Der Bayerische Landesbeauftragte für den Datenschutz; 17. Tätigkeitsbericht, 1996; Stand: 13.12.1996

3. Gesundheitswesen

3.1 Informationstechnologie im Gesundheitswesen

3.1.1 Chipkarten im Gesundheitswesen

Bemühungen um einen datenschutzgerechten Einsatz von freiwilligen Gesundheitskarten der verschiedensten Art sind heute weltweit in allen Industriestaaten zu verzeichnen. So hat der Datenschutzbeauftragte aus Quebec bereits auf der Internationalen Datenschutzkonferenz in Den Haag im Herbst 1994 ein Pilotprojekt "Gesundheitskarte von Quebec" ("Rimonski Health Smartcard Project") vorgestellt, das den Informationsfluß zwischen den Kartenbenutzern und den Angehörigen der medizinischen Berufe verbessern soll. Das Projekt geht von einer freiwilligen Beteiligung der Betroffenen aus. Wie ich bei der Präsentation des Vorhabens und aus dem inzwischen vorliegenden Abschlußbericht des Projekts feststellen konnte, nahmen Überlegungen zu Datenschutzfragen bei der Konzeption des Vorhabens und seiner Durchführung erheblichen Raum ein. So sind die Zugriffsberechtigungen auf die gespeicherten Daten sehr differenziert nach Berufssparten und Datengruppen behandelt und die Datenschutzbehörde von Quebec hat z.B. gefordert, daß die Karten nicht für Zwecke des Arbeitgebers verwendet werden dürfen. Gerade dieser Punkt spielt auch bei der Datenschutzdiskussion in Deutschland eine wichtige Rolle.

Die Europäische Kommission und die Gruppe der G 7-Staaten befassen sich gleichfalls mit dem Einsatz von freiwilligen Gesundheitskarten und berücksichtigen dabei auch die damit verbundenen Datenschutzfragen.

Wie im 16. Tätigkeitsbericht vermerkt, hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder bereits am 9./10. März 1994 einen Beschluß zu der Thematik gefaßt. Wegen der seitdem zu verzeichnenden dynamischen Entwicklung befaßte sich die Konferenz am 9./10. November 1995 in einem zweiten umfangreichen Beschluß nochmals mit dem Thema. Er ist in der Anlage 4 zu diesem Tätigkeitsbericht abgedruckt. Die wesentlichen Punkte dieser Entschließung sind folgende:

• die besondere Schutzwürdigkeit medizinischer Daten,

• die freie Entscheidung der Betroffenen über die Verwendung einer Chipkarte,

• die Forderung, daß mit der Einführung eines Chipkartensystems keine Verschlechterung des Arzt/Patientengeheimnisses verbunden sein darf, und

• die Forderung, daß die Einführung von Chipkarten nicht zur Einrichtung von zentralen Dateien mit Chipkarten-Daten führen darf.

Die Entschließung hat eine lebhafte Diskussion ausgelöst. Dies zeigt sich etwa an einer umfangreichen Stellungnahme der Bundesärztekammer. Ferner war die Entschließung Gegenstand von Gesprächen mit der Arbeitsgemeinschaft "Karten im Gesundheitswesen", in der Verbände, Institutionen und Unternehmen vertreten sind, die sich mit Chipkarten im Gesundheitswesen befassen. Die Gespräche dauern noch an. In Übereinstimmung mit meinen Kollegen beim Bund und den anderen Ländern trete ich dabei dafür ein, daß die oben genannten wesentlichen Punkte ausreichend berücksichtigt werden. Hinreichende Datenschutzvorkehrungen liegen nicht zuletzt im Interesse der Anbieter und Anwender von Chipkarten. Ohne hinreichende Datenschutzmaßnahmen dürfte die Akzeptanz solcher Karten bei den Betroffenen nur gering sein.

3.1.2 Telemedizin

Die Telemedizin eröffnet durch den schnellen Austausch von Patientendaten wesentliche, teilweise faszinierende Möglichkeiten, die Patientenbehandlung qualitativ zu verbessern. Im Rahmen der Initiative Bayern Online fördert das Bayerische Arbeits- und Sozialministerium die Entwicklung eines Bayerischen Gesundheitsnetzes. An dem entsprechenden Arbeitskreis wirke ich beratend mit. Zu den rechtlichen Voraussetzungen der Telemedizin habe ich darauf hingewiesen, daß sie nichts an den Voraussetzungen ändert, unter denen bisher die Übermittlung von Patientendaten zulässig ist. Das heißt, für die ärztliche Datenverarbeitung gegenüber dem Patienten sind maßgebend der Behandlungsvertrag, die Zustimmung des Patienten im Einzelfall, das ärztliche Berufs- und Standesrecht, die Krankenhausgesetze, in Bayern das Bayerische Krankenhausgesetz, und die Datenschutzgesetze; für das Verhältnis zwischen Arzt und gesetzlicher Krankenkasse das SGB V, und nicht zuletzt das strafrechtlich geschützte ärztliche Berufsgeheimnis.

Hieraus ergeben sich folgende Grundprinzipien:

• Auch für telemedizinische Anwendungen muß Datenverarbeitung

• im Rahmen des Behandlungsvertrags erforderlich sein,

• für den Betroffenen soweit möglich durchschaubar sein,

• vom Schutz des Arztgeheimnisses abgedeckt sein,

• gewährleisten, daß Daten nur an Berechtigte übermittelt werden,

• den Anforderungen der Datensicherheit entsprechen.

• Schließlich muß die Teilnahme an großen, einrichtungsübergreifenden medizinischen IT-Systemen - jedenfalls auf der Basis der gegenwärtigen Rechtslage - freiwillig, auf der Grundlage ausreichender Information im Sinn eines "Informed consent" erfolgen.

Zu den technisch-organisatorischen Anforderungen für telemedizinische Anwendungen verweise ich auf meine Ausführungen unter Nr. 18.1.2 dieses Berichts hin.

3.2 Landesgesetz über ergänzende Regelungen zum Schwangerschaftskonfliktgesetz und zur Ausführung des Gesetzes zur Hilfe für Frauen bei Schwangerschaftsabbrüchen in besonderen Fällen

Nach den neuen gesetzlichen Vorschriften dürfen die Einnahmen aus Schwangerschaftsabbrüchen ein Viertel der Einnahmen aus der gesamten Tätigkeit einer Einrichtung nicht übersteigen, die Schwangerschaftsabbrüche vornimmt. Um die Einhaltung dieses Gebotes im erforderlichen Umfang kontrollieren zu können, müssen bei den Einrichtungen Daten erhoben werden. Die gesetzliche Regelung konnte jedoch so abgefaßt werden, daß dabei keine patientenbezogenen Daten und arztbezogene Daten nur im unvermeidlichen Umfang erhoben werden.

Das Bundesverfassungsgericht hat in seinem Urteil vom 28.05.1993 dem Gesetzgeber aufgegeben zu prüfen, ob - nach dem französischen Beispiel - der Entstehung von Einrichtungen, die sich auf Schwangerschaftsabbrüche spezialisieren, durch Begrenzung der Anzahl der Abbrüche auf einen bestimmten Anteil der insgesamt vorgenommenen ärztlichen Verrichtungen entgegengetreten werden kann. Um reine Abtreibungskliniken zu verhindern, legt das französische Gesundheitsrecht fest, daß der Anteil von Schwangerschaftsabbrüchen jährlich maximal ein Viertel der in der Einrichtung erbrachten chirurgischen Eingriffe und Entbindungen erreichen darf. Im Bayerischen Schwangerenhilfeergänzungsgesetz vom 09. August 1996 ist nach diesem Beispiel festgelegt worden, daß die Einnahmen aus den in der Einrichtung vorgenommenen Schwangerschaftsabbrüchen ein Viertel der aus der gesamten Tätigkeit der Einrichtung erzielten Einnahmen nicht übersteigen dürfen.

Zur Überprüfung, ob diese Grenze eingehalten wird, müssen Daten erhoben werden. Das Gesetz schreibt daher vor, daß die Einrichtungen der zuständigen Regierung für jedes Jahr die Zahl der Schwangerschaftsabbrüche und die Summe der für die Schwangerschaftsabbrüche vereinnahmten Vergütungen melden müssen. Insoweit findet keine patientenbezogene Datenerhebung statt. Als Nachweis zur Verifizierung dieser Angaben sieht das Gesetz die Vorlage von Belegen, insbesondere Honorar- und Abrechnungsbelegen von Sozialleistungsträgern, Krankenkassen und der Kassenärztlichen Vereinigung vor (Art. 5 Abs. 4 Satz 1 Nr. 2). Bei patientenbezogener Leistungsabrechnung sind jedoch nicht die patientenbezogenen Unterlagen, sondern nur nicht patientenbezogene Bescheinigungen des jeweiligen Leistungsträgers vorzulegen (Art. 5 Abs. 4 Satz 1 a.E.).

