Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 14.12.2000

3. Gesundheitswesen

3.1. Allgemeines

3.1.1. Charta der Patientenrechte: Patientenrechte in Deutschland heute

Im Berichtszeitraum wurde auf der Grundlage eines Gutachtens des Instituts für Gesundheits- und Medizinrecht der Universität Bremen und auf Initiative der Gesundheitsminister der Länder in Abstimmung mit den wichtigsten organisierten Beteiligten des Gesundheitswesens ein Entwurf einer "Charta der Patientenrechte" vorgestellt. Dieses Dokument soll Patienten und Versicherte über ihre wichtigsten Rechte und Pflichten informieren und den Ärzten, Zahnärzten, Pflegekräften und Psychotherapeuten sowie den Mitarbeitern aus Gesundheitsfachberufen in ihrer täglichen Arbeit als Orientierungshilfe dienen. Der Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat an der Überarbeitung dieses Dokuments mitgewirkt; er konnte seine Vorstellungen zumindest teilweise in die Charta einfließen lassen. Auf Betreiben der Bundesärztekammer wurde der Titel der Charta in "Gemeinsamer Standpunkt: Patientenrechte in Deutschland heute" geändert. Nach dieser Änderung veröffentlichte die Bundesärztekammer dann eine eigene "Patientencharta".

Der Arbeitskreis Gesundheit und Soziales ist im Rahmen der Diskussionen zum Dokument der Gesundheitsminister - vertreten durch den Hamburger Landesbeauftragten für den Datenschutz - an die federführende Behörde für Arbeit, Gesundheit und Soziales der Freien und Hansestadt Hamburg herangetreten und hat vor allem die Aufnahme dreier aus datenschutzrechtlicher Sicht besonders wichtiger Punkte angeregt:

• Datenschutzrechte des Patienten
• Recht des Patienten auf Nichtwissen
• Beschränkung der Anamneseangaben

Einige Datenschutzrechte der Patienten, wie z. B. das Recht auf Benachrichtigung, auf Auskunft, auf Berichtigung, auf Löschung der Daten und auf technisch-organisatorische Sicherungsmaßnahmen, wurden daraufhin in das Papier aufgenommen. Dagegen fehlen nach wie vor Ausführungen zum Recht auf Nichtwissen, das gerade im Zusammenhang mit genetischen Untersuchungen besondere Bedeutung erlangt sowie zur Möglichkeit der Beschränkung von Angaben bei der ärztlichen Anamnese.

Erreicht werden konnte auch, dass die Ausführungen zur Beschränkung des Einsichtsrechts des Patienten bei subjektiven Eindrücken und Wahrnehmungen des Arztes mit dem Zusatz versehen wurden, nach dem Bundesdatenschutzgesetz sei auch dieser Teil der ärztlichen Aufzeichnungen zu offenbaren.

Trotz der oben dargestellten Mängel halte ich das Papier der Gesundheitsminister für einen durchaus gelungenen Ansatz, die Datenschutzrechte der Patienten darzustellen. Wegen des Widerstands der Bundesärztekammer sind die Arbeiten an der Charta bisher nicht zum Abschluss gebracht worden.

Die "Charta der Patientenrechte" der Bundesärztekammer enthält dagegen einen weit weniger umfassenden Überblick über die Datenschutzrechte der Patienten und deren Beschwerdemöglichkeiten. Z. B. wird zwar das Recht des Patienten auf Einsichtnahme in seine Krankenakte angesprochen, dass dieses Recht jedoch auch durch andere vom Patienten bevollmächtigte Personen ausgeübt werden kann, wird nicht erwähnt. Auch die weitergehende Ansicht der Datenschutzbeauftragten zum Einsichtsrecht des Patienten in subjektive Eindrücke und Wahrnehmungen ist nicht aufgeführt. Die "Patientenrechte auf sorgfältige Information" sind nur kurz angesprochen und eine umfassende Darstellung der Datenschutzrechte der Patienten fehlt. Das Recht auf Beschränkung der Anmamneseangaben ist ebenfalls nicht enthalten. Lediglich das Recht auf Nichtwissen ist kurz erwähnt.

3.1.2. Gespräch mit Patientenvertretern

Im Rahmen der Diskussion zum Thema "Patientenrechte und Datenschutz" lud der Arbeitskreis Gesundheit und Soziales, dessen Vorsitz ich innehabe, Vertreter des Gesundheitsladens München e.V. zu einem Gespräch ein. Der Gesundheitsladen ist auch Sitz der Bundesarbeitsgemeinschaft der PatientInnenstellen; er hat einen AK Datenschutz, der sich mit datenschutzrechtlichen Fragen im Gesundheitswesen auseinander setzt. Zur Sprache kamen dabei die verschiedensten Entwicklungen im medizinischen Bereich, wie z. B. die Vernetzung im Gesundheitswesen und das Gesundheitsreformgesetz 2000 sowie Einzelfragen, wie z. B. das Einsichtsrecht der Patienten in Akten und die häufig wenig datenschutzgerechte Ausgestaltung von Arztpraxen.

Es zeigte sich, dass vielen Patienten die Beschäftigung der Datenschutzbeauftragten mit Gesundheitsfragen nicht bekannt ist. Ich habe gegenüber den Vertretern des Gesundheitsladens meine Aufgaben dargestellt und auf die Bereitschaft der Datenschutzbeauftragten hingewiesen, im Rahmen ihrer Zuständigkeit schwierigen Fällen datenschutzrechtlicher Art nachzugehen.

3.2. Medizinische Forschungsvorhaben

3.2.1. Prospektive Analyse der Drogentoten in Bayern 1999

Ein wissenschaftliches Institut führt ein vom Bayerischen Staatsministerium für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit gefördertes Projekt "Analyse der Drogentodesfälle in Bayern" durch. Ziel dieses Projekts ist es, die Hintergründe zu erhellen, die zum Anstieg der Zahl der Drogentoten in Bayern seit dem Jahr 1997 geführt haben. Das Ministerium trat mit der Bitte an mich heran, die Teilstudie "Prospektive Analyse der Drogentoten in Bayern 1999" aus datenschutzrechtlicher Sicht zu beurteilen und ggf. Hinweise für eine datenschutzgerechte Ausgestaltung zu geben.

Für diese Studie müssen Informationen über die Lebensumstände der Drogentoten aus verschiedenen Quellen zusammengetragen und verknüpft werden. So werden polizeiliche und staatsanwaltliche Ermittlungsakten gesichtet sowie Institutionen des Drogenhilfesystems, substituierende niedergelassene Ärzte, Angehörige und Personen aus dem sozialen Umfeld des Verstorbenen befragt. Dazu wurden verschiedene Erhebungsbögen entwickelt, die für niedergelassene Ärzte, für Einrichtungen der Drogenhilfe, für die polizeilichen und staatsanwaltlichen Ermittlungsakten und für die Angehörigen des Drogentoten Anwendung finden.

Ich habe in einer Besprechung mit dem Ministerium, dem Forschungsinstitut und weiteren öffentlichen Stellen hervorgehoben, dass zur Übermittlung personenbezogener bzw. personenbeziehbarer Daten der Verstorbenen an das Institut dort eine besondere Offenbarungsbefugnis erforderlich ist, wo die Schweigepflicht der befragten Ärzte, Psychologen, Sozialarbeiter etc. gemäß § 203 Abs. 1 StGB beachtet werden muss. Für die Befragung der Angehörigen und Bekannten des Drogentoten über deren eigene Wahrnehmungen hielt ich grundsätzlich eine Datenerhebung mit deren freiwilliger und informierter Einwilligung für möglich. Wegen der problematischen Frage, ob Angehörige überhaupt in die Verarbeitung medizinischer und sonst besonders geschützter Daten Verstorbener einwilligen können (höchstpersönliches Recht) erzielte ich Einigkeit über die Verwendung eines Pseudonymisierungsverfahrens.

Die Forschenden sind auch hier nicht an personenbezogenen Daten konkreter Personen interessiert, sondern nur an der Möglichkeit, die eine Person betreffenden Daten zusammenzuführen. Letztlich benötigt man hierfür lediglich ein eindeutiges Pseudonym ("Codierung"). Sobald die vollständigen Daten je Person vorliegen, kann auf deren Identität gänzlich verzichtet werden.

Vor diesem Hintergrund habe ich daher eine anonymisierte Übermittlung der Daten der Verstorbenen (ohne Name, Adresse und Geburtsdatum) an das Institut angeregt und das Projekt unter Beachtung folgender Maßgaben als datenschutzrechtlich unbedenklich angesehen:

• Zur Zusammenführung der mittels verschiedener Erhebungsbögen erhobenen Daten wird ein 6-stelliger Code verwendet, der sich folgendermaßen zusammensetzt:
  
  Zweiter Buchstabe des Vornamens, zweiter Buchstabe des Nachnamens, Geschlecht (m/w), letzte Ziffer des Geburtsjahres, letzte Ziffer des Geburtsmonats und letzte Ziffer des Geburtsjahres des Verstorbenen.
• Es dürfen keine personenbezogenen bzw. personenbeziehbaren Daten an das Institut übermittelt werden, um die Schweigepflicht der befragten Ärzte, Psychologen, Sozialarbeiter, etc. nicht in unzulässiger Weise zu durchbrechen.
  
• In den Erhebungsbögen für die Polizei und die Staatsanwaltschaft, für Einrichtungen der Drogenhilfe, Entgiftungs-Einrichtungen und in dem Interview für Angehörige wird nicht das genaue Geburtsdatum des Verstorbenen sondern nur dessen Geburtsjahr erhoben, um eine ausreichende Anonymisierung im Sinne des Art. 4 Abs. 8 BayDSG zu gewährleisten.

Diesen datenschutzrechtlichen Vorgaben wurde entsprochen.

