener Daten

3.2   Pflicht zur Löschung nicht nur auf Verlangen des Betroffenen

3.3   Ausnahmen von der Pflicht zur Löschung gemäß Art. 17 Abs. 3 DS-GVO / § 21 Abs. 3 DSG-EKD / § 19 Abs. 3 KDG

3.4   Beschränkung des Löschungsanspruchs nach § 35 BDSG neue Fassung

3.5   Kirchliche Besonderheiten

3.6   Fazit

3.7   Nachberichtspflichten gemäß Art. 19 DS-GVO / § 23 DSG-EKD / § 21 KDG

3.8   Recht auf »Vergessenwerden« gemäß Art. 17 Abs. 2 DS-GVO / § 21 Abs. 2 DSG-EKD / § 19 Abs. 2 KDG

3.9   Sanktionen

4   Recht auf Datenübertragbarkeit gem. Art. 20 DS-GVO

4.1   Kirchliche Krankenhausträger

4.2   Entstehungsgeschichte und Ziele

4.3   Anwendungsbereich und Sinn und Zweck

4.4   Bereichsausnahme

4.5   Fazit

5   Widerspruchsrecht gemäß Art. 21 DS-GVO / § 25 DSG-EKD / § 23 KDG

5.1   Widerspruch gegen Verarbeitungen zur Wahrnehmung öffentlicher Aufgaben oder zur Wahrung berechtigter Interessen (Art. 21 Abs. 1 DS-GVO)

5.2   Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 und 3 DS-GVO)

5.3   Widerspruch gegen Verarbeitungen zu Forschungszwecken (Art. 21 Abs. 6 DS-GVO)

5.4   Pflicht zum Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DS-GVO (Art. 21 Abs. 4 DS-GVO)

5.5   Sanktionen

5.6   Kirchliche Besonderheiten

6   Verarbeitung von personenbezogenen Daten zu einem anderen Zweck

6.1   Zulässigkeit der Weiterverarbeitung zu einem anderen Zweck

6.2   Informationspflichten bei einer Weiterverarbeitung zu einem anderen Zweck

7   Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO

7.1   Kirchliche Krankenhausträger

7.2   Verantwortlichkeit

7.3   Einzuhaltende Grundsätze gem. Art. 5 Abs. 1 DS-GVO

7.4   Für wen wird die Rechenschaftspflicht statuiert? Beweislast?

7.5   Zeitpunkt und Dauer der Nachweisbarkeit?

7.6   Sanktionen

7.7   Umsetzbarkeit im Krankenhausbereich

7.8   Zwischenfazit

7.9   Datenschutzkonzept – Beispiel

8   Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO / § 31 DSG-EKD / § 31 KDG

8.1   Inhalte des Verzeichnisses (Art. 30 Abs. 1 DS-GVO)

8.2   Unterschiede zwischen früherem Verfahrensverzeichnis nach BDSG und jetzigem Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO

8.3   Befreiung von der Verzeichnispflicht (Art. 30 Abs. 5 DS-GVO)

8.4   Sanktionen

8.5   Kirchliche Besonderheiten

8.6   Konkrete Darstellung einzelner Verarbeitungstätigkeiten im Verzeichnis

8.7   Ergebnis

9   Informationspflichten bei Datenschutzverletzungen

9.1   Meldepflicht gegenüber den Aufsichtsbehörden (Art. 33 DS-GVO / § 32 DSG-EKD / § 33 KDG)

9.2   Meldepflicht gegenüber der betroffenen Person (Art. 34 DS-GVO / § 33 DSG-EKD / § 34 KDG)

10 Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO / § 34 DSG-EKD / § 35 KDG

10.1   Pflicht zur Durchführung einer DSFA

10.2   Inhalt einer DSFA

10.3   Ausnahmetatbestand des Art. 35 Abs. 10 DS-GVO / § 34 Abs. 7 DSG-EKD / § 35 Abs. 9 KDG

10.4   Sanktionen

10.5   Verbändeübergreifende Praxishilfe

10.6   Positivlisten der Aufsichtsbehörden

11 Datenschutzerklärung auf der Homepage

11.1   Rechtslage vor bzw. bis zum 25.05.2018

11.2   Rechtslage ab dem Geltungsbeginn der DS-GVO

11.3   Auswirkungen auf das »Impressum«

12 Konzernprivileg

13 Gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO / § 29 DSG-EKD / § 28 KDG

14 Facebook-Fanpages

15 Bußgeldkatalog der Aufsichtsbehörden

VII  Verwendung von Patientendaten innerhalb des Krankenhauses – Fallbeispiele

1   Krankenhausverwaltung

1.1   Abrechnung erbrachter Leistungen

1.2   Bewertung und Abrechnung des Bereitschaftsdienstes

1.3   Allgemeine Organisations- und Kontrollzwecke

2   Behandlung im Team / Zuziehung weiterer Ärzte/Gehilfen des Arztes

3   Medizinprodukteberater

4   Postöffnung im Krankenhaus

5   Mitschneiden von Telefongesprächen

6   Videoüberwachung in nicht öffentlich zugänglichen Patientenzimmern

6.1   Allgemeine rechtliche Überlegungen

6.2   Medizinische/Ethische Argumente für und gegen Videoüberwachungen

6.3   Ausnahmeregelung in Nordrhein-Westfalen

6.4   Möglicher datenschutzrechtlicher Verstoß

6.5   Mögliche Verwirklichung des Straftatbestandes § 201a Abs. 1 StGB

6.6   Mögliche Grundrechtsverletzung

6.7   Fazit zu Videoüberwachungen

7   Aktive Benachrichtigung von Angehörigen

8   Auskunft an der Pforte / am Telefon

9   Auskunft über den Gesundheitszustand

10 Beschriftung von Zimmertür und Krankenbett

11 Patientenarmband

12 Mithören von Gesprächen zwischen Behandlungspersonal und Patienten durch Dritte

13 Auskunft über Mitpatienten

14 Auskunft über Ärzte und nichtärztliche Mitarbeiter

15 Einsichtnahmerecht des Patienten in die Krankenunterlagen

15.1   Rechtliche Grundlagen des Einsichtnahmerechtes des Patienten

15.2   Frühere Einschränkungen des Einsichtnahmerechts durch den BGH

15.3   Entscheidung des BVerfG zum Maßregelvollzug

15.4   Landesrechtliche Regelungen

15.5   Regelung in § 630g BGB auf Bundesebene

15.6   Vermittlung der Einsichtnahme durch einen Arzt

15.7   Praktischen Handhabung

15.8   Weitere Grenzen der Einsichtnahme

15.9   Keine Unterlagen über die interne Organisation

15.10 Verhältnis des Rechts auf Einsichtnahme gem. § 630g BGB und des Rechts auf Auskunft gem. Art. 15 DS-GVO

16 Herausgabe von Krankenunterlagen an den Patienten

16.1   Grundsätzlich keine Originale

16.2   Anfertigung von Kopien

16.3   Höhe der Kopierkosten

16.4   Höhe der Kopierkosten bei elektronischen Akten

16.5   Kopierkosten – Vorleistungspflicht des Patienten

16.6   Keinen Anspruch auf Zusendung

16.7   Eidesstattliche Versicherung

16.8   Beglaubigte Kopien

16.9   Keine Unterlagen über die interne Organisation des Krankenhauses

17 Einsichtnahmerecht von Angehörigen und Erben

17.1   Einsichtnahmerecht von Angehörigen und Erben –

früher

17.2   Einsichtnahmerecht von Angehörigen und Erben –

heute

18 Einsichtnahmerecht in Obduktionsberichte

19 Auskünfte gegenüber den Eltern minderjähriger Patienten

19.1   Einwilligungsfähigkeit als Abgrenzungskriterium

19.2   Einwilligungsfähiger Minderjähriger

19.3   Rechtsprechung

19.4   Fazit zur Rechtsprechung

19.5   Gesamtfazit

20 Kopieren von Ausweisen

20.1   Fotokopieren, Fotografieren und Einscannen

20.2   Einwilligung

20.3   Berechtigte Interessen bei Nicht-Einwilligung

VIII Verwendung von Patientendaten außerhalb des Krankenhauses (Übermittlung an Dritte) – Fallbeispiele

1   Übermittlung von Patientendaten zwischen Krankenhäusern und Hausärzten/Vor-/Nach-/Weiter-/Mitbehandlern