Nach der Festlegung der Befugnisse der Gesundheitsämter und Regierungen in Art. 7 Abs. 1 Nr. 1 und 3, Abs. 2 und 3 des Gesetzes können nur Auskünfte nicht patientenbezogener Art verlangt werden und Einsichtnahmen nur in nicht patientenbezogene Unterlagen genommen werden. Die Wahrung der ärztlichen Schweigepflicht gegenüber den Patientinnen, auch in dem Verfahren zur Überprüfung der Einhaltung des 25-%-Anteils, halte ich damit für sichergestellt.

Zur Frage des Datenschutzes in bezug auf den betreffenden Arzt selbst wurde in intensiven Gesprächen mit dem Bayerischen Sozialministerium darüber Einigung erzielt, daß die Ärzte anstelle von Angaben über vereinnahmte Vergütungen die Bescheinigung eines Wirtschaftsprüfers, vereidigten Buchprüfers, Steuerberaters, Steuerbevollmächtigten oder eines Organs oder eines Mitglieds eines Organs einer Wirtschaftsprüfungs-, Buchführungs- oder Steuerberatungsgesellschaft vorlegen können, aus der sich ergibt, daß aufgrund einer Prüfung der Buchführung die 25-%-Grenze im Kalenderjahr nicht überschritten worden ist (Art. 5 Abs. 3 Satz 4). Ich bin der Ansicht, daß durch diese Regelung die Intensität des Eingriffs durch Datenerhebung über Einkommensverhältnisse von Ärzten unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes hinreichend eingeschränkt wurde.

Im übrigen weise ich auf die Ausführungen in meinem 16. Tätigkeitsbericht hin. Dort habe ich dargestellt, daß ich mich dafür eingesetzt habe, daß Ärzte, die Schwangerschaftsabbrüche durchführen, nicht die dargelegten Gründe für den Abbruch der Schwangerschaft dokumentieren müssen, sondern sich auf Aufzeichnungen über die Tatsache der Darlegung der Gründe zu beschränken haben. Dies entspricht den Ausführungen des Bundesverfassungsgerichts in der Begründung des Urteils vom 28. Mai 1993 (16. TB, Nr. 2.5, Seite 21). Art. 18 Abs. 2 Satz 3 Nr. 2 des bayerischen Heilberufe-Kammergesetzes beschränkt sich nun auf die Dokumentation der Tatsache der Darlegung der Gründe anstelle der Dokumentation der Gründe selbst.

3.3 Medizinische Forschung und Datenschutz

3.3.1 Forschungsgeheimnis

Im letzten Tätigkeitsbericht habe ich mich für die Schaffung eines Forschungsgeheimnisses - "wie beim Arzt" - mit Zeugnisverweigerungsrecht und Beschlagnahmeschutz durch Bundesgesetz eingesetzt. Seit dem letzten Bericht waren verschiedene Äußerungen zu dieser Thematik zu verzeichnen:

So wurde von rechtswissenschaftlicher Seite vor einer völligen Freigabe von Patientendaten nach Einrichtung eines solchen Forschungsgeheimnisses gewarnt, aber auch darauf hingewiesen, daß sich die "unabhängige Forschung" als Institution nicht leicht definieren läßt.

Dem ist gegenüberzustellen, daß die von mir geforderte rechtliche Absicherung von Patientendaten, die für wissenschaftliche Forschungsprojekte gespeichert werden, nicht automatisch die Freigabe der personenbezogenen Patientendaten gegenüber der Forschung zur Folge hat. Vielmehr müßte zunächst der Bundes- bzw. der Landesgesetzgeber unter Abwägung der Forschungsinteressen auf der einen und der Interessen der Patienten an der Geheimhaltung ihrer Befunde auf der anderen Seite eine entsprechende Verarbeitungsbefugnis schaffen, soweit der Patient nicht selbst einwilligt.

Die Arbeitsgemeinschaft der wissenschaftlichen medizinischen Fachgesellschaften - AWMF - vertritt in ihrer Resolution vom Sommer 1995, mit der sie eine Verbesserung des gesetzlichen Geheimnisschutzes für personenbezogene medizinische Forschungsdaten fordert, die Ansicht, daß bereits mit Einrichtung eines medizinischen Forschungsgeheimnisses automatisch eine Zustimmung des Patienten zur Forschungsnutzung seiner geheimnisgeschützten persönlichen Daten nicht mehr erforderlich sei und daß er lediglich ein Widerspruchsrecht haben solle. Ein solcher Schluß würde aber der gebotenen Abwägung zwischen Forschungsinteresse und Wahrung des Patientengeheimnisses nicht gerecht, weil pauschal jede Art von Patientendaten ohne Rücksicht auf Sensibilität freigegeben würde.

Im Rahmen der Diskussion des Forschungsgeheimnisses wurde auch die Ansicht vertreten, daß dieses überflüssig sei, weil alle Landesdatenschutzgesetze Forschungsklauseln mit Zweckbindungsgeboten enthielten und die Forschungsdatennutzung "zumindest, soweit es medizinische Forschung durch ärztliches Personal betrifft", durch Beschlagnahmeverbot und Zeugnisverweigerungsrecht bereits abgesichert sei. Dem ist jedoch entgegenzuhalten, daß landesrechtliche Forschungsklauseln gegen Inanspruchnahme personenbezogener Patientendaten aufgrund bundesrechtlichen Prozeßrechts (StPO) wirkungslos sind, und daß durchaus nicht alle Daten im Bereich medizinischer Forschung durch ärztliches Personal verarbeitet werden. Außerdem erscheint es höchst zweifelhaft, ob allein der Arzt-Status (eines Forschers, der nicht auch behandelnder Arzt der Betroffenen ist) bei Verarbeitung von personenbezogenen Patientendaten für Zwecke wissenschaftlicher Forschung das Beschlagnahmeverbot und das Zeugnisverweigerungsrecht zur Folge hat. Beschlagnahmefrei sind nämlich Unterlagen nur im Gewahrsam der zur Verweigerung des Zeugnisses Berechtigten (§ 97 Abs. 2 StPO). Zur Verweigerung des Zeugnisses sind Ärzte nur über das berechtigt, "was ihnen in dieser Eigenschaft anvertraut worden oder bekanntgeworden ist" (§ 53 Abs. 1 Nr. 3 StPO). Auch die Sanktion der ärztlichen Schweigepflicht in § 203 StGB gilt für Ärzte nur, soweit ihnen Geheimnisse "als Arzt" anvertraut oder sonst bekanntgeworden sind. Höchstrichterliche Entscheidungen zur Frage, wann Daten, die ein wissenschaftliches Institut zu Forschungszwekken erhalten hat, dortigen Ärzten "als Arzt" anvertraut oder bekanntgeworden sind, sind nicht ersichtlich. Dazu kommt, daß auch für die wissenschaftliche Auswertung immer mehr statistische und Datenverarbeitungskenntnisse gebraucht werden, so daß oft die betreffenden Daten in den Händen eines Teams von Informatikern, Statistikern und Ärzten liegen. Nach meiner Auffassung kann deshalb ein Patient nur dann sichergehen, daß seine personenbezogenen Daten bei Forschern "wie beim Arzt" geschützt sind, wenn der Beschlagnahme- und Zeugnisverweigerungsschutz eindeutig auf den Bereich unabhängiger wissenschaftlicher Forschung erstreckt wird. Um dieses Patienteninteresse geht es mir, wenn ich die Einführung des medizinischen Forschungsgeheimnisses fordere.

3.3.2 Sonstige Krankheits-Registrierungen

Fehlbildungs-Registrierung durch mitbehandelnde Ärzte, Registrierung von Nierenbehandlungen zur Qualitätssicherung

• Registrierung von Fehlbildungen - "Münchner Fehlbildungskonsil"

Im Raum München ist vorgesehen, Fehlbildungen bei Neugeborenen nach dem Vorbild eines in Mainz entwickelten Dokumentationsverfahrens ("Mainzer Modell") ärztlich zu dokumentieren. Bei der Konzeption des Münchner Vorhabens wurden meine Mitarbeiter um Beratung gebeten.

Ein wesentliches Moment des Schutzes der personenbezogenen Daten von Kind und Eltern im "Mainzer Modell" ist, daß die Daten dort von einer mitbehandelnden Ärztin gesammelt und ausgewertet werden, die ihrerseits von den geburtshilflichen Kliniken konsultiert wird. Die Daten stehen daher - auch nach Ansicht des Datenschutzbeauftragten von Rheinland-Pfalz - bei der mitbehandelnden Ärztin wie beim behandelnden Arzt unter dem Schutz der ärztlichen Schweigepflicht.

Die Daten werden in der Dokumentation ohne Namen, jedoch mit vollständigem Geburtsdatum des Kindes registriert. Auch die Klinik ist festgehalten. Da die dokumentierten Daten bei mitbehandelnden Ärzten durch Schweigepflicht, Zeugnisverweigerungsrecht und Beschlagnahmeschutz nach StGB und StPO geschützt sind, wurde dieser Anonymisierungsgrad auch für die Einführung im Münchner Raum für ausreichend erachtet. Die Anonymität der Dokumentation wird im übrigen auch dadurch verbessert, daß die örtliche Zuordnung nicht mit der Postleitzahl der elterlichen Anschrift, sondern in stärker aggregierter, mehrere Stadtbezirke umfassender Form festgehalten wird.

