≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 32. TB 2022 > 7. Soziales und Gesundheit

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022

7. Soziales und Gesundheit

7.1. Nutzung von Gesundheits- und Patientendaten zu Forschungszwecken durch Universitätsklinika

Das novellierte Bayerische Universitätsklinikagesetz ist am 2. Januar 2023 in Kraft getreten. Hierzu hatte mich das Bayerische Staatsministerium für Wissenschaft und Kunst zwar im Vorfeld des Gesetzgebungsverfahrens einbezogen (siehe hierzu den Gesetzentwurf der Staatsregierung, mit Begründung, in der Landtags-Drucksache 18/24230). Umso irritierter war ich, dass meine deutliche Kritik an dem Gesetzentwurf im Wesentlichen keine Berücksichtigung fand.

7.1.1. Datenschutzrechtlicher Gegenstand des Gesetzes

Das zentrale datenschutzrechtliche Thema des Gesetzes ist die Einführung neuer Rechtsgrundlagen für die Verarbeitung von Patientendaten zu wissenschaftlichen Forschungszwecken durch die Universitätsklinika (Sekundärnutzung). Insbesondere wird im Hinblick auf die Übermittlung von Patientendaten an Dritte zu wissenschaftlichen Forschungszwecken (wie auch hinsichtlich der anschließenden Weiterverarbeitung) ein legislativer Sonderweg für die Universitätsklinika eingeschlagen. Bislang galt im Bereich der Sekundärnutzung von Patientendaten zu Forschungszwecken für alle Krankenhäuser gleichermaßen die Vorschrift des Art. 27 Bayerisches Krankenhausgesetz (BayKrG).

Für Krankenhäuser, die keine Universitätsklinika im Sinne des Bayerischen Universitätsklinikagesetzes sind, bleibt es derzeit unverändert bei der abschließenden Geltung des Art. 27 Abs. 5 BayKrG, der im Grundsatz (mangels anderweitiger erlaubender Rechtsvorschrift) die Einwilligung der betroffenen Person in die Übermittlung ihrer Patientendaten für wissenschaftliche Forschungszwecke an Dritte verlangt:

"(5) 1Die Übermittlung von Patientendaten an Dritte ist insbesondere zulässig im Rahmen des Behandlungsverhältnisses oder dessen verwaltungsmäßiger Abwicklung oder wenn eine Rechtsvorschrift die Übermittlung erlaubt oder wenn die betroffenen Personen eingewilligt haben. 2Eine Offenbarung von Patientendaten an Vor-, Mit- oder Nachbehandelnde ist zulässig, soweit das Einverständnis der Patienten anzunehmen ist."

Für Universitätsklinika hingegen wurde erstmals eine gesetzliche Verarbeitungsbefugnis zu Forschungszwecken geschaffen, die - abweichend vom bisherigen Regelungsregime - unter gewissen Voraussetzungen einen Verzicht auf die Einwilligung der betroffenen Person zulässt.

7.1.2. Regulatorischer Rahmen im Einzelnen

Ausweislich der Gesetzesbegründung soll das Bayerische Universitätsklinikagesetz dem aktuellen Stand des bayerischen Hochschulrechts angepasst werden, insbesondere den Vorgaben des Bayerischen Hochschulinnovationsgesetzes, sowie verschiedenen politischen Herausforderungen für die Hochschulmedizin gerecht werden. Vor diesem Hintergrund legt der Gesetzgeber ein besonderes Gewicht auf die Neufassung des Art. 12 Bayerisches Universitätsklinikagesetz (BayUniKlinG - "Zusammenarbeit mit der Universität"), indem er diese Rechtsnorm zu Beginn des Änderungsgesetzes herausgreift und gegenüber den übrigen Änderungen separat "vor die Klammer gezogen" thematisiert.

Diesbezüglich wies ich bereits im Rahmen meiner Beteiligung im Gesetzgebungsverfahren darauf hin, dass diese Vorschrift keine eigenständige Rechtsgrundlage im Sinne des Art. 6 Abs. 1 UAbs. 1 DSGVO enthält. Insbesondere sollte die Verarbeitung von Gesundheitsdaten, soweit sie im Rahmen der Zusammenarbeit des Universitätsklinikums mit der Universität erforderlich sein sollte, spezifisch in einer Rechtsverordnung des Wissenschaftsministeriums geregelt werden.

Darüber hinaus wurde geregelt, dass die Universitätsklinika "gemeinsame Einrichtungen, insbesondere Zentren für die Verarbeitung von Gesundheitsdaten und für die Übertragung von wissenschaftlichen Erkenntnissen in die Krankenversorgung" schaffen und mit ihnen kooperieren (Art. 13 Abs. 1 Satz 2 BayUniKlinG). Allerdings ist nicht eindeutig festgelegt, welche Aufgaben solche Zentren erfüllen sollen und wie die Kooperation der Universitätsklinika mit ihnen konkret auszusehen hat. Davon abgesehen begrüße ich es aber, dass zumindest in diesem Zusammenhang meine Anregung Berücksichtigung fand und in Art. 13 Abs. 2 Satz 1 BayUniKlinG eine Festlegung zur datenschutzrechtlichen Verantwortlichkeit der gemeinsamen Einrichtungen getroffen wurde.

Den datenschutzrechtlichen Schwerpunkt des Änderungsgesetzes bilden die neu gefassten Absätze 3 und 4 des Art. 16 BayUniKlinG. Sie lauten wie folgt:

"(3) 1Personenbezogene Daten müssen im Rahmen eines Behandlungsverhältnisses bei dem oder der Behandelten von am Klinikum oder an der zugehörigen Universität tätigen Ärztinnen und Ärzten gemäß den Vorgaben des Bayerischen Krankenhausgesetzes verarbeitet werden. 2Sie dürfen auch an andere Angehörige des wissenschaftlichen Personals des Klinikums oder der Universität, der das Klinikum im Sinne des Art. 19 Abs. 1 und des Art. 53 Abs. 1 BayHIG zugeordnet ist, übermittelt werden und von diesen auch zu eigenen Forschungszwecken verarbeitet werden, wenn

  1. die Daten ohne Personenbezug offengelegt werden und die identifizierenden Daten gesondert aufbewahrt und besonders geschützt werden,
  2. im Falle, dass der Forschungszweck die Möglichkeit der Zuordnung erfordert, die betroffene Person eingewilligt hat oder
  3. im Falle, dass weder auf die Zuordnungsmöglichkeit verzichtet noch die Einwilligung mit verhältnismäßigem Aufwand eingeholt werden kann, das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Interessen der betroffenen Person erheblich überwiegt und der Forschungszweck nicht auf andere Weise zu erreichen ist.

3Die personenbezogenen Daten sind, soweit dies nach dem Forschungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert, zu anonymisieren oder, soweit eine Anonymisierung noch nicht möglich ist, zu pseudonymisieren. 4Das Klinikum gewährleistet durch angemessene und spezifische Maßnahmen im Sinne des Art. 9 Abs. 2 Buchst. j DSGVO, dass die Daten auch, soweit sie noch nicht anonymisiert oder pseudonymisiert wurden, entsprechend der Datenschutz-Grundverordnung verarbeitet werden und dass dies auch nachträglich überprüfbar ist. 5Die in den Art. 15, 16, 18 und 21 DSGVO vorgesehenen Rechte der Betroffenen sind insoweit beschränkt, als durch sie voraussichtlich die Verwirklichung der Forschungszwecke unmöglich gemacht oder ernsthaft beeinträchtigt wird und die Beschränkung für die Forschungszwecke notwendig ist. 6 Art. 9 Abs. 3 DSGVO bleibt unberührt.

(4) 1Für die Übermittlung von personenbezogenen Daten zu Zwecken der wissenschaftlichen Forschung zwischen verschiedenen Universitätsklinika und Universitäten sowie zwischen Universitätsklinika und sonstigen Dritten, die eine den Anforderungen der Datenschutz-Grundverordnung genügende Datenverarbeitung gewährleisten, gilt Abs. 3 entsprechend. 2Eine Übermittlung personenbezogener Daten an private Dritte im Sinne des Satzes 1 in anderer als anonymisierter Form ist nur zulässig, wenn für das Forschungsvorhaben der oder des Dritten die Betroffenen in die Übermittlung eingewilligt haben und zuvor die oder der zuständige Datenschutzbeauftragte beteiligt wurde."