3.2.2. Forschungs-Studie „Plötzlicher Säuglingstod“

Die vom Bundesministerium für Bildung, Wissenschaft, Forschung und Technologie geförderte Studie "Plötzlicher Säuglingstod" soll vom November 1998 bis zum Jahr 2002 in zehn deutschen Ländern bereits bekannte Risikofaktoren für den plötzlichen Säuglingstod näher untersuchen und weitere ermitteln. Der plötzliche Säuglingstod ist mit über 600 verstorbenen Säuglingen pro Jahr die häufigste Todesart im ersten Lebensjahr in Deutschland. Seine Ursachen sind bisher wissenschaftlich weitgehend ungeklärt, der plötzliche Tod kann weder von den Eltern noch von Ärzten vorhergesehen werden.

Die Studie sieht neben einer körperlichen Untersuchung verstorbener Säuglinge (Obduktion) vor, deren Eltern zu den täglichen Gewohnheiten, zur Entwicklung des Kindes, zur Schwangerschaft und zur Geburt, sowie zu weiteren hiermit zusammenhängenden Umständen zu befragen. Diese Befragungen werden von Interviewern durchgeführt, die hierfür eigens geschult wurden. Die Befragung der Eltern erfolgt zuhause und dauert ca. eine Stunde. Daneben werden auch noch "Kontrolleltern" befragt, um zu erfahren, ob verstorbene und gesunde Säuglinge unter unterschiedlichen Voraussetzungen oder Einflüssen leben. Mit der Auswertung dieser Vergleiche sollen Risikofaktoren aber auch schützende Umstände erkannt werden.

Die Studienzentrale für dieses Projekt befindet sich in der Westfälischen Wilhelms-Universität in Münster. An dem Forschungsvorhaben wirken 14 Universitätsinstitute (Studienzentren) mit. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen hat gegenüber der Studienzentrale in Münster eine datenschutzgerechte Ausgestaltung der Unterlagen (Aufklärungsschreiben, Einverständniserklärungen, Anschreiben an die Familie mit einem Rückantwortformular und zwei Informationsbroschüren) gefordert. Diese wurden daraufhin so verbessert, dass die Voraussetzungen an eine freiwillige und informierte Einwilligung in die Teilnahme der Erziehungsberechtigten verstorbener Kinder und gesunder Kontrollkinder an der Studie erfüllt waren. Insbesondere wird nunmehr klar gestellt, dass die Teilnahme an der Studie freiwillig ist, die Einwilligung jederzeit ohne Angabe von Gründen widerrufen werden kann und bei einem Widerruf alle gespeicherten Informationen gelöscht werden.

Im Teilprojekt "Totenscheinanalyse" werden, um auf die Eltern zugehen zu können, Kopien der Todesbescheinigungen aller verstorbenen Kinder im Alter bis zu einem Jahr von den bayerischen Gesundheitsämtern an die Studienzentrale übermittelt. Dies habe ich gem. Art. 3 a Abs. 3 Satz 2 Nr. 2 b des Bayerischen Bestattungsgesetzes (BestG) als zulässig angesehen, da in diesem besonderen Fall das öffentliche Interesse an der Forschung das schutzwürdige Interesse der verstorbenen Person erheblich übersteigt, der Zweck der Forschung auf andere Weise nicht erreicht werden kann und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse von Angehörigen der verstorbenen Person an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

3.3. Gesetz über das bevölkerungsbezogene Krebsregister Bayern

Das Gesetz über Krebsregister des Bundes (Krebsregistergesetz - KRG) vom 04. November 1994 (vgl. hierzu im 16. TB, Nr. 2.1.2) trat mit Ablauf des 31. Dezember 1999 außer Kraft. Dasselbe gilt für die hierzu erlassenen bayerischen Ausführungsbestimmungen, das Gesetz zur Ausführung des Krebsregistergesetzes (AGKRG) und die Verordnung zur Durchführung des Krebsregistergesetzes (DVKRG). Zur Weiterführung der Arbeit des bevölkerungsbezogenen (epidemiologischen) Krebsregisters in Bayern war daher eine Nachfolgeregelung notwendig. Das hierfür erlassene Gesetz über das bevölkerungsbezogene Krebsregister Bayern (BayKRG) vom 25. Juli 2000 trat rückwirkend zum 01. Januar 2000 in Kraft. Ich habe im Rahmen des Gesetzgebungsverfahrens zu dem Entwurf Stellung genommen und insbesondere darauf gedrungen, dass das Gesetz nicht hinter den datenschutzrechtlichen Vorgaben des früheren Krebsregistergesetzes zurückbleibt:

• Im Gesetzgebungsverfahren wurde aus finanziellen Erwägungen und aus Gründen der Verwaltungsvereinfachung vorgeschlagen, die bisherige Trennung von Vertrauens- und Registerstelle entfallen zu lassen. Dem habe ich aus datenschutzrechtlicher Sicht mit Erfolg widersprochen:
  
  Zu einer datenschutzrechtlich vertretbaren Ausgestaltung des Krebsregisters gehört unbedingt die räumliche, organisatorische und personelle Trennung von Vertrauens- und Registerstelle. Dieses System ist wesentlicher Bestandteil der umfassenden Abwägung zweier einander gegenüberstehender Interessen, nämlich der Erforschung von Krebserkrankungen zu deren besseren Bekämpfung einerseits und dem informationellen Selbstbestimmungsrecht der betroffenen Patienten andererseits. Mit dieser Konzeption sowie einem genau geregelten Verfahren der Ver- und Entschlüsselung der Patientendaten, die der Registerstelle nur in nicht personenbezogener Form vorliegen, wird eine Art "informationeller Gewaltenteilung" als Mittel des Datenschutzes eingesetzt. Der Betroffene hat bei dieser Trennung die Sicherheit, dass seine medizinischen Daten nicht ohne weiteres mit seiner konkreten Person zusammengeführt werden können. Um diesen besonderen Schutz zu gewährleisten, können beide Stellen nicht in einer Dienststelle zusammengefasst werden, da sonst z. B. die Geheimhaltung der für die Chiffrierung und die Bildung der Kontrollnummern entwickelten und eingesetzten Computerprogramme nicht ausreichend gewährleistet wäre.

Ferner liegt die datenschutzgerechte Ausgestaltung des Krebsregisters nicht nur im Interesse der Patienten, sondern auch im Interesse der Forschung und damit der Allgemeinheit an einer möglichst vollständigen Meldequote. Die Bereitschaft der Patienten, die Tatsache ihrer Erkrankung durch den behandelnden Arzt oder Zahnarzt an ein zentrales Register melden zu lassen, wird durch eine das informationelle Selbstbestimmungsrecht angemessen berücksichtigende Ausgestaltung des Verfahrens sicherlich erleichtert.

• Weiterhin habe ich darauf hingewiesen, dass an dem bisherigen Melderecht der Ärzte und Zahnärzte festgehalten werden sollte. Die Einführung einer Meldepflicht hielte ich aus datenschutzrechtlicher Sicht nur dann für zulässig, wenn Patienten, die in eine solche Meldung nicht einwilligen, nur anonymisiert gemeldet werden. Im BayKRG wurde das Melderecht beibehalten.
  
• Schließlich begrüße ich es, dass an der grundsätzlichen Informationspflicht des Arztes oder Zahnarztes gegenüber dem Patienten festgehalten wurde. Die einschlägige Bestimmung des BayKRG sieht deren Pflicht vor, den Patienten von einer Meldung zum frühestmöglichen Zeitpunkt - u.a. unter Hinweis auf sein Widerspruchsrecht - zu unterrichten. Nur in begründeten Ausnahmefällen, solange anzunehmen ist, dass dem Patienten gesundheitliche Nachteile entstehen könnten, darf der Arzt oder Zahnarzt von einer Unterrichtung absehen. Die Information des Patienten über sein Widerspruchsrecht dient dazu, ihm eine freie und informierte Entscheidung über die Ausübung dieses Rechts zu ermöglichen. Verschiedentlich wurde von ärztlicher Seite vorgetragen, dass eine allgemeine Information - z. B. über die Medien - genügen müsse. Dieser Auffasssung bin ich unter Hinweis auf die Möglichkeit der Verwendung von Merkblättern entgegen getreten, da sonst von einer informierten Entscheidung bei vielen Patienten nicht mehr die Rede sein kann.

3.4. Datenschutzfragen in Krankenhäusern

3.4.1. Datenschutzgerechte Ausgestaltung eines Krankenhausinformationssystems

Im 18. Tätigkeitsbericht habe ich mich mit der Ausgestaltung der Zugriffsberechtigungen in Krankenhausinformationssystemen (Nr. 3.3.2) und mit dem Krankenhausinformationssystem in den Städtischen Krankenhäusern Münchens (Nr. 3.3.3) beschäftigt. Bei der weiteren Prüfung eines Krankenhauses habe ich mein besonderes Augenmerk auf das dortige Berechtigungskonzept und dessen Umsetzung gerichtet. Die dort bereits über einen längeren Zeitraum erarbeiteten Lösungen sehen derzeit wie folgt aus:

• Ein eigenständiges Berechtigungskonzept gibt es für die Behandlungsdaten im engeren Sinn, das heißt für medizinische Dokumente und Diagnosen. Dieses ist grundsätzlich dahingehend ausgestaltet, dass Ärzte und sonstiges Fachpersonal eine Zugriffsberechtigung auf den Datenbestand lediglich für die Abteilungen erhalten, in denen sie regelmäßig, wenn auch möglicherweise nur "in Vertretung", tätig sind. Dies sind daher, etwa bei Ärzten, in der Regel mindestens zwei Abteilungen. Die hier vergebenen Berechtigungen sehen in zeitlicher Hinsicht vor, dass das Pflegepersonal noch einen Tag, der Verwaltungsbereich (Schreibkräfte) noch drei Monate und die Ärzte noch sechs Monate nach der Entlassung des Patienten (Sperrfristen) in unterschiedlichem Umfang Zugriff auf den Datenbestand des konkreten Patienten haben; letzteres wird neben der Anfertigung von Arztbriefen insbesondere mit Anfragen von weiterbehandelnden Ärzten und Kostenträgern sowie der Erstellung von Gutachten begründet.
  