Auch im Münchner Raum ist vorgesehen, daß bestimmte, besonders sachkundige Ärzte zweier großer Pädiatrischer Kliniken, die von den Entbindungskliniken konsiliarisch als (mit-)behandelnde Ärzte bei den Geburten zu Fehlbildungsfragen eingeschaltet werden, ihre Dokumentation führen und wissenschaftlich auswerten. Diese Münchner Version des "Mainzer Modells" trägt daher auch den Namen "Münchner Fehlbildungskonsil". Eine Herausgabe von personenbezogenen bzw. nicht ausreichend anonymisierten Angaben oder Unterlagen durch diese Ärzte an andere Personen oder Stellen ist nicht vorgesehen.

Das Sozialministerium hat darauf hingewiesen, daß die Finanzierung/Realisierung des "Münchner Fehlbildungskonsils" zur Zeit noch offen ist.

• QuaSi-Niere

Um die Qualität von Nierenersatztherapien (z.B. von Behandlungen mit der sog. "künstlichen Niere") zu sichern, soll ein bundesweites Nierenbehandlungsregister aufgebaut werden, das den Projektnamen "QuaSi-Niere" trägt. Dabei ist folgendes Vorgehen geplant: Die einzelnen Behandlungseinrichtungen (z.B. Dialysezentren) liefern patientenbezogene Daten, die für die Qualitätssicherung bedeutsam sind, mittels eines Formblatts an einen "Datentreuhänder". Dieser verschlüsselt die Daten, indem an die Stelle der Patientendaten ein Pseudonym tritt, das nur dem Datentreuhänder bekannt ist. Unter diesem Pseudonym werden die Daten an eine Projektgeschäftsstelle übermittelt, die derzeit bei der Ärztekammer Berlin angesiedelt ist. Dort werden die pseudonymisierten Daten gespeichert und verarbeitet. Dadurch sollen Parameter für die Qualitätssicherung ermittelt werden, zum Beispiel, wie sich bei bestimmten Ausgangssituationen spezifische Behandlungsmethoden auf die Überlebensdauer von Patienten auswirken. Im Mittelpunkt des Interesses steht also nicht das Schicksal eines konkreten einzelnen Patienten, sondern das Schicksal von Patientengruppen. Dementsprechend sollen von der Projektgeschäftsstelle an die Behandlungseinrichtungen keine Daten zurückfließen, die sich auf konkrete einzelne Patienten beziehen, sondern nur aggregierte Daten, die Aussagen über Patientengruppen ermöglichen, z.B. Aussagen darüber, wie sich die in einer Behandlungseinrichtung übliche Behandlungsdosis auf die Behandlungsdauer auswirkt.

Ob es zur Durchführung des Projekts einer Einwilligung der Betroffenen bedarf, wird derzeit noch diskutiert. Zum Teil wird die Meinung vertreten, daß in § 137 SGB V, wonach insbesondere Krankenhäuser verpflichtet sind, sich an Maßnahmen zur Qualitätssicherung zu beteiligen, eine hinreichende gesetzliche Rechtsgrundlage vorhanden ist. Da es hierzu jedoch auch Gegenmeinungen gibt, gehe ich einstweilen davon aus, daß eine Einwilligung der Betroffenen erforderlich ist. Im übrigen würde auch das Bestehen einer gesetzlichen Grundlage nichts daran ändern, daß eine möglichst frühzeitige Anonymisierung angestrebt werden muß.

3.3.3 Einzelne Datenschutzfragen im Zusammenhang mit Forschungsprojekten

Telefonumfragen - Daten Verstorbener - Anonymisierung

• Gesundheitsdatenerhebung durch Telefonumfragen

Aufgrund der Anfrage eines Universitätsklinikums hatte ich mich mit datenschutzrechtlichen Aspekten von Telefonumfragen für eine wissenschaftliche Fragestellung zu befassen. Ich habe für die Telefoninterviews u.a. folgende Ratschläge gegeben:

• Es muß eindeutig feststehen, für welche Stelle die Daten erhoben werden - im betreffenden Fall war dies das Hochschulklinikum.

• Vor der Datenerhebung muß dem Betroffenen der Zweck der Erhebung ausreichend verdeutlicht werden (Art. 16 Abs. 3 Satz 1 BayDSG).

• Die Befragten müssen vorab auf die Freiwilligkeit ihrer Angaben hingewiesen werden (Art. 16 Abs. 3 Satz 2 BayDSG).

• Es müssen geeignete Maßnahmen ergriffen werden um der Gefahr zu begegnen, daß Dritte, die von der telefonischen Datenerhebung erfahren, unter Vorspiegelung eines Anrufes der Universitätsklinik Personen über gesundheitliche Verhältnisse ausfragen - z.B. Rückruf der Betroffenen.

• Die Vorschriften des Art. 23 BayDSG über die Verarbeitung und Nutzung personenbezogener Daten durch Forschungseinrichtungen müssen beachtet werden (u.a. Zweckänderung für Forschung, Anonymisierung).

• Wissenschaftliche Auswertung von Daten (verstorbener) Patienten in einer Klinik

Bei einer internationalen Fallkontrollstudie stellte sich die Frage nach der rechtlichen Befugnis zur Nutzung personenbezogener Daten von verstorbenen Patienten der Klinik für wissenschaftliche Zwecke der Klinik. Das Bayerische Krankenhausgesetz, das für alle bayerischen Krankenhäuser gilt, auf die das Bundeskrankenhausfinanzierungsgesetz Anwendung findet, sieht in Art. 27 ("Datenschutz") in Abs. 4 vor, daß u.a. Krankenhausärzte die im Gewahrsam des Krankenhauses befindlichen Patientendaten auch nutzen dürfen, soweit dies zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses erforderlich ist. Insofern kommt es bei den bayerischen Krankenhäusern, auf die das Bayerische Krankenhausgesetz Anwendung findet, auf die Wirksamkeit einer Einwilligung nicht an.

Zur Absicherung der beteiligten Personen im Krankenhaus habe ich jedoch empfohlen, in der Klinik ausdrücklich schriftlich zu dokumentieren,

• daß es sich um eine Nutzung von Patientendaten "zu Forschungszwecken im Krankenhaus", oder "im Forschungsinteresse des Krankenhauses" handelt und

• daß und weshalb es im Einzelfall erforderlich war, andere Personen als Personal des Krankenhauses selbst zu beauftragen.

Diese Befugnis aus Art. 27 Abs. 4 BayKrG kann auch für noch lebende Patienten einer Klinik in Anspruch genommen werden, wenn ihre Daten für Forschungszwecke der Klinik benötigt werden.

• Anonymisierung
  

Sollen im Rahmen der Forschungsarbeit Daten aus dem behandelnden Krankenhaus nach außen übermittelt werden, so müssen sie ausreichend anonymisiert sein (Art. 27 Abs. 4 BayKrG). Zu einer ausreichenden Anonymisierung gehört nicht nur das Weglassen von Namen, Anschrift und Geburtsdatum der Betroffenen, sondern auch der Verzicht auf andere Hinweise, die mit Zusatzwissen eine Identifikation der Betroffenen durch Dritte erlauben (z.B. seltene Berufe, seltene Staatsangehörigkeiten, etwa in Kombination mit anderen selteneren Merkmalen). Problematisch wegen des im Einzelfall hohen Reidentifikationsrisikos ist in diesem Zusammenhang auch die Angabe einer vollständigen 5-stelligen Postleitzahl. Im Zuge unserer Beratung für ein Forschungsprojekt wurden daher anstelle der Postleitzahl andere regionale Merkmale gewählt, die eine solche Identifizierung nicht erlauben. Eine Verkürzung der Postleitzahl auf die ersten beiden Ziffern, die nur für die 97 Postleitzahl-Regionen stehen, wird im Regelfall zu einer ausreichenden Anonymisierung beitragen. 3-stellige oder gar noch längere Postleitzahlen müßten im Einzelfall (von Projektseite) auf ihr Reidentifikationsrisiko untersucht werden. Dabei ist auf die Kombination mit den anderen Angaben zu achten, die zusammen mit einer auch verkürzten Postleitzahl eine Reidentifikation erleichtern.

3.4 Datenschutzfragen aus dem Bereich von Krankenhäusern

3.4.1 Outsourcing im Krankenhausbereich

3.4.1.1 Überblick

Outsourcing berührt die Vertraulichkeit des Arzt-Patienten-Verhältnisses. Der rechtliche und technische Schutz der Patientendaten muß daher erweitert werden!

Gerade in Krankenhäusern wurden traditionell nahezu alle Unternehmensfunktionen, vom Erbringen ärztlicher Leistungen für den Patienten bis hin zur Durchführung von Putzarbeiten, hausintern durch eigenes, fest angestelltes Personal wahrgenommen. Das Hinzuziehen externer Unternehmen (etwa zur Vornahme von Wartungsarbeiten an medizinischen Geräten) kam zwar vor, war aber insgesamt gesehen die Ausnahme.