1.1   Gesetzliche Grundlage – Hausarzt

1.2   Hausarzt – Musterformulierung

1.3   Umfang der Datenübermittlung – Hausarzt

1.4   Anwendbarkeit auf Notfallpatienten – Hausarzt

1.5   Widerruf der Einwilligung – Hausarzt

1.6   Übermittlung an Vor-/Weiter-/Nachbehandler

1.7   Landesverträge gem. § 115 Abs. 2 Nr. 2 SGB V

1.8   Regelungen in Landeskrankenhausgesetzen

1.9   Definition des Hausarztes

1.10 Empfehlung

1.11 Sonstige Vor-/Weiter-/Nachbehandler – Muster

1.12 Checkliste zu Hausärzten und sonstigen Vor-/Nach-/Weiterbehandlern

1.13 Abgrenzung zu Mitbehandlern

2   Externe Datenverarbeitung

2.1   Beispiele und Grundlagen externer Datenverarbeitung

2.2   Auftragsverarbeitung

2.3   Externe Abrechnung

2.4   Externe Schreibbüros

2.5   Fernwartung von EDV-Systemen

3   Herausgabe von Krankenunterlagen an Rechtsanwälte und andere vom Patienten Beauftragte

4   Auskünfte gegenüber privaten Versicherungen

4.1   Unternehmen der privaten Krankenversicherung

4.2   Unwirksamkeit pauschaler Schweigepflichtentbindungserklärungen

4.3   Empfehlung

4.4   Übertragbarkeit o. g. Grundsätze unter der Maßgabe der DS-GVO

4.5   Sonstige private Versicherungen

5   Staatsanwaltschaft und Polizei

5.1   Auskünfte gegenüber Strafverfolgungsbehörden

5.2   Durchsuchung und Beschlagnahme

6   Herausgabe von Krankenunterlagen an Gerichte

7   Einsicht in Krankenunterlagen durch den Rechnungshof

8   Arbeitgeber bzw. Dienstherr des Patienten

9   Weitergabe von Patientendaten an interessierte Firmen

10 Datenübermittlung an Seelsorger

11 Auskunft an Versorgungsämter

12 Auskunft an das Bundeskartellamt

13 Auskunft an das Finanzamt

IX    Übermittlung von Patientendaten an Sozialversicherungsträger und MDK

1   Datenübermittlung an die gesetzlichen Krankenkassen

1.1   Datenübermittlung gemäß § 301 SGB V

1.2   Datenübermittlung gemäß § 294a Abs. 1 SGB V

1.3   Datenübermittlung und Informationspflicht gemäß § 294a Abs. 2 SGB V

1.4   Bestimmungen aus dem vertragsärztlichen Bereich

2   Datenübermittlung an den MDK

2.1   Allgemeines

2.2   Einzelfallüberprüfung gemäß §§ 275 ff. SGB V

2.3   Exkurs: Klageverfahren, Verjährung

3   Entlassmanagement

X     Übermittlung von Patientendaten an Unfallversicherungsträger

1   Allgemeines

2   §§ 199 und 201 SGB VII als Rechtsgrundlage

3   Umfang der Datenübermittlung

4   Zeitpunkt der Überprüfung

5   Handlungsempfehlung für Krankenhäuser

XI   Dokumentation und Archivierung

1   Allgemeines

1.1   Archivierung im Krankenhaus

1.2   Externe Archivierung

1.3   Dauer der Aufbewahrung der Dokumentation

1.4   Datenschutzkonforme Vernichtung

2   Archivierungsformen

2.1   Mikroverfilmung

2.2   Digitale Dokumentation und Archivierung

2.3   Digitale Archivierung von Röntgenbildern

XII   Formen der Datenübermittlung

1   Datenübermittlung per Telefax

2   Datenübermittlung per E-Mail

3   Telemedizin

4   Nutzung von Messenger-Diensten im Krankenhaus

4.1   Juristische Anforderungen

4.2   Datenschutz und Schweigepflicht

4.3   Technische Datenschutzanforderungen

4.4   Orientierung an den Anforderungen des »branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser« bei der Nutzung mobiler Endgeräte

4.5   Nutzungsszenarien

4.6   Keine Primärdokumentation

4.7   Auswahl eines Messenger-Dienstes für den Betrieb

4.8   Betriebliche Nutzung eines Messenger-Dienstes gestattet?

4.9   Umsetzung in Form einer Dienstanweisung, individuellen Vereinbarung oder Betriebsvereinbarung

4.10 Zur Verfügung gestellte Dienst-Mobiltelefone auch privat nutzbar?

4.11 Benutzerkreis

XIII Der betriebliche Datenschutzbeauftragte im Krankenhaus unter Maßgabe der DS-GVO / des DSG-EKD / des KDG

1   Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten

1.1   Krankenhäuser in öffentlicher Trägerschaft

1.2   Krankenhäuser in privater Trägerschaft

1.3   Krankenhäuser in kirchlicher Trägerschaft

1.4   Interner oder externer Datenschutzbeauftragter möglich

1.5   Ergebnis

2   Konzerndatenschutzbeauftragter

3   Anforderungsprofil

4   Aufgaben und Stellung des Datenschutzbeauftragten

4.1   Aufgaben des Datenschutzbeauftragten

4.2   Stellung des Datenschutzbeauftragten

5   Schutz und Haftung des Datenschutzbeauftragten

5.1   Schutz

5.2   Haftung

6   Beendigung der Tätigkeit des Datenschutzbeauftragten

7   Veröffentlichung und Mitteilung der Kontaktdaten

8   Umgang mit bestehenden Bestellungen

9   Rechtsfolgen bei Verstößen

XIV   Einzelfälle

1   Datenschutz und HIV-Infektionen

2   Forschung mit Patientendaten

3   Warnungen vor »Krankenhauswanderern«

4   Übergabe der Patientenkartei bei einer Praxisaufgabe

5   Datenschutzrechtliche Vorgaben bei der Schließung eines Krankenhauses

5.1   Fortbestehen der gesetzlichen Aufbewahrungsfristen

5.2   Dauer der Aufbewahrung

5.3   Zuständigkeit für die Aufbewahrung

5.4   Form der Aufbewahrung

5.5   Sonderfall der Insolvenz

6   Schweigepflicht des Betriebsarztes gegenüber dem Arbeitgeber

6.1   Allgemeine arbeitsmedizinische Vorsorgeuntersuchungen

6.2   Spezielle arbeitsmedizinische Vorsorgeuntersuchungen

6.3   Datenweitergabe an den Arbeitgeber

7   Umgang mit Betäubungsmitteln

Anhang

Anhang 1: Rechtliche Rahmenbedingungen für den Einsatz von Krankenhausinformationssystemen

Anhang 2: Szenarien zulässigen Datenaustauschs zwischen stationären und ambulanten Leistungserbringern

Literaturverzeichnis

Stichwortverzeichnis

Vorwort

Patientendaten gehören zu den sensibelsten Informationen im Krankenhaus, weshalb jede unbefugte Offenbarung dieser Daten strafbar ist. Dennoch fordern die verschiedensten Institutionen und auch die Patienten eine Einsichtnahme in diese Daten. In jedem Krankenhaus müssen daher neben den Ärzten auch die Mitarbeiter in der Verwaltung detaillierte Kenntnisse zum Thema Datenschutz besitzen. Darüber hinaus ist jedes Krankenhaus verpflichtet, einen Datenschutzbeauftragten zu bestellen, der ebenfalls über die erforderlichen Kenntnisse im Datenschutzrecht verfügen muss.

Das vorliegende Werk soll einen umfassenden Überblick über sämtliche relevanten Fragstellungen zum Thema Datenschutz im Krankenhaus geben. Nach der letzten Überarbeitung im Jahre 2019 ist angesichts der rechtlichen und informationstechnischen Entwicklungen im Krankenhausbereich und der damit verbundenen Fülle an datenschutzrechtlichen Fragestellungen eine weitere Neuauflage des Werkes angezeigt gewesen. So haben aktuell insbesondere das Inkrafttreten folgender Gesetze eine erneute Überarbeitung notwendig gemacht: das Gesetz zur Stärkung des Pflegepersonals (Pflegepersonal-Stärkungsgesetz – PpSG) vom 11.12.2018, das Terminservice- und Versorgungsgesetz (TSVG) vom 06.05.2019, das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) vom 20.11.2019 sowie das Gesetz für besondere und unabhängigere Prüfungen (MDK-Reformgesetz) vom 14.12.2019. Als Schwerpunkt verbleiben ferner die durch die EU Datenschutz-Grundverordnung bedingten Änderungen mit ihren ausführlichen Hinweisen. Diese konzentrieren sich auf das neue Kapitel VI »Durch die DS-GVO bedingte Änderungen«, in welchem die für den Krankenhausbereich relevanten Themen – nebst zahlreichen Musterformularen – dargestellt werden.