  Darüber hinaus hat das geprüfte Krankenhaus einen behandlungsbezogenen Zugriffsschutz für Dokumente und Diagnosen programmiert. Dies bedeutet, dass die berechtigten Personen außerhalb ihrer oben beschriebenen Berechtigungen unter bestimmten Voraussetzungen
  (z. B. Notfälle) Zugriff auf Dokumente und Diagnosen anderer Abteilungen und/oder nach dem Beginn der Sperrfrist nehmen können. In beiden Fällen wird der Zugriff aber erst nach Eingabe einer Begründung durch den Zugreifenden freigegeben. Diese Begründung wird protokolliert und das Protokoll wird von der für die Erstellung des Berechtigungskonzepts zuständigen Person auf Plausibilität durchgesehen. Ferner wird die Auswertung an den internen Datenschutzbeauftragten weitergegeben und bei Bedarf besprochen.
  
  Dieses Konzept halte ich aus datenschutzrechtlicher Sicht für vertretbar und sehr anwenderfreundlich. Die grundsätzliche Beschränkung der Zugriffsberechtigungen der Mitarbeiter eines Krankenhauses auf die jeweilige(n) Abteilung(en) habe ich bereits in meinem 18. Tätigkeitsbericht gefordert. Wünschenswert wäre es, wenn der Programmhersteller diese Erweiterung allgemein anbieten würde.
• Das oben dargestellte Berechtigungskonzept bezieht sich nur auf Diagnosen und Dokumente, jedoch nicht auf den so genannten Stammdatensatz. Dieser orientiert sich am Katalog des § 301 Abs. 1 SGB V. Eine zeitliche Zugriffsbeschränkung auf die Stammdaten im Sinne einer Sperrung ist im Programm nicht vorgesehen. Es können also grundsätzlich alle Personen, die Diagnosen und Dokumente einsehen können, sowie die berechtigten Mitarbeiter der Verwaltung, den Stammdatensatz aller (auch ehemaliger) Patienten des Krankenhauses (ohne zeitliche Einschränkung) einsehen.
  
  Ich habe hierzu klargestellt, dass aus datenschutzrechtlicher Sicht die Einschränkung des unbegrenzten Zugriffs auf den Stammdatensatz erforderlich ist. Problematisch ist insbesondere, dass die Stammdaten auch längere Zeit nach Verlassen des Krankenhauses abrufbar sind. Zumindest sei die Zugriffsmöglichkeit auf einen stark reduzierten "Kernstammdatensatz" zu beschränken. Dieser hat sich daran zu orientieren, inwieweit die Daten in Notfällen oder in der Nachtaufnahme erforderlich sind; es muss erkennbar bleiben, dass der Patient bereits im Haus behandelt wurde und welche Abteilung für seine Betreuung zuständig war. Auch diese Zugriffe sollten allerdings protokolliert werden. Das Krankenhaus hat diesen Vorschlag aufgegriffen und einen Antrag auf Entwicklung eines "Kernstammdatensatzes" an den Entwickler der Software gestellt.

Außerdem habe ich mich im 18. Tätigkeitsbericht zur (teilweisen) Protokollierung der Zugriffe und zur Löschung der im System gespeicherten Daten geäußert (Nr. 3.3.3). Das in dem Krankenhaus eingesetzte KIS bietet nur eine sehr eingeschränkte Möglichkeit der Protokollierung der Zugriffe auf Patientendaten. Nicht protokolliert werden rein lesende Zugriffe auf Stammdaten innerhalb der vergebenen Berechtigung; lediglich im Rahmen des im Krankenhaus selbst programmierten zusätzlichen behandlungsbezogenen Zugriffsschutzes außerhalb erteilter Berechtigungen bzw. nach Ablauf der Sperrfrist findet eine Protokollierung lesender Zugriffe statt. Stets protokolliert werden dagegen der erste (erstellende) Zugriff und der letzte ändernde Zugriff.

Eine Protokollierung ist zur Feststellung geeignet, ob innerhalb der jeweiligen Berechtigungen missbräuchliche Zugriffe erfolgt sind (Berechtigter greift zu, ohne dass dies erforderlich ist). Besser wäre es aus datenschutzrechtlicher Sicht daher, wenn die lesenden und die ändernden Zugriffe (über die oben geschilderten Fälle hinaus) zumindest stichprobenartig protokolliert werden. Dies wäre auch eine gewisse Hemmschwelle für nicht erforderliche Zugriffe.

Auch zu dieser Frage hat das geprüfte Krankenhaus einen Entwicklungsantrag an den Ersteller der Software gestellt.

Ferner habe ich bei der Prüfung festgestellt, dass eine Löschung der im System gespeicherten Daten nach wie vor nicht vorgesehen ist. Eine solche ist jedoch vor allem im Hinblick auf die Fälle, in denen das Krankenhaus keine Leistung erbracht hat, erforderlich. Solche Fälle liegen
z. B. vor, wenn ein Patient vor Erbringung einer Leistung das Krankenhaus wieder verlässt oder in ein anderes Krankenhaus weitergeleitet wird. Auch zur Löschung hat das Krankenhaus einen Entwicklungsantrag gestellt.

3.4.2. Mikroverfilmung von Patientendaten durch einen Privaten

Durch eine Anfrage wurde mir bekannt, dass zwei bayerische Krankenhäuser Mikroverfilmungen von Patientenunterlagen durch eine private Firma durchführen lassen. Verfilmt werden dabei neben den Verwaltungsdaten von Patienten auch deren Behandlungs- bzw. Gesundheitsdaten, medizinische Daten also, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind. Die Verfilmung der Unterlagen erfolgt in einem Raum dieser Firma, der durch eines der Krankenhäuser angemietet wurde. Dieses Krankenhaus hat mit der Firma zudem einen als solchen bezeichneten "Freien-Mitarbeiter"-Vertrag bzw. "Dienstvertrag" abgeschlossen, durch den der Inhaberin der Firma die Verwahrung sämtlicher Schlüssel zu dem vermieteten Raum übertragen wurde. Zugang zu diesem Raum hat dadurch ausschließlich die Inhaberin der Firma. Der Raum ist durch entsprechende Schlösser gesichert. Die Krankenhäuser bekommen Zutritt nur über die Inhaberin der Firma. Schließlich wurde der Inhaberin der Firma die Anweisung und Überwachung ihrer Mitarbeiter bei der Vorbereitung und Durchführung der Mikroverfilmung der Patientendaten übertragen.

Ich habe dieses Vorgehen gem. Art. 31 Abs. 1 Satz 1 BayDSG beanstandet, da auch der geltend gemachte Art. 27 Abs. 4 Satz 6 des Bayerischen Krankenhausgesetzes (BayKrG) für diese Vorgehensweise keine Rechtsgrundlage bietet, das Verfahren vielmehr eine Umgehung dieser Vorschrift darstellt.

Patientendaten unterliegen der ärztlichen Schweigepflicht und dürfen ohne Einwilligung des Patienten oder eine sonstige Offenbarungsbefugnis Dritten nicht zur Kenntnis gebracht werden. Nach Art. 27 Abs. 4 Satz 5 BayKrG kann sich ein Krankenhaus zur Mikroverfilmung von Patientendaten anderer Personen oder Stellen bedienen, wenn es sicherstellt, dass beim Auftragnehmer die besonderen Schutzmaßnahmen nach Art. 27 Abs. 6 BayKrG eingehalten werden und solange keine Anhaltspunkte dafür bestehen, dass durch die Art und Ausführung der Auftragsdatenverarbeitung schutzwürdige Belange von Patienten beeinträchtigt werden. Art. 27 Abs. 4 Satz 6 BayKrG bestimmt darüber hinaus, dass zur Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Patienten erforderlich sind (sog. Gesundheitsdaten), sich ein Krankenhaus nur anderer Krankenhäuser bedienen darf. Rechtlicher Hintergrund dieser Bestimmung ist neben der ärztlichen Schweigepflicht insbesondere die Erhaltung des Beschlagnahmeschutzes für diese sensiblen Daten in einem Krankenhaus (§ 97 Abs. 2 Satz 2 StPO).

Art. 27 Abs. 4 Satz 6 BayKrG ist nach der Entscheidung des Bayerischen Verfassungsgerichtshofs vom 6. April 1989 (Az.: Vf. 2-VII-87; BayVBl 1989, 397) verfassungsgemäß. Das Gericht hat unter anderem ausgeführt, dass diese Bestimmung es den Krankenhäusern nicht verwehre, medizinische Daten in einer dem Art. 26 Abs. 4 Satz 5 BayKrG a.F. (jetzt: Art. 27 Abs. 4 Satz 6 BayKrG) entsprechenden Ausgestaltung innerhalb des Krankenhauses durch Dritte mikroverfilmen zu lassen. Die gegen diese Entscheidung gerichtete Verfassungsbeschwerde wurde vom Bundesverfassungsgericht im Beschluß vom 25. September 1990 nicht zur Entscheidung angenommen (NJW 1991, 2952).