Dies hat sich gerade in den letzten beiden Jahren teilweise grundlegend geändert. Vor allem aus wirtschaftlichen Gründen werden zahlreiche, zum Teil fachlich durchaus anspruchsvolle Aufgaben "ausgelagert" und einem außenstehenden (typischerweise privaten) Unternehmen übertragen. Dieses nimmt diese Aufgaben entweder räumlich außerhalb des Krankenhauses in eigenen Geschäftsräumen wahr oder es entsendet Personal in das Krankenhaus, um die Aufgaben dort erledigen zu lassen.

Beide Varianten der "Nutzung externer Ressourcen" (outside resources using, abgekürzt Outsourcing) werfen erhebliche datenschutzrechtliche Fragen auf. Sie ergeben sich in erster Linie aus der Pflicht des Krankenhauses gegenüber dem Patienten, die ärztliche Schweigepflicht strikt zu wahren. Nach der Rechtsprechung, beispielsweise des Bundesgerichtshofs, ist auch bei durchaus berechtigten eigenen wirtschaftlichen Interessen eines Krankenhauses auf das Geheimhaltungsbedürfnis des Patienten möglichst weitgehend Rücksicht zu nehmen. Rücksicht zu nehmen ist auch darauf, daß die Sicherheit von Patientendaten vor Beschlagnahme durch Herausgabe der Patientendaten nach außerhalb des Krankenhauses an Auftragnehmer verloren gehen kann, weil diese Sicherheit nach § 97 StPO nur "im Gewahrsam einer Krankenanstalt" besteht.

Im folgenden zeige ich Lösungsansätze für einige Problemkreise auf, die im weitesten Sinn dem Begriff des Outsourcing zugerechnet werden können und mit denen ich im Berichtszeitraum konfrontiert war. Ich muß dabei betonen, daß hier vielfach rechtliches Neuland vorliegt, so daß ich nicht immer abschließende Lösungen anbieten kann.

3.4.1.2 Vergabe einer Organisationsanalyse an eine externe Beratungsgesellschaft

Um die tarifliche Einstufung des Krankenhauspersonals korrekt durchführen zu können, beauftragte ein Krankenhausträger eine Wirtschaftsprüfungsgesellschaft mit der Durchführung einer Organisationsuntersuchung. Dabei wurden Fragebögen verwendet, auf denen "für evtl. Rückfragen" auch Namen des jeweiligen Patienten vermerkt waren.

Ich habe den Krankenhausträger darauf hingewiesen, daß ich keinen Grund dafür sehe, wieso der Name des Patienten für Rückfragen benötigt werde. Eine fortlaufende Nummer auf dem Erhebungsbogen oder ähnliche Daten, über die im Bedarfsfall ermittelt werden kann, um welchen Patienten es ging, könnten denselben Zweck erfüllen. In der Weitergabe der Patientennamen an die Wirtschaftsprüfungsgesellschaft lag somit eine Verletzung der ärztlichen Schweigepflicht gemäß § 203 Abs. 1 Nr. 1 SGB, die mangels Erforderlichkeit der Datenweitergabe auch durch Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz nicht gerechtfertigt war. Daran ändert auch die gesetzliche Verschwiegenheitspflicht der Wirtschaftsprüfer nichts. In der Rechtsprechung zur ärztlichen Schweigepflicht ist es seit jeher unbestritten, daß auch zwischen Personen, von denen jede selbst der ärztlichen Schweigepflicht unterliegt, Daten nicht ohne weiteres weitergegeben werden dürfen. Ich habe daher die Weitergabe der Patientennamen an die Wirtschaftsprüfungsgesellschaft beanstandet.

3.4.1.3 Einschaltung eines externen Inkassounternehmens

Ein Inkassounternehmen hatte einem Krankenhausträger angeboten, für diesen das vorgerichtliche Inkasso von Forderungen aus Behandlungsverträgen mit Selbstzahlern zu übernehmen. Der Krankenhausträger wandte sich deswegen an mich mit der Bitte um Beratung, die ergab, daß dies nur unter engsten Voraussetzungen in Betracht kommt.

Die Tatsache, der ärztlichen Behandlung als solche gehört ebenso wie Behandlungsdaten (z.B. Diagnoseangaben) zu den Daten, die der ärztlichen Schweigepflicht gemäß § 203 Abs. 1 Nr. 1 StGB unterliegen. Insofern stellt die Mitteilung jeglicher Angaben über das Behandlungsverhältnis an ein Inkassounternehmen eine Offenbarung von Daten dar, für die eine Befugnis im Sinne von § 203 Abs. 1 Nr. 1 StGB vorliegen muß.

Eine solche Befugnis kann sich nach den konkreten Umständen entweder aus einer rechtswirksamen Einwilligung des Patienten oder aus Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz ergeben.

Eine Einwilligung des Patienten dürfte dann, wenn die Zahlungsschwierigkeiten bereits aufgetreten sind, ausscheiden. Sofern eine entsprechende Einwilligungsklausel in die allgemeinen Geschäftsbedingungen aufgenommen wird, die der Patient bei seiner Aufnahme in das Krankenhaus schriftlich anerkennt, sind die Vorgaben des Gesetzes über allgemeine Geschäftsbedingungen zu beachten. Dabei wird insbesondere eine Rolle spielen, daß rein wirtschaftliche Interessen normalerweise hinter dem Geheimhaltungsinteresse des Patienten zurücktreten müssen.

Da in dem mir vorgelegten Fall eine entsprechende Klausel in den allgemeinen Geschäftsbedingungen nicht enthalten war, stellte sich die Frage nach der Reichweite der Befugnis aus Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz. Nach dieser Bestimmung ist die Übermittlung von Patientendaten an Dritte unter anderem zulässig zur verwaltungsmäßigen Abwicklung des Behandlungsverhältnisses. Diese Vorschrift kann vom Grundsatz her die Weitergabe von Daten an ein Inkassounternehmen zum Zwecke des vorgerichtlichen Forderungseinzugs rechtfertigen. Allerdings müßte der Krankenhausträger dabei unter Wahrung des Verhältnismäßigkeitsgrundsatzes so schonend wie möglich vorgehen, um das Arztgeheimnis möglichst weitgehend zu wahren. Hieraus müssen insbesondere folgende Konsequenzen gezogen werden:

• Die Einschaltung eines Inkassounternehmens muß dem Betroffenen vorher angekündigt werden (z.B. durch einen deutlichen Hinweis im letzten Mahnschreiben vor der Einschaltung des Inkassounternehmens). Dabei muß der Betroffene auch darauf hingewiesen werden, welches Inkassounternehmen eingeschaltet werden soll und welche Daten diesem Unternehmen offenbart werden sollen.

• Mitgeteilt werden darf nur die Tatsache der Behandlung und die Rechnungssumme, nicht jedoch nähere Einzelheiten wie zum Beispiel die GOÄ-Nummern, Behandlungszeiten und Diagnosen.

• Sofern der Patient Einwendungen gegen die geltend gemachte Forderung erhebt, müßten diese Einwendungen unmittelbar zwischen dem Krankenhaus und dem Patienten abgeklärt werden. Es wäre unzulässig, dem Inkassounternehmen auch die Bearbeitung solcher Schuldnereinwände zu übertragen.

• Eine Nutzung der Daten durch das Inkassounternehmen für andere Zwecke (z.B. für die Erteilung von Bonitätsauskünften an andere Stellen) müßte vertraglich ausgeschlossen werden. Dabei wäre zu überlegen, ob der Einhaltung dieser vertraglichen Verpflichtung nicht durch die Vereinbarung einer angemessenen Vertragsstrafe für den Fall ihrer Verletzung gesichert werden sollte.

Ergänzend ist darauf hinzuweisen, daß ein reines Inkassounternehmen nicht der Schweigepflicht gemäß § 203 Abs. 1 Nr. 1 StGB unterliegt, so daß ein entsprechender strafrechtlicher Schutz von Patientendaten in einem solchen Unternehmen ebenso wenig gewährleistet wäre wie der daraus resultierende strafprozessuale Beschlagnahmeschutz. Auch deshalb muß die Weitergabe von Daten an ein Inkassounternehmen auf das unbedingt erforderliche Maß beschränkt werden.

3.4.1.4 Externes Catering

Ein Krankenhaus übertrug die Verpflegung der Patienten einem selbständigen Privatunternehmen. Das externe Catering-Unternehmen erhält jeweils folgende Daten: Name und Vorname des Patienten, Patientenaufnahmenummer, Station, Angaben zu besonderen Verpflegungsformen (etwa Diät).

Zumindest einzelne Patienten wünschen, daß ihre Daten nicht in dieser Weise weitergegeben werden, da sie fürchten, ihr Aufenthalt im Krankenhaus könnte in einer unerwünschten Weise Dritten bekannt werden.

Ich habe gegen die Einschaltung eines externen Catering-Unternehmens aus datenschutzrechtlicher Sicht keine Bedenken erhoben, sofern im Verhältnis zwischen Patient und Krankenhaus folgende Bedingungen erfüllt werden:

• Der Patient wird in den Aufnahmebedingungen informiert, daß ein externes Catering-Unternehmen eingeschaltet wird und welche Daten an dieses Unternehmen übermittelt werden.