Darin sind für die Universitätsklinika als Verantwortliche neue Erlaubnistatbestände zur Verarbeitung von Patientendaten geschaffen worden. Aus Datenschutzsicht wird dabei ein grundlegender Paradigmenwechsel vollzogen: Während nach bisherigen Maßstäben (des für Universitätsklinika gemäß Art. 15 Abs. 2 BayUniKlinG entsprechend anwendbaren Art. 27 Abs. 5 BayKrG) die Übermittlung von personenbezogenen Gesundheitsdaten an Dritte zu wissenschaftlichen Forschungszwecken unterschiedslos die Einwilligung der betroffenen Person erforderte, erlaubt die Neufassung den Universitätsklinika als Verantwortlichen künftig eine Übermittlung an Dritte auch ohne vorherige Einwilligung der betroffenen Personen.

In Art. 16 Abs. 3 Satz 2 BayUniKlinG werden die drei Tatbestandsalternativen nach Nr. 1 bis Nr. 3 mit dem Wort "oder" verknüpft (siehe am Ende der Nr. 2). Daraus könnte gefolgert werden, dass neben den Voraussetzungen nach Nr. 1 keine weiteren Kriterien kumulativ hinzutreten müssen, also insbesondere nicht die Tatbestandsmerkmale gemäß Nr. 2 und Nr. 3 der Vorschrift. Im Ergebnis könnte dies bedeuten, dass allein die tatsächliche Pseudonymisierung - namentlich die Entfernung des Personenbezugs sowie die gesonderte Aufbewahrung verbunden mit einem besonderen Schutz der identifizierenden Daten - als Rechtsgrundlage für die Übermittlung und Weiterverarbeitung sensibler Patientendaten genügen soll. Dass lediglich die Pseudonymisierung von Daten ausreichen soll, um einen Erlaubnistatbestand hinsichtlich der Verarbeitung von sensiblen Gesundheitsdaten zu begründen, halte ich allerdings für problematisch. Denn die technisch-organisatorische Maßnahme der Pseudonymisierung reicht für sich genommen nicht aus, um die übergeordneten Vorgaben nach Art. 9 Abs. 2 Buchst. j DSGVO zu erfüllen. Da im Falle pseudonymisierter Daten eine Wiederherstellung des Personenbezugs möglich bleibt, sind vielmehr weitere angemessene und spezifische Maßnahmen gesetzlich festzuschreiben, damit diesen europarechtlichen Vorgaben genüge geleistet und somit die Wahrung der Grundrechte und der Interessen der betroffenen Person sichergestellt wird. Vor diesem Hintergrund sollte die Vorschrift teleologisch dahingehend ausgelegt werden, dass Nr. 1 nur in Verbindung mit den Rechtsgedanken nach Nr. 2 (Einwilligung) oder Nr. 3 (erhebliches Überwiegen des öffentlichen Interesses und Erreichen des Forschungszwecks nicht anders möglich) zum Tragen kommen kann.

Auch das Widerspruchsrecht der betroffenen Person nach Art. 21 DSGVO sowie weitere Betroffenenrechte erfahren mit der Gesetzesnovelle Beschränkungen. Denn es wird darauf abgestellt, ob "durch [die in Art. 15, 16, 18 und 21 DSGVO vorgesehenen Rechte] voraussichtlich die Verwirklichung der Forschungszwecke unmöglich gemacht oder ernsthaft beeinträchtigt wird und die Beschränkung für die Forschungszwecke notwendig ist". Diese Regelung im neuen Art. 16 Abs. 3 Satz 5 BayUniKlinG ist nach meiner Einschätzung zu unbestimmt. Sie beschränkt sich darauf, Art. 89 Abs. 2 DSGVO sinngemäß zu wiederholen. Der Gesetzgeber eröffnet damit den Universitätsklinika als Datenverarbeitern in sehr weitem Umfang die Möglichkeit, wesentliche Betroffenenrechte, insbesondere das Widerspruchsrecht der betroffenen Person, das nach meinem Dafürhalten voraussetzungslos gelten sollte, unter Berufung auf Forschungszwecke einzuschränken. Das halte ich gerade im Hinblick auf die hohe Sensibilität der hier in Rede stehenden Gesundheitsdaten und den weiten Adressatenkreis für eine sehr weitgehende Beschränkung der Betroffenenrechte.

Hinsichtlich der im neuen Art. 16 Abs. 4 BayUniKlinG vorgesehenen Übermittlung von personenbezogenen Daten zu Zwecken der wissenschaftlichen Forschung zwischen verschiedenen Universitätsklinika und Universitäten sowie zwischen Universitätsklinika und sonstigen Dritten, hätte ich mir gewünscht, dass die Vorschrift, abgesehen vom Verweis auf eine entsprechende Anwendung von Art. 16 Abs. 3, klarer ausgestaltet wird. Ich habe Zweifel geäußert, ob die rechtliche Möglichkeit zur Übermittlung an jede oder jeden Forschenden die schutzwürdigen Interessen der betroffenen Personen tatsächlich angemessen berücksichtigt. Die Gesetzesbegründung nimmt in diesem Zusammenhang zwar Bezug auf § 14 Abs. 2a Transplantationsgesetz. Die im Transplantationsgesetz geregelte Konstellation ist meines Erachtens jedoch nicht verallgemeinerbar, zumal sich die spezielle Situation im Kontext einer Transplantation von der allgemeinen Weitergabe von Gesundheitsdaten nach Art. 16 Abs. 3 und 4 BayUniKlinG deutlich unterscheidet. Diesen Hinweis hat der Gesetzgeber im Gesetzgebungsverfahren jedoch nicht berücksichtigt.

7.1.3. Fazit und Ausblick

Wenn sich Bürgerinnen und Bürger künftig zur Behandlung in ein Universitätsklinikum begeben, müssen sie nach Maßgabe der novellierten Regelungen des Bayerischen Universitätsklinikagesetzes damit rechnen, dass ihre im Rahmen der Behandlung erhobenen Patientendaten ohne vorherige ausdrückliche Einwilligung zu Forschungszwecken an Dritte übermittelt werden. Ein jegliches Fehlen von Partizipationsrechten der betroffenen Patientinnen und Patienten würde ich für grundrechtswidrig halten. Als Ausgleich dazu würde ich dabei den Universitätsklinika dringend empfehlen, in jedem Fall den betroffenen Patientinnen und Patienten ein Widerspruchsrecht einzuräumen, und sich nicht auf die Beschränkungsmöglichkeit zu berufen.

Insgesamt halte ich die Änderungen im Bayerischen Universitätsklinikagesetz angesichts des laufenden europäischen Gesetzgebungsverfahrens zu einem gemeinsamen europäischen Gesundheitsdatenraum für übereilt (siehe dazu Kapitel 1 zum EHDS).

7.2. Abfrage von Vorerkrankungen und Symptomen von mit dem Erreger SARS-CoV-2 infizierten Personen durch Gesundheitsämter

In den fortdauernden Zeiten der Corona-Pandemie erreichte mich im Zeitraum März bis Juni 2022 eine Reihe von Beschwerden gegen die Erhebung von Vorerkrankungs- und Symptomdaten mit dem Erreger SARS-CoV-2 infizierter Personen (sogenannter Indexpersonen) durch örtliche Gesundheitsämter.