Zu nennen sind hier beispielhaft die Informationspflichten gegenüber Patienten im Krankenhausbereich auf der Grundlage der Art. 12 ff. DS-GVO, das Auskunftsrecht gemäß Art. 15 DS-GVO, das Recht auf Löschung / Recht auf »Vergessenwerden« gemäß Art. 17 DS-GVO, das Recht auf Datenübertragbarkeit gem. Art. 20 DS-GVO, das Widerspruchsrecht gemäß Art. 21 DS-GVO, die Verarbeitung von personenbezogenen Daten zu einem anderen Zweck, die Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO usw. Dabei wurde auch dem Anliegen der kirchlichen Krankenhausträger in großem Maße Rechnung getragen, indem als Parallele zu den Vorschriften der DS-GVO auch die kirchlichen Regelungen nebst etwaigen Besonderheiten dargestellt werden. Neben diesem speziellen Kapitel zur DS-GVO finden sich deren Auswirkungen selbstverständlich auch in den übrigen Kapiteln.

Sämtliche Kapitel des Werkes sind grundlegend überarbeitet und an die neuesten Entwicklungen in der Rechtsprechung und die aktuelle Gesetzeslage angepasst worden.

Das Werk enthält neben den rechtlichen Grundlagen des Datenschutzes zahlreiche Fallbeispiele zum Umgang mit Patientendaten innerhalb und außerhalb des Krankenhauses und soll dadurch eine wertvolle Hilfestellung sowohl zur grundsätzlichen Einarbeitung in die Thematik, als auch zur kurzfristigen Klärung von Zweifelsfragen bieten. Dabei erfolgen die Ausführungen nicht in Form einer rein juristischen Abhandlung, sondern sind speziell auf die mit dieser Thematik befassten Mitarbeiter im Krankenhaus zugeschnitten.

Da das Werk im Wesentlichen auf den zahlreichen Anfragen der Krankenhäuser basiert, die die Autorinnen als zuständige Referentinnen der Rechtsabteilung der Deutschen Krankenhausgesellschaft bearbeiten, hoffen sie, dass sich die Ausarbeitung durch eine besondere Praxisnähe auszeichnet und eine nützliche Arbeitshilfe in der täglichen Krankenhauspraxis sein wird.

Berlin, im November 2020

Andrea Hauser und Ina Haag

Abkürzungsverzeichnis

a. a. O.

am angegebenen Ort

Abs.

Absatz

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

AG

Amtsgericht

Anm.

Anmerkung

AO

Abgabenordnung

AP

Arbeitsrechtliche Praxis

ASiG

Gesetz über Betriebsärzte, Sicherheitsingenieure und andere Fachkräfte für Arbeitssicherheit

ArbMedVV

Verordnung zur arbeitsmedizinischen Vorsorge

Aufl.

Auflage

AVB

Allgemeine Vertragsbedingungen

AVR Caritas

Richtlinien für Arbeitsverträge in den Einrichtungen des Deutschen Caritasverbandes

AVR Diakonie

Arbeitsvertragsrichtlinien der Diakonie

Az.

Aktenzeichen

BAG

Bundesarbeitsgericht

BAGE

Entscheidungen des Bundesarbeitsgerichts

BayKrG

Bayerisches Krankenhausgesetz

BayLDA

Bayerisches Landesamt für Datenschutzaufsicht

BayVBl.

Bayerische Verwaltungsblätter

BDSG

Bundesdatenschutzgesetz

BetrVG

Betriebsverfassungsgesetz

BfD

Bundesbeauftragter für den Datenschutz

BfDI

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

BGB

Bürgerliches Gesetzbuch

BGBl.

Bundesgesetzblatt

BGH

Bundesgerichtshof

BioStoffV

Biostoffverordnung

BKiSchG

Bundeskinderschutzgesetz

BMG

Bundesmeldegesetz

BMU

Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit

BMV-Ä

Bundesmantelvertrag-Ärzte

BremKHDSG

Bremisches Krankenhausdatenschutzgesetz

BSG

Bundessozialgericht

BT-Drs.

Bundestagsdrucksache

BtMVV

Betäubungsmittel-Verschreibungsverordnung

BVerfG

Bundesverfassungsgericht

BVerfGE

Entscheidungen des Bundesverfassungsgerichts

BVerwG

Bundesverwaltungsgericht

bzw.

beziehungsweise

d. h.

das heißt

DÄ

Deutsches Ärzteblatt

ders.

derselbe

DGPPN

Deutsche Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde

dies.

dieselbe / dieselben

DIN

Deutsche Industrie-Normen

dK

das Krankenhaus

DKG

Deutsche Krankenhausgesellschaft

DKVG

Deutsche Krankenhaus Verlagsgesellschaft

Drs.

Drucksache

DSAnpUG-EU

Datenschutz-Anpassungs- und Umsetzungsgesetz EU

DSG-EKD

Kirchengesetz über den Datenschutz der evangelischen Kirche in Deutschland

DS-GVO

Datenschutz-Grundverordnung

DSK

Datenschutzkonferenz

DuD

Zeitschrift Datenschutz und Datensicherheit

EKV

Bundesmantelvertrag-Ärzte/Ersatzkassen

ErwGr.

Erwägungsgrund

etc.

et cetera

FormVAnpG

Formvorschriftenanpassungsgesetz

GDSG NRW

Gesundheitsdatenschutzgesetz Nordrhein-Westfalen

GDVG

Gesundheitsdienst- und Verbraucherschutzgesetz Bayern

GefStoffV

Gefahrstoffverordnung

GesR

Gesundheitsrecht, Zeitschrift

GG

Grundgesetz

ggf.

gegebenenfalls

GKV

Gesetzliche Krankenversicherung

GKV-WSG

GKV-Wettbewerbsstärkungsgesetz

GMG

Gesetz zur Modernisierung der gesetzlichen Krankenversicherung

GVBl.

Gesetz- und Verordnungsblatt

GWB

Gesetz gegen Wettbewerbsbeschränkungen

HGB

Handelsgesetzbuch

HIV

Humanes Immundefizienz-Virus

HKHG

Hessisches Krankenhausgesetz

HmbKHG

Hamburgisches Krankenhausgesetz

Hrsg.

Herausgeber

i.S.v.

im Sinne von

i. V. m.

in Verbindung mit

IfSG

Infektionsschutzgesetz

JKomG

Justizkommunikationsgesetz

KDG

Gesetz über den kirchlichen Datenschutz

KHDsV

Krankenhausdatenschutzverordnung

KHEntgG

Krankenhausentgeltgesetz

KHG

Krankenhausfinanzierungsgesetz

KHsVO

Berliner Krankenhaus-Verordnung

KKG

Gesetz zur Kooperation und Information im Kinderschutz

KRS

Krankenhausrechtsprechungssammlung Ergänzbare Sammlung der Entscheidungen aus dem gesamten Krankenhauswesen

KSchG

Kündigungsschutzgesetz

KV

Kassenärztliche Vereinigung

LAG

Landesarbeitsgericht

LDSG

Landesdatenschutzgesetz

LG

Landgericht

LHO

Landeshaushaltsordnung

LKA

Leistungs- und Kalkulationsaufstellung

LKG Rheinland-Pfalz

Landeskrankenhausgesetz Rheinland-Pfalz

LKGBbg

Krankenhausgesetz des Landes Brandenburg

LKHG

Landeskrankenhausgesetz

LSG

Landessozialgericht

MBO-Ä

(Muster-)Berufsordnung für die deutschen Ärztinnen und Ärzte

MDK

Medizinischer Dienst der Krankenversicherung

MDR

Monatsschrift für Deutsches Recht

MedR

Medizinrecht

MO-Datenträger

Magneto Optical Datenträger

MPG

Medizinproduktegesetz

MRRG

Melderechtsrahmengesetz

NJW

Neue Juristische Wochenschrift

Nr.

Nummer

NRW

Nordrhein-Westfalen

NZA

Neue Zeitschrift für Arbeitsrecht

NZS

Neue Zeitschrift für Sozialrecht

o. ä.

oder ähnliche

o. g.

oben genannt

OLG

Oberlandesgericht

OP

Operationssaal

OVG

Oberverwaltungsgericht

PKV

Private Krankenversicherung

PStG

Personenstandsgesetz

RöV

Röntgenverordnung

Rz.

Randzeichen

S.