• Er wird in den Aufnahmebedingungen auch auf die Möglichkeit hingewiesen, der Weitergabe seiner Daten zu widersprechen.

• Falls ein Patient widerspricht, verwendet die Klinik für diesen Patienten ein Pseudonym.

Im Vertrag zwischen dem Krankenhaus und dem Catering-Unternehmen müssen zumindest folgende Festlegungen getroffen werden:

• Verpflichtung des Unternehmens zur ausschließlich zweckgebundenen Verwendung der Daten für Zwecke des Catering und Ausschluß der Weitergabe von Daten an Dritte; die Sicherung der Einhaltung dieser Verpflichtung könnte z.B. durch die Vereinbarung einer Vertragsstrafe erfolgen.

• Verpflichtung des Catering-Unternehmens, die Daten innerhalb des räumlichen Bereichs des Krankenhauses zu belassen; diese Verpflichtung ist deshalb wichtig, weil nur in diesem Fall der Beschlagnahmeschutz des § 97 StPO in Bezug auf die Daten zum Tragen kommt.

• Verpflichtung des Catering-Unternehmens, die ihm überlassenen Daten im Klinikum zu löschen, sobald sie für die Durchführung der Verpflegung nicht mehr benötigt werden.

Nach meinen Erfahrungen stehen Catering-Unternehmen den vorstehend aufgezeigten Anforderungen aufgeschlossen gegenüber und sind zu entsprechenden Vereinbarungen bereit.

3.4.1.5 Externe Archivierung von Krankenunterlagen

Um sich ein eigenes Archiv ganz oder teilweise zu ersparen, beabsichtigte ein Krankenhaus, die Archivierung von Krankenunterlagen durch ein externes Privatunternehmen durchführen zu lassen. Dabei war daran gedacht, daß die Firma dem Krankenhaus verschließbare Behälter für die Krankenunterlagen zur Verfügung stellt, die nur das jeweilige Krankenhaus öffnen kann. Diese Behälter sollten nicht mit dem Namen des Krankenhauses versehen sein, sondern mit einem Code. Für den Fall, daß eine bestimmte Unterlage benötigt wird, sollte das Krankenhaus die Codenummer des Behälters angeben. Das Archivunternehmen hätte den Behälter daraufhin zum Krankenhaus transportiert. Das Krankenhaus hätte die Unterlage entnehmen, den Behälter wieder verschließen und an das Archivunternehmen zurückgeben können.

Erhebliche Bedenken gegen eine solche Lösung ergeben sich insbesondere daraus, daß die Daten in einem solchen Fall voraussichtlich keinen Beschlagnahmeschutz gemäß § 97 StPO genießen. Auf der Basis der bisherigen Rechtsprechung ist nämlich davon auszugehen, daß das Krankenhaus bei dieser Konzeption an den Archivbehältern keinen "Gewahrsam" mehr im Sinne dieser Vorschrift hat. Ich muß mich deshalb gegen diese Vorgehensweise aussprechen.

3.4.2 Digitale Archivierung von Krankenakten

Der Einsatz von WORM-Platten als Archivmedium für Krankenakten erfordert eine intelligente Lösung des Löschungsproblems. Dabei muß auf die Beweismittel-Qualität der Speicherung Rücksicht genommen werden.

Angesichts der wachsenden Menge von Krankenakten erwägen immer mehr Krankenhäuser, Krankenakten digital zu archivieren (beispielsweise unter Einsatz von WORM-Platten). Die Ziele dieser Bemühungen gehen bisher offensichtlich weniger dahin, Ablageraum zu sparen, als vielmehr dahin, den Zugriff auf die Krankenakten zu erleichtern.

Ablauforganisatorisch erscheint der Einsatz optischer Speicherplattensysteme vor allem in folgenden beiden Formen denkbar:

• Optisches Zusatzarchiv

Bei dieser Variante wird das Patientenarchiv wie bisher konventionell in Papierform geführt. Daneben tritt das optische Speichermedium, das meist nur einige wenige Schriftstücke je Patient enthält, die von besonderer Bedeutung sind und auf die erfahrungsgemäß besonders häufig zurückgegriffen werden muß (z.B. Anamnese-Bögen und Entlaßberichte).

• Optisches Alleinarchiv

Bei dieser Variante fällt das konventionell in Papierform geführte Archiv völlig weg. Alle Unterlagen, die sonst dort aufzubewahren wären, sind auf einem optischen Speichermedium festgehalten. Vorhandene Originalunterlagen werden nach dem Einscannen vernichtet.

Mit der Variante des optischen Zusatzarchivs war ich im Rahmen meiner Prüftätigkeit im Gegensatz zu optischen Alleinarchiven mehrfach befaßt.

Die digitale Archivierung von Krankenakten wirft eine Reihe von Fragen in verschiedenen Rechtsgebieten auf. Zu nennen sind hier einmal die Fragen im Zusammenhang mit der gegenüber dem Patienten bestehenden Dokumentationspflicht. In prozeßrechtlicher Hinsicht, insbesondere im Zivilprozeßrecht, stellt sich die Frage, welchen Beweismittelwert ein optisches Speichermedium hat. Schließlich besteht keine einheitliche Auffassung darüber, ob die handels- und steuerrechtlichen Aufbewahrungspflichten auch dadurch erfüllt werden können, daß nicht Originale (insbesondere in Papierform), sondern optische Speichermedien bereitgehalten werden. Im Rahmen dieses Tätigkeitsbericht ist auf diese Fragen nicht näher einzugehen.

In datenschutzrechtlicher Hinsicht ergeben sich vor allem bei der Erfüllung von Löschungspflichten Schwierigkeiten.

Das Problem bei der digitalen Archivierung besteht darin, wie die speichernde Stelle Löschungsverpflichtungen gemäß Art. 12 Abs. 1 BayDSG nachkommen kann. Dabei ist zu beachten, daß das Bayerische Datenschutzgesetz ein "Löschen" nur dann annimmt, wenn die betreffenden Daten unlesbar gemacht werden (vgl. Art. 4 Abs. 6 Satz 2 Nr. 5 BayDSG). Die Daten müssen also letztlich vernichtet werden. Genau dies war bei optischen Speicherplatten bisher regelmäßig nicht möglich. Die üblicherweise eingesetzten Platten konnten nur einmal beschrieben werden; ein nachträgliches Überschreiben einzelner darauf enthaltener Daten oder ein nachträgliches Entfernen war nicht möglich. Somit konnte die speichernde Stelle einer Löschungsverpflichtung nach Art. 12 Abs. 1 BayDSG nicht nachkommen.

Die zur Lösung bisher denkbaren zwei Wege, nämlich das Umschreiben der nicht zu löschenden Daten auf eine neue Platte, oder das Anlegen einer Indexdatei, in der vermerkt wird, welche Daten eigentlich gelöscht werden müßten, warfen entweder zivilrechtliche Probleme auf (Inhalt der umgeschriebenen Platte nicht unmittelbar, sondern quasi durch Kopieren gewonnen) oder es entstehen datenschutzrechtliche Probleme (das Anlegen einer Indexdatei mit Hinweisen auf zu löschende Daten bedeutet gerade keine Löschung, sondern lediglich eine Sperrung, die zudem mit geringem Aufwand umgangen werden kann).

Eine Lösung der Frage könnte sich durch den Fortschritt der Technik abzeichnen, nämlich dadurch, daß neuerdings optische Speicherplatten zur Verfügung stehen, die ein Wiederbeschreiben erlauben. Es erscheint daher zweifelhaft, ob es sich noch hinreichend begründen läßt, anstelle einer Löschung lediglich eine Sperrung vorzunehmen. Dabei sei nicht verschwiegen, daß sich bei dieser Variante der optischen Speichermedien im Bereich des Zivilprozesses ähnliche Fragen stellen wie bei der oben erwähnten Möglichkeit, die nicht zu löschenden Daten auf eine neue Platte umzuschreiben, denn die Möglichkeit, Daten nachträglich zu verändern, mindert die Beweisqualität, da Manipulationen zumindest möglich sind.

In jedem Fall darf das Einscannen von Originalbelegen nicht außerhalb von Krankenhäusern erfolgen. Die Regelung des Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz ist auch hier anzuwenden. Der hinter dieser Regelung stehende Gedanke (insbesondere das Bestreben, durch Aufrechterhaltung des Gewahrsams der Klinik im Sinne von Art. 97 StPO die Beschlagnahmefreiheit von Krankenunterlagen auch während des Vorgangs der Verfilmung zu sichern) gilt auch für das Einscannen von Dokumenten. Diesem Aspekt werde ich bei Prüfungen besonderes Augenmerk widmen.

3.4.3 Anlageverzeichnis und Freigabe automatisierter Verfahren nach Art. 27 BayDSG in öffentlichen Krankenhäusern

Das neue BayDSG, das am 01.03.1994 in Kraft getreten ist, hat für die öffentlichen Krankenhäuser Änderungen beim Freigabeverfahren und bei der Pflicht gebracht, ein Verzeichnis der eingesetzten Anlagen und Verfahren zu führen.