7.2.1. Sachverhalt

Im Rahmen der behördlich angeordneten häuslichen Isolation (teilweise auch als "Quarantäne" bezeichnet) forderten Gesundheitsämter aus unterschiedlichen Regionen in Bayern die betreffenden Indexpersonen standardmäßig mittels eines beigefügten Links zu einem digitalen Fragebogen - auch digitales Symptomtagebuch genannt - auf, für die Dauer der Isolation täglich ihre spezifischen Symptome anzugeben. Mancherorts fragten sie zugleich auch die jeweiligen Vorerkrankungen ab. In der Regel bezeichneten die Gesundheitsämter die Verwendung der digitalen Symptomtagebücher als freiwillige Option, die dazu beitragen sollte, den Arbeitsaufwand sowohl für Bürgerinnen und Bürger als auch für die Behörden zu minimieren. Bei Nichtverwendung des digitalen Fragebogens waren tägliche Anrufe bei der betroffenen Person vorgesehen, um die Daten auf diese Weise abzufragen.

Von den Datenkategorien im digitalen Fragebogen, der bei den verschiedenen Gesundheitsämtern inhaltlich unterschiedlich ausgestaltet war, waren manche Angaben als freiwillig gekennzeichnet. Sofern aber die Art der Symptome und die jeweiligen Vorerkrankungen verpflichtend erhoben werden sollten, stieß dies in den mir bekannt gewordenen Fällen auf weitgehendes Unverständnis der betroffenen Personen. Diese bezweifelten unter anderem die Erforderlichkeit der Datenkenntnis durch die Gesundheitsämter (insbesondere für Zwecke des Infektionsschutzes) und hinterfragten allgemein den Verarbeitungszweck. Vereinzelt wurde die Vermutung geäußert, das Sammeln von Gesundheitsdaten solle primär dazu dienen, die Durchführung von Forschungsprojekten zu ermöglichen. Nach den bei mir eingegangenen Beschwerden weigerten sich etliche Personen letztlich, ihre Vorerkrankungen oder Symptome dem Gesundheitsamt (wahrheitsgemäß) zu offenbaren, woraufhin ihnen mitunter die Verhängung von Zwangsmaßnahmen angedroht wurde.

7.2.2. Kommunikation mit den Gesundheitsbehörden

Veranlasst durch die ersten derartigen Beschwerden wandte ich mich zunächst an die betreffenden Gesundheitsämter und erbat die Mitteilung der Rechtsgrundlage für die Erhebung von Vorerkrankungen und Symptomdaten. Daraufhin erhielt ich überwiegend die Auskunft, dass die Verwendung der digitalen Fragebögen freiwillig sei und die Datenerhebung auf die §§ 25 ff., insbesondere auf § 25 Abs. 1, Abs. 2 Satz 1 in Verbindung mit § 16 Abs. 1Infektionsschutzgesetz (IfSG), gestützt werde.

§ 25 IfSG

Ermittlungen

(1) 1Ergibt sich oder ist anzunehmen, dass jemand krank, krankheitsverdächtig, ansteckungsverdächtig oder Ausscheider ist oder dass ein Verstorbener krank, krankheitsverdächtig oder Ausscheider war, so stellt das Gesundheitsamt die erforderlichen Ermittlungen an, insbesondere über Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit. 2Das Gesundheitsamt kann auch Ermittlungen anstellen, wenn sich ergibt oder anzunehmen ist, dass jemand durch eine Schutzimpfung oder andere Maßnahme der spezifischen Prophylaxe eine gesundheitliche Schädigung erlitten hat.

(2) 1Für die Durchführung der Ermittlungen nach Absatz 1 gilt § 16 Absatz 1 Satz 2, Absatz 2, 3, 5 und 8 entsprechend. 2Das Gesundheitsamt kann eine im Rahmen der Ermittlungen im Hinblick auf eine bedrohliche übertragbare Krankheit erforderliche Befragung in Bezug auf die Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit unmittelbar an eine dritte Person, insbesondere an den behandelnden Arzt, richten, wenn eine Mitwirkung der betroffenen Person oder der nach § 16 Absatz 5 verpflichteten Person nicht oder nicht rechtzeitig möglich ist; die dritte Person ist in entsprechender Anwendung von § 16 Absatz 2 Satz 3 und 4 zur Auskunft verpflichtet.

[...]

§ 16 IfSG

Allgemeine Maßnahmen zur Verhütung übertragbarer Krankheiten

(1) 1Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können, oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft die zuständige Behörde die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. 2Im Rahmen dieser Maßnahmen können von der zuständigen Behörde personenbezogene Daten erhoben werden; diese dürfen nur von der zuständigen Behörde für Zwecke dieses Gesetzes verarbeitet werden.

[...]

Dieser Argumentation konnte ich mich nicht anschließen, da nach meiner Rechtsauffassung nicht alle Voraussetzungen der bezeichneten Rechtsnormen erfüllt sind. So sehe ich die Erhebung von Symptomen und Vorerkrankungen nicht als Ermittlung im Sinne des § 25 Abs. 1 IfSG ("insbesondere über Art, Ursache, Ansteckungsquelle und Ausbreitung der Krankheit") an. Ferner müssen sich gesundheitsbehördliche Ermittlungen gemäß § 25 Abs. 1 IfSG stets am Maßstab der Erforderlichkeit messen lassen. Schließlich lässt sich auch § 16 Abs. 1 IfSG keine Rechtsgrundlage für die Erhebung der Symptomatik und der Vorerkrankungen entnehmen, da eine solche Erhebung nicht zur Gefahrenabwehr im Sinne der Vorschrift geeignet ist.

Vor diesem Hintergrund informierte ich das Bayerische Staatsministerium für Gesundheit und Pflege über meine grundlegenden Zweifel am Vorhandensein einer notwendigen Rechtsgrundlage für die Verarbeitung sowie an der Erforderlichkeit der Erhebung von Vorerkrankungs- und Symptomdaten von Indexpersonen. Ich wies darauf hin, dass ich ein undifferenziertes Sammeln von sensiblen Gesundheitsdaten für grundsätzlich nicht zulässig erachte.

Das Gesundheitsministerium nahm zu den aufgeworfenen Rechtsfragen ausführlich Stellung und führte im Wesentlichen aus, dass künftig keine Vorerkrankungen mehr erhoben werden würden und es lediglich bezüglich der Symptomatik von Indexpersonen - in Abhängigkeit von den Umständen des Einzelfalles - möglich bleiben müsse, die erforderlichen Gesundheitsdaten aus infektionsschutzrechtlichen Gründen zu erheben und zu verarbeiten, so zum Beispiel in Fällen gemäß § 29 IfSG.

§ 29 IfSG

Beobachtung

(1) Kranke, Krankheitsverdächtige, Ansteckungsverdächtige und Ausscheider können einer Beobachtung unterworfen werden.

(2) 1Wer einer Beobachtung nach Absatz 1 unterworfen ist, hat die erforderlichen Untersuchungen durch die Beauftragten des Gesundheitsamtes zu dulden und den Anordnungen des Gesundheitsamtes Folge zu leisten. 2§ 25 Absatz 3 gilt entsprechend. 3Eine Person nach Satz 1 ist ferner verpflichtet, den Beauftragten des Gesundheitsamtes zum Zwecke der Befragung oder der Untersuchung den Zutritt zu seiner Wohnung zu gestatten, auf Verlangen ihnen über alle seinen Gesundheitszustand betreffenden Umstände Auskunft zu geben und im Falle des Wechsels der Hauptwohnung oder des gewöhnlichen Aufenthaltes unverzüglich dem bisher zuständigen Gesundheitsamt Anzeige zu erstatten. 4Die Anzeigepflicht gilt auch bei Änderungen einer Tätigkeit im Lebensmittelbereich im Sinne von § 42 Abs. 1 Satz 1 oder in Einrichtungen im Sinne von § 23 Absatz 5 oder § 35 Absatz 1 Satz 1 sowie § 36 Absatz 1 sowie beim Wechsel einer Gemeinschaftseinrichtung im Sinne von § 33. 5§ 16 Abs. 2 Satz 4 gilt entsprechend. 6Die Grundrechte der körperlichen Unversehrtheit (Artikel 2 Abs. 2 Satz 1 Grundgesetz), der Freiheit der Person (Artikel 2 Abs. 2 Satz 2 Grundgesetz) und der Unverletzlichkeit der Wohnung (Artikel 13 Abs. 1 Grundgesetz) werden insoweit eingeschränkt.

