≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 28. TB 2018 > 8. Gesundheitswesen

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.05.2019

8. Gesundheitswesen

8.1. Themen von länderübergreifender Bedeutung

8.1.1. Medizininformatik-Initiative der Bundesregierung

Die Arbeitskreise Gesundheit und Soziales sowie Wissenschaft und Forschung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder wurden vom Nationalen Steuerungsgremium der Medizininformatik-Initiative des Bundesministeriums für Bildung und Forschung eingeladen, am Dialogforum der Medizininformatik-Initiative, einem externen Beratergremium, mitzuwirken. Ich habe für den Arbeitskreis Gesundheit und Soziales am Dialogforum teilgenommen. Der Arbeitskreis Wissenschaft wurde von meinem hessischen Kollegen vertreten.

Die Projektstruktur der Initiative besteht aus dem Nationalen Steuerungsgremium, das Arbeitsgruppen einsetzt und die konsortienübergreifende Koordination übernimmt. Der Technologie- und Methodenplattform für die vernetzte medizinische Forschung e. V. (TMF), der Medizinische Fakultätentag (MFT) und der Verband der Universitätsklinika Deutschlands (VUD) nehmen Geschäftsstellenfunktionen wahr. Das Dialogforum ist ein begleitendes Diskussionsforum.

Aus der Pressemitteilung des Bundesforschungsministeriums vom 16. November 2015 lässt sich ein Eindruck von der Dimension der geförderten Initiative der Bundesregierung gewinnen.

"16. November 2015 Pressemitteilung: 158/2015

Datenschätze heben, Patientenversorgung verbessern

Bundesforschungsministerium stärkt Medizininformatik/Wanka: "Mit Hilfe von Daten bessere Diagnosen und Therapien entwickeln"

Das Bundesministerium für Bildung und Forschung (BMBF) stärkt die Medizininformatik in Deutschland. Mit einem neuen Förderkonzept will das BMBF die technischen und strukturellen Voraussetzungen schaffen, damit Wissen aus der Krankenversorgung und der medizinischen Forschung besser zusammengeführt werden kann.

Der bereits jetzt riesige Datenschatz in Medizin und Forschung wächst kontinuierlich weiter, wird aber noch unzureichend genutzt. "Täglich werden unzählige gesundheitsrelevante Daten in Kliniken, Arztpraxen und auch in der biomedizinischen Forschung erhoben. Die neue Strategie zur Medizininformatik wird dazu beitragen, dass mit Hilfe dieser Informationen genauere Diagnosen und bessere Therapien erfolgen können", sagte Bundesforschungsministerin Johanna Wanka bei der heutigen Vorstellung der Strategie auf der MEDICA in Düsseldorf. Zur Förderung der Medizininformatik stellt das BMBF in den kommenden fünf Jahren 100 Millionen Euro bereit.

Die Strategie ist langfristig und in zeitlich gestuften Modulen angelegt: In einem ersten Schritt sollen an Universitätskliniken Datenintegrationszentren aufgebaut und vernetzt werden. In den Zentren sollen die Voraussetzungen geschaffen werden, um Forschungs- und Versorgungsdaten standortübergreifend zu verknüpfen. Gleichzeitig werden innovative IT-Lösungen für konkrete Anwendungen entwickelt. Dabei ist es eine unabdingbare Voraussetzung, dass die in Deutschland sehr strengen datenschutzrechtlichen Standards und Rahmenbedingungen eingehalten werden, zum Beispiel hinsichtlich des Erfordernisses einer Einwilligung der Patientinnen und Patienten.

Anwendungen könnten zum Beispiel die Entwicklung einer individualisierten Krebstherapie oder die IT-basierte Unterstützung von Diagnose und Therapiewahl bei seltenen Erkrankungen sein. So dauert es bei Patienten, die an einer seltenen Erkrankung leiden, häufig sehr lange, bis eine korrekte Diagnose und optimale Therapie gefunden sind. Ein computergestütztes Informationssystem, das über Befunde und Therapieerfolge bei Patienten mit ähnlichen Symptomen informiert und Mediziner so bei ihrer Diagnose unterstützt, könnte gerade bei seltenen Erkrankungen die Patientenversorgung beschleunigen und verbessern. Solche Experten-Systeme können heute mit Hilfe von modernen Informationstechnologien und medizinischen Datensammlungen entwickelt werden.

Langfristiges Ziel der neuen Strategie ist ein leistungsfähigeres, digital vernetztes Gesundheitssystem. Die Medizininformatik in Deutschland zu stärken, ist Teil der Digitalen Agenda der Bundesregierung. Diese ressortübergreifende Strategie will die Innovationspotentiale der Digitalisierung nutzen und widmet sich vielfältigen Aspekten - vom Breitbandausbau über die Digitalisierung in Gesellschaft, Wirtschaft und Wissenschaft bis hin zum Thema IT-Sicherheit.