Nach dem Wortlaut und Sinn und Zweck des Art. 27 Abs. 4 Satz 6 BayKrG ist die Mikroverfilmung medizinischer Behandlungsdaten nur in einem Krankenhaus zulässig. Deren Mikroverfilmung durch Private außerhalb eines Krankenhauses scheidet daher aus. Datenschutzrechtlich hinnehmbar wäre es allenfalls, wenn der angemietete Raum zweifelsfrei einem der Krankenhäuser (oder beiden) zugeordnet werden könnte. Hierfür müsste dieses die "Schlüsselgewalt" über den Raum auch tatsächlich inne haben. Die Schlüssel für den angemieteten Raum müssten im "alleinigen" Gewahrsam des Krankenhauses bleiben. Die Mitarbeiter der Firma einschließlich der Inhaberin selbst dürften keinen Schlüssel für diesen Raum besitzen. Ausschließlich die Krankenhäuser bzw. deren befugte Mitarbeiter müssten den Zugang zu diesem Raum gewähren. Öffnen dürften ihn nur befugte Mitarbeiter der Krankenhäuser zur Durchführung der Mikroverfilmung. Bei dieser Mikroverfilmung müssten die Beschäftigten der Firma unter Aufsicht und nach den Anweisungen eines Mitarbeiters des jeweiligen Krankenhauses arbeiten, der darauf zu achten hat, dass den Mitarbeitern der Firma möglichst keine Gesundheitsdaten zur Kenntnis gelangen. Nach Durchführung der Mikroverfilmung wäre der Raum wieder sorgfältig zu verschließen. Diese Anforderungen wären vertraglich festzulegen.

Die in dem geschilderten Fall gewählte "Anmietungslösung" kann nicht bewirken, dass der vermietete Raum als Raum im Krankenhaus anzusehen ist, da die Inhaberin der Firma uneingeschränkt Zugang zu diesem Raum hat. Ferner bleiben auch die Schlüssel in ihrem Gewahrsam. Es wird nur gewährleistet, dass das Krankenhaus Zutritt erhält, wenn es ihn für erforderlich hält. Der angemietete Raum kann daher von der Ausgestaltung der Abläufe nicht einem der Krankenhäuser zugeordnet werden. Diese können auch nicht jederzeit darüber entscheiden, wer den Raum wann betreten kann, da die Inhaberin der Firma - nicht die Krankenhäuser - die "Schlüsselgewalt" inne hat.

Es ist also keine der geschilderten Voraussetzungen, unter denen eine Mikroverfilmung medizinischer Behandlungsdaten durch einen Privaten ausnahmsweise hinnehmbar ist, erfüllt. Mit dem Abschluss des "Freien-Mitarbeiter"-Vertrags wird ein Gewahrsam des Krankenhauses nicht erreicht. Die Regelungen des Vertrags enthalten nichts anderes als das, was auch für eine Auftragsdatenverarbeitung nach Art. 6 BayDSG zu regeln wäre. Die Inhaberin der Mikroverfilmungsfirma selbst zu einer Mitarbeiterin der Krankenhäuser machen zu wollen, bezweckt lediglich Art. 27 Abs. 4 Satz 6 BayKrG zu umgehen. Sinn und Zweck der Mikroverfilmung durch einen Dritten unter Aufsicht und nach den Anweisungen eines (originären) Mitarbeiters des Krankenhauses ist es nämlich, soweit wie möglich zu verhindern, dass unbefugte Dritte der ärztlichen Schweigepflicht unterliegende Gesundheitsdaten zur Kenntnis nehmen können. Diese Kontrollfunktion ist jedoch dann nicht gewährleistet, wenn der die Mikroverfilmung Durchführende sich selbst kontrolliert.

3.4.3. Weitergabe der Namen von Patienten der Herzchirurgie einer Klinik an eine Stiftung

Wie mir durch Presseartikel bekannt wurde, übermittelte der Chefarzt der Abteilung für Herzchirurgie eines Klinikums eine Diskette mit den Namen und Adressen von über 2500 ehemaligen Patienten an eine private Stiftung. Zweck dieser Weitergabe personenbezogener Daten war die Versendung von Bittbriefen zugunsten der Stiftung, unter Verwendung des Briefkopfs des Klinikums, um ein Ultraschallgerät für die Nutzung im Klinikum beschaffen zu können.

Ich habe diese Übermittlung der Namen und Adressen ehemaliger Patienten als unbefugte Übermittlung von Patientendaten bewertet und gemäß Art. 31 Abs. 1 Satz 1 BayDSG beanstandet.

Die Namen und Adressen ehemaliger Patienten sind Geheimnisse, die der ärztlichen Schweigepflicht unterliegen, da sich hieraus auf die Tatsache eines Aufenthalts oder einer Behandlung der Personen in der Herzchirurgie des Klinikums schließen lässt. Diese Offenbarungen geschahen auch unbefugt. Eine befugte Übermittlung von Patientendaten erfordert das Vorliegen einer Offenbarungspflicht oder einer Offenbarungsbefugnis. Offenbarungspflichten kamen nicht in Betracht.

Die Voraussetzungen des Art. 27 Abs. 5 Satz 1 des Bayerischen Krankenhausgesetzes (BayKrG) lagen ebenfalls nicht vor. Nach dieser Vorschrift, der wichtigsten Offenbarungsbefugnis für bayerische Krankenhäuser, ist die Übermittlung von Patientendaten an Dritte insbesondere zulässig im Rahmen des Behandlungsverhältnisses oder dessen verwaltungsmäßiger Abwicklung oder wenn eine Rechtsvorschrift die Übermittlung erlaubt oder wenn die betroffenen Personen eingewilligt haben. Diese Voraussetzungen lagen nicht vor. Zwar könnte grundsätzlich auch eine mutmaßliche Einwilligung eines Patienten in Frage kommen. Das konnte man hier jedoch bei der Fülle der Betroffenen nicht für jeden einzelnen Fall annehmen. Eine mutmaßliche Einwilligung kommt nur dann in Betracht, wenn im vermeintlichen Interesse und Einverständnis des geheimnisgeschützten Patienten gehandelt worden wäre. Das kann hier jedoch nicht für sämtliche Patienten unterstellt werden, zumal die beabsichtige Anschaffung des Ultraschallgerätes vornehmlich im Interesse künftiger Patienten liegen dürfte.

3.5. Telemedizin

Wie ich bereits für den letzten Berichtszeitraum (vgl. Nr. 3.4 des 18. Tb) feststellen konnte, schreitet die Entwicklung und Ausbreitung der Telemedizin weiter voran. Ich habe mich erneut an zahlreichen Diskussionen in maßgeblichen Gremien beteiligt und verschiedene Projektträger bei der datenschutzgerechten Ausgestaltung telemedizinischer Anwendungen beraten.

Mehrere Einrichtungen der Selbstverwaltung des Gesundheitswesens gründeten im August 1999 unter dem Dach der Gesellschaft für Versicherungswissenschaft und -gestaltung e.V. (GVG) in Zusammenarbeit mit den Bundesministerien für Gesundheit (BMG) und für Bildung und Forschung (BMBF) das "Aktionsforum Telematik im Gesundheitswesen" (ATG) als Konsensplattform für die Weiterentwicklung der Telematik im Gesundheitswesen. Das ATG will die Systembeteiligten zusammenführen, Konsensmöglichkeiten aufzeigen und Empfehlungen erarbeiten, die den Partnern und den zuständigen Ministerien als Orientierung dienen sollen. Es will Vorschläge und Empfehlungen zur organisatorisch-technischen Infrastruktur sowie zu den Standards dieser Infrastruktur ausarbeiten.

Zu diesem Zweck hat das ATG im Februar 2000 vier Teams zu den Themenbereichen "Elektronisches Rezept", "Elektronischer Arztbrief", "Sicherheitsinfrastruktur" und "Europäische und internationale Dimension von Telematik im Gesundheitswesen" eingesetzt. Mit Hilfe dieser Teams will es Handlungsempfehlungen für die Selbstverwaltung und ggf. für die Gesetzgebung im Form von "Managementpapieren" erstellen. Die Papiere sind im Internet (http://atg.gvg-koeln.de (externer Link)) abrufbar und können dort auch öffentlich kommentiert werden.

Ich habe sowohl aus technischer als auch aus rechtlicher Sicht zu diesen Papieren Stellung genommen. Aus datenschutzrechtlicher Sicht habe ich nochmals hervorgehoben, dass die Möglichkeit und der Wunsch Telemedizin zu betreiben, nichts an den rechtlichen Grundlagen der Datenverarbeitung in der Medizin ändern. Alleine der Wunsch nach Umsetzung telemedizinischer Anwendungen kann die hiermit verbundenen Datenverarbeitungen nicht rechtfertigen. Auch in der Telemedizin gelten die selben rechtlichen Regelungen wie in der traditionellen - nicht vernetzten - Medizin. Zu beachten ist daher die in den Berufsordnungen für die Ärztinnen und Ärzte geregelte ärztliche Schweigepflicht, die in § 203 Abs. 1 Nr. 1 StGB strafbewehrt ist. Grundlage ist ferner der Grundsatz der Erforderlichkeit, der stets verlangt, danach zu fragen, ob überhaupt personenbezogene Daten verwendet werden müssen oder nicht etwa anonymisierte oder pseudonymisierte Daten (z.B. für Qualitätssicherungsverfahren) ausreichen. Sollte dennoch die Übermittlung personenbezogener Daten erforderlich sein, stellt sich die Frage, in welchem Umfang ärztliche Informationen übermittelt werden müssen. Für personenbezogene oder personenbeziehbare Datenverarbeitungen sind der Behandlungsvertrag, die (freiwillige, informierte und in der Regel schriftliche) Einwilligung des Patienten, sowie die bereichsspezifischen (z. B. Krankenhausgesetze) und die allgemeinen Datenschutzgesetze zu beachten. Je nach Anwendungsbereich ist die ärztliche Kommunikation ggf. auch in den einzelnen Büchern des Sozialgesetzbuches (SGB) geregelt, vgl. etwa § 73 Abs. 1b SGB V (Hausarztmodell) und § 140a Abs. 2 SGB V (Integrierte Versorgung).