In den bei mir anhängigen Beschwerdeverfahren war allerdings § 29 IfSG durchweg nicht einschlägig, da eine Beobachtungsunterwerfung in keinem der Fälle angeordnet worden war.

Ergänzend verwies das Gesundheitsministerium auf die Meldepflicht nach § 6 Abs. 1 Satz 1 Nr. 1 Buchst. t und § 7 Abs. 1 Nr. 44a IfSG sowie auf die Vorschrift des § 11 Abs. 1 Satz 1 Nr. 1 IfSG als Befugnisnorm für die Übermittlung der Daten an das Robert Koch-Institut.

§ 11 IfSG

Übermittlung an die zuständige Landesbehörde und an das Robert Koch-Institut

(1) 1Die verarbeiteten Daten zu meldepflichtigen Krankheiten und Nachweisen von Krankheitserregern werden anhand der Falldefinitionen nach Absatz 2 bewertet und spätestens am folgenden Arbeitstag durch das nach Absatz 3 zuständige Gesundheitsamt vervollständigt, gegebenenfalls aus verschiedenen Meldungen zum selben Fall zusammengeführt und der zuständigen Landesbehörde sowie von dort spätestens am folgenden Arbeitstag dem Robert Koch-Institut mit folgenden Angaben übermittelt:

  1. zur betroffenen Person:
  2. Geschlecht,
  3. Monat und Jahr der Geburt,
  4. Tag der Verdachtsmeldung, Angabe, wenn sich ein Verdacht nicht bestätigt hat, Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
  5. Untersuchungsbefund, einschließlich Typisierungsergebnissen,
  6. wahrscheinlicher Infektionsweg, einschließlich Umfeld, in dem die Übertragung wahrscheinlich stattgefunden hat; wahrscheinliches Infektionsrisiko, Impf- und Serostatus und erkennbare Zugehörigkeit zu einer Erkrankungshäufung,
  7. gegebenenfalls Informationen zur Art der Einrichtung bei Tätigkeit, Betreuung oder Unterbringung in Einrichtungen und Unternehmen nach § 23 Absatz 3 Satz 1, Absatz 5 Satz 1 oder § 35 Absatz 1 Satz 1 oder § 36 Absatz 1 oder Absatz 2,
  8. in Deutschland: Gemeinde mit zugehörigem amtlichem achtstelligem Gemeindeschlüssel, in der die Infektion wahrscheinlich erfolgt ist, ansonsten Staat, in dem die Infektion wahrscheinlich erfolgt ist,
  9. bei reiseassoziierter Legionellose: Name und Anschrift der Unterkunft,
  10. bei Tuberkulose, Hepatitis B und Hepatitis C: Geburtsstaat, Staatsangehörigkeit und gegebenenfalls Jahr der Einreise nach Deutschland,
  11. bei Coronavirus-Krankheit-2019 (COVID-19): durchgeführte Maßnahmen nach dem 5. Abschnitt; gegebenenfalls Behandlungsergebnis und Angaben zur Anzahl der Kontaktpersonen, und jeweils zu diesen Angaben zu Monat und Jahr der Geburt, Geschlecht, zuständigem Gesundheitsamt, Beginn und Ende der Absonderung und darüber, ob bei diesen eine Infektion nachgewiesen wurde,
  12. Überweisung, Aufnahme und Entlassung aus einer Einrichtung nach § 23 Absatz 5 Satz 1, gegebenenfalls intensivmedizinische Behandlung und deren Dauer,
  13. Zugehörigkeit zu den in § 54a Absatz 1 Nummer 1 bis 5 genannten Personengruppen,
  14. Gemeinde mit zugehörigem amtlichem achtstelligem Gemeindeschlüssel der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend, des derzeitigen Aufenthaltsortes,
  15. zuständige Gesundheitsämter oder zuständige Stellen nach § 54a und
  16. Datum der Meldung.

2In den Fällen der Meldung nach § 6 Absatz 3 Satz 1 sind nur die Angaben nach Satz 1 Nummer 2 und 3 sowie zu den aufgetretenen nosokomialen Infektionen und den damit zusammenhängenden Kolonisationen jeweils nur die Angaben nach Satz 1 Nummer 1 Buchstabe a bis e erforderlich. 3Für die Übermittlungen von den zuständigen Landesbehörden an das Robert Koch-Institut bestimmt das Robert Koch-Institut die technischen Übermittlungsstandards. 4Frühere Übermittlungen sind gegebenenfalls zu berichtigen und zu ergänzen, insoweit gelten die Sätze 1 bis 3 entsprechend.

[...]

Richtigerweise lässt sich jedoch die konkrete Art der erhobenen Gesundheitsdaten unter keine der in § 11 Abs. 1 Satz 1 Nr. 1 IfSG bezeichneten Alternativen subsumieren. Insbesondere sind Vorerkrankungen sowie Symptome während einer Isolation weder als Angaben über den wahrscheinlichen Infektionsweg (im Sinne von Buchst. e) zu qualifizieren, noch als durchgeführte Maßnahme oder als Behandlungsergebnis (im Sinne von Buchst. j).

7.2.3. Datenschutzrechtliche Bewertung der Erhebung von Symptomdaten im Lichte der landesrechtlichen Vollzugsvorschriften zum Infektionsschutz

Das Hauptaugenmerk legte das Gesundheitsministerium auf die seinerzeit geltende Allgemeinverfügung "AV Isolation".

AV Isolation

[...]

4. Beendigung der Isolation

4.1 Bei Personen, die mittels Antigentest durch eine medizinische Fachkraft oder eine vergleichbare, hierfür geschulte Person positiv getestet werden, endet die Isolation, falls der erste nach dem positiven Antigentest bei diesen Personen vorgenommene Nukleinsäuretest ein negatives Ergebnis aufweist, mit dem Vorliegen dieses negativen Testergebnisses. Ist das Testergebnis positiv, so richtet sich das Ende der Isolation nach Nr. 4.2, wobei hier als Erstnachweis des Erregers der positive Antigentest nach Satz 1 gilt. Im Übrigen endet die Isolation frühestens nach Ablauf von fünf Tagen nach dem positiven Antigentest und Symptomfreiheit seit mindestens 48 Stunden, spätestens jedoch nach Ablauf von zehn Tagen.

[...]

Demnach sei die Symptomatik der Indexpersonen relevant für die Dauer der Isolation. Die Symptomatik und deren Einordnung habe zudem Einfluss auf die Einschätzung der Infektiosität der betreffenden Person.

Im Ergebnis hielt auch diese Argumentation einer datenschutzrechtlichen Überprüfung nicht stand.

Bezüglich der Symptomatik einer Indexperson stellt der Normgeber in Unterabschnitt 4.1 AV Isolation begrifflich auf das Tatbestandsmerkmal der Symptomfreiheit (seit mindestens 48 Stunden und frühestens nach Ablauf von fünf Tagen nach dem positiven Antigentest) ab. Das Kriterium der Symptomfreiheit ist jedoch nicht gleichzusetzen mit den unterschiedlichen Arten möglicher Symptome. Aus dem Terminus der Symptomfreiheit lässt sich somit nicht ableiten, dass von der betroffenen Person Angaben über die spezifische Art ihrer Symptome systematisch erhoben werden dürfen, vor allem nicht bereits ab Beginn der Isolation und aufgeschlüsselt nach einzelnen Tagen. Hierzu ist in tatsächlicher Hinsicht anzumerken, dass die zuständigen Gesundheitsämter überhaupt nicht vorhatten, etwaige Angaben der betroffenen Personen zu Symptomen zu beurteilen oder zu hinterfragen. Die Daten sollten schlicht nur erhoben werden. Auf Nachfrage konnte nicht angegeben werden, welche Aufgaben mit den Informationen über die Art der Symptome erfüllt werden sollten. Auch das Gesundheitsministerium konnte bislang keine überzeugenden Argumente hierzu vorbringen. Vielmehr werde ein allgemeines Bedürfnis seitens der (ehemals in der Forschung tätig gewesenen) Kollegen gesehen, alle verfügbaren Daten zu erfassen. Eine solche Argumentation liefe freilich auf eine Vorratsspeicherung hinaus, die mit dem Grundsatz der Datenminimierung unvereinbar wäre.