Weitere Informationen unter:

http://www.gesundheitsforschung-bmbf.de/de/medizininformatik.php" (externer Link)

Am 30. August 2016 hat in München das Kick-Off-Meeting stattgefunden.

Das Bundesforschungsministerium fördert die Initiative mittlerweile mit einem Betrag von 150 Mio. Euro. Derzeit werden vier von ursprünglich sieben Konsortien unterstützt, die jeweils mindestens zwei Universitätsklinika sowie weitere Partner, insbesondere aus den Bereichen Hochschulen, private Kliniken und Industrieunternehmen umfassen. In den Universitätsklinika sollen Datenintegrationszentren eingerichtet werden, die einen umfassenden Datenaustausch gewährleisten sollen. Nach dreieinhalb Jahren soll ein Audit durch das Bundesforschungsministerium stattfinden.

Es sind Universitätsklinika aus dem gesamten Bundesgebiet an den ursprünglich sieben Konsortien beteiligt. Die sieben Konsortien bezeichnen sich wie folgt:

  1. ADMIRE (Münster, Köln, Bonn, Essen, Düsseldorf);
  2. DIFUTURE (LMU München, TU München, Augsburg, Tübingen);
  3. HD4CR (Charité Berlin, Ulm, Würzburg);
  4. HIGHmed (Hannover, Göttingen, Heidelberg, Deutsches Krebsforschungszentrum);
  5. MIRACUM (Erlangen-Nürnberg, Gießen, Mainz, Freiburg, Marburg, Mannheim, Heidelberg, Frankfurt a. M.);
  6. Share-it (Kiel, Rostock, Lübeck, Hamburg, Greifswald, Dresden);
  7. SMITH (Leipzig, Jena, Aachen).

Alle Konsortien haben das Ziel einer vernetzten Kommunikation zwischen allen Beteiligten auf einer sicheren IT-Basis.

Ich habe im Dialogforum darauf hingewiesen, dass zunächst die Benennung verantwortlicher Stellen im Sinne des Datenschutzrechts erfolgen solle, um eine Beteiligung der jeweils zuständigen Aufsichtsbehörden sicherzustellen. Ferner solle die Förderung durch das Bundesforschungsministerium an die Erstellung eines allgemeinen und sich weiter entwickelnden spezifischen Datenschutzkonzepts gebunden werden. Darüber hinaus sollen die Datenschutzbeauftragten der in den Konsortien beteiligten Stellen frühzeitig eingebunden werden. Es seien die rechtlichen Rahmenbedingungen insbesondere die Datenschutz-Grundverordnung mit ihren Anpassungsregelungen, die Landeskrankenhausgesetze, die Gesundheitsgesetze und die Sozialgesetzbücher zu beachten.

Maßgebliche Rechtsgrundlagen für die entsprechenden Verarbeitungen von Gesundheitsdaten werden Einwilligungserklärungen von Patientinnen und Patienten sein. Dazu wurde den Arbeitskreisen ein Mustertext einer Einwilligungserklärung vorgelegt, der nach eingehender Diskussion mit der Maßgabe angenommen wurde, dass die von den Datenschutz-Aufsichtsbehörden gemachten Vorgaben und Anmerkungen, insbesondere zur sogenannten "breiten Einwilligung" (broad consent) berücksichtigt werden. Im Vordergrund steht insoweit eine umfassende Aufklärung der Patientinnen und Patienten über die grundsätzlichen Zwecke der Verarbeitung von Daten, um selbstbestimmt über die Teilnahme an einer entsprechenden Forschungsstudie entscheiden zu können. Dies erschien den Arbeitskreisen mit den Mustertexten einer Patienteninformation und der Patienteneinwilligung als im Ergebnis sichergestellt.

Soweit ich mit einem Konsortium unter Führung einer bayerischen Universitätsklinik unmittelbar befasst war, haben meine Hinweise zu einer Überarbeitung des Datenschutzkonzepts dieses Konsortiums geführt, insbesondere im Hinblick auf die Darstellung der Verfahrensweisen und die Frage der standortübergreifenden Zusammenführung von personenbezogenen Patientendaten in sogenannten Datenintegrationszentren. Diesbezüglich wurde im Datenschutzkonzept ausdrücklich klargestellt, dass in der ersten Projektphase keine personenbezogenen Daten zwischen den einzelnen Standorten der im Konsortium zusammenarbeitenden Stellen ausgetauscht werden sollen. Die Datenhaltung blieb zunächst auf den jeweiligen Standort beschränkt, Auswertungen wurden nur intern vorgenommen. Externe Forscher erhielten keine personenbezogenen Patientendaten, sondern nur aggregierte Statistiken. Das Landesrecht bot dazu in Art. 27 Abs. 4 Satz 1 Bayerisches Krankenhausgesetz eine ausreichende Rechtsgrundlage; demnach dürfen Krankenhausärzte Patientendaten nutzen, soweit dies zu Forschungszwecken im Krankenhaus oder im Forschungsinteresse des Krankenhauses erforderlich ist. Einer Einwilligung der betroffenen Patienten und Patientinnen bedurfte es hierfür nicht.