Satz / Seite

SächsKHG

Sächsisches Krankenhausgesetz

SchKG

Schwangerschaftskonfliktgesetz

SG

Sozialgericht

SGB

Sozialgesetzbuch

SGG

Sozialgerichtsgesetz

SigG

Signaturgesetz

SigV

Signaturverordnung

SKHG

Saarländisches Krankenhausgesetz

sog.

sogenannte

StGB

Strafgesetzbuch

StPO

Strafprozessordnung

StrlSchV

Strahlenschutzverordnung

StV

Zeitschrift Strafverteidiger

TFG

Transfusionsgesetz

ThürKHG

Thüringer Krankenhausgesetz

TPG

Transplantationsgesetz

TVöD

Tarifvertrag für den öffentlichen Dienst

u. a.

unter anderem

usw.

und so weiter

VerpflG

Verpflichtungsgesetz

VersR

Versicherungsrecht

VG

Verwaltungsgericht

vgl.

vergleiche

Vorbem.

Vorbemerkung

VVG

Versicherungsvertragsgesetz

z. B.

zum Beispiel

z.Hd.

zu Händen

Ziff.

Ziffer

zit.

zitierweise

ZPO

Zivilprozessordnung

I           Grundlagen

Daten über den Gesundheitszustand weisen einen starken Bezug zur Intimsphäre auf und geben Auskunft über seelische und körperliche Leiden, Eigenschaften und Dispositionen; sie sind mithin äußerst sensibel. Deshalb ist es von großer Bedeutung, dass sich Patienten vertrauensvoll in ein Krankenhaus begeben können, ohne befürchten zu müssen, dass die Informationen, die sie zum Zwecke der Behandlung über sich offenlegen, zu ihrem Schaden oder Nachteil genutzt werden.1

Datenschutz im Gesundheitswesen hat also das Ziel, die Patienten davor zu schützen, dass Informationen über ihren Gesundheitszustand ohne Rechtsgrundlage erhoben, verarbeitet oder weitergegeben werden und die Betreffenden so nicht mehr erfahren, wer was wann und bei welcher Gelegenheit über sie weiß.

Insbesondere die automatisierte Datenverarbeitung eröffnet heutzutage die Möglichkeit, Daten aus unterschiedlichen Datenbeständen in kürzester Zeit und in großem Umfang selbst über große Entfernungen abzurufen.

1           Das informationelle Selbstbestimmungsrecht – Historie

Im Jahre 1983 überprüfte und definierte das BVerfG2 die verfassungsrechtlichen Rahmenbedingungen des Datenschutzes von Grund auf neu. Ursache dieser Überprüfung waren Verfassungsbeschwerden gegen das Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz)3 vom 25. März 1982. Das Gesetz ordnete eine umfangreiche Totalerhebung gegenüber allen volljährigen oder einen eigenen Haushalt führenden minderjährigen Personen in Deutschland an. Abgefragt wurden – unter Anordnung einer Auskunftspflicht – u. a.

Das Vorhaben führte zu massiven öffentlichen Diskussionen und Protesten. Da das Gesetz im Bundestag keinerlei Kontroversen ausgelöst hatte und – entgegen den von Datenschutzbeauftragten und anderen Experten erhobenen Bedenken – einstimmig verabschiedet worden war, existierte keine parlamentarische Opposition, die auf eine detaillierte verfassungsrechtliche Prüfung der Reichweite und Grenzen staatlicher Informationserhebung gedrängt hätte. Daher blieb den Betroffenen zur Durchsetzung eines kurzfristigen Stopps der Volkszählung nur, das BVerfG anzurufen.

Vorausgegangen waren dem Volkszählungsgesetz mit der »Mikrozensusentscheidung«4 und dem »Scheidungsaktenbeschluss«5 des BVerfG bereits grundlegende Ausführungen zum allgemeinen Persönlichkeitsrecht und zur informationellen Selbstbestimmung:

So hatte das BVerfG in der » Mikrozensusentscheidung« ausgeführt, dass es mit der Menschenwürde nicht zu vereinbaren sei, wenn der Staat das Recht für sich in Anspruch nehmen könne, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich sei. Eine statistische Befragung zur Person könne deshalb dort als entwürdigend und als Bedrohung des Selbstbestimmungsrechts empfunden werden, wo sie den Bereich menschlichen Eigenlebens erfasse, der von Natur aus Geheimnischarakter habe.

Im » Scheidungsaktenbeschluss«6 erklärte das BVerfG die Vorlage von gerichtlichen Scheidungsakten an den Dienstvorgesetzten eines Beamten zur Durchführung eines Disziplinarverfahrens für verfassungswidrig. Dabei betonte es, dass das Grundgesetz dem einzelnen Bürger einen unantastbaren Bereich privater Lebensgestaltung gewähre, welcher der Einwirkung der öffentlichen Gewalt entzogen sei. Das verfassungskräftige Gebot einer Achtung der Intimsphäre des Einzelnen habe seine Grundlage in dem durch Artikel 2 Abs. 1 GG verbürgten Recht auf freie Entfaltung der Persönlichkeit.

Angesichts der schnellen Entwicklung der automatisierten Datenverarbeitung erwiesen sich diese Entscheidungen bald als nicht mehr ausreichend und lückenhaft.

Insofern bot das Volkszählungsgesetz die Möglichkeit, die gesamte bisherige Datenschutzproblematik neu zu ordnen. Mit dem Urteil vom 15. Dezember 19837hat das BVerfG diese Gelegenheit wahrgenommen und beim Volkszählungsgesetz deutlichen Korrekturbedarf angemahnt. Dabei war das sog. Recht auf informationelle Selbstbestimmung die Antwort des BVerfG auf die Frage nach der verfassungsrechtlichen Grundlage des Datenschutzes.8 Das BVerfG stellte im Wesentlichen wie folgt fest:

Mit dieser Ableitung des informationellen Selbstbestimmungsrechts aus dem allgemeinen Persönlichkeitsrecht hat das BVerfG die verfassungsrechtlichen Grundlagen des Datenschutzes neu definiert, ohne ein neues Grundrecht zu schaffen.9 Das BVerfG hat vielmehr aus dem Grundgesetz selbst folgende Datenverarbeitungsbarrieren abgeleitet:

Zudem hat das BVerfG deutlich gemacht, dass sich die Beschränkungen für eine Datenverarbeitung nicht nur an staatliche Institutionen richten, sondern auch an private. Adressat der Verfassungsnormen des Grundgesetzes sind zwar unmittelbar nur staatliche Stellen. Jedoch fließt das Verfassungsrecht mittelbar auch in das Privatrecht ein. Insbesondere auf Gesetze, welche die Rechtsbeziehungen zwischen Privaten regeln, haben die Grundrechte eine Ausstrahlungswirkung. Insofern ist Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 GG der klassische Anknüpfungspunkt für eine sog. Drittwirkung von Grundrechten.11 Für den Einzelnen ist es nämlich unerheblich, ob die Einschränkung seiner informationellen Selbstbestimmung durch eine staatliche Institution oder ein privates Unternehmen erfolgt.

2           Hintergrund und Ziele zur DS-GVO

Seit dem 25.05.2018 ist nunmehr in datenschutzrechtlicher Hinsicht eine zentrale Weichenstellung auf EU-Ebene vorgenommen worden: Am 04.05.2016 wurde die »Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)«, kurz: »DS-GVO«, im Amtsblatt der Europäischen Union verkündet. Die DS-GVO ist am 20. Tag nach ihrer Veröffentlichung in Kraft getreten, beansprucht jedoch erst seit dem 25.05.2018 Geltung.

Die Ziele und Grundsätze der DS-GVO sind ausweislich des Erwägungsgrundes (ErwGr.) 9, den bestehenden erheblichen Risiken für den Schutz natürlicher Personen zu begegnen, die insbesondere im Zusammenhang mit der Benutzung des Internets bestehen. So habe es die vorhergehende Datenschutz-Richtlinie 95/46/EG nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt werde. Dies habe Rechtsunsicherheiten nicht ausräumen können. Während also eine EU-Richtlinie dem habe nicht begegnen können, sei nun eine EU-Verordnung erforderlich, damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet sei und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, angeglichen würden (ErwGr. 13).