Öffentliche Krankenhäuser sind - mit Ausnahme von Hochschulkliniken und Bezirkskrankenhäusern - Stellen, die gemäß Art. 3 Abs. 1 BayDSG am Wettbewerb teilnehmen. Während das frühere BayDSG für solche Wettbewerbsunternehmen weder datenschutzrechtliche Freigaben noch das Führen von Anlagen- und Verfahrensverzeichnissen vorschrieb, gilt nach dem neuen BayDSG folgendes:

• Da Art. 26 BayDSG auch auf Wettbewerbsunternehmen Anwendung findet (vgl. Art. 3 Abs. 1 Satz 3 BayDSG), ist bei Vorliegen der Voraussetzungen dieser Bestimmung ein Freigabeverfahren durchzuführen.

• Für Verfahren, die bereits vor dem 01.03.1994 und damit vor dem Inkrafttreten des neuen Bayerischen Datenschutzgesetzes eingesetzt wurden, bestand damals keine Freigabepflicht. Für sie muß die Freigabe nicht nachgeholt werden. Etwas anderes gilt nur bei wesentlichen Änderungen der Verfahren.

• Da auch Art. 27 BayDSG auf Wettbewerbsunternehmen Anwendung findet, muß ein Anlagen- und Verfahrensverzeichnis erstellt sein, das den Anforderungen dieser Bestimmung genügt.

Auch Altverfahren, für die nach den obigen Ausführungen keine Pflicht zur (nachträglichen) Freigabe besteht, sind in das Verfahrensverzeichnis aufzunehmen.

Entsprechende Verzeichnisse mußten bereits zum 01.03.1995 eingerichtet sein (vgl. Art. 39 Abs. 1 Satz 4 BayDSG). Stellen, die dieser Pflicht nicht nachgekommen sind, müssen bei einer datenschutzrechtlichen Prüfung mit einer Beanstandung rechnen. Es ist nicht erkennbar, wie eine Stelle ihrer datenschutzrechtlichen Verantwortung gemäß Art. 25 BayDSG gerecht werden kann, wenn keine Übersicht über die eingesetzten Anlagen und Verfahren vorliegt.

3.4.4 Übermittlung von Daten für Zwecke der Krankenhausseelsorge

Wie Anfragen von Krankenhausträgern zeigen, bestehen Unsicherheiten, inwieweit Listen von Patienten, die einer bestimmten Pfarrei angehören, an Besuchsdienste weitergegeben werden dürfen, die aus ehrenamtlich tätigen Laien bestehen und die im Auftrag der Heimatpfarrei des Patienten Besuche im Krankenhaus durchführen.

Ausschlaggebend für die Beurteilung der Weitergabe dieser häufig sprachlich etwas mißverständlich als "Pfarrerlisten" bezeichneten Unterlagen, ist der (ggf. mutmaßliche) Wille des Patienten. Einerseits muß eine derartige Betreuung ermöglicht werden, wenn der Patient dies wünscht. Andererseits muß zuverlässig vermieden werden, daß Angaben über einen Krankenhausaufenthalt eines Patienten an einen Besuchsdienst seiner Heimatpfarrei weitergegeben werden, wenn er damit nicht einverstanden ist.

Mit der Übermittlung einer "Pfarrerliste" an eine Kirchengemeinde zur Weitergabe an deren Besuchsdienst wird gleichzeitig die Tatsache offenbart, daß die in der Liste aufgeführten Patienten in das Krankenhaus aufgenommen wurden. Diese Tatsache unterliegt der ärztlichen Schweigepflicht. Die Durchbrechung der ärztlichen Schweigepflicht setzt eine rechtliche Befugnis voraus, das heißt regelmäßig eine Einwilligung des Patienten. Sofern (wie vielerorts üblich) nur das Einverständnis des Patienten mit einem eventuellen Besuch eines Seelsorgers eingeholt wird, kann nicht unterstellt werden, daß damit auch der Weitergabe der Daten an Mitglieder eines Besuchsdienstes zugestimmt wurde. Mir sind Fälle bekannt geworden, in denen Patienten, beispielsweise aus Sorge um ihren Arbeitsplatz, nicht wünschen, daß ihre Aufnahme in ein Krankenhaus am Heimatort bekannt wird. Teilweise lassen sich die Patienten aus diesem Grund sogar in ihrem Urlaub im Krankenhaus behandeln. In solchen Fällen wäre ein Patient keineswegs damit einverstanden, daß ein Besuchsdienst seiner Heimatpfarrei Angaben zu seinem Aufenthalt im Krankenhaus erhält.

Um auch solchen Konstellationen gerecht zu werden, halte ich es für erforderlich, den Patienten klar darauf hinzuweisen, daß eine solche Weitergabe erfolgt und daß er ihr widersprechen kann. Die Weitergabe von Daten an Pfarreien muß zeitlich so gestaltet sein, daß ein Widerspruch, der entweder bei der Aufnahme selbst oder spätestens am Tag danach erklärt wird, noch effektiv berücksichtigt werden kann.

Aus der Angabe der Konfession im Aufnahmeformular kann nicht geschlossen werden, daß der Patient auch mit dem Besuch eines ehrenamtlich tätigen Besuchsdienstes seiner Heimatpfarrei einverstanden ist. Meines Erachtens kann eine solche Angabe lediglich dahin interpretiert werden, daß der Patient mit der Verständigung eines haupt- oder nebenamtlich am Krankenhaus tätigen Seelsorgers einverstanden ist. Da kirchliche Besuchsdienste vielfach erst in den letzten Jahren eingerichtet wurden, ist es nämlich vielen Patienten noch nicht bewußt, daß solche Dienste existieren.

Keine Frage des Datenschutzes ist es, wenn ein Krankenhausseelsorger nach seinem Ermessen Patienten in ihrem Zimmer aufsucht und sich dort als Seelsorger vorstellt. Ein solches Handeln gehört zum rein innerkirchlich zu regelnden Bereich der Krankenhausseelsorge. Eine datenschutzrechtlich relevante Mitwirkung des Krankenhauses erfolgt dabei nicht. Sie läge nur vor, wenn der Krankenhausseelsorger vorher seitens des Krankenhauses Listen von Patienten erhält. In diesem Fall wäre bei der Weitergabe dieser Liste an den Seelsorger nach den oben dargestellten Grundsätzen zu verfahren.

3.4.5 Vorsorgliche Anmeldung nach § 121 BSHG

Wer - als Selbstzahler - die Krankenhausrechnung nicht innerhalb von zwei Monaten seit Aufnahme bezahlt, riskiert, dem Sozialamt gemeldet zu werden - auch wenn er die Rechnung gerade erst erhalten hat:

Bei Personen, die im Krankenhaus als Selbstzahler auftreten, stellt sich nach der Rechnungstellung bisweilen heraus, daß sie die Rechnung nicht mit eigenen Mitteln begleichen können. Das Krankenhaus hat in diesem Fall die Möglichkeit, beim zuständigen Sozialamt einen Antrag auf Kostenübernahme gemäß § 121 BSHG zu stellen. In § 121 BSHG ist allerdings festgelegt, daß dies binnen einer "angemessenen Frist" geschehen muß. Die angemessene Frist beträgt laut Rechtsprechung 2 Monate und beginnt mit dem Datum der Behandlung bzw. dem Datum der Aufnahme in das Krankenhaus. Sie wird von der Rechtsprechung als Ausschlußfrist gewertet, weshalb die Krankenhäuser darauf achten, entsprechende Anträge vor Ablauf der Frist zu stellen.

Durch die Eingabe einer Bürgerin wurde ich darauf aufmerksam gemacht, daß ein bayerisches Krankenhaus alle Selbstzahler routinemäßig unter Angabe der Diagnose an das zuständige Sozialamt meldet, sofern der Betroffene die Behandlungskosten nicht vor Ablauf von 2 Monaten nach dem Behandlungsdatum bzw. dem Datum der Aufnahme in das Krankenhaus beglichen hat. Dabei nimmt das Krankenhaus nach eigenem Bekunden ausdrücklich keine Rücksicht darauf, ob das Zahlungsziel der dem Patienten zugesandten Rechnung bereits erreicht ist oder nicht.

Im konkreten Fall führte diese Verfahrensweise dazu, daß bereits am 4. Tag nach Absendung der Rechnung an die Patientin ein Antrag gemäß § 121 BSHG beim zuständigen Sozialamt gestellt wurde. Die Patientin, eine Frau in gesicherter Stellung, war sehr überrascht, als sie vom zuständigen Sozialamt umgehend vorgeladen wurde, um mit ihr die Kostentragung zu besprechen.

Das Vorgehen des Krankenhauses habe ich gemäß Art. 31 Abs. 1 Satz 1 BayDSG beanstandet. Es verstößt gegen Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz und dürfte auch im Widerspruch zu § 203 Abs. 1 Strafgesetzbuch stehen. Zwar kann das Stellen eines Antrags gemäß § 121 BSHG beim zuständigen Sozialamt grundsätzlich zur verwaltungsmäßigen Abwicklung eines Behandlungsverhältnisses erforderlich sein und rechtfertigt dann die Übermittlung der zur Bearbeitung des Antrags erforderlichen Patientendaten an das zuständige Sozialamt. Entscheidend sind jedoch stets die Umstände des Einzelfalles. Sofern der betroffene Patient den Umständen nach die Rechnung noch überhaupt nicht bezahlt haben kann, weil er sie entweder noch überhaupt nicht in Händen hält, oder sie ihm erst vor wenigen Tagen zugegangen ist, ist die Einschaltung des Sozialamts nicht erforderlich.