Allerdings erhob das Datenschutzkonzept ausdrücklich nicht den Anspruch, auch alle weiteren Projektphasen abzubilden. Insoweit habe ich darauf gedrängt, das Konzept anzupassen und zu ergänzen, sobald die geplanten Ausbaustufen eingerichtet und umgesetzt werden sollen.

Das Gesamtprojekt der Medizininformatik-Initiative begleite ich auch weiterhin intensiv.

8.1.2. Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durch Krankenhäuser

Am Beispiel der Krankenhäuser lässt sich gut veranschaulichen, wie die Datenschutz-Grundverordnung bereits weit im Vorfeld des Anwendungszeitraums schwierige Rechts-und Umsetzungsfragen aufgeworfen hat. Die Deutsche Krankenhausgesellschaft, der Bundesverband Gesundheits-IT und der Arbeitskreis "Datenschutz und IT-Sicherheit im Gesundheitswesen" der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie haben gemeinsam den Versuch unternommen, insbesondere Krankenhäusern Hilfestellungen zur Anwendung der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO zu geben. Dazu haben sie mir in meiner Funktion als Vorsitzender des Arbeitskreises Gesundheit und Soziales der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder umfangreiche Papiere mit der Bitte um Bewertung vorgelegt.

Da das Thema Datenschutz-Folgenabschätzung im Grunde für nahezu alle Sach- und Rechtsbereiche relevant ist, habe ich in Abstimmung mit den Mitgliedern des insoweit federführenden Arbeitskreises Gesundheit und Soziales weitere Gremien der Datenschutz-Aufsichtsbehörden, insbesondere den Arbeitskreis Technik, den Arbeitskreis Grundsatzfragen und die eigens begründete Unterarbeitsgruppe Datenschutz-Folgenabschätzung eingebunden. Es wurden zahlreiche Anmerkungen zu den vorgelegten Unterlagen abgegeben. Dabei wurde darauf hingewiesen, dass die Papiere zwar einen guten Überblick über die Rechtslage enthalten, aber nur an einzelnen Stellen konkret anwendbare Hinweise. Zum Beispiel fehlten detaillierte Angaben zu Gefährdungen und Angriffsszenarien speziell für IT-Systeme im Krankenhaus sowie detaillierte Vorgaben zur Durchführung einer Risikoanalyse. Auch fehlten Angaben zur Methodik der Risikobewertung.

Leider ist es nicht gelungen, schon vor Geltungsbeginn der Datenschutz-Grundverordnung ein speziell für Krankenhäuser konzipiertes Papier mit abgestimmten detaillierten Hinweisen für die Umsetzung der Datenschutz-Folgenabschätzung zu entwickeln. Letztendlich hat dieser Umstand aufgezeigt, dass die Verantwortlichen sich mit den neuen Instrumenten der Datenschutz-Grundverordnung noch besser vertraut machen müssen. Zwischenzeitlich liegen von Seiten der Datenschutz-Aufsichtsbehörden Orientierungshilfen und Empfehlungen vor, die es den Verantwortlichen ermöglichen sollten, die Anforderungen zu erfüllen. Eine dazu von mir entwickelte Orientierungshilfe kann auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Datenschutz-Folgenabschätzung" abgerufen werden.

8.1.3. Konstituierung der Unterarbeitsgruppe "Digitalisierung im Gesundheitswesen"

Die Weiterentwicklung der Digitalisierung im Gesundheitswesen war und ist eines der erklärten politischen Ziele der Bundesregierung. Die Datenschutz-Aufsichtsbehörden waren im Berichtszeitraum deshalb noch mehr als bisher gefordert, sich mit datenschutzrechtlichen Themen der Digitalisierung im Gesundheitswesen zu befassen. Um dafür entsprechend vorbereitet zu sein, hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder auf Vorschlag des von mir geleiteten Arbeitskreises Gesundheit und Soziales sowie des Arbeitskreises Technik einstimmig beschlossen, eine Unterarbeitsgruppe einzurichten, die sich ausschließlich mit dieser komplexen Materie beschäftigen soll. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat aufgrund der bundesweiten Bedeutung den Vorsitz der Unterarbeitsgruppe übernommen.