Gemäß ErwGr. 11 erfordert ein unionsweiter wirksamer Schutz personenbezogener Daten ferner die Stärkung und präzise Festlegung der Rechte der betroffenen Personen (sog. Betroffenenrechte) sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

3           Besondere Bedeutung der Patientendaten im Krankenhaus

Die Frage, warum die Beachtung des Datenschutzes im Krankenhaus von so großer Bedeutung ist, liegt auf der Hand – im Krankenhaus werden wie in kaum einer anderen Institution sensible, persönliche Daten erhoben, gespeichert und übermittelt. Dabei handelt es sich bei den Informationen über den Patienten, seine Verhältnisse und vor allem seine Krankheiten um Daten, die besonders schützwürdig und damit geheimhaltungsbedürftig sind. Die Offenbarung von Krankheiten, Leiden oder Beschwerden kann dem Einzelnen nicht nur unangenehm und peinlich, sondern sogar seiner sozialen Geltung abträglich sein.12 Angaben über den Gesundheitszustand eines Menschen geben Aufschluss über intimste Verhältnisse; medizinische Daten gehören somit zu den sensibelsten Informationen schlechthin.

Hinzu kommt, dass Krankenhäuser u. a. als Leistungserbringer nach dem SGB V auftreten, Vertragspartner der Krankenkassen und des Patienten sind und gegenüber den Krankenhausmitarbeitern Arbeitgeberfunktionen wahrnehmen. Umfangreiche Dokumentationspflichten und das komplexe System der Leistungsabrechnung bedingen die Verarbeitung einer Fülle von Daten für Verwaltungs-, Planungs-, Versorgungs- oder auch Forschungsaufgaben.

Für Krankenhausmitarbeiter und -verwaltungen ist es daher von höchster Wichtigkeit, die vom Gesetzgeber und der Rechtsprechung gezogenen Grenzen für den Umgang mit Patientendaten sorgfältig zu beachten. Nur wenn Patienten absolut sicher sein können, dass die intimen Informationen über sie mit größtmöglicher Vertraulichkeit behandelt werden, wird das Krankenhaus den an ein modernes Dienstleistungsunternehmen gestellten Anforderungen gerecht. Dazu gehört es, aktiv auf einen Schutz der Patientendaten hinzuwirken. Das wesentliche Problem hierbei sind nicht vorsätzliche Verstöße gegen den Datenschutz, sondern vielmehr Unachtsamkeit und mangelnde Sensibilität beim Umgang mit den Daten. Deshalb gilt es, präventiv mögliche Lücken im Datenschutz aufzudecken und konsequent zu schließen. Die beste Hilfe hierbei sind für den Datenschutz sensibilisierte Mitarbeiter, die von sich aus auf mögliche Schwachstellen aufmerksam machen und so einen Schaden vom Patienten und vom Krankenhaus abwenden.

1     Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Patientendatenschutz im Krankenhaus, www.datenschutzzentrum.de, I.1.

2     BVerfGE 65, S. 1 ff.

3     Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz) vom 25. März 1982, BGBl. I, S. 369 ff.

4     BVerfGE 27, S. 1 ff.

5     BVerfGE 27, S. 344 ff.

6     BVerfGE 27, S. 344 ff.

7     BVerfGE 65, S. 1 ff.

8     Simitis, NJW 1984, 398 ff.

9     Simitis, a. a. O.

10  Simitis, a. a. O.

11  Simitis, a. a. O.

II          Zentraler Grundsatz der Verarbeitung

Sofern sich Krankenhäuser / die Verantwortlichen in Krankenhäusern mit der Frage der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten eines Patienten auseinandersetzen, war bereits vor dem Geltungsbeginn der DS-GVO, also dem 25.05.2018, folgender Grundsatz von zentraler Bedeutung:

Dieser Grundsatz folgte z. B. aus § 4 Abs. 2 BDSG in der bis zum 24.05.2018 geltenden Fassung oder landesrechtlichen Regelungen und war – von wenigen Ausnahmen abgesehen – Grundlage für jedwede Verarbeitung von Daten.

Sollte also weder eine gesetzliche Grundlage eine Verarbeitung erlauben noch eine Einwilligung des Betroffenen vorliegen, blieb als Konsequenz nur, die Datenverarbeitung zu unterlassen.

Seit dem 25.05.2018 beansprucht nunmehr die DS-GVO unmittelbare Geltung in Deutschland. Aus diesem Grunde bedarf es seit diesem Zeitpunkt hinsichtlich jeglicher Prüfung, ob eine Verarbeitung datenschutzrechtlich zulässig ist, der Prüfung der durch die DS-GVO / das DSG-EKD13 / das KDG14 bedingten Anforderungen.

1           Verbot mit Erlaubnisvorbehalt gem. DS-GVO

An dem o. g. zentralen Grundsatz hat sich inhaltlich nichts geändert. Dieser findet sich seit Geltungsbeginn der DS-GVO in Form eines sog. Verbots mit Erlaubnisvorbehalt für die Verarbeitung sog. »besonderer Kategorien personenbezogener Daten«, mithin z. B. von Gesundheitsdaten, in Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG wieder.

Als Grundregel verbietet diese Vorschrift die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten usw. Es wird also ein allgemeines Verbot der Verarbeitung aufgestellt. Zu diesem Verbot existieren Ausnahmen. Eine solche Ausnahme stellt die Einwilligung der betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke dar (sog. besonderer Erlaubnistatbestand (Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG).

Anders ausgedrückt bedeutet dies: Das Verarbeitungsverbot gilt nicht, wenn die betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten einwilligt. Andere Ausnahmen von dem Verbot ergeben sich im Wesentlichen aus den anderen Regelungsgegenständen von Art. 6, 9 Abs. 2, Abs. 4 DS-GVO / §§ 6, 13 Abs. 2 DSG-EKD / §§ 6, 11 Abs. 2 KDG.

Bei der Beantwortung der Frage, ob eine Verarbeitung datenschutzrechtlich zulässig ist, bedarf es also nach wie vor der Prüfung,

Hinsichtlich der sich daran anschließenden Fragen, welche Befugnisnormen existieren und welche Anforderungen im Einzelnen an Einwilligungen zu stellen sind, vgl. vertiefend die Ausführungen unter III sowie IV.

2           »Verarbeitung« als neuer Oberbegriff

Während die deutschen Gesetze früher auf einzelne Begrifflichkeiten wie das Erheben, Verarbeiten, Nutzen usw. von Daten abgestellt haben, bildet die Verarbeitung seit dem 25.05.2018 den Oberbegriff. Seitdem bezeichnet der Begriff »Verarbeitung« gemäß der Legaldefinition in § 4 Ziff. 2 DS-GVO / § 4 Ziff. 3 DSG-EKD / § 4 Ziff. 3 KDG

3           Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz

Neben den datenschutzrechtlichen Anforderungen gilt es, im Krankenhausbereich zusätzlich den Anforderungen der ärztlichen Schweigepflicht gerecht zu werden.

Während sich der Schutz sensibler Daten in datenschutzrechtlicher Hinsicht an das Krankenhaus als Institution bzw. durch die DS-GVO direkt an den »Verantwortlichen« richtet, bezieht sich das Gebot der ärztlichen Schweigepflicht auf das Innenverhältnis zwischen Arzt und Patient, adressiert also insbesondere den Arzt.15

Das Verhältnis zwischen ärztlicher Schweigepflicht und datenschutzrechtlichen Regelungen lässt sich wie folgt beschreiben: Datenschutzrechtliche Regelungen einerseits sowie das Gebot der ärztlichen Schweigepflicht andererseits bilden jeweils eine die unbefugte Offenbarung von Patientendaten verhindernde Schranke (Hürde). Beide Schranken stehen gleichrangig nebeneinander. Man spricht insofern von dem sog. Zwei-Schranken-Prinzip16, d. h. dass bei der Frage nach der Zulässigkeit einer Verarbeitung von Patientendaten stets beide Schranken überwunden werden müssen.

Wenn jedoch ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten ausdrücklich zulässt, ist auch das Gebot der Schweigepflicht gewahrt. Der Arzt und die übrigen schweigepflichtigen Krankenhausmitarbeiter handeln befugt, soweit sie sich auf eine gesetzliche Norm stützen können, die zur Offenbarung von Patienteninformationen verpflichtet oder zumindest berechtigt. Ihr Tun ist strafrechtlich gerechtfertigt. Einer Einwilligung des Betroffenen bedarf es nicht.

Diese Auffassung wird insbesondere vor dem Hintergrund vertreten, dass es nur schwer nachvollziehbar wäre, den einzelnen Arzt bzw. die berufsmäßig tätigen Gehilfen unter Strafe zu stellen, wenn gleichzeitig die Institution Krankenhaus zur Offenbarung personenbezogener Daten im Rahmen einer zulässigen Verarbeitung legitimiert ist.

