bedeutet, dass die verwendeten Daten konkret zu benennen sind (Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG).
2. Der Verwendungszweck ist / Die Verwendungszwecke sind konkret zu benennen.
Dies bedeutet, dass sich die Einwilligung auf konkrete (»bestimmte«) Verarbeitungszwecke beziehen muss (Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG; allgemeiner Zweckbindungsgrundsatz gemäß Art. 6 Abs. 1 Satz 1a DS-GVO / § 5 Abs. 1 Ziff. 2 DSG-EKD / § 7 Abs. 1 b) KDG, Erwägungsgrund 42).
3. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen (Erwägungsgrund 32).
4. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung abgegeben werden (Erwägungsgrund 32).
Dies kann etwa in Form von Ankreuzfeldern erfolgen, die der Patient aktiv ankreuzen muss, etwa in folgender Form:
5. Zu verschiedenen Verarbeitungsvorgängen sollten gesonderte Einwilligungen erteilt werden (Erwägungsgrund 43).
6. Die betroffene Person sollte mindestens wissen, wer der Verantwortliche ist, (Erwägungsgrund 42).
7. Die Einwilligung erfolgt ausdrücklich, Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG.
Damit ist nicht »schriftlich« gemeint. (Dies ergibt sich direkt aus der DS-GVO / dem DSG-EKD / dem KDG, die/das auch eine »Einwilligung … durch eine schriftliche Erklärung« kennt, Art. 7 Abs. 2 DS-GVO / § 11 Abs. 2 DSG-EKD / § 8 Abs. 2 KDG.)
Zulässig sind danach
– ausdrückliche mündliche sowie
– elektronisch fixierte Einwilligungen, sowie ferner
– eindeutig bestätigende Handlungen (»Kopfnicken«, »Daumen hoch«, »Hinhalten des Armes zwecks Anlegens eines Patientenarmbandes« usw.).
Während eine ausdrückliche Einwilligung grundsätzlich formlos erteilt werden kann, ordnen unterschiedliche Gesetze teilweise die Schriftform an. Hinsichtlich der einzelnen Regelungen, die die Schriftform verlangen, wird auf die Ausführungen unter III.8. verwiesen. Durch diese Form der Einwilligung wird die eindeutigste Rechtfertigungslage erreicht.
In diesen Fällen der angeordneten Schriftform sollte unbedingt von einer pauschalen Einholung im Behandlungsvertrag oder gar einem »Verstecken« in den Allgemeinen Vertragsbedingungen (AVB) des Krankenhauses abgesehen werden. Es empfiehlt sich die Verwendung eines separaten Formulars in Form einer gesonderten und auf den konkreten Zweck der Datenübermittlung bezogenen Einwilligungserklärung, die zwingend die Unterschrift des Patienten enthalten muss. Falls unbedingt eine Integration in den Behandlungsvertrag gewünscht sein sollte, sind eine optische Hervorhebung der Einwilligung39 sowie eine gesonderte Unterschrift notwendig.
8. Gleichwohl empfiehlt sich in der Regel aus Gründen des Nachweises und der möglichen Beweisführung eine saubere Dokumentation der ausdrücklich eingeholten Einwilligung in der Patientenakte oder deren schriftliche Fixierung.
9. Einwilligung durch »konkludentes«/»schlüssiges«Handeln
Bereits die Formulierung »ausdrückliche« Einwilligung dürfte datenschutzrechtliche Einwilligungen in Form von konkludentem/schlüssigem Handeln dem Wortlaut nach ausschließen.