Bislang sind insbesondere folgende Themen als wesentlich erkannt und beraten worden:

  • Big Data im Gesundheitswesen;
  • Medizininformatik-Initiative der Bundesregierung (siehe dazu oben unter Nr. 8.1.1);
  • Elektronische Patientenakte/elektronische Gesundheitsakte;
  • Gesundheits-Apps;
  • Datenverarbeitung im Auftrag im Gesundheitswesen/Nutzung von Cloud-Diensten;
  • Infrastruktur zur mobilen Kommunikation, insbesondere Messenger-dienste;
  • Interoperabilität/Standards;
  • Videosprechstunde;
  • Wartung von medizinischen Geräten;
  • Bildung/Sensibilisierung der Beteiligten;
  • Ambient Assisted Living (AAL).

Die Unterarbeitsgruppe beabsichtigt, Orientierungshilfen, Entschließungen, Empfehlungen und Leitlinien zu entwickeln. Die darin enthaltenen Hinweise zur datenschutzkonformen Umsetzung der Digitalisierung im Gesundheitswesen sollen der Politik, der Verwaltung sowie den Bürgerinnen und Bürgern nutzbar gemacht werden.

8.2. Krebsregister

Das Bayerische Krebsregistergesetz ist am 1. April 2017 in Kraft getreten. Zum Gesetzentwurf habe ich mich bereits in meinem 27. Tätigkeitsbericht 2016 unter Nr. 7.3 ausführlich geäußert.

Ein Hauptpunkt der parlamentarischen Diskussion war bei diesem Gesetz bis zuletzt der Datenschutz. Im Kern ging es darum, ob das Krebsregistergesetz aus sich heraus für die betroffenen Patienten und Patientinnen verständlich ist und gesetzliche Grundlage für die Einschränkung des Grundrechts auf informationelle Selbstbestimmung sein kann, weil sich bereits aus dem Gesetz deren Voraussetzungen und Umfang klar ergeben und seine Regelungen damit dem rechtsstaatlichen Gebot der Normenklarheit entsprechen (zu diesem siehe Beschluss des Bundesverfassungsgerichts vom 23. Februar 2007, Az.: 1 BvR 2368/06).

Für mich war unabdingbar, dass zumindest in der Zusammenschau aus dem Gesetz und der dazu erlassenen Ausführungsverordnung (Verordnung über die Durchführung des Bayerischen Krebsregistergesetzes - Krebsregisterverordnung) klar erkennbar sein muss, wie das Bayerische Krebsregister organisiert ist und welche Stellen welche Aufgaben und - insbesondere datenschutzrechtlichen - Befugnisse haben sollen. Ich habe mich deshalb von Beginn an und wiederholt in das Verfahren zum Erlass der Krebsregisterverordnung eingebracht. Die Verordnung ist am 1. Mai 2018 in Kraft getreten und enthält unter anderem Regelungen zu Struktur und Organisation des Bayerischen Krebsregisters, insbesondere die Unterteilung in Vertrauensstelle, Regionalzentren und Zentralstelle für Krebsfrüherkennung und Krebsregistrierung (ZKFR).

Auch den derzeit laufenden Aufbau des Bayerischen Krebsregisters werde ich weiter begleiten.

Zu den technischen Anforderungen an das Bayerische Krebsregister siehe den Beitrag Nr. 3.2.3.

8.3. Veterinär- und Lebensmittelüberwachung: TIZIAN

Das Verfahren TIZIAN war wiederholt Gegenstand meiner Tätigkeitsberichte. Auch im Berichtszeitraum habe ich mich mit TIZIAN beschäftigt. TIZIAN ist die Bezeichnung einer behördenübergreifend eingesetzten Software für die Veterinär-, Lebensmittel- und Futtermittelüberwachung, die vom Bayerischen Landesamt für Gesundheit und Lebensmittelsicherheit betrieben wird. Sie soll den über 100 Verbraucherschutz-, Lebensmittel- und Veterinärbehörden, die die Verbunddatei derzeit nutzen, eine effiziente und qualitätsgesicherte Erfüllung ihrer Aufgaben im Rahmen der Lebensmittel-, Veterinär- und Futtermittelkontrolle ermöglichen.

Angesichts der Vielzahl der verarbeiteten Daten, der oft umfangreichen Zugriffsmöglichkeiten und der damit verbundenen Gefahr einer missbräuchlichen Datenverarbeitung habe ich unter Hinweis auf die Eingriffe in das Grundrecht auf informationelle Selbstbestimmung seit den Planungen zur Einführung der Datenbank eine hinreichend klare und bestimmte gesetzliche Grundlage gefordert (siehe zuletzt meine Ausführungen im 25. Tätigkeitsbericht 2012 unter Nr. 8.5).

