≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 7. Gesundheitsverwaltungund Krankenhäuser

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020

7. Gesundheitsverwaltungund Krankenhäuser

7.1. Verarbeitung von Mitteilungen der Polizei durch das Gesundheitsamt

Wiederholt haben mich Mitteilungen von Gesundheitsämtern erreicht, wonach sie von Polizeibehörden Ereignismeldungen über Verhaltensauffälligkeiten, Verdachte auf psychische Erkrankungen, Suchtverhalten oder Ähnliches erhalten würden. Die Gesundheitsämter halten diese Praxis zu Recht für nicht mit dem Datenschutzrecht vereinbar.

Entsprechende Datenübermittlungen an die jeweils zuständigen Kreisverwaltungsbehörden sind gemäß Art. 56 Abs. 1 Nr. 2 Polizeiaufgabengesetz (PAG) in Verbindung mit Art. 11 Bayerisches Psychisch-Kranken-Hilfe-Gesetz (BayPsychKHG) für Zwecke der sofortigen vorläufigen Unterbringung zulässig:

Art. 11 BayPsychKHG

Sofortige vorläufige Unterbringung durch die Kreisverwaltungsbehörde

1Sind dringende Gründe für die Annahme vorhanden, dass die Voraussetzungen für eine Unterbringung nach Art. 5 vorliegen, und kann eine gerichtliche Entscheidung nicht rechtzeitig ergehen, kann die Kreisverwaltungsbehörde die sofortige vorläufige Unterbringung anordnen und vollziehen. 2[...]

Allerdings ergibt sich aus dem Umstand, dass das Gesundheitsamt Teil des Landratsamts als Kreisverwaltungsbehörde ist, nicht automatisch, dass diese Daten auch an das Gesundheitsamt übermittelt werden dürfen, obwohl dieses die Daten für eigene Aufgaben zunächst nicht benötigt. Das Gesundheitsamt erhält regelmäßig erst vor einer vorläufigen gerichtlichen Unterbringung Gelegenheit zur Äußerung und benötigt auch nur dann, wenn es dazu kommt, personenbezogene Daten:

Art. 16 BayPsychKHG

Vorläufige gerichtliche Unterbringung

(1) 1Die vorläufige gerichtliche Unterbringung wird auf Antrag der Kreisverwaltungsbehörde angeordnet. 2Vor einer vorläufigen gerichtlichen Unterbringung gibt das Gericht dem Gesundheitsamt, in dessen Bezirk die betroffene Person ihren gewöhnlichen Aufenthalt hat, Gelegenheit zur Äußerung. 3[...]

Diese Rechtslage rechtfertigt es aber nicht, bereits zuvor das Gesundheitsamt durch die Polizeibehörden miteinzubeziehen. Der Zugang zu personenbezogenen Daten muss vielmehr auf diejenigen Stellen begrenzt werden, welche sie für die konkreten Zwecke im Einzelfall auch tatsächlich benötigen:

Art. 5 DSGVO

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

[...]

  1. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

[...]

In diesem Zusammenhang haben die Gesundheitsämter auch die Frage aufgeworfen, wie sie mit derartigen unzulässigen Meldungen der Polizeibehörden umgehen sollen, das heißt, ob sie diese insbesondere in dringenden Fällen an die zuständigen Stellen im Landratsamt weiterleiten dürfen oder die Datenübermittlung an die zuständige Stelle auf dem "Umweg" über die Polizeibehörden erfolgen müsse.

Ich habe den Gesundheitsämtern den Ratschlag gegeben, die beim Gesundheitsamt unzuständigerweise eingegangenen Meldungen an die zuständige Abteilung der Kreisverwaltungsbehörde weiterzuleiten. Das Gesundheitsamt sollte die zuständige Polizeibehörde auf den Fehler sowie auf die Weiterleitung der übermittelten Daten hinweisen.