Bezüglich der Einwilligung des Patienten ist durch die technische Ausgestaltung der Verfahren sicher zu stellen, dass keine Übermittlung von personenbezogenen Patientendaten ohne Einwilligung erfolgt und sich die Kommunikation zwischen den Leistungserbringern am konkreten Behandlungsbezug orientiert. Es ist zu verhindern, dass ein Patient, der sich einer telemedizinischen Behandlung unterzieht, seine medizinischen Daten pauschal gegenüber allen beteiligten Leistungserbringern offenbaren muss. Eine generelle und vorab für alle Behandlungen erklärte Einwilligung des Patienten in die künftige Verarbeitung seiner medizinischen Daten, deren Umfang und Tragweite er zum Zeitpunkt der Erklärung nicht übersehen kann, ist nicht zulässig. Darüber hinaus müssen die allgemeinen rechtlichen Anforderungen an Einwilligungserklärungen beachtet werden. Insbesondere müssen die Betroffenen über Umfang und Zweck der vorgesehenen Verarbeitung ihrer Daten konkret informiert werden. Die Einwilligung muss in der Regel schriftlich erteilt werden. Ferner ist ein vorausgehender Hinweis durch den behandelnden Arzt bzw. andere Leistungserbringer erforderlich, dass die Einwilligung freiwillig und ein Widerruf möglich ist.

Das Staatsministerium für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit hat im Berichtszeitraum beschlossen, ein ständiges Forum von Experten einzuberufen, das der Entwicklung der Telemedizin in Bayern eine Plattform bietet. In dieser "Plattform Telemedizin in Bayern" sollen Fachleute bayernweit sämtliche telemedizinischen Aktivitäten bündeln und bewerten. Die Plattform soll im Unterschied zu einem bereits bestehenden Themenarbeitskreis Telemedizin unabhängig von der Laufzeit einzelner Projekte und auch unabhängig von der "Offensive Zukunft Bayern" fortbestehen. In den Treffen der Plattform wird über laufende Projekte, unter anderem aus dem Programm Bayern Online II, berichtet; es werden weitere Projekte vorgestellt und bewertet. Ich habe an diesen Treffen teilgenommen und auf die datenschutzrechtlichen Anforderungen der Telemedizin hingewiesen.

Aber auch die praktische Umsetzung der Telemedizin hat Fortschritte gemacht. Im Rahmen der Initiative Bayern Online II hat das Kabinett die weitere Förderung telemedizinischer Projekte bewilligt. Z.B. werden in Nürnberg vier Projekte zur Betreuung von Diabetespatienten, zur flächendeckenden Schlaganfallversorgung, zur Telepathologie und zur Vernetzung Praxis/Klinik gefördert. Insgesamt befassen sich nach einer Auskunft des Staatsministeriums für Wissenschaft, Forschung und Kunst alleine die fünf bayerischen Universitätskliniken mit über 100 Projekten zur Telemedizin.

Von den von mir datenschutzrechtlich beratenen Projektträgern möchte ich exemplarisch nur folgende Projekte nennen:

• Das Projekt "Bayerische Gesundheitschipkarte und Kommunikation" (BGK) will einen Einstieg in die Nutzung von Patientenkarten schaffen. In einer ersten Anwendungsebene sollen verschiedene Routineanwendungen, wie z. B. die Überweisung, die Einweisung, die Entlassung, der Arztbrief und das Rezept in die Chipkartentechnologie umgesetzt werden. In einer späteren zweiten Anwendungsebene sollen dann komplexere Kommunikationsansprüche bewältigt werden. In einer Besprechung mit den Betreibern dieses Verfahrens habe ich u.a. auf die datenschutzrechtlichen Anforderungen der Nutzung von Chipkarten im Gesundheitswesen (vgl. auch den 17. TB, Nr. 3.1.1) hingewiesen.
  
• Im Rahmen des Projekts "Telemedizin in Ostbayern" finden u.a. so genannte "Telekonsile" statt. Dabei wendet sich der anfragende Arzt direkt an einen ihm bekannten Spezialisten der Uniklinik Regensburg. Die Konsile laufen unter Wahrung der Anonymität des Patienten, dennoch wird vorher seine Einwilligung eingeholt. Bei der Beratung des Projekts habe ich klar gestellt, dass einem Konsiliarius in der Regel keine patientenbezogenen Geheimnisse offenbart werden müssen. Sollte dies im Einzelfall doch erforderlich sein, müsste eine Offenbarungsbefugnis vorliegen. Da ein Konsiliarius nicht vor-, mit- oder nachbehandelnder Arzt ist, liegen bei Krankenhausärzten die Voraussetzungen der Art. 27 Abs. 5 Satz 2 BayKrG in der Regel nicht vor. Deshalb empfiehlt sich das Einholen der (ausdrücklichen) Einwilligung des Patienten. In Einzelfällen (Notfälle, Bewusstlosigkeit etc.) halte ich es aus datenschutzrechtlicher Sicht für zulässig, eine mutmaßliche Einwilligung des Patienten anzunehmen, wenn der Arzt im Interesse und mit dem mutmaßlichen Einverständnis des Betroffenen handelt und kein entgegenstehender Wille des Patienten erkennbar ist.
  
  In dem Projekt "Neue Kommunikationstechnologien in der Notfallmedizin" (NOAH II) will das Universitätsklinikum Regensburg in Zusammenarbeit mit dem Landkreis Cham und dem Telezentrum in Stamsried ein flächendeckendes multimediales Kommunikationsnetz in der Region Ostbayern mit Einbindung zahlreicher Krankenhäuser sowie Praxen aufbauen.
  
• Das Projekt "ENDOTEL" der TU München bietet die Telekonsulation, die Telediagnostik und die Teleausbildung im Bereich der Endoskopie an.

3.6. Patienten-Verlaufsinformation vom aufnehmenden Krankenhausarzt an den Patienten überbringenden Notarzt

Die Bayerische Landesärztekammer ist mit der Frage an mich herangetreten, ob eine sog. "Rückwärtsinformation" vom aufnehmenden Krankenhausarzt an den Patienten überbringenden Notarzt datenschutzrechtlich zulässig sei. Inhaltlich ging es dabei im Wesentlichen um folgende Fragestellung: Ein Notarzt behandelt einen Patienten im Rahmen der Erstversorgung. Nach der Einlieferung dieses Patienten in ein Krankenhaus bricht im Regelfall der Kontakt zwischen beiden ab, sodass der Notarzt die Qualität seiner ärztlichen Hilfsmaßnahmen nicht beurteilen kann. Die Bayerische Landesärztekammer wollte wissen, ob es aus datenschutzrechtlicher Sicht möglich wäre, dem Notarzt diesbezügliche Informationen (weiterer Krankheitsverlauf etc.) für seine (individuelle) Qualitätssicherung zu übermitteln.

Die damit verbundenen Fragen wurden im Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten des Bundes und der Länder diskutiert, wobei sich herausstellte, dass eine bundeseinheitliche Lösung wegen der unterschiedlichen landesgesetzlichen Regelungen ausscheidet. Weiterhin fand unter meiner Beteiligung eine Besprechung mit Vertretern der Bayerischen Staatsministerien des Innern und für Arbeit und Sozialordnung, Familie, Frauen und Gesundheit bei der Bayerischen Landesärztekammer statt. Das wesentliche Ergebnis dieser Unterredung erschien bereits im Oktoberheft 1999 des Bayerischen Ärzteblatts. Folgende Stichpunkte der datenschutzrechtlichen Bewertung betrachte ich als wesentlich:

• Weder das Bayerische Krankenhausgesetz (BayKrG) noch das Bayerische Rettungsdienstgesetz (BayRDG) enthält eine spezielle Rechtsgrundlage für die "Rückwärts-Information", die es einem Notarzt ermöglicht, die erforderlichen Patientendaten von einem Krankenhaus ohne (ausdrückliche) Einwilligung des Patienten zu erhalten.
  
• Art. 27 Abs. 5 Satz 2 BayKrG bestimmt allerdings u.a., dass eine Offenbarung von Patientendaten an Vorbehandelnde zulässig ist, soweit das Einverständnis der Patienten anzunehmen ist. Aus datenschutzrechtlicher Sicht halte ich es für einen gewissen Übergangszeitraum bis zur Schaffung einer klaren Rechtsgrundlage für vertretbar, aufgrund dieser Regelung bestimmte Patientendaten innerhalb eines eng begrenzten Zeitraums nach dem Notfall (bis max. 48 Stunden) durch das Krankenhaus an den Notarzt zu übermitteln, soweit diese Daten für dessen individuelle "Qualitätssicherung" erforderlich sind. Die Übermittlung muss sich auf aus medizinischen Gründen erforderliche Patientendaten beschränken. Die Erforderlichkeit ist aus medizinischer Sicht zu beurteilen. Solange es sich lediglich um die Aktualisierung bereits vom Notarzt erhobener Daten (Verlaufswerte) handelt, spricht vieles dafür, dass diese Befunde abgefragt werden können, da insoweit die Annahme des mutmaßlichen Patienteneinverständnisses vertretbar erscheint, es sei denn, es liegen gegenteilige Hinweise vor.
  
• Sollte allerdings die Einwilligung eines Patienten eingeholt werden können, geht diese Möglichkeit vor. Der Patient sollte - soweit möglich - über dieses Vorhaben informiert werden. Ein Widerspruch des Patienten wäre zu beachten. Schließlich dürfen die übermittelten Daten grundsätzlich auch nicht gespeichert werden, da sie nur der persönlichen Qualitätskontrolle des Notarztes dienen.
  
• Auf Dauer halte ich allerdings nach wie vor die Schaffung einer normenklaren gesetzlichen Grundlage für dieses Verfahren für notwendig.