Es ist vor diesem Hintergrund zu begrüßen, dass der bayerische Gesetzgeber mit Art. 30a Gesetz über den öffentlichen Gesundheits- und Veterinärdienst, die Ernährung und den Verbraucherschutz sowie die Lebensmittelüberwachung (Gesundheitsdienst- und Verbraucherschutzgesetz - GDVG) mein langjähriges Postulat nun im Interesse der Rechtssicherheit umgesetzt und eine spezialgesetzliche Rechtsvorschrift für das Verfahren TIZIAN erlassen hat.

Art. 30a GDVG
Gemeinsames Verfahren

(1) Das Landesamt betreibt für die in Abs. 3 genannten Zwecke ein automatisiertes gemeinsames Verfahren.

(2) 1Das Landesamt und die mit dem Vollzug der in Abs. 3 genannten Zwecke betrauten oder beliehenen Stellen können die hierfür erforderlichen Daten verarbeiten. 2Das Staatsministerium für Umwelt und Verbraucherschutz kann die in Satz 1 genannten Daten zu den in Abs. 3 Nr. 5 genannten Zwecken auslesen und verwenden.

(3) Die Verarbeitung der Daten nach Abs. 2 Satz 1 erfolgt zu folgenden Zwecken:

  1. Vollzug der Art. 19 bis 21,
  2. Aufsicht durch die in Art. 3 Abs. 1 Nr. 2 und Art. 5 genannten öffentlichen Stellen,
  3. Steuerung der in Art. 3 Abs. 1 Nr. 2 und 3, Art. 4, 5 und 5a genannten sowie gemäß Art. 7 beliehenen öffentlichen Stellen,
  4. Personalbewirtschaftung, aber ohne Personenbezug der Betriebs- und Kontrolldaten,
  5. Planung, Steuerung und Aufsicht durch das Staatsministerium für Umwelt und Verbraucherschutz, aber ohne Personenbezug der Betriebs- und Kontrolldaten.

(4) Der Verantwortliche hat personenbezogene Daten, die zur Erfüllung der Aufgaben nach Abs. 3 nicht mehr erforderlich sind, zu löschen.

8.4. Krankenhaus

8.4.1. Rechtsgrundlagen für Krankenhäuser nach neuem Datenschutzrecht

Die Öffnungsklauseln der Datenschutz-Grundverordnung und die Befugnis zur Konkretisierung ihrer allgemeinen Vorschriften ermöglichen die weitgehende Beibehaltung der bisherigen, gegenüber dem Bayerischen Datenschutzgesetz vorrangigen datenschutzrechtlichen Spezialvorschriften. Dies gilt auch im Krankenhausbereich:

Als besondere Rechtsvorschrift im Sinne des Art. 1 Abs. 5 BayDSG ist Art. 27 Bayerisches Krankenhausgesetz (BayKrG) auch weiterhin auf alle Krankenhäuser anwendbar, die gemäß Art. 2 BayKrG dem Geltungsbereich des Bayerischen Krankenhausgesetzes unterliegen.

Soweit Art. 27 BayKrG nichts anderes bestimmt, gelten für Patientendaten wegen Art. 1 Abs. 3 BayDSG die Vorschriften für nicht öffentliche Stellen. Denn regelmäßig nehmen öffentliche Krankenhäuser als Unternehmen am Wettbewerb teil.

Art. 27 BayKrG gilt grundsätzlich auch für Bezirkskliniken. Eine Ausnahme bildet hier nur der Bereich des Straf- und Maßregelvollzugs, einschließlich der Unterbringung nach dem Therapieunterbringungsgesetz (vgl. Art. 2 BayKrG, § 3 Satz 1 Nr. 2 Gesetz zur wirtschaftlichen Sicherung der Krankenhäuser und zur Regelung der Krankenhauspflegesätze).

Der Wettbewerbscharakter von Bezirkskrankenhäusern ist lediglich bei der Unterbringung nach dem Bayerischen Psychisch-Kranken-Hilfe-Gesetz, der Unterbringung im Straf- und Maßregelvollzug und der Unterbringung nach dem Therapieunterbringungsgesetz zu verneinen.

Universitätskliniken sind rechtsfähige Anstalten des öffentlichen Rechts (Art. 1 Abs. 1 Gesetz über die Universitätsklinika des Freistaates Bayern - Bayerisches Universitätsklinikagesetzes - BayUniKlinG) und damit sonstige öffentliche Stellen im Sinne von Art. 1 Abs. 1 Satz 1 BayDSG. Gemäß Art. 15 Abs. 2 BayUniKlinG gilt Art. 27 BayKrG für Universitätskliniken entsprechend.