Es obliegt dem Krankenhaus, die Rechnung so rechtzeitig zu stellen, daß dem Patienten noch vor Ablauf der 2-Monats-Frist gemäß § 121 BSHG hinreichend Zeit für das Begleichen der Rechnung bleibt. Die im geschilderten Fall gewählte Vorgehensweise, schematisch alle Selbstzahler kurz vor Ablauf der 2-Monats-Frist dem zuständigen Sozialamt zu melden, ist als unzulässiges Stellen von "Vorratsanträgen" zu werten. Dieses Vorgehen führt dazu, daß den Sozialämtern Daten über eine Vielzahl von Personen übermittelt werden, die in ihrer überwiegenden Mehrheit die entstandenen Kosten ordnungsgemäß begleichen. Ein solches Vorgehen vernachlässigt die Interessen der Betroffenen in unvertretbarer Weise.

3.4.6 Überprüfung von Patientenakten einer psychiatrischen Klinik durch den Landesrechnungshof

Durch Beschluß vom 29.04.1996 hat das Bundesverfassungsgericht entschieden, eine Verfassungsbeschwerde nicht zur Entscheidung anzunehmen, die sich mit der Einsichtnahme eines Landesrechnungshofs in Patientenunterlagen einer psychiatrischen Klinik befaßte. Die vom Bundesverwaltungsgericht vertretene Auffassung, daß Regelungen in der Art von Art. 95 BayHO als ausreichende Befugnis im Sinne von § 203 StGB anzusehen sind, wurde vom Bundesverfassungsgericht "angesichts der damaligen Aktenführung und Abrechnungsweise" in der überprüften Klinik nicht beanstandet.

Nach meiner Auffassung ist die Entscheidung des Bundesverfassungsgerichts dahin zu verstehen, daß keine grundsätzlichen Bedenken gegen die Einsichtnahme des Rechnungshofs in Behandlungsunterlagen bestehen, sofern nach den konkreten Umständen eine solche Einsichtnahme zur Erfüllung der Aufgaben des Rechnungshofs erforderlich ist. Dies schließt nicht aus, sondern setzt im Gegenteil voraus, daß der Rechnungshof auf die Sensibilität dieser Unterlagen Rücksicht nimmt und auf sie im Sinne eines stufenweisen Vorgehens erst dann zugreift, wenn die Einsichtnahme in weniger sensible Unterlagen (beispielsweise in bloße Abrechnungsunterlagen statt in die Behandlungsunterlagen selbst) zur Aufgabenerfüllung nicht ausreicht.

3.5 Gesundheitsämter

3.5.1 Eingliederung der staatlichen Gesundheits- und Veterinärämter in die Landratsämter

Sicherung der ärztlichen Schweigepflicht im eingegliederten Gesundheitsamt: Akten- und Registraturorganisation, gemeinsamer Außendienst, diskrete Beratung, Posteinlaufbehandlung

Seit am 01.01.1996 das "Gesetz über die Eingliederung der staatlichen Gesundheitsämter und der staatlichen Veterinärämter in die Landratsämter" vom 23.12.1995 (GVBl. S. 843) in Kraft getreten ist, sind die staatlichen Gesundheits- und Veterinärämter keine selbständigen staatlichen Behörden mehr, sondern Teile des jeweils örtlich zuständigen Landratsamtes.

Dabei ergibt sich folgende Problematik:

Bei den in Art. 6 i.V.m. Art. 11 Gesundheitsdienstgesetz (GDG) genannten Aufgaben sind besondere Geheimhaltungspflichten und Verwertungsverbote zu beachten. Dabei handelt es sich im wesentlichen um freiwillige Beratung (z.B. Ehe- und Familienberatung, Beratung Drogensüchtiger, psychisch Kranker oder Behinderter, Aids-Beratung) und freiwillige Begutachtung. Es gibt aber auch weitere Fälle, die einen besonderen Vertrauensschutz notwendig machen, z.B. ärztliche Mitteilungen an den Amtsarzt, Datenerhebungen zur Schulgesundheitsuntersuchung, im Einzelfall unter Umständen auch vertrauliche ärztliche Mitteilungen im Rahmen einer Datenerhebung für den Vollzug des Bundesseuchengesetzes.

Aufgrund meiner Erfahrungen aus Prüfungen bei Gesundheitsämtern in den letzten Jahren gebe ich folgende Hinweise zur Wahrung der Geheimhaltungspflichten und Verwertungsverbote:

1. Unterlagen des Gesundheitsamtes über ein- und dieselbe Person aus freiwilliger Beratung oder freiwilliger Begutachtung einerseits und hoheitlicher Tätigkeit (z.B. Vollzug des Bundesseuchengesetzes) andererseits sind nicht in einer Einheitsakte zu führen, weil sonst beim Ziehen der Akte zum Vollzug hoheitlicher Maßnahmen die durch Art. 6 GDD besonders geschützten vertraulichen Angaben zur Kenntnis genommen würden.

2. Eine Zentraldatei oder Registraturdatei darf nicht so aufgebaut werden, daß die gemäß Art. 6 besonders zu schützenden Angaben in anderem Zusammenhang gelesen werden können. Ich habe daher darauf gedrungen, daß weder in der Zentraldatei noch in der automatisierten Registraturdatei erkennbar ist, wegen welcher gesundheitlichen Probleme jemand zur freiwilligen Beratung oder Begutachtung vorgesprochen oder korrespondiert hat.

3. Bei Tätigkeit von gemeinsamem Außendienstpersonal, etwa des Sozialamtes und des Gesundheitsamts, muß sichergestellt werden, daß die Betroffenen, bevor sie diesen Personen etwas im Rahmen freiwilliger Beratung nach dem GDG anvertrauen, erfahren, ob diese Angaben auch für Zwecke des Sozialamtes genutzt werden sollen (s. auch Art. 16 Abs. 3 Satz 1 BayDSG - der Erhebungszweck ist jeweils vollständig anzugeben).

4. Ein möglichst unbeobachtetes Aufsuchen der Angebote der Schwangerschaftsberatung und sonstiger freiwilliger Beratung des Gesundheitsamtes sollte organisatorisch ermöglicht werden. Die Tatsache der Vorsprache oder telefonischen Kontaktaufnahme darf nicht anderen Personen oder Stellen im Amt bekannt werden.

5. Der Posteinlauf für das Gesundheitsamt muß im künftigen Landratsamt-Gesundheitsamt so organisiert werden, daß der Einlauf für die Arbeitsbereiche freiwillige Beratung bzw. freiwillige Begutachtung unmittelbar dem hierfür zuständigen ärztlichen, veterinärärztlichen bzw. sonstigen Fachpersonal des Gesundheitsamtes zugeleitet wird. Andere Referate des Amtes dürfen keinen Zugang zu solchen Schreiben erlangen.

Für die organisatorische Umsetzung bedeutet das:

• Grundsätzlich dürfen in der zentralen Eingangsstelle des Landratsamtes an das Gesundheitsamt gerichtete Sendungen wie normale Behördenpost geöffnet und weiterbehandelt werden. Läßt ein Eingang aber erkennen, daß einer der o.a. Ausnahmefälle gegeben ist (z.B. weil er "an die Familienberatung" oder an einen Behördenmitarbeiter gerichtet ist, der in einem der sensiblen Aufgabenbereiche tätig ist), muß er ungeöffnet weitergeleitet werden. Um solche Fälle leichter erkennen zu können, könnte den Klienten empfohlen werden, beim weiteren Schriftwechsel auf den Briefumschlägen entsprechende Zusätze anzubringen. Werden Briefe in der Eingangsstelle geöffnet, weil der sensible Aufgabenbereich aus der Beschriftung auf dem Umschlag nicht erkennbar ist, muß sichergestellt sein, daß das Schreiben - abweichend vom üblichen Postlauf (vgl. § 14 der Musterdienstordnung für die Landratsämter) - unmittelbar an die zuständige Stelle weitergeleitet wird. Zweckmäßigerweise sollte das Personal der Eingangsstelle eingehend über die sensiblen Aufgabenbereiche unterrichtet werden.

• Als "angemessene organisatorische Maßnahme" zur Sicherstellung des Verwertungsverbotes i.S. von Art. 6 Abs. 1 Satz 5 n.F. GDG wird nur eine strikte Trennung der Akten aus dem Bereich der freiwilligen gesundheitlichen Beratung und der freiwilligen Begutachtung von den übrigen Aktenbeständen des Gesundheits- und Veterinärwesens anzusehen sein. Inwieweit die übrigen Unterlagen des Gesundheits- und Veterinärwesens wegen darin enthaltener vertraulicher Mitteilungen (z.B. des Hausarztes an den Amtsarzt) von den Aktenbeständen der anderen Abteilungen des Landratsamtes getrennt zu halten sind, müßte im Einzelfall mit dem Ziel der Wahrung des Vertrauensschutzes geprüft werden.