Darüber hinaus hat ein Gesundheitsamt die Frage aufgeworfen, ob es auf Grundlage der fälschlich an das Gesundheitsamt übermittelten Daten eine betroffene Person fragen dürfe, ob sie eine in die Verantwortung des Gesundheitsamtes fallende Beratung möchte. Dazu wäre es erforderlich, die Daten auch übergangsweise beim Gesundheitsamt zu speichern.

Wann eine Verarbeitung im Sinne der Datenschutz-Grundverordnung vorliegt, welche stets einer Rechtsgrundlage bedarf, ist in Art. 4 Nr. 2 DSGVO geregelt:

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[...]

Wann eine Verarbeitung personenbezogener Daten zulässig ist, ist in Art. 6 DSGVO geregelt, wobei Art. 9 DSGVO für besondere Kategorien personenbezogener Daten zusätzliche Anforderungen enthält. Da gerade keine gesetzliche Grundlage für die vom Gesundheitsamt gewünschte Datenverarbeitung existiert, kommt nur eine Datenverarbeitung gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a DSGVO auf Grundlage einer Einwilligung in Betracht.

Ob eine Einwilligung auch, wie vom Gesundheitsamt erfragt, nachträglich eingeholt werden kann, lässt sich aus den Regelungen in der Datenschutz-Grundverordnung (insbesondere Art. 4 Nr. 11, Art. 7 DSGVO sowie Erwägungsgründen 32, 33, 42 und 43 DSGVO) nicht unmittelbar entnehmen. Allerdings stellt beispielsweise Erwägungsgrund 33 Satz 1 DSGVO (ausdrücklich nur für den Bereich der wissenschaftlichen Forschung) auf den "Zeitpunkt der Erhebung der personenbezogenen Daten" ab. Dieser Zeitpunkt muss für sonstige Verarbeitungen gleichermaßen gelten. Es ist demnach nicht zulässig, Daten mit dem Vorsatz, nachträglich eine Einwilligung in die Verarbeitung personenbezogener Daten einzuholen, zu verarbeiten. Dies ist schon deshalb nicht möglich, weil dabei bewusst in Kauf genommen werden müsste, dass zumindest ein gewisser Anteil an Verarbeitungen rechtswidrig erfolgen würde, weil sich der Betroffene (nachträglich) gegen eine Einwilligung entscheidet.

Eine rechtsgrundlose Verarbeitung personenbezogener Daten für Zwecke des Gesundheitsamtes ist zwar noch nicht anzunehmen, wenn Daten von Polizeibehörden (unzulässigerweise, aber dafür trägt das Gesundheitsamt nicht die Verantwortung) an das Gesundheitsamt übermittelt werden. Auch die Weiterleitung dieser Daten an den eigentlichen Adressaten der Datenübermittlung stellt mangels eigener Entscheidung des Gesundheitsamtes über Mittel und Zwecke der Datenverarbeitung keinen rechtfertigungsbedürftigen Vorgang dar. Sobald diese Daten aber durch das Gesundheitsamt gespeichert oder dazu verwendet werden, um die betroffene Person zu kontaktieren, liegt eine Verarbeitung unter eigener Verantwortung vor, welche nur unter den Bedingungen der Art. 6, 9 DSGVO zulässig wäre.

7.2. Krankenhausseelsorge

Viele Krankenhäuser sind verunsichert, wie sie mit Daten von Patientinnen und Patienten umgehen sollen, wenn diese Daten für die Behandlung nicht erforderlich sind, sie aber erhoben werden müssen, um den Zugang von Seelsorgerinnen und Seelsorgern zu den Patientinnen und Patienten zu ermöglichen.

Eine Verarbeitung der besonders sensiblen Daten zu religiösen oder weltanschaulichen Überzeugungen einschließlich der Datenübermittlung durch das Krankenhaus ist nur nach Maßgabe von Art. 9 DSGVO und damit regelmäßig ausschließlich auf ausdrücklichen Wunsch der Patientin oder des Patienten hin zulässig. Art. 9 DSGVO lautet auszugsweise:

Art. 9 DSGVO

Verarbeitung besonderer Kategorien personenbezogener Daten

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

  1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

[...]