Da Universitätskliniken Aufgaben der Krankenversorgung wahrzunehmen haben, die auch von privaten oder gemeinnützigen Krankenhäusern erbracht werden können, nehmen sie insoweit am Wettbewerb teil, auch wenn die Unikliniken die Krankenversorgung an den Aufgaben ihrer Universität in Forschung und Lehre auszurichten haben und diese hierdurch eine spezielle Prägung erfahren (siehe Art. 2 Abs. 1 Satz 1 BayUniKlinG).

8.4.2. Informationsaustausch zwischen Krankenhaus und Ermittlungsbehörden

Beim regelmäßigen Austausch mit Krankenhäusern werfen diese immer wieder die Frage auf, ob und inwieweit personenbezogene Daten von Beschäftigten oder von Patienten und Patientinnen an die Polizei übermittelt werden dürfen. Hier die häufigsten Fallgestaltungen:

  • 1. Fall: Ein Mitarbeiter wird von einem Patienten angegriffen. Die Klinik stellt Strafanzeige. Die Polizei befragt den Bediensteten vor Ort zu seinen persönlichen Daten und zum Hergang des Vorfalls.

Der Bedienstete ist nach Maßgabe von § 163 Abs. 3 Strafprozessordnung (StPO) als Zeuge zur Aussage verpflichtet. Über § 53a StPO gilt aber das Zeugnisverweigerungsrecht nach § 53 Abs. 1 Satz 1 Nr. 3 StPO.

Die Weitergabe von Patientendaten ist nach Maßgabe von § 32 Abs. 2 Bundesmeldegesetz (BMG) zulässig:

§ 32 BMG
Besondere Meldepflicht in Krankenhäusern, Heimen und ähnlichen Einrichtungen

(2) 1Der zuständigen Behörde ist Auskunft aus den Unterlagen der genannten Einrichtungen zu erteilen, wenn dies nach Feststellung der Behörde zur Abwehr einer erheblichen und gegenwärtigen Gefahr, zur Verfolgung von Straftaten oder zur Aufklärung des Schicksals von Vermissten und Unfallopfern im Einzelfall erforderlich ist. 2Die Auskunft umfasst folgende Daten:

  1. Familienname,
  2. Vornamen,
  3. Geburtsdatum und Geburtsort sowie bei Geburt im Ausland auch den Staat,
  4. Staatsangehörigkeiten,
  5. Anschriften,
  6. Datum der Aufnahme und Datum der Entlassung.
  • 2. Fall: Ein Patient zeigt einen Mitarbeiter an. Die Polizei befragt den Bediensteten vor Ort. Wie hat sich der Bedienstete zu verhalten?

Als Beschuldigter ist der Mitarbeiter nicht zur Aussage verpflichtet (§ 136 Abs. 1 StPO). Zeugen steht das Auskunftsverweigerungsrecht nach § 55 StPO zu. Eine Weitergabe von Daten, die der Schweigepflicht unterliegen, ist nur in den engen Grenzen des § 34 Strafgesetzbuch (StGB) gerechtfertigt, zum Beispiel zur Abwehr der Gefahr einer unbegründeten strafrechtlichen Verfolgung oder einer unberechtigten Zivilklage (vgl. Eisele, in: Schönke/ Schröder, Strafgesetzbuch, 30. Aufl. 2019, § 203 Rn. 60).

  • 3. Fall: Ein Patient zeigt einen anderen Patienten an. Mitarbeiter werden als Zeugen von der Polizei angesprochen.

Die Weitergabe von Patientendaten ist nach Maßgabe von § 32 Abs. 2 BMG zulässig, etwa zur Abwehr einer erheblichen und gegenwärtigen Gefahr oder zur Verfolgung von Straftaten (siehe 1. Fall). Die Beschäftigten sind nach Maßgabe von § 163 Abs. 3 StPO als Zeugen zur Aussage verpflichtet. Über § 53a StPO gilt aber das Zeugnisverweigerungsrecht nach § 53 Abs. 1 Satz 1 Nr. 3 StPO.

  • 4. Fall: Patienten zeigen einen Diebstahl im Krankenhaus an. Die Polizei ermittelt vor Ort.

Die Mitarbeiter sind nach Maßgabe von § 163 Abs. 3 StPO als Zeugen zur Aussage verpflichtet. Über § 53a StPO gilt aber das Zeugnisverweigerungsrecht nach § 53 Abs. 1 Satz 1 Nr. 3 StPO. In einem ersten Schritt könnten die Mitarbeiter ihre Beobachtungen auch ohne Personenbezug mitteilen. Die Weitergabe von Patientendaten ist nach Maßgabe von § 32 Abs. 2 BMG zulässig (siehe 1. Fall).

  • 5. Fall: Die Polizei hat im Rahmen von Ermittlungsverfahren Fragen zu Patienten.