Für den Krankenhausbereich bedeutet dies jedoch nicht, dass der Patient nunmehr in jede Verarbeitung (Behandlung im Team, Zuziehung weiterer Experten usw.) ausdrücklich einwilligen muss. Vielmehr dürfte über die Neuregelungen kaum mehr Raum für »konkludente«/»schlüssige« Einwilligungen bleiben. Dies folgt daraus, dass gesetzliche Regelungen bzw. die DS-GVO existieren, die Verarbeitungen in und um den Krankenhausbereich in einem weitgehenden Sinne erlauben: Art. 9 Abs. 2 h) und Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, 9 DSG-EKD / § 11 Abs. 2 h), i) KDG regeln die grundsätzliche datenschutzrechtliche Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten hinsichtlich der Versorgung und Behandlung im Gesundheitswesen. Erfasst werden danach sämtliche Formen gesundheitsbezogener Handlungen und zwar in präventiver, diagnostischer, kurativer und nachsorgender Art.40 Des Weiteren hat auch der deutsche Gesetzgeber (auf der Grundlage der in Art. 9 Abs. 4 DS-GVO enthaltenen Öffnungsklausel) in § 22 Abs. 1 Nr. 1 b) und c) BDSG entsprechende weitreichende Erlaubnistatbestände geschaffen. Hinsichtlich der Frage, in welchen Fällen im Krankenhausalltag Datenverarbeitungen ohnehin – unter Maßgabe o. g. Regelungen sowie Würdigung des Zwecks des Behandlungsvertrages – datenschutzrechtlich zulässig sind, wird auf die Ausführungen unter III.4 sowie III.8 verwiesen. Danach sind z. B. folgende Verarbeitungen ohnehin datenschutzrechtlich zulässig, ohne dass es hierfür einer – wie auch immer gearteten – Einwilligung bedürfte:
– Datenübermittlung an »Externe« im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z. B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG),
– Anwesenheit eines Medizinprodukteberaters im OP, sofern dieser quasi konsiliarisch aufgrund besonderer Expertise tätig wird (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, 9, Abs. 3 DSG-EKD / § 11 Abs. 2 h), i), Abs. 3, 4 KDG),
– Beschriftung des Krankenbettes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG),
– Anlegen eines Patientenarmbandes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG).
Maßgeblich ist diesbezüglich lediglich, dass der Patient die Umstände kennt.
Dies bedeutet etwa im Beispiel des Anlegens eines Patientenarmbandes, dass dem Patienten mitgeteilt wird, dass dies ausschließlich zu seiner eigenen Sicherheit erforderlich ist, etwa um einen gehfähigen Patienten, dessen Zustand sich auf einem Krankenhausgang verschlechtert, sofort der entsprechenden Abteilung zuordnen zu können o.ä.
10. Mutmaßliche Einwilligungen
Diese Form der Einwilligung ist insbesondere dann von Bedeutung, wenn die Einwilligung eines Patienten nicht eingeholt werden kann, z. B. weil er schwer verunfallt oder bewusstlos in ein Krankenhaus eingeliefert wird und nicht ansprechbar ist.
Hinsichtlich der Frage der Erteilung der Einwilligung in eine dringende medizinische Maßnahme/Behandlung stellt der Krankenhausträger hier auf den hypothetischen Willen eines verständigen Patienten ab und wird die Behandlung auf der Grundlage des Instituts der »Geschäftsführung ohne Auftrag« gemäß der §§ 677 ff. BGB durchführen. Damit einher gehen auch die dafür erforderlichen Datenverarbeitungen (Art. 9 Abs. 2c, Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO / § 13 Abs. 2 Ziff. 3, 8, Abs. 3 -DSG-EKD / § 11 Abs. 2 c), h), Abs. 3, 4 KDG i. V. m. §§ 677 ff. BGB (Geschäftsführung ohne Auftrag) auf der Grundlage des mutmaßlichen Willens).
Fraglich ist jedoch, welche darüber hinausgehenden Datenverarbeitungen davon abgedeckt sind. Als bekanntes Beispiel sei hier die aktive Benachrichtigung von nächsten Angehörigen der nicht ansprechbaren / bewusstlosen Patienten genannt (sofern keine gesetzliche Grundlage dazu im einem Landeskrankenhausgesetz o.ä. existiert) sowie die Beantwortung von Nachfragen Angehöriger, ob sich ein bestimmter Patient im Krankenhaus befindet.
Hinsichtlich der sich häufig stellenden Frage, wer alles als » nächster Angehöriger « eines Patienten