Seit Geltungsbeginn der Datenschutz-Grundverordnung genügt dabei eine schlüssige oder auch nur mutmaßliche Einwilligung oder die Belehrung über ein Widerspruchsrecht ("opt-out") nicht mehr den Anforderungen an eine wirksame Einwilligung. Es muss vielmehr eine ausdrückliche Einwilligung ("opt-in") in die Verarbeitung speziell dieser besonders sensiblen personenbezogenen Daten eingeholt werden. Art. 4 Nr. 11 DSGVO schreibt dazu konkret vor:

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

[...]

Ich habe deshalb im Beurteilungszeitraum einige Kliniken bei der Erarbeitung datenschutzkonformer Unterlagen zur Einholung dieser nun erforderlichen Einwilligungen begleitet. Dabei habe ich insbesondere auch darauf geachtet, dass sich die Datenerhebung am Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 Buchst. c DSGVO orientiert. Krankenhäuser dürfen danach Daten nur insoweit verarbeiten, als dies für den jeweiligen Zweck erforderlich ist. Art. 5 Abs. 1 Buchst. c DSGVO lautet:

Art. 5 DSGVO

Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

[...]

  1. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

[...]

Die Kliniken haben mir dabei wiederholt von Praxisproblemen bei der Umsetzung der neuen datenschutzrechtlichen Notwendigkeiten berichtet. So sei es schwierig, Daten zur Religionszugehörigkeit zu löschen, wenn eine Patientin oder ein Patient zunächst seine Einwilligung erteilt, diese aber anschließend widerrufen hat. Diese Möglichkeit sieht die Datenschutz-Grundverordnung ausdrücklich vor, es muss sogar über das Widerrufsrecht bei Einholung einer Einwilligung informiert werden. Art. 7 Abs. 3 DSGVO regelt dazu:

Art. 7 DSGVO

Bedingungen für die Einwilligung

[...]

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

[...]

Aufgrund der geschilderten Praxisprobleme und auch wegen des Grundsatzes der Datenminimierung habe ich in einigen Krankenhäusern angeregt, das Gespräch mit den betroffenen Kirchen zu suchen. Möglicherweise könnte der Informationsfluss von den Patientinnen und Patienten zu den Krankenhausseelsorgerinnen und Krankenhausseelsorgern und umgekehrt so gestaltet werden, dass die wertvolle Arbeit der Krankenhausseelsorge gewährleistet bleibt, ohne dass die Krankenhäuser selbst Daten verarbeiten müssten. Diese könnten weiterhin die Informationsweitergabe an die kirchlichen Seelsorgeeinrichtungen gewährleisten, ohne dass sie selbst als datenschutzrechtlich Verantwortliche angesehen werden müssten, weil sie selbst nicht über Mittel und Zwecke der Datenverarbeitung mitbestimmen. Möglicherweise könnte sogar eine Rechtsstellung als Auftragsverarbeiter, welche ebenfalls mit zusätzlichen datenschutzrechtlichen Pflichten verbunden wäre, vermieden werden, indem die Kliniken Daten ausschließlich als eine Art Bote zwischen den Patientinnen und Patienten sowie den Krankenhausseelsorgerinnen und Krankenhausseelsorgern vermitteln. Insbesondere kommt in Betracht, dass die Kirchen eigenverantwortlich Unterlagen erstellen, die sie durch die Krankenhäuser an Patientinnen oder Patienten weitergeben. Ob die sonstigen Prozesse im Klinikalltag, insbesondere bei der Aufnahme einer Patientin oder eines Patienten, derartige Regelungen organisatorisch zulassen und ob auch die kirchlichen Interessen dabei umfassend berücksichtigt werden können, kann ich als staatliche Datenschutz-Aufsichtsbehörde nicht abschließend beurteilen.

