≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2021

8. Soziales und Gesundheit

8.1. Verhängung eines Bußgeldes gegenüber Sozialbehörden

Im Zusammenhang mit der Verhängung eines Bußgeldes gegen eine nicht in Bayern ansässige gesetzliche Krankenkasse durch eine Datenschutz-Aufsichtsbehörde ist an mich die Frage herangetragen worden, ob ich gegenüber einer meiner Zuständigkeit unterliegenden Krankenkasse bereits ebenfalls eine solche Sanktion ausgesprochen habe. Das habe ich aus folgenden Gründen verneint.

Gemäß § 85a Abs. 3 Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz - (SGB X) werden gegen Behörden und sonstige öffentliche Stellen keine Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung verhängt. Hiermit wurde von der Öffnungsklausel des Art. 83 Abs. 7 DSGVO Gebrauch gemacht, national zu regeln, ob und in welchem Umfang gegen Behörden und sonstige öffentliche Stellen Geldbußen verhängt werden können. Folglich kann im Anwendungsbereich des Sozialgesetzbuches kein Bußgeld gegenüber den oben genannten Stellen verhängt werden.

Die in einem ersten Referentenentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU noch vorgesehenen Regelungen, wonach Kranken- und Pflegekassen - abweichend von § 85a Abs. 3 SGB X - jeweils mit Bußgeldern bei Verstößen gegen die Datenschutz-Grundverordnung hätten belegt werden können, sind im Laufe des Gesetzgebungsverfahrens wieder gestrichen worden.

Die Verhängung eines Bußgeldes gegenüber Sozialbehörden wäre allenfalls ausnahmsweise denkbar, und zwar für den Fall, dass sie keine Sozialdaten im Sinne von § 67 Abs. 2 Satz 1 SGB X verarbeiten, also außerhalb ihres gesetzlich vorgesehenen Aufgabenbereichs tätig werden würden; in diesem Fall käme § 85a Abs. 3 SGB X nicht zur Anwendung. Für bayerische öffentliche Stellen würde dann Art. 22 BayDSG gelten.

8.2. Einbeziehung Dritter in den Patientendatenbegriff

Aufgrund einer Eingabe habe ich mich mit der Frage befasst, inwiefern personenbezogene Daten Dritter in den Patientendatenbegriff miteinzubeziehen und wie sie datenschutzrechtlich zu behandeln sind.

Die betroffene Person, die sich an mich gewandt hat, begleitete einen Angehörigen zu einem Arztgespräch in einem Krankenhaus und nahm an dieser Besprechung teil. Im Rahmen des Gesprächs wurden nicht nur personenbezogene Daten des Patienten erhoben, sondern auch die Begleitperson machte Angaben zu ihrer Person und Gesundheit. Der Arzt verarbeitete die personenbezogenen Daten der Begleitperson im Rahmen eines Arztbriefes betreffend den Patienten, da es sich aus seiner medizinisch-fachlichen Sicht um für die Behandlung des Patienten relevante Angaben handelte. Der Arztbrief wurde einschließlich der personenbezogenen Daten der Begleitperson an die weiterbehandelnden Ärzte des Patienten verschickt.

Art. 27 Abs. 1 Satz 1 Bayerische Krankenhausgesetz (BayKrG) definiert den Begriff der Patientendaten. Danach sind Patientendaten alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patienten aus dem Bereich der Krankenhäuser. Davon mitumfasst sind auch personenbezogene Daten von Angehörigen und anderen Bezugspersonen der Patientin oder des Patienten sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden. Als Spezialvorschrift für den Krankenhausbereich weicht Art. 27 BayKrG insoweit von dem allgemeinen datenschutzrechtlichen Grundsatz ab, dass jede Person datenschutzrechtlich getrennt zu betrachten ist.

Eine Offenbarung von Patientendaten an Vor-, Mit- oder Nachbehandelnde ist zulässig, soweit das Einverständnis der Patienten anzunehmen ist, Art. 27 Abs. 5 Satz 2 BayKrG. Das BayKrG stellt insoweit bewusst auf den Patienten und nicht auf etwaig sonstige datenschutzrechtlich betroffene Personen ab.

Da der Patient in die Übermittlung seiner Behandlungsdaten und Befunde an die weiterbehandelnden Ärzte schriftlich eingewilligt hatte, stellte die Übersendung des Arztbriefes einschließlich der personenbezogenen Daten der Begleitperson keinen Datenschutzverstoß dar. Einer Einwilligung der Begleitperson bedurfte es dabei nicht.

Die Klinik hatte es jedoch versäumt, bei der Erhebung der personenbezogenen Daten der Begleitperson ihrer Informationspflicht nach Art. 13 DSGVO nachzukommen. Ich habe sie daher darauf hingewiesen, dass Art. 13 DSGVO bei anwesenden Bezugspersonen der Patientinnen und Patienten zu beachten ist und dass Begleitpersonen entsprechend über ihre Einbeziehung in die Anamnese zu informieren sind.

Da Art. 27 BayKrG bislang keine ausdrückliche Regelung zur Einbeziehung personenbezogener Daten Dritter in den Patientendatenbegriff enthält, sondern dies nur im Wege der Gesetzesauslegung erfolgt, erscheint eine entsprechende Klarstellung im Gesetzestext aus datenschutzrechtlicher Sicht als wünschenswert.

  1. Siehe Begründung des Entwurfs eines Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften, Bundestags-Drucksache 18/12611, S. 123. [Zurück]
  2. Siehe das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ vom 20. November 2019, BGBl. I S. 1626. [Zurück]
  3. So wohl Begründung der Entscheidung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg bezüglich der Verhängung eines Bußgeldes gegenüber der AOK Baden-Württemberg, siehe Pressemitteilung vom 30. Juni 2020, Internet: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung (externer Link). [Zurück]
  4. Siehe vertiefend hierzu Bayerischer Landesbeauftragter für den Datenschutz, Geldbußen nach Art. 83 Datenschutz-Grundverordnung gegen bayerische öffentliche Stellen, Aktuelle Kurz-Information 17, Internet: https://www.datenschutz-bayern.de, Rubrik „Datenschutzreform 2018 – Aktuelle-Kurzinformationen“. [Zurück]
  5. Vgl. Landtags-Drucksache 10/9742, S. 23. [Zurück]