Des Weiteren bestimmt die AV Isolation in Unterabschnitt 4.1, dass die Isolation einer Indexperson spätestens nach Ablauf von zehn Tagen endet. Dass die zuständigen Gesundheitsbehörden auf dieser Basis etwa gehalten wären, die Zeitspanne von maximal zehn Tagen auf die rechnerisch minimale Isolationsdauer abzukürzen - etwa von Amts wegen durch Erhebung der Symptomfreiheit im konkreten Einzelfall -, ist selbst bei extensiver Auslegung der Vorschriften nicht anzunehmen. Vielmehr dürfte gerade die nicht abgekürzte Isolationszeit dem Interesse eines effektiven Gesundheitsschutzes in einem höheren Maße dienen, das heißt das Risiko der Ansteckung weiterer Personen dürfte sich aufgrund der längeren Isolationsdauer mit höherer Wahrscheinlichkeit reduzieren. Da somit in Unterabschnitt 4.1 der AV Isolation letztlich eine Regelung getroffen wurde, welche die Ermittlung des Enddatums der Isolation hinreichend konkret und eindeutig ermöglicht, besteht weder eine erkennbare Notwendigkeit noch eine anderweitige rechtliche Legitimation dafür, betroffene Personen standardmäßig zu verpflichten, gegen ihren erklärten Willen Angaben zur Art ihrer Symptome zu machen.

Bei näherer Betrachtung erscheint es bereits nach dem Wortlaut der AV Isolation ("Im Übrigen endet die Isolation frühestens nach Ablauf von fünf Tagen [...] und Symptomfreiheit seit mindestens 48 Stunden, [...]") geboten, selbst im Falle einer seit 48 Stunden gegebenen Symptomfreiheit keine Offenlegung dieses Umstands gegenüber der zuständigen Gesundheitsbehörde zu fordern. Vielmehr deutet die Formulierung "endet" auf ein automatisch eintretendes Ende der Isolation hin, das von der eigenen Feststellung der betreffenden Person über die bestehende Symptomfreiheit abhängig ist. Es ist auch aus der Begründung der AV Isolation nicht ersichtlich, dass das Ende der Isolation etwa eines weiteren Tätigwerdens der Gesundheitsbehörde, zum Beispiel in Form eines (wiederholenden) Verwaltungsakts bedürfen würde.

Zusammenfassend fehlt es grundlegend an der Erforderlichkeit der Symptomangaben zur Erfüllung einer (hoheitlichen) gesundheitsbehördlichen Aufgabe und damit an einem Erlaubnistatbestand für die Erhebung von Symptomdaten.

Im Übrigen kam ich bei meiner Überprüfung der Beschwerdefälle zu dem Ergebnis, dass die häufig in diesem Zusammenhang behauptete "Freiwilligkeit der Datenerhebung" mittels digitaler Fragebögen aus rechtlicher Sicht nicht haltbar ist. Denn in der Praxis stellten die Gesundheitsämter den betroffenen Personen tägliche Anrufe in Aussicht, falls sie sich weigerten, die "freiwilligen" Informationen preiszugeben. Von Freiwilligkeit kann in einem solchen Fall jedoch aus datenschutzrechtlicher Sicht nicht die Rede sein, weil durch die Ankündigung von Alternativmaßnahmen ein faktischer Zwang auf die Entscheidungsfreiheit der betroffenen Person ausgeübt wurde. Im Einzelfall drohte das Gesundheitsamt die Verhängung von Bußgeldern an. Durch die Ankündigung derartiger Konsequenzen wird ein psychischer Druck auf die betroffenen Personen ausgeübt, der einem subjektiv empfundenen Zwang zur Datenoffenlegung gleichkommt.

7.2.4. Fazit und Ausblick

Vor diesem Hintergrund plant das Gesundheitsministerium in enger Abstimmung mit meinem Haus ein Schreiben an die nachgeordneten Gesundheitsbehörden, damit für die Zukunft ein landesweit einheitlicher und datenschutzkonformer Vollzug der geltenden infektionsschutzrechtlichen Vorschriften gewährleistet werden kann. Der begonnene Abstimmungsprozess konnte im Berichtszeitraum noch nicht abgeschlossen werden.

Parallel bat ich die betreffenden Gesundheitsämter, ihre bisherige Praxis der Erhebung von personenbezogenen Vorerkrankungs- und Symptomdaten (sowohl von Indexpersonen als auch von etwaigen Kontaktpersonen) genau zu überprüfen und dabei meine datenschutzrechtliche Bewertung der Sach- und Rechtslage zu berücksichtigen. Gegenwärtig sind mir aus der Praxis keine Beispiele für besondere Einzelfallumstände bekannt, die bei stetig abebbender Pandemie und angesichts der geltenden normativen Vorgaben ausnahmsweise eine Erhebung von personenbezogenen Daten über Vorerkrankungen oder Symptome legitimieren könnten. Ein Gesundheitsamt teilte mir bereits ausdrücklich mit, dass es die Verwendung des bisherigen digitalen Fragebogens als Reaktion auf eine entsprechende Beschwerde eingestellt habe.

Auch das in der Folgezeit zu dieser Thematik eingeholte Meinungsbild der Datenschutzaufsichtsbehörden des Bundes und der Länder ergab keine Unterstützung für die Auffassung des Gesundheitsministeriums, dass das Infektionsschutzgesetz ausreichende Rechtsgrundlagen für die standardmäßige Abfrage der Symptomdaten biete. Vielmehr teilten einige der befassten Bundes- und Länderkolleginnen bzw.-kollegen explizit meine Zweifel an der Geeignetheit und Erforderlichkeit der Symptomdatenerhebung für infektionsschutzrechtliche Zwecke der Gesundheitsämter.

Ich werde die Entwicklungen in diesem Bereich weiterhin genau beobachten und habe angeboten, das Gesundheitsministerium bei der Abfassung wegweisender Vollzugsvorgaben mit meiner datenschutzrechtlichen Expertise beratend zu unterstützen.

7.3. Evaluierungsauftrag im Bayerischen Krebsregistergesetz

In den vergangenen Jahren befasste ich mich wiederholt mit dem Bayerischen Krebsregister. Insbesondere in meinem 27. Tätigkeitsbericht 2016 unter Nr. 7.3 beschäftigte ich mich eingehend mit der Neustrukturierung der Krebsregistrierung durch das Bayerische Krebsregistergesetz und formulierte meinen Standpunkt zu wesentlichen datenschutzrechtlichen Fragestellungen.

7.3.1. Kritikpunkt "eingeschränktes Widerspruchsrecht"

Bereits im Rahmen meiner Beteiligung am Gesetzgebungsverfahren 2016/2017 äußerte ich grundlegende Zweifel an der Rechtmäßigkeit und Effektivität des vorgesehenen Widerspruchsrechts der betroffenen Patientinnen und Patienten. Auf meinen Vorschlag wurde daraufhin eine Evaluationsklausel in den Gesetzentwurf eingefügt mit dem Ziel, aus zwei Jahren Praxiserfahrung tragfähige Erkenntnisse über die Funktionsfähigkeit des Krebsregisters zu gewinnen und diese Erkenntnisse idealerweise im Rahmen einer weiteren Gesetzesnovelle zur Verbesserung des Datenschutzes umzusetzen.