7.3. Datenschutzgerechte Gestaltung von Einladungen zum Mammographie-Screening

Das Thema Mammographie-Screening beschäftigt mich seit vielen Jahren. Die grundlegenden Abläufe zum Mammographie-Screening und zum Einladungswesen der Zentralen Stelle Mammographie-Screening Bayern wurden bereits in den Tätigkeitsberichten vergangener Jahre dargestellt (siehe meine Ausführungen im 24. Tätigkeitsbericht 2010 unter Nr. 2.2.7 sowie im 23. Tätigkeitsbericht 2008 unter Nr. 15.2).

Im Berichtszeitraum haben mich erneut viele Anfragen von Bürgerinnen zur Gestaltung der Briefumschläge erreicht, mit denen das Einladungsschreiben der Zentralen Stelle Mammographie-Screening Bayern versandt worden ist. Die Briefumschläge waren mit einem auffälligen Logo und Absenderaufdruck versehen. Die Empfängerinnen störte dabei insbesondere, dass für alle Personen, denen die Sendung in die Hand gelangen kann (beispielsweise Postbeschäftigte) und denen außerdem die Hintergründe des Mammographie-Screenings bekannt sind, ein Rückschluss auf das Alter der Frauen (über 50 Jahre) möglich war.

Art. 31a Satz 1 Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) bestimmt, dass "Zentrale Stellen", die befugt sind, Maßnahmen zur Früherkennung von Erkrankungen der Bevölkerung zu koordinieren, von den Meldebehörden Daten aus dem Melderegister verarbeiten können, soweit es zur Erfüllung ihrer Aufgaben erforderlich ist.

Die Zentrale Stelle Mammographie-Screening Bayern bezweckte mit der auffälligen Optik der Umschläge, den Aufmerksamkeitswert zu erhöhen. Damit sollte vermieden werden, dass die zur Portooptimierung per Dialogpost versandten Einladungsschreiben versehentlich mit Werbesendungen verwechselt und ungesehen vernichtet würden.

Die in Art. 31a Satz 1 GDVG enthaltene Einschränkung, dass Daten nur insoweit verarbeitet werden dürfen, als es zur Aufgabenerfüllung erforderlich ist, ist Ausdruck des in Art. 5 Abs.? 1 Buchst. c DSGVO verankerten Grundsatzes der Datenminimierung. Ob die markante Gestaltung der Briefumschläge als Mittel zur Erreichung des Zwecks der Datenverarbeitung erforderlich ist, erschien mir hier fraglich.

Auf meine Bitte hin, die für die Versendung der Einladungsschreiben verwendeten Briefumschläge datenschutzfreundlicher zu gestalten, sagte die Zentrale Stelle Mammographie-Screening Bayern daher zu, wieder auf neutrale Kuverts für die Einladung zum Mammographie Screening umzustellen, sobald - aus Gründen der Wirtschaftlichkeit - die bereits vorhandenen Briefumschläge aufgebraucht seien. Die neutralen Kuverts würden dann für mindestens ein Jahr verwendet, um zu eruieren, ob die Fallzahlen bei der Inanspruchnahme der Früherkennungsuntersuchung durch diese Umstellung signifikant zurückgingen. Sollte ein solcher Effekt ausbleiben, werde die Zentrale Stelle Mammographie-Screening Bayern die neutralen Briefumschläge beibehalten. Eine unauffällige Angabe des Absenders auf dem Kuvert ist nach meinem Dafürhalten dabei auch weiterhin aus datenschutzrechtlicher Sicht nicht zu beanstanden, da diese für die Rücksendung von falsch adressierten Briefen notwendig ist.

Ich begrüße, dass durch die Änderung der Kuverts dem Anliegen vieler Bürgerinnen entsprochen wird, zum Mammographie-Screening eingeladen zu werden, ohne dabei Aufsehen bei Dritten zu erregen.

7.4. Veröffentlichung von Jubiläumsdaten

Eine betroffene Person beschwerte sich bei mir darüber, dass ein Zahnärztlicher Bezirksverband Jubiläumsdaten seiner Mitglieder veröffentlicht habe, obwohl sie dafür keine Einwilligung gemäß der Datenschutz-Grundverordnung erteilt habe.