3.7. Qualitätssicherungsprojekte

3.7.1. Qualitätssicherung im medizinischen Bereich

Auch im medizinischen Bereich werden immer häufiger Qualitätssicherungsprojekte durchgeführt. Sie nehmen dort datenschutzrechtlich insofern keine Sonderstellung ein, als eine personenbezogene oder personenbeziehbare Offenbarung von Patientendaten auch hier nur bei Vorliegen einer Offenbarungsbefugnis zulässig ist, da auch die hier verarbeiteten Daten i.d.R. der ärztlichen Schweigepflicht unterfallen. Da es - zumindest in Bayern - keine (besondere) gesetzliche Offenbarungsbefugnis gibt (z.B. im BayKrG) und die Einwilligungen aller betroffenen Patienten meist nicht eingeholt werden können, habe ich grundsätzlich darauf gedrungen, dass die auszuwertenden Daten i.S. des Art. 4 Abs. 8 BayDSG ausreichend anonymisiert werden.

• Die Bayerische Arbeitsgemeinschaft für Qualitätssicherung in der stationären Versorgung (BAQ) führt u.a. ein Qualitätssicherungsprojekt im Bereich der Peri- und Neonatologie durch. Ziel dieses Vorhabens ist die kontinuierliche Verbesserung der Behandlungsqualität. Hierzu werden Daten von Müttern und Neugeborenen an die BAQ übermittelt, zum Teil mit Erhebungsbögen, die von den mitwirkenden Krankenhäusern ausgefüllt werden, zum Teil mit EDV-Unterstützung. Bei der Datenübermittlung mit Erhebungsbögen erfolgt die zur Datenverarbeitung erforderliche Datenerfassung durch die BAQ, die die Daten auch auf ihre Plausibilität überprüft; anschließend werden die Erhebungsbögen vernichtet.
  
  Die Datenübermittlung in Papierform ist aus datenschutzrechtlicher Sicht problematisch. Vom Personal der Krankenhäuser werden in den Bögen zwar weder die Namen oder die Adresse von Mutter und Kind noch das Geburtsdatum der Mutter, wohl aber weitere genaue Zeitpunkte (z.B. der Geburt des Kindes, der Entlassung bzw. Wiederaufnahme von Mutter und Kind etc.) erfasst, obwohl für die Qualitätssicherung an sich die Ermittlung bestimmter Zeiträume ausreichen würde. Durch das genaue Erfassen dieser Zeitpunkte wird jedoch das Risiko einer Deanonymisierung von Mutter und Kind erheblich vergrößert. Durch die EDV-gestützte Lösung können diese Probleme weitgehend vermieden werden, da bereits bei der Eingabe Zeiträume errechnet und nur diese an die BAQ weitergegeben werden. Die papiergestützte Übermittlung ist daher nur als Übergangslösung anzusehen, die zunehmend - soweit die mitwirkenden Krankenhäuser hierzu in der Lage sind - abgelöst werden muss. Die BAQ hat mir versichert, dass eine solche EDV-gestützte Übermittlung auch in ihrem Interesse ist, da sie den eigenen Arbeitsaufwand deutlich reduziere.
  
  In den von der BAQ verwendeten Erhebungsbögen ist zur Erlangung gebietsbezogener Auswertungsergebnisse die Übermittlung der um die letzte Stelle gekürzten Postleitzahl des Wohnorts von Mutter und Kind vorgesehen. Aus datenschutzrechtlicher Sicht ist die Übermittlung eines Erhebungsbogens mit der vollen Postleitzahl nicht zulässig, da es keine gesetzliche Grundlage für eine Übermittlung dann häufig personenbeziehbarer Daten an die BAQ gibt. Eine Übermittlung genauer Postleitzahlen würde nämlich - vor allem im ländlichen Bereich - den Kreis der Betroffenen häufig so stark einengen, dass eine Deanonymisierung nicht mehr auszuschließen wäre.
  
• Ferner wurde ich zur datenschutzrechtlichen Beratung für das Projekt "Freiwillige Krankenhausvergleiche zur externen Qualitätssicherung in der Psychiatrie" herangezogen. Es handelt sich hierbei um ein Modellprojekt zur externen, freiwilligen Qualitätssicherung für Einrichtungen, die in der stationären Psychiatrie tätig sind. Hierzu werden die sog. BADO-Daten, die der internen medizinischen Basisdokumentation dienen, zumindest teilweise an die auswertende Stelle im Bezirksklinikum Regensburg übermittelt.
  
  Von dem BADO-Datensatz werden z.B. der Name, der Vorname und der Geburtsname gestrichen. Das Geburtsdatum wird durch eine Patientenidentifikationsnummer (PIN) ersetzt. Ferner werden die Daten Geburtsort, Beruf, Straße, Hausnummer, Postleitzahl, Wohnort, Telefonnummer, Staat, Familienstand und Religion nicht übermittelt. Übermittelt wird dagegen die sog. Gemeindekennzahl, so dass in der Regel der Name des Landkreises aus dem der psychiatrische Patient stammt, weitergegeben wird. Ich habe hierzu ausgeführt, dass das Vorhaben den Anforderungen an eine ausreichende (faktische) Anonymisierung genügt, wenn folgende Voraussetzungen erfüllt sind:
  
• Die oben angesprochene PIN wird generiert, um Datensätze aus verschiedenen Quellen zu einer Person (möglichst) eindeutig zusammenführen zu können. Interessant für die auswertende Stelle ist nicht der Patient an sich, sondern nur der Fall. Mit der PIN werden der Vorname, der Familienname, das Geschlecht und das Geburtsdatum codiert und durch zwei Ziffern ergänzt, um unterschiedliche Personen zu bezeichnen, so dass es nicht mehr möglich ist, hieraus auf diese Daten zu schließen. Ich habe darauf hingewiesen, dass sich aus der PIN keine weiteren personenbezogenen Daten, insbesondere nicht das Geburtsdatum des Patienten, ergeben dürfen. Die Codierung des Geburtsdatums erfolgt so, dass die Anzahl der Tage zwischen einem Referenzdatum und dem Geburtsdatum der Person zugrunde gelegt wird. Da es genügt, ein beliebiges Datum als Geburtsdatum durch das Programm umwandeln zu lassen und den dafür erzeugten Code (Zahlenwert) zurückzurechnen, wäre es möglich, jeweils das genaue Geburtsdatum zu berechnen. Ich habe daher vorgeschlagen, die Rechenvorschrift um wenigstens eine, nur dem Programmierer bekannte komplexere mathematische Operation zu erweitern, damit das Geburtsdatum nicht mehr so trivial zu berechnen wäre. Dies wurde mir bestätigt.
  
• Hinsichtlich der Übermittlung der Gemeindekennzahl habe ich keine datenschutzrechtlichen Bedenken, falls diese grundsätzlich um drei Stellen gekürzt wird, so dass als kleinste Einheit der Landkreis erscheint.
  
• Hinsichtlich einer verschlüsselten Übertragung der Daten per e-mail hat das Bezirksklinikum Regensburg vorgeschlagen, dass die Identifikations- und Behandlungsdaten getrennt und jeweils verschlüsselt an das Klinikum geschickt werden sollten. Bei Verwendung eines sicheren Verschlüsselungsprodukts habe ich gegen dieses Vorgehen keine Bedenken. Um auch die Authentizität und die Integrität der übermittelten Daten sicherzustellen, sollten diese digital signiert werden.

3.7.2. Gutachterliche Struktur- und Trendanalyse des Rettungsdienstes in Bayern

Einige Sozialverbände sind mit dem Wunsch an mich herangetreten zu prüfen, ob die vom Bayerischen Staatsministerium des Innern bei dem Klinikum Innenstadt der Ludwig-Maximilians-Universität München in Auftrag gegebene "Gutachterliche Struktur- und Trendanalyse des Rettungsdienstes in Bayern" den datenschutzrechtlichen Bestimmungen entspricht. Mit dieser Analyse des Rettungsdienstes sollen Vorschläge für die Optimierung der rettungsdienstlichen Vorhaltung unter Vermeidung eines weiteren erheblichen Kostenanstiegs erarbeitet werden. Hierzu soll eine Bestandsaufnahme sowie eine exakte Erfassung des Einsatzgeschehens erfolgen. Dafür werden sowohl Daten von Patienten als auch vom Personal der Rettungsdienste an die Gutachter übermittelt. Aus datenschutzrechtlicher Sicht war insbesondere auf eine hinreichende Anonymisierung dieser Daten hinzuwirken.

Ich habe in einer Besprechung mit Vertretern des Ministeriums, des Klinikums und anderer Stellen zunächst zum Ausdruck gebracht, dass eine Rechtsgrundlage für die Übermittlung personenbezogener Daten an das Klinikum nicht ersichtlich und eine Einwilligungslösung i.d.R. nicht realisierbar sei. Um die daher für die Datenübermittlung notwendige faktische Anonymisierung der namentlich nicht bekannten Betroffenen zu erreichen, bestand Einigkeit über folgendes Vorgehen:

• Auf die Übermittlung des Geschlechts der transportierten Personen wird verzichtet.
  
• Auch auf die Übermittlung des Geburtsdatums der transportierten Personen wird verzichtet. Datenschutzrechtlich zulässig ist die Übermittlung des Geburtsjahrs oder Lebensalters (in Jahren) der Patienten.
  
• Bezüglich der Daten zum Ausgangs- und Endpunkt der Transporte entfällt die Übermittlung der Hausnummern. Unbedenklich ist dagegen die Übermittlung der jeweiligen Straßennamen und einer noch zu erarbeitetenden Bezeichnung für Wachbereiche. Dies sind die bestehenden Zuständigkeitsbereiche von Rettungswachen.
  
• Im Hinblick auf die Befürchtung, dass aufgrund der zu übermittelnden Daten auch eingesetztes Personal der Rettungsdienste identifiziert werden könne, war ich angesichts der Tatsache, dass dem Gutachter keine Dienstpläne der Rettungsdienste übermittelt werden, der Auffassung, dass eine Identifizierung des eingesetzten Personals nicht möglich sei.