Daran ändert z. B. auch der Beschluss des Kammergerichts (KG) vom 20.08.201017 nichts. Dieser Beschluss hat vielmehr den speziellen Hintergrund, dass ein Rechtsanwalt unter Berufung auf seine anwaltliche Verschwiegenheitspflicht Auskünfte gegenüber dem Berliner Landesdatenschutzbeauftragten verweigerte. Das KG kam mit Beschluss vom 20.08.2010 zu dem Ergebnis, dass sich der betroffene Rechtsanwalt auf seine Verschwiegenheitspflicht berufen konnte, obwohl gemäß § 38 Abs. 3 Satz 1 BDSG (a.F.) die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen haben. Dies begründete das Gericht in erster Linie damit, dass der Auskunftspflichtige gemäß § 38 Abs. 3 Satz 2 BDSG (a.F.) die Auskunft auf solche Fragen verweigern kann, deren Beantwortung ihn der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. In dieser Fallkonstellation wird somit das Konkurrenzverhältnis zwischen datenschutzrechtlicher Übermittlungsverpflichtung und strafrechtlicher Offenbarungsbefugnis bereits durch die Vorschrift selbst, nämlich § 38 Abs. 3 Satz 2 BDSG (a.F.), geklärt. Da dies jedoch eine spezielle gesetzliche Regelung betrifft, gibt auch der Beschluss des KG keinen Aufschluss darüber, ob das Gebot der Schweigepflicht gewahrt ist, wenn ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten, z. B. im Rahmen einer Auftragsverarbeitung, ausdrücklich zulässt. Der Beschluss klärt also nicht das Verhältnis zwischen datenschutzrechtlicher Verarbeitungserlaubnis und strafrechtlicher Offenbarungsbefugnis generell.

Ferner ist zu beachten, dass die ärztlicheSchweigepflicht bei der Verarbeitung aller Patientendaten im Krankenhaus und unabhängig von der jeweiligen Trägerschaft des Krankenhauses stets zu beachten ist. Sie wird über das Standesrecht hinaus in § 203 StGB mit anderen Sondertatbeständen der Geheimniswahrung allgemeinverbindlich geregelt.

13  Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.

14  Gesetz über den kirchlichen Datenschutz (KDG); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.

15  Vgl. hierzu vertiefend die Ausführungen zur »Ärztlichen Schweigepflicht« unter V.

16  Zum »Zwei-Schranken-Prinzip« vgl. auch Seelos, 550.

17  Az.: Ws (B) 51/07 – 2 Ss 23/07.

III        Datenschutznormen/-regelungen

Wie zuvor unter II. dargestellt, ist die datenschutzrechtliche Zulässigkeit der Verarbeitung personenbezogener Daten davon abhängig, ob

Für die Beantwortung der Frage, ob Daten verarbeitet werden dürfen, bedarf es also u. a. der Prüfung des Vorliegens einer datenschutzrechtlichen Befugnisnorm.

Eine einheitliche Rechtsgrundlage bzw. ein einzelnes Gesetz für den Patientendatenschutz im Krankenhaus existiert in Deutschland bedauerlicherweise nicht. Vielmehr gibt es eine Fülle datenschutzrechtlicher Regelungen auf Landes- und Bundes- sowie EU-Ebene. Diese Regelungen sind unübersichtlich und aufgrund ihres unterschiedlichen Verhältnisses zueinander für den Anwender äußerst kompliziert.

Bei der Beurteilung der Zulässigkeit einer Verarbeitung (Erheben, Erfassen, Speichern, Verwendung, Übermittlung usw.) personenbezogener Daten kommen (neben der ärztlichen Schweigepflicht18) also verschiedenste Gesetze/Verordnungen zur Anwendung. Welche dies sind bzw. im Einzelfall sein können, wird nachfolgend dargestellt.

1           Übersicht über die Regelungen

Als datenschutzrechtliche Regelungen/Befugnisnormen sind folgende Gesetze/Verordnungen zu nennen:

Auf europäischer Ebene:

Auf Bundesebene:

Auf Landesebene:

Für konfessionelle Krankenhausträger:

Welche dieser Gesetze im Einzelnen zur Anwendung kommen, hängt in der Regel von der Trägerschaft des Krankenhauses ab.

2           EU Datenschutz-Grundverordnung (DS-GVO)

Während die im Nachfolgenden noch beschriebenen Gesetze sich zum Teil nur in einzelnen Abschnitten mit dem Datenschutz beschäftigten, z. B. die Landeskrankenhausgesetze, enthält die DS-GVO insgesamt Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Art. 1 Abs. 1 DS-GVO.

2.1        Persönlicher Anwendungsbereich

Eine nähere Regelung, für wen die DS-GVO gilt (sog. persönlicher Anwendungsbereich), existiert nicht. Insofern gilt die DS-GVO unterschiedslos für jeglichen Verarbeiter personenbezogener Daten, unabhängig davon, ob eine natürliche oder juristische Person die Verarbeitung vornimmt oder sich der Verarbeitungsvorgang – anders insoweit die Regelungen im BDSG – im öffentlichen oder im nicht-öffentlichen Bereich abspielt.19

Insofern gilt die DS-GVO sowohl für die Krankenhausträger in öffentlicher als auch in nicht-öffentlicher, privater Trägerschaft. Zu nennen seien hier beispielhaft folgende Krankenhausträger, für die die DS-GVO zur Anwendung kommt:

Öffentliche Trägerschaft:

Nicht-öffentliche Trägerschaft:

2.2        Kirchliche Krankenhausträger

Hinsichtlich der Krankenhausträger in kirchlicher Trägerschaft ist zu beachten, dass sowohl die evangelische als auch die katholische Kirche entsprechende Regelungen erlassen haben, um den Einklang mit der DS-GVO herzustellen.

Die 12. Synode der Evangelischen Kirche in Deutschland hat auf ihrer 4. Tagung zum 15.11.2017 ein Kirchengesetz beschlossen (Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD), das die durch die DS-GVO bedingten Änderungen weitestgehend umsetzt und gemäß § 56 DSG-EKD am 24.05.2018 in Kraft getreten ist.

Ebenso sind für den katholischen Bereich in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20.11.2017 Neuregelungen des kirchlichen Datenschutzgesetzes (Gesetz über den kirchlichen Datenschutz (KDG) erfolgt, die gem. § 58 KDG ebenfalls am 24.05.2018 in Kraft getreten sind.

Von der grundsätzlichen Ausrichtung her ist festzustellen, dass die kirchlichen Vorschriften stark an die Regelungen der DS-GVO angelehnt sind, weshalb die Ausführungen für die kirchlichen Träger im Wesentlichen entsprechend gelten. Weitere Einzelheiten bzw. Besonderheiten finden sich direkt an den entsprechenden Textstellen bzw. in den Musterformulierungen.

2.2.1       Verhältnis DSG-EKD/KDG zur DS-GVO

Fraglich ist jedoch, in welchem Verhältnis die kirchlichen Regelungen zu den Regelungen der DS-GVO stehen, oder anders gefragt, ob die kirchlichen Krankenhäuser ergänzend zu ihren kirchlichen Regelungen noch die Regelungen der DS-GVO beachten müssen.

Für die Krankenhäuser in katholischer Trägerschaft ist diese Frage von eher geringerer Bedeutung, da sich die Regelungen der KDG nur marginal von den Regelungen der DS-GVO unterscheiden.

Für Krankenhäuser in evangelischer Trägerschaft ist die Frage im Hinblick auf zum Teil vorzufindende Abweichungen von etwas größerer Bedeutung.

Art. 91 DS-GVO führt unter dem Titel »Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften« in Abs. 1 dazu Folgendes aus:

Erwägungsgrund 165 führt dazu weiter aus, dass die DS-GVO im Einklang mit Art. 17 AEUV den Status achtet, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt diesen nicht.

Für die evangelischen Krankenhäuser schließt der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland daraus, dass die Vorschriften der DSG-EKD abschließend sind. Eine ergänzende Anwendung der Vorschriften der DS-GVO sei nicht angezeigt.

2.2.2       Praxis-Tipp: evangelische Musterformulare

Als Praxis-Tipp für die evangelischen Krankenhäuser empfiehlt sich insofern, in sämtlichen Mustern/Formularen, die im Hinblick auf die DS-GVO neu empfohlen werden, die Regelungen aus der DS-GVO komplett zu streichen und ausschließlich die evangelischen Regelungen aufzuführen. Ferner sollten die Patienten, die ständig aus den Medien auf die neuen Regelungen der DS-GVO hingewiesen werden/worden sind, darüber generell/einleitend informiert werden, aus welchem Grunde die DS-GVO in den Formularen dieser Krankenhäuser nicht Gegenstand ist.