Im Hinblick auf die Sensibilität und besondere Schutzwürdigkeit von Patientendaten (vgl. § 97 StPO) empfehle ich in solchen Fällen, regelmäßig auf einem schriftlichen Herausgabeverlangen der Staatsanwaltschaft als Herrin des Verfahrens zu bestehen, aus dem hervorgeht, dass andernfalls Zwangsmaßnahmen wie etwa eine Beschlagnahme drohen.

  • 6. Fall: Die Staatsanwaltschaft bittet das Krankenhaus darum, Straftaten zwischen zwei Patienten (meist körperliche Gewalt oder Diebstahl von Patienteneigentum) grundsätzlich zur Anzeige zu bringen.

Eine Anzeigepflicht für geplante Straftaten ergibt sich aus § 138 StGB, für Ärzte und deren berufsmäßigen Gehilfen gilt § 139 Abs. 3 StGB.

Eine Offenbarung kann nach § 34 StGB gerechtfertigt sein (rechtfertigender Notstand). Eine Verletzung der Schweigepflicht wird regelmäßig aber nur gerechtfertigt sein, wenn es um die Abwehr erheblicher Gefahren für die Rechtsgüter Leben und Gesundheit geht. Auch darf nur das offenbart werden, was zur Erreichung des Zwecks unbedingt erforderlich ist.

Ist der Antragsberechtigte geschäftsunfähig oder beschränkt geschäftsfähig, so können der gesetzliche Vertreter in den persönlichen Angelegenheiten und derjenige, dem die Sorge für die Person des Antragsberechtigten zusteht, Strafanzeige stellen (§ 77 Abs. 3 StGB).

8.4.3. Übermittlung von Patientendaten an externe Verrechnungsstellen

Ein Universitätsklinikum übermittelte zur Abrechnung ärztlicher Leistungen innerhalb weniger Jahre wiederholt personenbezogene Daten ein und desselben Patienten ohne dessen Einverständnis an externe Abrechnungsfirmen. Da das Liquidationsrecht hinsichtlich der privatärztlichen Behandlungen in zwei Fällen beim Klinikum selbst lag, waren die Datenschutzverstöße dem Klinikum auch zuzurechnen. Ein dritter Verstoß zu Lasten des Patienten bezog sich auf die Abrechnung von ärztlichen Leistungen, für die das Liquidationsrecht nicht beim Klinikum, sondern beim Chefarzt selbst lag.

Gemäß § 17 Abs. 3 Satz 6 Gesetz über die Entgelte für voll- und teilstationäre Krankenhausleistungen dürfen bei der Abrechnung wahlärztlicher Leistungen personenbezogene Daten an eine beauftragte Abrechnungsstelle außerhalb des Krankenhauses nur mit Einwilligung des Betroffenen übermittelt werden. In beiden dem Klinikum zuzurechnenden Fällen hatte der Patient eine entsprechende Einwilligung nicht erteilt.

Von einer förmlichen Beanstandung hatte ich nach dem ersten Verstoß noch abgesehen. So sei die Weitergabe der Daten nach Bekunden des Klinikums nur versehentlich erfolgt. Auch seien dem Wunsch des Patienten entsprechend sämtliche Klinikdirektoren darauf hingewiesen worden, dass eine externe Abrechnung seinerseits nicht gewünscht sei, so dass vergleichbare Datenschutzverstöße zu seinen Lasten künftig nicht mehr zu erwarten sein sollten.

Rund drei Jahre später kam es erneut zu einer unzulässigen Übermittlung von Patientendaten an eine externe Abrechnungsstelle. Die nach dem ersten Verstoß ergriffenen Maßnahmen waren offensichtlich nicht geeignet, den Mangel zu beheben und sicherzustellen, dass entsprechende Datenübermittlungen nur bei vorhandener Einwilligung erfolgen. Der wiederholte Datenschutzverstoß zu Lasten desselben Patienten ließ auf einen systematischen Fehler schließen und führte zu einer förmlichen Beanstandung.

Ob die nunmehr vom Klinikum angekündigten technisch-organisatorischen Maßnahmen Wirkung zeigen, werde ich zu gegebener Zeit im Rahmen einer Vor-Ort-Prüfung kontrollieren.

8.4.4. Weitergabe eines genetischen Befundes an Jugendamt

Folgender Fall führte zu einer förmlichen Beanstandung: Ein Universitätsklinikum informierte das örtliche Jugendamt über den genetischen Befund eines Patienten. Zudem gab der behandelnde Arzt die ermittelten genetischen Daten an neun weitere Therapiekollegen innerhalb des Klinikums weiter. Beides erfolgte ohne Befugnis und damit datenschutzwidrig.

