zur Datenerhebung und -verarbeitung ist damit nicht mehr möglich.10
• Eine Datensammlung »auf Vorrat« zu unbestimmten oder noch nicht bestimmbaren Zwecken ist unzulässig.
• Das Gesetz muss dem Grundsatz der Verhältnismäßigkeit genügen (Übermaßverbot). Je intensiver der Eingriff elementare Bereiche der informationellen Selbstbestimmung berührt, desto gewichtiger müssen die zu seiner Rechtfertigung vorgebrachten Gründe sein.
• Das Gesetz muss verfahrensrechtliche Vorkehrungen beinhalten, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.
Zudem hat das BVerfG deutlich gemacht, dass sich die Beschränkungen für eine Datenverarbeitung nicht nur an staatliche Institutionen richten, sondern auch an private. Adressat der Verfassungsnormen des Grundgesetzes sind zwar unmittelbar nur staatliche Stellen. Jedoch fließt das Verfassungsrecht mittelbar auch in das Privatrecht ein. Insbesondere auf Gesetze, welche die Rechtsbeziehungen zwischen Privaten regeln, haben die Grundrechte eine Ausstrahlungswirkung. Insofern ist Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 GG der klassische Anknüpfungspunkt für eine sog. Drittwirkung von Grundrechten.11 Für den Einzelnen ist es nämlich unerheblich, ob die Einschränkung seiner informationellen Selbstbestimmung durch eine staatliche Institution oder ein privates Unternehmen erfolgt.
2 Hintergrund und Ziele zur DS-GVO
Seit dem 25.05.2018 ist nunmehr in datenschutzrechtlicher Hinsicht eine zentrale Weichenstellung auf EU-Ebene vorgenommen worden: Am 04.05.2016 wurde die »Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)«, kurz: »DS-GVO«, im Amtsblatt der Europäischen Union verkündet. Die DS-GVO ist am 20. Tag nach ihrer Veröffentlichung in Kraft getreten, beansprucht jedoch erst seit dem 25.05.2018 Geltung.
Die Ziele und Grundsätze der DS-GVO sind ausweislich des Erwägungsgrundes (ErwGr.) 9, den bestehenden erheblichen Risiken für den Schutz natürlicher Personen zu begegnen, die insbesondere im Zusammenhang mit der Benutzung des Internets bestehen. So habe es die vorhergehende Datenschutz-Richtlinie 95/46/EG nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt werde. Dies habe Rechtsunsicherheiten nicht ausräumen können. Während also eine EU-Richtlinie dem habe nicht begegnen können, sei nun eine EU-Verordnung erforderlich, damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet sei und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, angeglichen würden (ErwGr. 13).
Gemäß ErwGr. 11 erfordert ein unionsweiter wirksamer Schutz personenbezogener Daten ferner die Stärkung und präzise Festlegung der Rechte der betroffenen Personen (sog. Betroffenenrechte) sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
3 Besondere Bedeutung der Patientendaten im Krankenhaus
Die Frage, warum die Beachtung des Datenschutzes im Krankenhaus von so großer Bedeutung ist, liegt auf der Hand – im Krankenhaus werden wie in kaum einer anderen Institution sensible, persönliche Daten erhoben, gespeichert und übermittelt. Dabei handelt es sich bei den Informationen über den Patienten, seine Verhältnisse und vor allem seine Krankheiten um Daten, die besonders schützwürdig und damit geheimhaltungsbedürftig sind. Die Offenbarung von Krankheiten, Leiden oder Beschwerden kann dem Einzelnen nicht nur unangenehm und peinlich, sondern sogar seiner sozialen Geltung abträglich sein.12 Angaben über den Gesundheitszustand eines Menschen geben Aufschluss über intimste Verhältnisse; medizinische Daten gehören somit zu den sensibelsten Informationen schlechthin.
Hinzu kommt, dass Krankenhäuser u. a. als Leistungserbringer nach dem SGB V auftreten, Vertragspartner der Krankenkassen und des Patienten sind und gegenüber den Krankenhausmitarbeitern Arbeitgeberfunktionen wahrnehmen. Umfangreiche Dokumentationspflichten und das komplexe System der Leistungsabrechnung bedingen die Verarbeitung einer Fülle von Daten für Verwaltungs-, Planungs-, Versorgungs- oder auch Forschungsaufgaben.
Für Krankenhausmitarbeiter und -verwaltungen ist es daher von höchster Wichtigkeit, die vom Gesetzgeber und der Rechtsprechung gezogenen Grenzen für den Umgang mit Patientendaten sorgfältig zu beachten. Nur wenn Patienten absolut sicher sein können, dass die intimen Informationen über sie mit größtmöglicher Vertraulichkeit behandelt werden, wird das Krankenhaus den an ein modernes Dienstleistungsunternehmen gestellten Anforderungen gerecht. Dazu gehört es, aktiv auf einen Schutz der Patientendaten hinzuwirken. Das wesentliche Problem hierbei sind nicht vorsätzliche Verstöße gegen den Datenschutz, sondern vielmehr Unachtsamkeit und mangelnde Sensibilität beim Umgang mit den Daten. Deshalb gilt es, präventiv mögliche Lücken im Datenschutz aufzudecken und konsequent zu schließen. Die beste Hilfe hierbei sind für den Datenschutz sensibilisierte Mitarbeiter, die von sich aus auf mögliche Schwachstellen aufmerksam machen und so einen Schaden vom Patienten und vom Krankenhaus abwenden.
1 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Patientendatenschutz im Krankenhaus, www.datenschutzzentrum.de, I.1.
2 BVerfGE 65, S. 1 ff.
3 Gesetz über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz) vom 25. März 1982, BGBl. I, S. 369 ff.
4 BVerfGE 27, S. 1 ff.
5 BVerfGE 27, S. 344 ff.
6 BVerfGE 27, S. 344 ff.
7 BVerfGE 65, S. 1 ff.
8 Simitis, NJW 1984, 398 ff.
9 Simitis, a. a. O.
10 Simitis, a. a. O.
11 Simitis, a. a. O.
12 Vgl. BVerfG, Beschluss vom 08.03.1972, Az.: 2 BvR 28/71 = NJW 1972, 1123 ff.
II Zentraler Grundsatz der Verarbeitung
Sofern sich Krankenhäuser / die Verantwortlichen in Krankenhäusern mit der Frage der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten eines Patienten auseinandersetzen, war bereits vor dem Geltungsbeginn der DS-GVO, also dem 25.05.2018, folgender Grundsatz von zentraler Bedeutung:
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dafür eine gesetzliche Grundlage existiert oder der Betroffene eingewilligt hat.
Dieser