Art. 5 Bayerisches Krebsregistergesetz (BayKRegG) bestimmt zum Widerspruchsrecht:

"(1) 1Jeder kann der dauerhaften Speicherung der Identitätsdaten im Bayerischen Krebsregister widersprechen, soweit sie ihn selbst oder eine seiner Personensorge oder Betreuung unterstehende Person betreffen. 2Diese Identitätsdaten sind unverzüglich zu löschen, sobald sie für Zwecke der verpflichtenden Qualitätssicherung, Abrechnung oder auf Grund anderer gesetzlicher Vorschriften nicht mehr benötigt werden. 3Der Widerspruch ist schriftlich bei der Vertrauensstelle einzulegen. 4Er kann auch über Personen, die gemäß Art. 4 Abs. 2 Satz 3 über das Widerspruchsrecht belehrt haben, bei der Vertrauensstelle eingelegt werden. 5Der Widerspruch betrifft bereits erfasste sowie künftig eingehende Identitätsdaten. 6Wurden Daten zu dieser Person von oder an ein anderes Landeskrebsregister gemeldet, ist dieses Landeskrebsregister über die Erhebung des Widerspruchs zu informieren.

(2) Für einen inhaltlich vergleichbaren Widerspruch, der in einem Land nach dessen Landesrecht eingelegt wurde, gilt Abs. 1 entsprechend, sobald er von den dortigen Behörden der zuständigen bayerischen Stelle zur Kenntnis gebracht wurde.

(3) Das für die Gesundheit zuständige Staatsministerium (Staatsministerium) überprüft zwei Jahre nach Inkrafttreten dieses Gesetzes die Regelungen der Abs. 1 und 2 unter den Gesichtspunkten eines wirksamen Datenschutzes und einer ausreichenden Qualitätssicherung für die Zwecke des Bayerischen Krebsregisters."

Die Fassung des Absatzes 1 verdeutlicht, dass es sich hierbei - namentlich aufgrund der Begrenzung des Widerspruchs auf Identitätsdaten - um ein eingeschränktes Widerspruchsrecht handelt. Aktuell bewirkt ein Widerspruch im Sinne von Art. 5 Abs. 1 BayKRegG lediglich die Ersetzung der Identitätsdaten durch ein Pseudonym. Mithin führt dies zu keiner dem Willen der Widersprechenden vollends Rechnung tragenden kompletten Löschung ihrer Krebsregisterdaten. Demgegenüber würde ein uneingeschränktes Widerspruchsrecht nach meinem Verständnis verlangen, neben den Identitätsdaten auch sämtliche Daten zur Krankheitsgeschichte der betroffenen Person vollständig zu löschen.

Der maßgebliche Evaluationszeitraum gemäß Art. 5 Abs. 3 BayKRegG begann unmittelbar mit Inkrafttreten des Gesetzes am 1. April 2017 und dauerte zwei Jahre, also bis zum 31. März 2019. Im Anschluss an den Evaluationsbericht des Bayerischen Landesamtes für Gesundheit und Lebensmittelsicherheit verzögerten im Jahre 2020 vordringliche Aufgaben (zur Bewältigung der COVID-19-Pandemie) die notwendige Folgenbetrachtung durch das Bayerische Staatsministerium für Gesundheit und Pflege und die datenschutzrechtliche Beratung durch mich, bis der gesamte Evaluationsprozesses im Sommer 2022 abgeschlossen werden konnte.

Dem mir im November 2019 zugeleiteten Evaluationsbericht zufolge war insgesamt nur eine geringe Anzahl von Widersprüchen gegen die dauerhafte Speicherung der Identitätsdaten der betroffenen Personen festzustellen. Dieser Befund verwies darauf, dass eine Löschung sämtlicher gespeicherten Krebsregisterdaten der widersprechenden Personen möglich erscheint, ohne die Funktionsfähigkeit des Bayerischen Krebsregisters zu beeinträchtigen. Allenfalls dürfte nach Angabe des Gesundheitsministeriums für die Zukunft mit einem gewissen Mehraufwand im Dokumentationssystem des Krebsregisters zu rechnen sein.

7.3.2. Komplette Löschung von Krebsregisterdaten im Widerspruchsfall

Zur Gewährleistung eines effektiven Schutzes von Patientendaten setzte ich mich vor diesem Hintergrund mit unverminderter Intensität für eine Abkehr von der bislang eingeschränkten Widerspruchslösung ein. Die bestehende Interessenlage bei der Verarbeitung hochsensibler Gesundheitsdaten, die sich in Ansätzen bereits in der Gesetzesbegründung aus dem Jahre 2017 widerspiegelt, erfordert nach meinem Dafürhalten, für die Zukunft gesetzlich zu verankern, dass ein wirksamer Widerspruch - über die Bestimmungen des gegenwärtigen Art. 5 BayKRegG hinaus - die vollständige Löschung sämtlicher Krebsregisterdaten der betroffenen Person zur Folge hat.

Erfreulicherweise griff das Gesundheitsministerium meine datenschutzrechtlichen Argumente nunmehr auf. Mitte August 2022 berichtete es mir von Planungen, so bald wie möglich einen Gesetzentwurf zur Änderung des Bayerischen Krebsregistergesetzes auf den Weg zu bringen, um hinsichtlich künftiger Widerspruchsfälle die rechtlichen Voraussetzungen für eine vollständige Löschung der gespeicherten Krebsregisterdaten zu schaffen. Auch in technisch-organisatorischer Hinsicht sei mit den im Vorfeld notwendigen Abstimmungen und Vorarbeiten bereits begonnen worden.

Ich werde den Gesetzgebungsprozess weiterhin aufmerksam verfolgen und mit meiner Expertise beratend begleiten. Ein erkennbar hohes Datenschutzniveau stärkt nach meiner Überzeugung das Vertrauen der Patientinnen und Patienten in die Funktionsweise von medizinischen Registern und ist zugleich ein wesentlicher Akzeptanzfaktor im Hinblick auf die künftige Forschung mit Gesundheitsdaten.

7.4. Corona-Impfstatusabfrage bei Besuch eines Krankenhauses

Im Berichtszeitraum erreichte mich die Beschwerde eines Bürgers, der anlässlich des Besuchs eines Patienten im Krankenhaus nach seinem Corona-Impfstatus gefragt wurde, obwohl er einen Testnachweis im Sinne des § 22a Abs. 3 Infektionsschutzgesetz (IfSG) vorlegen konnte.

Nach den zu diesem Zeitpunkt geltenden Bestimmungen der Sechzehnten Bayerischen Infektionsschutzmaßnahmenverordnung war der Zutritt von Besuchern zu einem Krankenhaus nur erlaubt, soweit diese geimpft, genesen oder getestet waren.

Die damals geltende COVID-19-Schutzmaßnahmen-Ausnahmeverordnung verwies für die Definition einer getesteten Person ausdrücklich auf den Testnachweis im Sinne von § 22a Abs. 3 IfSG.

Da die Tatbestandsalternativen mit einem "oder" verknüpft waren, war die Frage nach dem Corona-Impfstatus bei einer nachweislich negativ getesteten Person datenschutzrechtlich unzulässig.

Nachdem ich das Krankenhaus hierauf hingewiesen hatte, wurde das Einlassverfahren umgestellt und auf die Abfrage des Corona-Impfstatus bei nachweislich negativ getesteten Personen verzichtet.

7.5. Datenschutzrechtliche Verantwortlichkeit in den Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns

Die Verpflichtungen nach der Datenschutz-Grundverordnung treffen in erster Linie den Verantwortlichen, der in Art. 4 Nr. 7 DSGVO definiert wird:

Art. 4 DSGVO

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[...]

  1. "Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; [...]

Doch nicht immer lässt sich ohne weiteres bestimmen, wer bei einer Datenverarbeitung der Verantwortliche ist, was sich im Berichtszeitraum am Beispiel der Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns (KVB) zeigte.

Aus der Ärzteschaft erhielt ich davon Kenntnis, dass von der KVB zur Verfügung gestellte Praxisräume nicht über geeignete Wartezimmer verfügten. Patientinnen und Patienten müssten in unmittelbarer Nähe des Anmeldetresens warten und könnten so Kenntnis von Gesundheitsdaten Dritter erhalten.