2.3        Sachlicher Anwendungsbereich

Hinsichtlich des sog. sachlichen Anwendungsbereichs gilt die DS-GVO ferner für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DS-GVO). Damit findet die DS-GVO also Anwendung sowohl auf die automatisierte als auch auf die nicht automatisierte Verarbeitung.

Von diesem sachlichen Anwendungsbereich existieren nur wenige Ausnahmen, die keine Relevanz für den Krankenhausbereich haben dürften, wie etwa die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

2.4        Besondere Datenkategorien (Gesundheitsdaten)

Wenn im Krankenhausbereich für eine konkrete Verarbeitung eine Befugnisnorm gesucht wird, bedarf es insbesondere der Prüfung von Art. 9 DS-GVO, der mit folgendem Titel überschrieben ist: » Verarbeitung besonderer Kategorien personenbezogenerDaten« und mithin die Verarbeitung dieser besonders sensiblen Daten zum Gegenstand hat.

Insofern ist Art. 9 DS-GVO für die Prüfung der Frage der datenschutzrechtlichen Zulässigkeit einer Verarbeitung im Krankenhausbereich von zentraler Bedeutung. In dieser Regelung geht es im Einzelnen um

Legal definiert sind dies gem. Art. 4 DS-GVO folgende Daten:

» Gesundheitsdaten«

Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

» GenetischeDaten «

Personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

» BiometrischeDaten «

Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

Insbesondere Art. 9 Abs. 2 h) DS-GVO enthält einen Erlaubnistatbestand, der die Verarbeitung sensibler Gesundheitsdaten erlaubt, sofern die Verarbeitung

auf der Grundlage

erforderlich ist.

Nach Art. 9 Abs. 3 DS-GVO dürfen die in Art. 9 Abs. 1 DS-GVO genannten personenbezogenen Daten zu den in Art. 9 Abs. 2 h) DS-GVO genannten Zwecken verarbeitet werden, wenn diese Daten

2.5        Fazit zur Zulässigkeit der Verarbeitung von Gesundheitsdaten unter der DS-GVO

Durch das Zusammenspiel von Art. 9 Abs. 2 h) und Art. 9 Abs. 3 DS-GVO wird bereits die grundsätzliche datenschutzrechtliche Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten hinsichtlich der Versorgung und Behandlung im Gesundheitswesen geregelt.

Die Beantwortung der Frage, ob eine datenschutzrechtliche Befugnisnorm für eine Verarbeitung vorliegt, wird sich also oftmals bereits direkt aus der DS-GVO, nämlich aus Art. 9 Abs. 2 h) in Verbindung mit Art. 9 Abs. 3 DS-GVO, ergeben, der für viele Fälle eine Befugnisnorm darstellt.

Erfasst werden danach – wie sich aus dem Wortlaut von Art. 9 Abs. 2 h) DS-GVO direkt ergibt – sämtliche Formen gesundheitsbezogener Handlungen in einem weitgehenden Sinne, und zwar in präventiver, diagnostischer, kurativer und nachsorgender Art.20

Hinsichtlich näherer Einzelheiten, welche dies im Einzelnen sind, vgl. die ausführliche Auflistung der datenschutzrechtlich zulässigen Verarbeitungstätigkeiten unter III.8.

In Ergänzung der Prüfung der Regelungen der DS-GVO bedarf es jedoch des Weiteren stets einer Prüfung der nationalen Regelungen, da nationale Gesetze die Regelungen der DS-GVO ergänzen oder auch besondere Ausnahmen für Deutschland vorsehen können.

3           Bundesdatenschutzgesetz (BDSG)

In Ergänzung der Prüfung der Regelungen der DS-GVO bedarf es insofern einer Prüfung des BDSG.

Das BDSG ist durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) am 25.05.2018 in völlig neuer Fassung und Struktur in Kraft getreten.21

Anlass dafür war die DS-GVO, da diese eine Reihe von sog. Öffnungsklauseln für den nationalen Gesetzgeber und zugleich konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge vorsieht. Daraus ergab sich weiterer gesetzlicher Anpassungsbedarf im nationalen Datenschutzrecht.22

Bei der Prüfung einer datenschutzrechtlichen Frage bedarf es insofern nach der Prüfung der DS-GVO der Prüfung des BDSG, da dieses ggf. Ausnahmen bzw. Sonderregelungen für Deutschland enthält.

Insbesondere zu nennen ist hier der neue § 22 BDSG, da der deutsche Gesetzgeber auf der Grundlage von Art. 9 Abs. 4 DS-GVO (Öffnungsklausel) in dem neuen § 22 BDSG gesetzliche Erlaubnistatbestände geschaffen hat, die für den Krankenhausbereich von Bedeutung sind.

Gem. § 22 Abs. 1 Nr. 1 b) und c) BDSG (neu) ist eine Verarbeitung von Gesundheitsdaten usw. danach zulässig

Persönlicher Anwendungsbereich desBDSG

Zu beachten ist in diesem Zusammenhang des Weiteren der Anwendungsbereich des BDSG, also die Frage, für wen dieses Gesetz nunmehr überhaupt gilt. Gem. § 1 BDSG gilt das BDSG primär für öffentliche Stellen des Bundes, jedoch ebenfalls – und dies ist für den Großteil der Krankenhäuser von Relevanz – für öffentliche Stellen der Länder und auch für nicht-öffentliche Stellen.

Eine Differenzierung, für wen eine Regelung im Einzelfall gilt, erfolgt dabei häufig – neben der grundsätzlichen Regelung des Anwendungsbereichs in § 1 BDSG – direkt in der jeweiligen Vorschrift, so z. B. in § 22 BDSG.

Dies führt dazu, dass etwaige durch das BDSG bedingte Änderungen/Ausnahmen je nach Trägerschaft des Krankenhauses Anwendung finden oder nicht, was im Einzelfall zu prüfen ist.

Hinsichtlich der Anwendbarkeit für die Krankenhäuser in der Trägerschaft des Landes, für die das BDSG häufig durch Sonderregelungen in den Landesdatenschutzgesetzen zur Anwendung kommt, vgl. diesbezüglich die Ausführungen unter III.6.3.

4           Fazit zur DS-GVO und zum BDSG als Befugnisnormen

Unter Maßgabe zuvor genannter Regelungen der DS-GVO sowie des BDSG ist festzustellen, dass ein weites Spektrum der im Krankenhausalltag notwendigen Verarbeitungen davon abgedeckt, d. h. datenschutzrechtlich zulässig ist.

Mit anderen Worten ausgedrückt: Unter die o. g. Regelungen können viele Verarbeitungen subsumiert werden, die datenschutzrechtlich alleine auf diesen Grundlagen zulässig sind, ohne dass es einer Einwilligung durch den Patienten bedarf.

Grenzfälle im Krankenhausbereich

Besteht in einem Einzelfall Anlass zu Zweifeln, ob die entsprechende Verarbeitung noch unter die o. g. Regelungen subsumiert werden kann, ist zu hinterfragen, ob die fragliche Verarbeitung noch vom Zweck des zwischen dem Patienten und dem Krankenhausträger abgeschlossenen Behandlungsvertrages gedeckt ist bzw. ob der Patient mit dieser Verarbeitung rechnen muss. Als Ziel des Behandlungsvertrages gilt die Erbringung aller medizinisch notwendigen sowie sonstigen mit dem Patienten vereinbarten Leistungen. Dieses Ziel ist nur dann erreichbar, wenn Informationen über das Behandlungsgeschehen im erforderlichen Maße an die an der Behandlung notwendig Beteiligten weitergegeben werden. Personen, die in das Behandlungsgeschehen nicht eingebunden sind, dürfen über Art und Grund einer Erkrankung sowie über die Therapie hingegen keine Kenntnis erhalten.

Dabei wird dem Patienten zwar die Notwendigkeit eines arbeitsteiligen Zusammenwirkens verschiedener Krankenhauseinheiten einleuchten. Dies bedeutet jedoch nicht, dass er gleichzeitig auch damit einverstanden ist, dass jeder im Krankenhaus Beschäftigte jederzeit freien Zugriff auf die Gesamtheit seiner persönlichen Daten besitzt. Der Zweck des Behandlungsvertrages rechtfertigt lediglich solche Datenverarbeitungen, bei denen ein Zugriff auf die Daten nur in dem Umfang erfolgen kann, wie dies zur Erfüllung der jeweiligen Aufgaben der am Behandlungsgeschehen beteiligten Personen tatsächlich notwendig ist.

