landesrechtlichen Regelungen und war – von wenigen Ausnahmen abgesehen – Grundlage für jedwede Verarbeitung von Daten.
Sollte also weder eine gesetzliche Grundlage eine Verarbeitung erlauben noch eine Einwilligung des Betroffenen vorliegen, blieb als Konsequenz nur, die Datenverarbeitung zu unterlassen.
Seit dem 25.05.2018 beansprucht nunmehr die DS-GVO unmittelbare Geltung in Deutschland. Aus diesem Grunde bedarf es seit diesem Zeitpunkt hinsichtlich jeglicher Prüfung, ob eine Verarbeitung datenschutzrechtlich zulässig ist, der Prüfung der durch die DS-GVO / das DSG-EKD13 / das KDG14 bedingten Anforderungen.
1 Verbot mit Erlaubnisvorbehalt gem. DS-GVO
An dem o. g. zentralen Grundsatz hat sich inhaltlich nichts geändert. Dieser findet sich seit Geltungsbeginn der DS-GVO in Form eines sog. Verbots mit Erlaubnisvorbehalt für die Verarbeitung sog. »besonderer Kategorien personenbezogener Daten«, mithin z. B. von Gesundheitsdaten, in Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG wieder.
Als Grundregel verbietet diese Vorschrift die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten usw. Es wird also ein allgemeines Verbot der Verarbeitung aufgestellt. Zu diesem Verbot existieren Ausnahmen. Eine solche Ausnahme stellt die Einwilligung der betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke dar (sog. besonderer Erlaubnistatbestand (Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG).
Anders ausgedrückt bedeutet dies: Das Verarbeitungsverbot gilt nicht, wenn die betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten einwilligt. Andere Ausnahmen von dem Verbot ergeben sich im Wesentlichen aus den anderen Regelungsgegenständen von Art. 6, 9 Abs. 2, Abs. 4 DS-GVO / §§ 6, 13 Abs. 2 DSG-EKD / §§ 6, 11 Abs. 2 KDG.
Bei der Beantwortung der Frage, ob eine Verarbeitung datenschutzrechtlich zulässig ist, bedarf es also nach wie vor der Prüfung,
• ob eine Befugnisnorm die Verarbeitung legitimiert oder
• eine Einwilligung der betroffenen Person vorliegt.
Hinsichtlich der sich daran anschließenden Fragen, welche Befugnisnormen existieren und welche Anforderungen im Einzelnen an Einwilligungen zu stellen sind, vgl. vertiefend die Ausführungen unter III sowie IV.
2 »Verarbeitung« als neuer Oberbegriff
Während die deutschen Gesetze früher auf einzelne Begrifflichkeiten wie das Erheben, Verarbeiten, Nutzen usw. von Daten abgestellt haben, bildet die Verarbeitung seit dem 25.05.2018 den Oberbegriff. Seitdem bezeichnet der Begriff »Verarbeitung« gemäß der Legaldefinition in § 4 Ziff. 2 DS-GVO / § 4 Ziff. 3 DSG-EKD / § 4 Ziff. 3 KDG
»jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.«
3 Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz
Neben den datenschutzrechtlichen Anforderungen gilt es, im Krankenhausbereich zusätzlich den Anforderungen der ärztlichen Schweigepflicht gerecht zu werden.
Während sich der Schutz sensibler Daten in datenschutzrechtlicher Hinsicht an das Krankenhaus als Institution bzw. durch die DS-GVO direkt an den »Verantwortlichen« richtet, bezieht sich das Gebot der ärztlichen Schweigepflicht auf das Innenverhältnis zwischen Arzt und Patient, adressiert also insbesondere den Arzt.15
Das Verhältnis zwischen ärztlicher Schweigepflicht und datenschutzrechtlichen Regelungen lässt sich wie folgt beschreiben: Datenschutzrechtliche Regelungen einerseits sowie das Gebot der ärztlichen Schweigepflicht andererseits bilden jeweils eine die unbefugte Offenbarung von Patientendaten verhindernde Schranke (Hürde). Beide Schranken stehen gleichrangig nebeneinander. Man spricht insofern von dem sog. Zwei -Schranken-Prinzip16, d. h. dass bei der Frage nach der Zulässigkeit einer Verarbeitung von Patientendaten stets beide Schranken überwunden werden müssen.
Wenn jedoch ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten ausdrücklich zulässt, ist auch das Gebot der Schweigepflicht gewahrt. Der Arzt und die übrigen schweigepflichtigen Krankenhausmitarbeiter handeln befugt, soweit sie sich auf eine gesetzliche Norm stützen können, die zur Offenbarung von Patienteninformationen verpflichtet oder zumindest berechtigt. Ihr Tun ist strafrechtlich gerechtfertigt. Einer Einwilligung des Betroffenen bedarf es nicht.
Diese Auffassung wird insbesondere vor dem Hintergrund vertreten, dass es nur schwer nachvollziehbar wäre, den einzelnen Arzt bzw. die berufsmäßig tätigen Gehilfen unter Strafe zu stellen, wenn gleichzeitig die Institution Krankenhaus zur Offenbarung personenbezogener Daten im Rahmen einer zulässigen Verarbeitung legitimiert ist.
Daran ändert z. B. auch der Beschluss des Kammergerichts (KG) vom 20.08.201017 nichts. Dieser Beschluss hat vielmehr den speziellen Hintergrund, dass ein Rechtsanwalt unter Berufung auf seine anwaltliche Verschwiegenheitspflicht Auskünfte gegenüber dem Berliner Landesdatenschutzbeauftragten verweigerte. Das KG kam mit Beschluss vom 20.08.2010 zu dem Ergebnis, dass sich der betroffene Rechtsanwalt auf seine Verschwiegenheitspflicht berufen konnte, obwohl gemäß § 38 Abs. 3 Satz 1 BDSG (a.F.) die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen haben. Dies begründete das Gericht in erster Linie damit, dass der Auskunftspflichtige gemäß § 38 Abs. 3 Satz 2 BDSG (a.F.) die Auskunft auf solche Fragen verweigern kann, deren Beantwortung ihn der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. In dieser Fallkonstellation wird somit das Konkurrenzverhältnis zwischen datenschutzrechtlicher Übermittlungsverpflichtung und strafrechtlicher Offenbarungsbefugnis bereits durch die Vorschrift selbst, nämlich § 38 Abs. 3 Satz 2 BDSG (a.F.), geklärt. Da dies jedoch eine spezielle gesetzliche Regelung betrifft, gibt auch der Beschluss des KG keinen Aufschluss darüber, ob das Gebot der Schweigepflicht gewahrt ist, wenn ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten, z. B. im Rahmen einer Auftragsverarbeitung, ausdrücklich zulässt. Der Beschluss klärt also nicht das Verhältnis zwischen datenschutzrechtlicher Verarbeitungserlaubnis und strafrechtlicher Offenbarungsbefugnis generell.
Ferner ist zu beachten, dass die ärztliche Schweigepflicht bei der Verarbeitung aller Patientendaten im Krankenhaus und unabhängig von der jeweiligen Trägerschaft des Krankenhauses stets zu beachten ist. Sie wird über das Standesrecht hinaus in § 203 StGB mit anderen Sondertatbeständen der Geheimniswahrung allgemeinverbindlich geregelt.
13 Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.
14 Gesetz über den kirchlichen Datenschutz (KDG); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.
15 Vgl. hierzu vertiefend die Ausführungen