Zunächst vertrat die KVB die Auffassung, dass die diensthabende Ärztin oder der diensthabende Arzt hinsichtlich aller Datenverarbeitungen im Rahmen der Bereitschaftspraxis allein verantwortlich sei. Aufgrund meiner Prüfung kam ich hingegen zu der Einschätzung, dass sich die KVB nicht von der Verantwortlichkeit freizeichnen kann. Vielmehr ist die KVB grundsätzlich die für die Organisation des Bereitschaftsdienstes verantwortliche Stelle, soweit sie beispielsweise Räume, Software, Hardware und angestelltes Personal zur Verfügung stellt. Für die medizinische Behandlung von Patientinnen und Patienten sind nach meiner Auffassung dagegen allein die behandelnden Ärztinnen und Ärzte datenschutzrechtlich verantwortlich.

Für die Einordnung der Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO ist entscheidend, wer die wesentliche Entscheidungsbefugnis hinsichtlich der Zwecke einer Datenverarbeitung, und Mittel innehat. Ein bestimmender Einfluss erfordert jedoch nicht, dass jeder der Beteiligten die umfassende Kontrolle über alle Umstände und Phasen der Verarbeitung besitzt. Auch ist keine vollständig gleichrangige Kontrolle durch alle Beteiligten erforderlich.

Die Zuordnung der Verantwortlichkeit muss sich vorliegend an der gesetzlichen Aufgabenverteilung orientieren.

So kommt der KVB gemäß § 75 Abs. 1b Satz 1 Fünftes Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung - (SGB V) der sogenannte Sicherstellungsauftrag zu. Sie hat dafür zu sorgen, dass auch zu den üblicherweise sprechstundenfreien Zeiten eine vertragsärztliche Versorgung vorhanden ist (Notdienst). Die KVB hat eine Struktur zu schaffen, die unter quantitativen wie qualitativen Gesichtspunkten in der Lage ist, die vertragsärztliche Versorgung der Versicherten zu gewährleisten. Wie sie diesem Sicherstellungsauftrag nachkommt, steht weitgehend in ihrem gestalterischen Ermessen.

Zur Erfüllung des Sicherstellungsauftrages bedient sich die KVB der an der vertragsärztlichen Versorgung teilnehmenden Ärztinnen und Ärzte. Diese sind zur Beteiligung am vertragsärztlichen Notdienst verpflichtet. Sie stehen weder in einem abhängigen Beschäftigungsverhältnis zur KVB, noch unterliegen sie deren Weisungsrecht. Sie erfüllen ihre Aufgaben als Vertragsärztin oder Vertragsarzt auf der Grundlage ihrer statusbezogenen Zulassung zur vertragsärztlichen Versorgung im Rahmen ihres freien ärztlichen Berufes. Gleichzeitig schafft § 75 Abs. 2 Satz 2 SGB V grundsätzlich eine Befugnis für die Kassenärztlichen Vereinigungen, die Erfüllung der den Vertragsärztinnen und Vertragsärzten obliegenden Pflichten zu überwachen.

Tatsächlich ergab meine Prüfung, dass die KVB den Bereitschaftspraxen Hard- und Software zur Verfügung stellt. Sie mietet zum Teil auch die Räumlichkeiten an und stellt das Praxispersonal ein. Insofern steht den beteiligten Ärztinnen und Ärzten keine Auswahl- oder Einflussmöglichkeit zu.

Des Weiteren verhält sich die KVB zum Teil bereits faktisch wie ein Verantwortlicher. Zum Beispiel sollen Meldungen von Datenpannen durch die KVB erfolgen. Auch werden das Blanko-Formular des Anamnesebogens sowie die Datenschutzinformationen der Bereitschaftspraxen von der KVB vorgegeben.

Gleichzeitig verarbeiten die an der vertragsärztlichen Versorgung teilnehmenden Ärztinnen und Ärzte im Rahmen ihres Dienstes in den Bereitschaftspraxen Daten der zu behandelnden Personen, ohne dass die KVB Einfluss auf den Umfang der Datenverarbeitung hat.

Aus meiner Sicht kann daher den tatsächlichen und rechtlichen Gegebenheiten nur Rechnung getragen werden, wenn die KVB als Verantwortliche hinsichtlich der Organisation des Bereitschaftsdienstes sowie die jeweils diensthabenden Ärztinnen oder Ärzte als Verantwortliche für die medizinische Behandlung betrachtet werden. Auch aus Patientensicht erscheint dieses Ergebnis als sachgerecht. Dem hat sich im Zuge des beratenden Austausches zwischenzeitlich auch die KVB angeschlossen.

7.6. Beanstandung nach Datenpanne bei Krankenkasse

Eine Bürgerin wandte sich im Berichtszeitraum mit einer Beschwerde wegen einer Datenpanne bei einer Krankenkasse an mich.

Die Petentin hatte eine Mitgliedsbescheinigung der Krankenkasse benötigt. Die Krankenkasse übersandte die Bescheinigung wie vorher vereinbart mittels verschlüsselter E-Mail, zusätzlich entgegen der Absprache jedoch auch noch per Brief. Dieser Brief wurde aufgrund eines Versehens der Krankenkasse nicht an die Petentin adressiert, sondern an ihren von ihr getrennt lebenden Ehemann (und früheren Bevollmächtigten). Aufgrund des Versehens erlangte der Ehemann Kenntnis von der neuen Adresse der Petentin.

Die rechtliche Bewertung des Falles war unkompliziert: Die unbefugte Offenbarung von Adressdaten der Petentin durch fälschliche Versendung einer Mitgliedsbescheinigung an deren Ehemann stellte einen Verstoß gegen das Sozialgeheimnis nach § 35 Abs. 1 Satz 1 Erstes Buch Sozialgesetzbuch - Allgemeiner Teil - (SGB I) dar. Nach dieser Vorschrift hat jeder Anspruch darauf, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden.

Ich habe gegenüber der Krankenkasse eine Beanstandung ausgesprochen. Die Krankenkasse ließ nicht nur fahrlässig personenbezogene Daten an einen Außenstehenden gelangen; sie missachtete bei dem Fehlversand auch eine Auskunftssperre, die auf Wunsch der Petentin im EDV-System der Krankenkasse hinterlegt worden war und Datenübermittlungen an Dritte hätte verhindern sollen. Dem Datenschutzverstoß kam besonderes Gewicht zu, weil die Petentin ihre Adressdaten vor ihrem früheren Ehemann geheim halten wollte und der Krankenkasse dies ausweislich der Auskunftssperre auch bekannt war; auch die Folgen für die Petentin waren einschneidend. Der unberechtigte Empfänger konnte die Petentin kontaktieren. Die Petentin hielt vor diesem Hintergrund letztlich einen weiteren Umzug für erforderlich.

Bedauerlich war zudem, dass die Krankenkasse mir den Fehlversand erst Wochen nach dem Bekanntwerden anlässlich meiner Bitte um Stellungnahme meldete. Die Meldung einer solchen Datenpanne ist nach Art. 33 Abs. 1 Satz 1 DSGVO unverzüglich, mithin ohne schuldhaftes Zögern, zu erstatten. Im Verlauf der Prüfung wurden noch weitere vergleichbare Vorfälle bekannt, bei denen die Krankenkasse unter Missachtung einer Auskunftssperre unbefugt personenbezogene Daten offenbart hatte.

7.7. Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern

Bayerische öffentliche Krankenhäuser durften sich bislang zur Verarbeitung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patientinnen und Patienten erforderlich sind, nur anderer Krankenhäuser bedienen. Diese nicht mehr ganz zeitgemäße Vorgabe aus Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz (BayKrG) in der bis zum 31. Mai 2022 geltenden Fassung hat der bayerische Gesetzgeber durch die am 1. Juni 2022 in Kraft getretene Novelle des Gesundheitsdienstgesetzes (GDG) aufgehoben. Das hat zur Folge, dass Auftragsverarbeitungsverhältnisse insoweit nun auch mit anderen Auftragsverarbeitern als Krankenhäusern begründet werden dürfen. Der in Art. 27 Abs. 4 BayKrG verbleibende Regelungsbestand wird weiterhin durch die allgemeinen Regelungen der Datenschutz-Grundverordnung zur Auftragsverarbeitung ergänzt; ein regelungsloser Zustand tritt nicht ein.