Weiterhin hatte eine bayerische Kammer eines freien Berufs Jubiläumsdaten ihrer Mitglieder in einer von einer dritten Stelle herausgegebenen Zeitschrift veröffentlichen lassen, welcher sie personenbezogene Daten ihrer Mitglieder zuvor übermittelt hatte.

In meiner Prüfungspraxis musste ich wiederholt feststellen, dass Verantwortliche die Anforderungen des neuen Datenschutzrechts an Einwilligungen nicht ausreichend berücksichtigen.

Im Fall des Zahnärztlichen Bezirksverbands war zunächst zu bedenken, dass Behörden gemäß Art. 6 Abs. 1 UAbs. 2 DSGVO - anders als private Stellen - regelmäßig nicht nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO Daten unmittelbar auf Grundlage einer Interessenabwägung verarbeiten dürfen.

Art. 6 DSGVO

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

[...]

  1. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

[...]

Außerdem ergibt sich insbesondere aus Art. 6 Abs. 3 UAbs. 1 DSGVO, dass auch die Datenverarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt auf Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO nur zulässig ist, wenn dies in einem (nationalen) Gesetz ausdrücklich erlaubt wird:

Art. 6 DSGVO

Rechtmäßigkeit der Verarbeitung

[...]

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

  1. Unionsrecht oder
  2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

[...]

Allerdings dürfen Behörden bei Wahrnehmung ihrer Aufgaben dann, wenn es dafür keine gesetzliche Regelung gibt, allenfalls ausnahmsweise Daten auf Grundlage einer Einwilligung verarbeiten. Da es nicht zu den eigentlichen Aufgaben eines Berufsverbandes oder einer Kammer gehört, über Jubiläumsdaten ihrer Mitglieder zu informieren, schied insbesondere eine Rechtfertigung der Veröffentlichung von Jubiläumsdaten auf Grundlage von Art. 4 Abs. 1 BayDSG aus.

Art. 4 BayDSG

Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist.

[...]

Hier lag bereits der Fehler beim Zahnärztlichen Bezirksverband, welcher offenbar davon ausging, dass die Einholung einer Einwilligung überhaupt nicht erforderlich sei.

Im Fall der Kammer eines freien Berufs war von Bedeutung, dass sich die formellen Anforderungen an eine wirksame Einwilligung mit Geltungsbeginn der Datenschutz-Grundverordnung verschärft haben. Insbesondere kann es nach Art. 4 Nr. 11 DSGVO nicht mehr genügen, wenn die von einer Datenverarbeitung betroffene Person auf ein Widerspruchsrecht hingewiesen wird (sog. "opt-out"), sie muss vielmehr eine ausdrückliche, das heißt eine mit einer bestätigenden Handlung der betroffenen Person verbundene und informierte Einwilligung für den Einzelfall abgeben (sog. "opt-in"):

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Einwilligung" der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

[...]

Die von der Berufskammer initiierte Veröffentlichungsrubrik in der von einer dritten Stelle herausgegebenen Zeitschrift war lediglich mit folgendem wiederkehrenden Hinweis versehen worden: "Mitteilungen für diese Rubrik werden gerne entgegengenommen und kostenlos veröffentlicht. Bitte teilen Sie uns rechtzeitig mit, falls Sie keine Veröffentlichung wünschen." Nach geltender Rechtslage kann dieser allgemeine Hinweis, der möglicherweise nicht von jeder von der Datenverarbeitung betroffenen Person wahrgenommen wird, eine Einwilligung nicht ersetzen.

Eine Geldbuße nach Art. 83 DSGVO konnte ich in beiden Fällen nicht verhängen. Nach Art. 22 BayDSG dürfen gegen öffentliche Stellen Geldbußen nur verhängt werden, soweit diese als Unternehmen am Wettbewerb teilnehmen. Das ist bei dem Zahnärztlichen Bezirksverband sowie der Berufskammer nicht der Fall.