Das Bayerische Staatsministerium des Innern hat diese Hinweise allen Regierungen und Landratsämtern bekanntgegeben. Bei künftigen Prüfungen von Landratsämtern werde ich ein besonderes Augenmerk darauf richten, ob diese Maßstäbe eingehalten werden und ob möglicherweise zusätzliche Maßnahmen erforderlich sind, um die Einhaltung der Geheimhaltungspflichten und Verwertungsverbote sicherzustellen. Leitlinie muß dabei nach meiner Auffassung sein, daß die Eingliederung der staatlichen Gesundheits- und Veterinärämter in die Landratsämter für die Betroffenen nicht zu einer Verschlechterung ihrer datenschutzrechtlichen Position gegenüber dem bisherigen Zustand führen darf.

3.5.2 Verschwiegenheitspflicht der Gesundheitsämter

Wieviel darf das Gesundheitsamt nach der Untersuchung eines Beamten dem Dienstherrn über den Gesundheitszustand mitteilen?

Teilt ein Beamter seiner Beschäftigungsbehörde mit, daß er erkrankt sei, so hat er auf Anordnung des Dienstvorgesetzten ein amtsärztliches Zeugnis beizubringen (s. § 20 Abs. 2 Satz 2 der Verordnung über den Urlaub der bayerischen Richter und Beamten). Ferner ist ein Beamter anläßlich der Entscheidung über eine mögliche Versetzung in den Ruhestand wegen dauernder Dienstunfähigkeit verpflichtet, sich nach Weisung seines Dienstvorgesetzten ärztlich untersuchen zu lassen (s. Art. 56 Abs. 1 Satz 3 Bayerisches Beamtengesetz). In einem Fall, der mir durch eine Eingabe bekanntgeworden ist, hatte ein Beamter den Chefarzt eines Krankenhauses von der Schweigepflicht gegenüber dem zuständigen Gesundheitsamt entbunden. Der Chefarzt übersandte dem Gesundheitsamt einen detaillierten Abschlußbericht über die durchgeführte Behandlung.

Den Inhalt dieses Berichts gab das Gesundheitsamt vollständig an den Dienstvorgesetzten weiter.

Ich habe die Weitergabe dieses Berichts durch das Gesundheitsamt gemäß Art. 31 Abs. 1 Satz 1 Bayerisches Datenschutzgesetz beanstandet. Maßgebend waren dafür folgende Gründe:

• Bei einer Untersuchung zur Erstellung eines Zeugnisses im Krankheitsfall gemäß § 20 Abs. 2 Satz 2 der Urlaubsverordnung handelt es sich ebenso um eine freiwillige Untersuchung wie bei einer Untersuchung gemäß Art. 56 Abs. 1 Satz 3 Bayerisches Beamtengesetz zur Klärung der dauernden Dienstunfähigkeit. Zwar sind Beamte gemäß diesen Vorschriften verpflichtet, sich in dienstrechtlichen Angelegenheiten ärztlich untersuchen zu lassen, der Dienstherr kann sie aber zu einer solchen Untersuchung nicht zwingen. Dies ergibt sich vor allem aus Art. 56 Abs. 1 Satz 4 BayBG, wonach der Beamte bei ungenügender Mitwirkung so behandelt werden kann, wie wenn seine Dienstunfähigkeit amtlich festgestellt worden wäre, ohne daß die Möglichkeit einer zwangsweisen Untersuchung vorgesehen wäre. Dies zeigt, daß im Sinne der Geheimhaltungsvorschriften, insbesondere des Art. 6 GDG, eine freiwillige Untersuchung vorliegt. Entsprechend heißt es in der amtlichen Begründung zu Art. 6 Abs. 1 Satz 1 2. Spiegelstrich GDG: "Der 2. Spiegelstrich bezieht sich auf die Fälle, in denen zwar eine gesetzliche Verpflichtung des Betroffenen besteht, sich ärztlich untersuchen zu lassen, die ärztliche Untersuchung von der Behörde aber nicht erzwungen werden kann (Untersuchung und Begutachtung von Personen auf behördliche Aufforderung hin, z.B. Dienstfähigkeitsüberprüfung nach Art. 56 Abs. 1 Satz 3 BayBG, ..." (s. LT-Drs. 10/8972 vom 15.01.1986, Ziffer 2.6.2, Seite 14).

Der materielle Grund für diese gesetzliche Regelung liegt darin, daß auch derartige amtsärztliche Untersuchungen ein gewisses Vertrauensverhältnis zwischen dem Untersuchten und dem Arzt des Öffentlichen Gesundheitsdienstes voraussetzen, weil der Untersuchte dem Arzt nur dann das Erforderliche anvertrauen wird. Nur so ist eine objektive, ärztlich gesicherte Beurteilung möglich.

Die gegenteilige Auffassung müßte sich mit dem Problem auseinandersetzen, daß die Rechtsordnung an anderer Stelle (etwa zur Durchsetzung von Vorschriften zur Bekämpfung von Seuchen oder Geschlechtskrankheiten) durchaus ausdrückliche Befugnisse zur Durchführung von zwangsweisen Untersuchungen enthält, während im Beamtenrecht keine derartige Befugnis gegeben ist.

Sofern eine Untersuchung im Rahmen eines Antrags auf Ruhestandsversetzung gemäß Art. 57 Abs. 1 BayBG erfolgt, könnte der betreffende Beamte seinen Antrag jederzeit zurücknehmen; dies hätte zur Folge, daß die Befugnis des Arztes zur Mitteilung der Untersuchungsergebnisse an den Dienstherrn ab diesem Zeitpunkt entfiele.

Das Staatsministerium der Finanzen ist dagegen der Auffassung, daß die ärztliche Schweigepflicht zurücktritt, soweit die Weitergabe ärztlicher Erkenntnisse für die vom Dienstherrn zu treffende Feststellung der Dienstunfähigkeit erforderlich ist. Der begutachtende Amtsarzt, der aufgrund seiner gesetzlich in den Art. 56 und 57 BayBG verankerten Gutachtenspflicht tätig werde, handele dann im Sinne von § 203 Abs. 1 StGB nicht unbefugt. Diese gesetzliche Gutachtenspflicht bestehe unabhängig davon, ob der Beamte selbst die Versetzung in den Ruhestand beantragt habe (Art. 57 BayBG) oder ob die Behörde die Zwangspensionierung (Art. 58 BayBG) betreibe. Zur Begründung seiner Auffassung beruft sich das Staatsministerium der Finanzen auf hergebrachte Grundsätze des Berufsbeamtentums.

Aus den oben dargelegten Gründen vermag ich diese Auffassung nicht zu teilen.

• Geheimnisse, die Amtsangehörigen eines Gesundheitsamtes im Zusammenhang mit einer Untersuchung oder Begutachtung anvertraut oder sonst bekannt geworden sind, der sich der Betroffene freiwillig unterzogen hat, dürfen nur zur Erfüllung der Aufgabe verarbeitet oder genutzt werden, in deren Wahrnehmung die Erkenntnisse gewonnen wurden (Art. 6 Abs. 1 Sätze 1 und 4 Gesundheitsdienstgesetz). Dies folgt auch aus der persönlichen Verpflichtung zur Wahrung des Berufsgeheimnisses (vgl. § 203 Abs. 1 Nr. 1 Strafgesetzbuch).

• Die Geheimhaltungspflicht gemäß Art. 6 Gesundheitsdienstgesetz und die ärztliche Schweigepflicht gemäß § 203 Abs. 1 Nr. 1 Strafgesetzbuch bestehen auch im Verhältnis zwischen einem Amtsarzt und dem Dienstherrn eines Beamten. Eine Weitergabe von Daten, die dem Schutz der genannten Vorschriften unterliegen, ist somit nur mit der ausdrücklichen oder mutmaßlichen Einwilligung des betroffenen Beamten zulässig.

• Unterzieht sich ein Beamter einer Untersuchung, so willigt er damit zwar konkludent in die Weitergabe des vom Gesundheitsamt erstellten ärztlichen Gutachtens an den Dienstherrn ein. Inhaltlich darf dieses Gutachten jedoch nicht über das hinausgehen, was für die beamtenrechtliche Entscheidung unbedingt erforderlich ist. Deshalb kommt auch die Angabe der ärztlichen Diagnose im engeren Sinne regelmäßig nicht in Betracht.

• Auch eine ausdrückliche Einwilligung des Beamten könnte nicht zur Weitergabe von Daten ermächtigen, die nicht als erforderlich anzusehen sind.

Diese Grundsätze wurden im wesentlichen bereits in einem Schreiben des Bayerischen Staatsministeriums des Innern vom 19.01.1993 (Az.: IE1-5111/10-1/93) den Gesundheitsämtern zur Kenntnis gegeben. Die Gesundheitsämter sind gehalten, weiterhin nach diesen Vorgaben zu verfahren.