Was die Rechtsänderung betrifft, möchte ich bayerische öffentliche Krankenhäuser auf folgende Gesichtspunkte aufmerksam machen:

7.7.1. Gestaltungsimpulse bei Auftragsverarbeitungim Krankenhaus

Die Gesetzesänderung macht bewusst, dass bayerische öffentliche Krankenhäuser Patientendaten betreffende Auftragsverarbeitungsverhältnisse mit externen IT-Dienstleistern nun noch mehr als bislang aktiv gestalten müssen. Das ist keine "banale" Aufgabe:

  • In Krankenhäusern werden große Mengen an Daten verarbeitet, welche die Gesundheit der Patientinnen und Patienten und damit deren intimsten Lebensbereich betreffen.
  • Durch die Beteiligung externer Stellen wird der Kreis derer, die mit sensiblen medizinischen Patientendaten in Berührung kommen, größer. Gleichzeitig sinken die direkten Einflussmöglichkeiten der Krankenhäuser auf den Umgang mit den Daten ihrer Patientinnen und Patienten.
  • Krankenhäuser sind nicht selten Opfer von Cybercrime-Attacken mit teilweise schwerwiegenden Folgen für die Patientinnen und Patienten. Eine Konzentration der Patientendatenverarbeitung auf wenige IT-Dienstleister erhöht die Attraktivität und damit die Eintrittswahrscheinlichkeit von Cybercrime-Angriffen in diesem Bereich.
  • Für die Verarbeitung setzen nicht wenige IT-Dienstleister Betriebsmittel ein, bei denen die Zulässigkeit einer (möglichen) Datenübermittlung in ein Drittland oder an eine internationale Organisation gewährleistet sein muss. Übermittlungen dieser Art sind seit Geltungsbeginn der Datenschutz-Grundverordnung allerdings strikt reglementiert, wie das Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II zeigt. Dabei ist zu beachten, dass auch ein Fernzugriff, den eine Stelle in einem Drittland auf die im Europäischen Wirtschaftsraum befindlichen Patientendaten hat, eine Übermittlung begründen kann.
  • Im Krankenhausbereich sind mit zunehmender Digitalisierung sehr viele neue, innovative Formen der Verarbeitung von Patientendaten - oft unter Beteiligung mehrerer Stellen - zu beobachten. In diesem Zusammenhang ist es empfehlenswert, frühzeitig die jeweilige datenschutzrechtliche Rolle einer an der Verarbeitung beteiligten Stelle (wie etwa eigenständiger oder gemeinsamer Verantwortlicher, Auftragsverarbeiter, Datenexporteur, Datenimporteur) mit ihren datenschutzrechtlichen Pflichten und Befugnissen zu identifizieren und die damit erforderlichen Nachweise und sonstigen Unterlagen zu erarbeiten (wie beispielsweise eine Auftragsverarbeitungsvereinbarung, eine Datenschutz-Folgenabschätzung oder eine allgemeine Risikoanalyse).
  • Die fortschreitende Digitalisierung und die wachsende Komplexität aktueller IT-Systeme führen regelmäßig dazu, dass IT-Dienstleister als Auftragsverarbeiter zur Erbringung ihrer Leistungen weitere Unterauftragsnehmer nutzen, deren Verarbeitung ebenfalls die Anforderungen der Datenschutz-Grundverordnung erfüllen müssen (vgl. Art. 28 Abs. 4 DSGVO).

7.7.2. Regelungsrahmen

Bayerische öffentliche Krankenhäuser müssen bei der Begründung von Auftragsverarbeitungsverhältnissen weiterhin die Regelungen beachten, welche die Datenschutz-Grundverordnung dafür bereithält. Dies betont auch der neu gefasste Art. 27 Abs. 6 BayKrG. Darin heißt es seit dem 1. Juni 2022:

"Im Anwendungsbereich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO), insbesondere Art. 28 DSGVO (Auftragsverarbeiter) und Art. 32 DSGVO (Sicherheit der Verarbeitung), sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können."

Bayerische öffentliche Krankenhäuser können bei der Erfüllung dieser Aufgabe auf vielfältige Informationsmaterialien zurückgreifen. Zu nennen sind insbesondere:

  • meine Orientierungshilfe "Auftragsverarbeitung";
  • mein "Leitfaden zum Outsourcing kommunaler IT";
  • meine Aktuelle Kurz-Information 39 "Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen";
  • meine Materialien zur Risikoanalyse;
  • das Vertragsmuster zur Auftragsverarbeitung des Bayerischen Staatsministeriums des Innern, für Sport und Integration;
  • die "Leitlinien 07/2020 zu den Begriffen ‚Verantwortlicher‘ und ‚Auftragsverarbeiter‘ in der DSGVO" des Europäischen Datenschutzausschusses sowie
  • die "Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten" des Europäischen Datenschutzausschusses.

Dass bei der Erfüllung dieser Aufgabe ein Synergiepotenzial für die bayerischen Krankenhäuser besteht, spricht die Gesetzesbegründung zum neuen Gesundheitsdienstgesetz ausdrücklich an:

"Durch die Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG gehen bewährte Schutzelemente für die Verarbeitung von Patientendaten zunächst ersatzlos verloren. Diese Lücke sollte für die verantwortlichen Krankenhäuser bedarfsgerecht und idealerweise auf Selbstverpflichtungsbasis zum Beispiel durch ein einvernehmlich geschaffenes Regelwerk geschlossen werden, welches nach Maßgabe der Datenschutz-Grundverordnung die unabdingbaren technischen und organisatorischen Maßnahmen präzisiert und damit den Weg ebnet für eine möglichst einheitliche Anwendungspraxis bei gleichbleibend hohem Schutzniveau für die Patientendaten. Ein derartiges Regelwerk zur Präzisierung der technischen und organisatorischen Maßnahmen könnte beispielsweise seitens der Interessensvertretung der bayerischen Krankenhausträger und deren Spitzenverbände ins Leben gerufen werden."

Um ein einheitlich hohes Sicherheits- und Datenschutzniveau sicherzustellen, empfehle ich den beteiligten Verkehrskreisen nachdrücklich, möglichst zeitnah mit der Erarbeitung eines solchen Regelwerks zu beginnen.

  1. Allgemeinverfügung des Bayerischen Staatsministeriums für Gesundheit und Pflege "Vollzug des Infektionsschutzgesetzes (IfSG) - Isolation von positiv auf das Coronavirus SARS-CoV-2 getesteten Personen (AV Isolation)“ vom 12. April 2022, BayMBL 2022, Nr. 225, geändert durch Bekanntmachung vom 29. Juni 2022, GCRASa-G8000-2022/44-317. [Zurück]
  2. Vom 10. Mai 2022 (GVBl. S. 182). - Die Aufhebung von Art. 27 Abs. 4 Satz 6 BayKrG ist in Art. 32c Nr. 2 Buchst. a GDG geregelt, das Inkrafttreten in Art. 33 Abs. 1 Satz 1 GDG. [Zurück]
  3. Europäischer Gerichtshof, Urteil vom 16. Juli 2020, C-311/18. [Zurück]
  4. Stand 4/2019, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung“. [Zurück]
  5. Stand 3/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung“. [Zurück]
  6. Stand 12/2021, Internet: https://www.datenschutz-bayern.de, Rubrik "Datenschutzreform 2018 - Aktuelle Kurz-Informationen“. [Zurück]
  7. Überblick im Internet: https://www.datenschutz-bayern.de, Rubrik "DSFA“. [Zurück]
  8. Internet: https://www.innenministerium.bayern.de (externer Link), Rubrik "Schutz und Sicherheit - Datenschutz und Cybersicherheit - Schutz persönlicher Daten - Datenschutzreform-Arbeitshilfen“. [Zurück]
  9. Internet: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de (externer Link). [Zurück]
  10. Internet: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de (externer Link). [Zurück]
  11. Landtags-Drucksache 18/19685, S. 30. [Zurück]