Unter Beachtung dieser Maßgaben hatte ich gegen eine Übermittlung der Daten anhand der überarbeiteten Datenlisten keine datenschutzrechtlichen Bedenken, weil die insoweit reduzierten Übermittlungen keine personenbezogenen Daten im Sinne des Art. 2 Abs. 1 BayDSG umfassen, da sie keine Angaben über Verhältnisse bestimmter oder bestimmbarer Personen enthalten.

3.8. Datenschutz in den Gesundheitsabteilungen der Landratsämter

Ich habe mich bereits in früheren Tätigkeitsberichten (vgl. 10. TB, Nr. 2.3; 11. TB, Nr. 2.2; 13. TB, Nr. 2.2, 14. TB, Nr. 2.1; 15. TB, Nr. 2.4; 16. TB, Nr. 2.4 und 17. TB, Nr. 3.5) mit in Gesundheitsämtern auftretenden datenschutzrechtlichen Fragen beschäftigt. Insbesondere die Eingliederung der staatlichen Gesundheits- und Veterinärämter in die Landratsämter wirft datenschutzrechtliche Fragen auf. Ich weise hierzu auf die genannten Ausführungen im 17. TB hin. Datenschutzrechtliche Leitlinie dieser Eingliederung muss sein, dass sie für die Betroffenen nicht zu einer Verschlechterung ihrer datenschutzrechtlichen Position gegenüber dem früheren Zustand führen darf.

Im Einzelnen ist mir bei der Prüfung der Gesundheitsabteilung eines Landratsamts Folgendes aufgefallen:

• Für die interne Organisation der Gesundheitsabteilung eines Landratsamtes gibt es Mustergeschäftsverteilungspläne für die Landratsämter in der Bekanntmachung des Bayerischen Staatsministeriums des Innern vom 04. Januar 1996 (IZ7-0211.4). Die dort vorgeschlagene Aufteilung der Gesundheitsabteilung in drei Sachgebiete entspricht den datenschutzrechtlichen Anforderungen des Art. 6 Abs. 1 Satz 5 Gesundheitsdienstegesetz (GDG), wonach die Wahrung der Geheimhaltungspflichten und Verwertungsverbote durch angemessene Maßnahmen auch organisatorisch sicher zu stellen ist. Die organisatorische Absicherung des Verwertungsverbots des Art. 6 Abs. 1 Satz 1 GDG erfolgt dadurch, dass einem Sachgebiet der Bereich der freiwilligen gesundheitlichen Aufklärung und Beratung, der einem besonderen Schutz unterliegt, übertragen ist. Dagegen obliegen die hoheitlichen Aufgaben weitgehend den beiden anderen Sachgebieten.
  
• Hinsichtlich der datenschutzgerechten Ausgestaltung der Schwangeren(-konflikt)beratung weise ich zunächst auf den 16. TB (Nr. 2.4.2) und den 17. TB (Nr. 3.5.1, Ziffer 4) hin. Im Rahmen der Prüfung hat sich gezeigt, dass nicht alle datenschutzrechtlichen Anforderungen erfüllt waren:
  
• Nach dem Bayerischen Schwangerenberatungsgesetz (BaySchwBerG) soll möglichst frühzeitig, jedenfalls vor Beginn des Beratungsgesprächs, in geeigneter Weise über die umfassende Schweige- und Geheimhaltungspflicht aller in der Beratungsstelle tätigen Personen und die Möglichkeit der anonymen Beratung informiert werden. Dafür bietet sich bereits in der Regel die telefonische Vereinbarung eines Gesprächstermins an. Ferner sollten ein oder mehrere deutlich sichtbare Schilder im Eingangsbereich der Beratungsstelle angebracht werden, die die Frauen auf die Schweigepflicht und auf die Möglichkeit der anonymen Beratung aufmerksam machen. Ferner darf im Terminkalender der Berater kein Name, sondern nur ein Sachvermerk (z. B. § 218) angebracht werden.
  
• Wichtig für die Anonymität der Beratung ist auch die räumliche Unterbringung der Beratungsstelle. In der geprüften Gesundheitsabteilung befinden sich die Zimmer der Berater im Erdgeschoss im Eingangs- und Wartebereich der Gesundheitsabteilung. Für dort Wartende ist es ohne weiteres erkennbar, dass und welche Frauen zur Schwangerenberatung kommen. Dies wird allenfalls dadurch abgemildert, dass die Frauen bei der Terminabsprache am Telefon auf den genauen Weg zu den Beratungszimmern hingewiesen werden. Die Anonymität der Schwangerenberatung könnte besser gewährleistet werden,
  z. B. durch ein Verlegen der Beratungszimmer in ein oberes Stockwerk, durch das Verlegen des allgemeinen Wartebereichs oder durch das Schaffen eines eigenen - abgetrennten - Wartebereichs.
  
  Außerdem habe ich bei meiner Kontrolle festgestellt, dass - zumindest einige - Zimmer der Berater von Passanten der vorbeiführenden Fußgängerzone aus eingesehen werden können und die Lamellenrollos wegen des dann fehlenden Tageslichts nicht geschlossen werden. Ich habe angeregt, falls die Schwangerenberatung nicht in andere Räume verlegt werden kann, zumindest geeignete Schutzmaßnahmen, z. B. das Anbringen blickdichter Gardinen, zu ergreifen.
  
• Weiterhin habe ich festgestellt, dass die bei der Schwangerenkonfliktberatung verwendeten Vordrucke "Beratungsbescheinigung" und "Protokoll zur Schwangerenkonfliktberatung" zwar getrennt voneinander aufbewahrt werden, jedoch Unsicherheiten hinsichtlich der Vernichtung der Unterlagen bestehen. Außerdem werden die Beratungsbescheinigungen und die Protokolle in einfachen Holzschränken und jeweils in der Reihenfolge ihres Entstehens aufgehoben.
  
  Hierzu habe ich der Gesundheitsabteilung mitgeteilt, dass gem. Art. 10 Abs. 2 Satz 2 BaySchwBerG die Beratungsbescheinigungen sorgfältig unter Verschluss zu halten und nach Ablauf von fünf Jahren zu vernichten sind. Die Beratungsprotokolle sind sorgfältig und getrennt von den Beratungsbescheinigungen unter Verschluss zu halten und nach Ablauf von drei Jahren zu vernichten, Art. 9 Abs. 1 BaySchwBerG.
  
  Datenschutzrechtlich bedenklich ist die Aufbewahrung dieser Unterlagen in einfachen Holzschränken. Ich habe angeregt, diese Schränke durch Schränke mit Stahltüren bzw. Stahlschüben zu ersetzen. Bedenklich ist ferner die Aufbewahrung der Durchschriften der Beratungsbescheinigungen und der Protokolle in chronologischer Reihenfolge, da diese nachträglich zusammengeführt werden können und sich aus der Beratungsbescheinigung bei nicht anonymer Beratung der Name der beratenen Frau ergibt. Es muss daher regelmäßig umsortiert werden.
• Die Gesundheitsabteilung führt eine eigene - vom Landratsamt unabhängige - Registratur. Diese eigenständige Registratur ist aus datenschutzrechtlicher Sicht unbedingt notwendig. Hierzu weise ich auf die Begründung zum Entwurf des Gesetzes für die Eingliederung der staatlichen Gesundheitsämter und der staatlichen Veterinärämter in die Landratsämter (Landtagsdrucksache 13/2890, Seite 9) hin.
• Weiterhin habe ich festgestellt, dass sich die Akten der Gesundheitsabteilung in den jeweiligen Sachgebieten bzw. bei den zuständigen Sacharbeitern befinden. Sie werden bei Bedarf mit Hilfe der Zentralkartei zusammengeführt. Die Akten aus der freiwilligen gesundheitlichen Beratung und Begutachtung werden in jedem Fall getrennt von den übrigen Aktenbeständen der Gesundheitsabteilung geführt.
  
  Unterlagen der Gesundheitsabteilung über die selbe Person aus freiwilliger Beratung oder Begutachtung einerseits und hoheitlicher Tätigkeit andererseits dürfen nicht in einer Einheitsakte geführt werden, weil sonst beim Ziehen der Akte zum Vollzug hoheitlicher Maßnahmen die durch Art. 6 GDG besonders geschützten vertraulichen Angaben zur Kenntnis genommen würden (vgl. 17. TB, Nr. 3.5.1, Ziffer 1 und Seite 26, 2. Spiegelstrich). Es hat also eine strikte Trennung der Akten aus dem Bereich der freiwilligen gesundheitlichen Beratung und Begutachtung von den übrigen Aktenbeständen der Gesundheitsabteilung zu erfolgen. In der geprüften Gesundheitsabteilung war diese Trennung gewährleistet.
  
• Auch die Ausgestaltung der Zentralkartei stieß auf keine datenschutzrechtlichen Bedenken. Diese Zentralkartei wird als reine Suchkartei auf weißen Karteikarten geführt, die alphabetisch geordnet sind. Darauf vermerkt sind der Name, der Vorname und das Geburtsdatum des Betroffenen und ein Hinweis, wegen welcher Vorgänge jemand im Amt war. Die Vorgänge sind dann im jeweiligen Sachgebiet zu finden. Die Suchkartei enthält keine Hinweise auf Vorgänge einer freiwilligen Beratung, so dass ein Zusammenführen der Unterlagen nur möglich ist, wenn der Betroffene einen Hinweis gibt.
  