Zu dieser Thematik hat das OVG Münster23 zusammenfassend Folgendes festgestellt:

Die Ausführungen des Gerichts tragen dem Umstand Rechnung, dass anlässlich einer Krankenhausbehandlung eine soziale Beziehung entsteht, die vom Vertrauen des Patienten zu dem von ihm in Anspruch genommenen Krankenhaus und den ihn behandelnden Ärzten geprägt ist.

5           Bereichsspezifische Bundesregelungen

Des Weiteren existieren auf Bundesebene eine Reihe bereichsspezifischer, sehr spezieller Regelungen.

Diese gelten für alle Krankenhausträger gleichsam, unabhängig von deren Trägerschaft.

Hier sind beispielsweise die für den Abrechnungsvorgang mit den gesetzlichen Krankenkassen maßgeblichen Vorschriften zu nennen, die bereichsspezifische, datenschutzrechtliche Regelungen enthalten, etwa § 301 SGB V, welcher die Routinedatenübermittlung zwischen den Krankenkassen und den Krankenhäusern regelt.

Weitere bereichsspezifische, datenschutzrechtliche Regelungen enthalten z. B. folgende Gesetze:

Während der Gesetzgeber im Zuge des (1.) DSAnpUG-EU bereits Anpassungen an die DS-GVO bzgl. des BDSG vorgenommen hat, hat sich der Gesetzgeber des Weiteren im Zuge des 2. DSAnpUG-EU mit der Anpassung dieses bereichsspezifischen Rechts beschäftigt. Hierdurch wurden zahlreiche Änderungen bereichsspezifischen Rechts vorgenommen.24

6           Landesrechtliche Regelungen

Auf Landesebene existieren nach wie vor die Regelungen

6.1        Landeskrankenhausgesetze

In fast jedem Bundesland existiert ein Landeskrankenhausgesetz (LKHG). Viele dieser Gesetze enthalten Regelungen zum Datenschutz. Diese sind in der Regel mit »Patientendatenschutz« oder »Datenschutz« oder Ähnlichem überschrieben oder befinden sich in einem gesonderten Datenschutz-Kapitel.

Die darin befindlichen Regelungen zum Datenschutz sind genau auf Krankenhäuser zugeschnitten, mithin sehr speziell und können insofern hilfreich für den Krankenhausalltag sein.

Auch diese wurden – zumindest zum Teil – im Zuge der Anpassungen an die DS-GVO novelliert.

Aktuell finden sich in folgenden LKHG Regelungen zum Datenschutz:

Keine Regelungen zum Datenschutz existieren in den LKHG folgender Länder:

Existieren in einem Land keine Regelungen zum Datenschutz in einem LKHG, sind dessen Regelungen im Hinblick auf datenschutzrechtliche Belange unbeachtlich.

In den Ländern, in denen die LKHG jedoch entsprechende Datenschutzregelungen vorsehen, können diese zur Anwendung kommen, sofern der Krankenhausträger in den Anwendungsbereich des jeweiligen LKHG fällt.

Die Frage, ob ein Gesetz für einen Krankenhausträger Anwendung findet oder nicht, klärt sich in der Regel in den ersten Vorschriften eines Gesetzes und findet sich dort unter dem »Anwendungsbereich« oder »Geltungsbereich«.

Vorbehaltlich etwaiger spezieller Regelungen in den einzelnen Gesetzen ist davon auszugehen, dass die datenschutzrechtlichen Regelungen in den LKHG für alle Krankenhäuser im Land gelten, auf die das Krankenhausfinanzierungsgesetz (KHG) Anwendung findet (in der Regel mit Ausnahme derjenigen in kirchlicher Trägerschaft). Eine Anwendung scheidet demnach aus, sofern es sich um ein Krankenhaus in der Trägerschaft des Bundes, ein Krankenhaus im Straf- und Maßregelvollzug, ein Polizeikrankenhaus, ein Krankenhaus der gesetzlichen Rentenversicherungsträger oder ein Krankenhaus der gesetzlichen Unfallversicherungsträger handelt.

Im Ergebnis gilt danach in der Regel, dass die LKHG Anwendung finden, sofern es sich um Krankenhäuser in der Trägerschaft des Landes, einschließlich der Kommunen (Gemeinde-, Stadt-, Kreiskrankenhaus usw.) oder um ein Krankenhaus in privater Trägerschaft handelt.

6.2        Bereichsspezifische Landesregelungen

In zwei Bundesländern existieren anstelle der datenschutzrechtlichen Regelungen der LKHG bereichsspezifische Landesregelungen. Dies gilt für die Länder Bremen und Nordrhein-Westfalen. Hier sind anstelle des LKHG folgende Gesetze heranzuziehen:

Hinsichtlich der Frage des Anwendungsbereichs gelten die obigen Ausführungen unter III.6.1 entsprechend.

6.3        Landesdatenschutzgesetze (LDSG)

Des Weiteren existieren in sämtlichen Bundesländern LDSG, die gänzlich novelliert oder bedingt durch die DS-GVO geändert worden sind:

Anwendungsbereich LDSG

Die Landesdatenschutzgesetze gelten grundsätzlich für die öffentlichen Stellen des jeweiligen Landes sowie der Gemeinden und Gemeindeverbände. Eine Anwendung für den nicht-öffentlichen Bereich, d. h. für die Krankenhäuser in privater Trägerschaft, scheidet hingegen aus.

Hinsichtlich der Anwendbarkeit für die Krankenhäuser in öffentlicher Trägerschaft sind allerdings wichtige Einschränkungen zu beachten:

Nahezu in allen Bundesländern existieren Regelungen in den LDSG, wonach auf öffentliche Stellen, die am Wettbewerb teilnehmen, die Regelungen der LDSG nur teilweise gelten oder auch gar nicht und/oder teilweise oder in Gänze die Regelungen aus dem BDSG.

Derartige Regelungen finden sich entweder unter der Regelung zum »Anwendungsbereich« oder »Geltungsbereich«, aber ggf. auch unter einer eigenen Überschrift, etwa »Öffentliche Stellen, die am Wettbewerb teilnehmen«. Diese Regelungen in den einzelnen Landesgesetzen sind sehr speziell und individuell, da sie auf einzelne Regelungen verweisen und einzelne Regelungen für nicht anwendbar erklären.

Dies ist je nach Bundesland sowie Trägerschaft genauestens zu prüfen.

Sofern in einer Regelung nicht direkt der Verweis auf das BDSG steht, sondern etwa »die für nicht-öffentliche Stellen geltenden datenschutzrechtlichen Vorschriften« oder »Vorschriften für nicht öffentliche Stellen«, ist auch damit das BDSG gemeint.

Im Einzelnen finden sich die Regelungen in den Bundesländern wie folgt:

Im Gegensatz zu den übrigen Bundesländern besteht in Sachsen das Problem, dass hier zwar Regelungen existieren, diese jedoch leider einer gewissen Eindeutigkeit ermangeln. Die Regelungen finden sich im Sächsischen Datenschutzgesetz (SächsDSG) sowie im Sächsischen Datenschutzdurchführungsgesetz (SächsDSDG) und lauten wie folgt:

Hinsichtlich der Regelung in § 2 Abs. 4 SächsDSG spricht vieles dafür, dass mit den »besonderen Rechtsvorschriften des Bundes« spezialgesetzliche Regelungen zum Datenschutz etwa im SGB V, TPG o.ä. gemeint sind, die insofern vorrangig wären, jedoch nicht das BDSG. Hiernach bliebe es also zunächst bei der Anwendbarkeit des SächsDSG. Hinsichtlich der Formulierung in § 2 Abs. 4 SächsDSG »besondere Rechtsvorschriften des Freistaates Sachsen« dürfte allerdings davon auszugehen sein, dass das SächsDSDG als eine derartige besondere Rechtsvorschrift in Betracht kommt. Insofern dürfte also das SächsDSDG dem SächsDSG vorgehen, mithin das SächsDSG nicht gelten. Hierfür spricht auch die Regelung in § 2 Abs. 3 SächsDSDG, die so zu verstehen ist, dass für öffentlich-rechtliche Krankenhäuser die Vorschriften des BDSG zur Anwendung kommen und nicht die des SächsDSDG. Für eine parallele Anwendbarkeit des SächsDSG bliebe daneben kein Raum. Dafür sprechen auch die Ausführungen in den Gesetzesmaterialien, wonach die in § 2 Abs. 3 SächsDSDG Genannten denselben datenschutzrechtlichen Normen (BDSG!) unterworfen werden wie nicht-öffentliche Stellen, um Wettbewerbsverzerrungen zu vermeiden.25

Fazit zum Anwendungsbereich der LDSG