Der minderjährige Patient befand sich in stationärer Behandlung. Im Rahmen der Behandlung willigte die Mutter des Patienten zwar in die genetische Untersuchung ihres Sohnes ein. Folgende Frage auf dem Formblatt "Einwilligung zur Genetischen Beratung/Untersuchung" beantwortete sie durch Ankreuzen allerdings mit "Nein":

"Ich bin damit einverstanden, dass mein Humangenetisches Gutachten/meine Befunde an folgende mitbehandelnde Ärzte geschickt werden: Frau/Herrn Dr.:"

In einem Schreiben an das örtliche Jugendamt (Gefährdungsmeldung nach § 8a Achtes Buch Sozialgesetzbuch - Kinder und Jugendhilfe - ), das vom behandelnden Arzt und neun weiteren Therapiekollegen unterschrieben wurde, führte das Klinikum unter anderem aus:

"Während des stationären Aufenthaltes ergab sich kein Hinweis für eine neurometabolische, neuroimmunologische oder neuroendokrinologische bzw. neuroinfektiologische Störung. Es liegt somit kein somatischer Befund vor, der die Symptome von [...] erklären könnte. Der einzige fassbare somatische Befund ist ein Mosaik 45 X0: Bei diesem Mosaik können Verhaltensauffälligkeiten bei Kindern auftreten, aber nicht die berichtete neurologische Symptomatik von [...]."

Bei "Mosaik 45 X0" handelt es sich um ein genetisches Datum. In seiner Stellungnahme räumte das Klinikum Zweifel an der Erforderlichkeit einer derart detaillierten Benennung des Befundes an das Jugendamt ein. Künftig sollten nur solche Daten Bestandteil von Gefährdungsmeldungen sein, deren Nennung zweckgebunden und erforderlich sei.

Die Mitteilung des genetischen Befundes an neun Therapiekollegen innerhalb der Klinik war aus Sicht des Klinikums erforderlich: Es habe sich hierbei um Ärzte gehandelt, die das Kind behandelt, damit zum Behandlungsteam gehört und daher auch ein entsprechendes Behandlungsmandat gehabt hätten.

§ 4 Gesetz zur Kooperation und Information im Kinderschutz (KKG) regelt die Befugnis von Geheimnisträgern wie Ärzten, beim Verdacht von Kindeswohlgefährdungen das Jugendamt zu informieren. Zu diesem Zweck dürfen dem Jugendamt die erforderlichen Daten mitgeteilt werden (§ 4 Abs. 3 Satz 2 KKG).

Die Mitteilung von Ergebnissen genetischer Untersuchungen ist nach § 11 Abs. 1 Gesetz über genetische Untersuchungen bei Menschen (Gendiagnostikgesetz - GenDG) nur gegenüber der betroffenen Person zulässig. Anderen Personen gegenüber darf die Mitteilung nur mit ausdrücklicher und schriftlicher Einwilligung des Betroffenen erfolgen (§ 11 Abs. 3 GenDG).

Nach Art. 27 Abs. 5 Satz 2 Bayerisches Krankenhausgesetz ist eine Offenbarung von Patientendaten an Vor-, Mit- oder Nachbehandelnde zulässig, soweit das Einverständnis der Patienten anzunehmen ist.

Die Mitteilung des genetischen Datums "Mosaik 45 X0" an das Jugendamt erfolgte ohne Rechtsgrund: Sie erfolgte ohne Einverständnis der Eltern und war auch nicht erforderlich, um das Jugendamt über den Verdacht der Kindeswohlgefährdung zu informieren. Die Klinik hat selbst eingeräumt, dass das genetische Datum keine medizinische Relevanz für die vorliegenden klinischen Auffälligkeiten oder zur Erläuterung dieser gegenüber dem Jugendamt gehabt habe. Die Mitteilung kann demnach nicht auf die datenschutzrechtliche Befugnis gemäß § 4 Abs. 3 Satz 2 KKG gestützt werden und verstößt gegen § 11 Abs. 3 GenDG.

Auch die Weitergabe der ermittelten genetischen Daten durch den behandelnden Arzt an neun weitere Therapiekollegen innerhalb der Klinik stellt einen Verstoß gegen datenschutzrechtliche Vorgaben dar, da sie gegen den ausdrücklichen Willen der Mutter erfolgte. Insoweit greift auch Art. 27 Abs. 5 Satz 2 BayKrG nicht, weil der behandelnde Arzt gerade nicht von einem Einverständnis zur Weitergabe an Mitbehandler ausgehen konnte.

Die nach dem Gendiagnostikgesetz erhobenen Daten sind in besonderer Weise schutzwürdig. Die Übermittlung an das Jugendamt und die Weitergabe innerhalb der Klinik stellen deshalb schwerwiegende datenschutzrechtliche Verstöße dar, die zu beanstanden waren.