  Die Zentralkartei darf keine inhaltlichen Hinweise auf bestimmte Erkrankungen oder persönliche Lebensumstände neben den notwendigen Suchmerkmalen enthalten, wenn damit Informationen aus der freiwilligen Beratung an andere Tätigkeitsbereiche der Gesundheitsabteilung gelangen können (vgl. 10. TB, Nr. 2.3.1 und 11. TB, Nr. 2.2). Zumindest die Unterlagen über Beratung und Begutachtung müssen im jeweiligen Sachgebiet verbleiben. Die Aufgabe einer Suchkartei kann auch damit erfüllt werden, dass nur formale Hinweise darauf aufgenommen werden, in welchen Sachgebieten Vorgänge zu der betreffenden Person vorhanden sind. Aus der Angabe eines bestimmten Sachgebiets dürfen jedoch keine Rückschlüsse auf bestimmte Erkrankungen möglich sein, die bei freiwilliger Beratung/Begutachtung angesprochen worden sind. Dies kann z. B. der Fall sein, wenn diesem Sachgebiet nur bestimmte Krankheiten zugewiesen sind (vgl. 15. TB, Nr. 2.4).
  
• Ferner habe ich bei der Prüfung festgestellt, dass in der Gesundheitsabteilung gegenwärtig keine automatisierte Datenverarbeitung benutzt wird. Computer werden nur zur Textverarbeitung verwendet. Wegen des zukünftig beabsichtigten Einsatzes der automatisierten Datenverarbeitung habe ich darauf hingewiesen, dass dieselben Grundsätze wie bei einer Zentraldatei gelten. Das DV-System darf keine Angaben über gesundheitliche Probleme, die die Gesundheitsabteilung bei freiwilliger Beratung oder Begutachtung erfahren hat, für die Sachbearbeitung außerhalb dieser Tätigkeit zur Verfügung stellen (vgl. hierzu 15. TB, Nr. 2.4). Dies gilt sowohl intern in der Gesundheitsabteilung als auch gegenüber den anderen Abteilungen des Landratsamts. Die Art der Erkrankung, die bei freiwilliger Beratung oder Begutachtung bekannt wurde, darf am Bildschirm nur dem für diese freiwillige Beratung und Begutachtung zuständigen Mitarbeiter angezeigt werden. Zulässig ist die Anzeige der Nummern der Sachgebiete, die sich in freiwilliger Beratung oder Begutachtung mit dem Besucher befasst haben, solange die Sachgebietsnummern so vergeben sind, dass sie nicht auf ein bestimmtes gesundheitliches Problem hinweisen.
  
• Hinsichtlich der Organisation des Posteinlaufs habe ich zunächst auf meinen 17. TB (Nr. 3.5.1, Ziffer 5 und 1. Spiegelstrich) verwiesen. Ergänzend war zu bemerken, dass den Ratsuchenden empfohlen werden könnte, auf ihren Sendungen geeignete Zusätze anzubringen. Ein entsprechender Hinweis auf die Kenntlichmachung "sensibler Briefe" (z.B. durch "persönlich", "Schwangerenberatung" etc.) könnte auch gut sichtbar in der Dienststelle angeschlagen werden.
  
  Im Rahmen der Prüfung habe ich zudem festgestellt, dass der Posteinlauf über die Poststelle des Landratsamts gem. § 15 der dortigen Geschäftsordnung erfolgt. Von der Haupt- und Personalverwaltung des Landratsamts wurden die Bediensteten der Poststelle mündlich angewiesen, dass als Arztbefunde bzw. -schreiben an die Schwangerenberatungstelle oder die Aidsberatung erkenntliche Sendungen ungeöffnet an die Gesundheitsabteilung weitergeleitet werden müssen. In der Gesundheitsabteilung wird der Posteinlauf in ein Posteingangsbuch eingetragen und an den für die Bearbeitung Zuständigen weitergeleitet.
  
  Ich habe darauf hingewiesen, dass die oben dargestellten Maßgaben des 17. TB, die den Landratsämtern vom Staatsministerium des Innern im Schreiben vom 07.12.1995 mitgeteilt wurden, den Bediensteten der Poststelle nicht nur mündlich sondern auch schriftlich bekannt zu geben sind. Ggf. bietet sich auch das Erstellen einer Dienstanweisung an. § 15 der Geschäftsordnung des Landratsamts aus dem Jahre 1989 war immer noch auf den Eingang "normaler" Behördenpost in einem Landratsamt ohne Gesundheitsabteilung zugeschnitten und berücksichtigte nicht die besondere Tätigkeit einer Gesundheitsabteilung.
  
  Wegen Fragen der Abschottung von Datenbeständen der Gesundheitsabteilung bei zentraler EDV verweise ich auf Nr. 17.3.6 dieses Berichts.

3.9. Weitergabe von Erkenntnissen aus Heilfürsorgeunterlagen

Eine Polizeibeamtin hat mir vorgetragen, dass ein Polizeiarzt Erkenntnisse aus ihrer Behandlung im Rahmen der freien Heilfürsorge an ihren Dienstvorgesetzten weitergegeben habe, obwohl weder ihre Einwilligung noch ein Gutachtensauftrag des Dienstherrn vorlag. Ich habe das wie folgt beurteilt:

Den Beamten der Bayerischen Bereitschaftspolizei, die aufgrund dienstlicher Verpflichtung in einer Gemeinschaftsunterkunft wohnen, wird freie Heilfürsorge gewährt. Dies bedeutet, dass die Beamten im Regelfall durch den Polizeiärztlichen Dienst ärztlich versorgt werden. Tritt ein Polizeiarzt in der Funktion eines behandelnden Arztes im Rahmen der freien Heilfürsorge auf, unterliegen daher die hierbei entstehenden Unterlagen und Erkenntnisse in vollem Umfang der ärztlichen Schweigepflicht (§ 203 StGB). Anders als im Fall einer im Auftrag des Dienstherrn vorzunehmenden ärztlichen Begutachtung (z.B. Dienstunfähigkeitsuntersuchungen) darf der Arzt Untersuchungsergebnisse aus der freien Heilfürsorge nicht ohne Befugnis (z.B. Einwilligung des Betroffenen) an Dritte weitergeben.

Eine Durchbrechung der ärztlichen Schweigepflicht wäre dann gerechtfertigt gewesen, wenn die Beamtin wegen der angenommenen Beeinträchtigung ihrer Gesundheit in ihrer konkreten dienstlichen Funktion eine akute Gefahr für sich selbst oder andere Personen dargestellt hätte. Eine solche akute Gefahrenlage konnte vom Dienstherrn nicht dargelegt werden. Ich habe daher die Datenweitergabe durch den Polizeiärztlichen Dienst förmlich beanstandet.

Das Präsidium der Bayer. Bereitschaftspolizei hat daraufhin eine Arbeitsgruppe eingesetzt, die sich mit der Erstellung von Leitlinien zur ärztlichen Schweigepflicht für den Polizeiärztlichen Dienst befasst, um den betroffenen Medizinern eine Entscheidungshilfe an die Hand zu geben. Darüber hinaus habe ich im Zusammenhang mit der datenschutzrechtlichen Prüfung eines Polizeiärztlichen Dienstes erreicht, dass künftig zur bereits bestehenden personellen Trennung zwischen dem Bereich der Heilfürsorge und den übrigen Funktionen im Polizeiärztlichen Dienst auch eine organisatorische Trennung der Akten vorgenommen wird.

3.10. Unzulässige Verarbeitung von Daten Behinderter in einem Universitätsinstitut

Wie mir durch Presseartikel bekannt wurde, verarbeitete das Humangenetische Institut einer bayerischen Universität personenbezogene Daten und Blutproben von Bewohnern eines nicht meiner Kontrollbefugnis unterliegenden Behindertenwohnheims. Die ehemalige Leiterin des Medizinischen Dienstes dieses Wohnheims hatte die Patientendaten und Blutproben an das Institut weitergegeben, ohne eine Einwilligung der Betroffenen bzw. ihrer Betreuer (gesetzlichen Vertreter) einzuholen. Die Daten wurden auch in einer Dissertation einer Doktorandin des Instituts verwertet.

Ich habe diesen Vorgang beanstandet und meine Beanstandung vor allem damit begründet, dass personenbezogene Daten von Heimbewohnern ohne Einwilligung der Betroffenen bzw. ihrer gesetzlichen Vertreter oder eine andere Offenbarungsbefugnis, das heißt rechtswidrig an das Humangenetische Institut übermittelt wurden. Daher durften sie dort auch nicht verarbeitet, insbesondere gespeichert oder genutzt werden. Aus der Unzulässigkeit der Übermittlung an das Institut folgt die Unzulässigkeit einer weiteren Verarbeitung durch dieses. Auch Art. 27 Abs. 4 des Bayerischen Krankenhausgesetzes (BayKrG) bietet keine Rechtsgrundlage für diese Vorgehensweise, da diese Vorschrift rechtmäßig erhobene Daten voraussetzt. Ich habe klargestellt, dass es nicht darauf ankommt, ob die Mitarbeiter des Instituts darauf vertrauen durften, dass von Seiten des Medizinischen Dienstes des Wohnheims die zur zulässigen Offenbarung erforderlichen Einwilligungen eingeholt wurden. Entscheidend war, dass die Patientendaten ohne Befugnis übermittelt wurden und diese rechtswidrige Übermittlung zur Rechtswidrigkeit der weiteren Verarbeitung und Nutzung dieser Daten führt.

Ich konnte mich auch nicht der Auffassung des Instituts anschließen, dass die Auswertung der Blutproben zu genetischen Untersuchungen unter einen kurativen Auftrag des Medizinischen Dienstes fällt. Zwar enthält § 1 des Heimvertrags die Klausel "Versorgung unter Wahrung des Rechts auf freie Arztwahl". Eine Einwilligung in eine genetische Untersuchung kann ich hierin jedoch nicht sehen, da es sich hier allenfalls um eine Einwilligung zu den erforderlichen Untersuchungen durch den Medizinischen Dienst des Heims handelt. Auch eine mutmaßliche Einwilligung in eine genetische Untersuchung kann nicht unterstellt werden, da damit weder die Behinderten noch ihre gesetzlichen Vertreter zu rechnen brauchen.