Andrea Hauser

Datenschutz im Krankenhaus


Скачать книгу

landesrechtlichen Regelungen und war – von wenigen Ausnahmen abgesehen – Grundlage für jedwede Verarbeitung von Daten.

      Sollte also weder eine gesetzliche Grundlage eine Verarbeitung erlauben noch eine Einwilligung des Betroffenen vorliegen, blieb als Konsequenz nur, die Datenverarbeitung zu unterlassen.

      1 Verbot mit Erlaubnisvorbehalt gem. DS-GVO

      An dem o. g. zentralen Grundsatz hat sich inhaltlich nichts geändert. Dieser findet sich seit Geltungsbeginn der DS-GVO in Form eines sog. Verbots mit Erlaubnisvorbehalt für die Verarbeitung sog. »besonderer Kategorien personenbezogener Daten«, mithin z. B. von Gesundheitsdaten, in Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG wieder.

      Als Grundregel verbietet diese Vorschrift die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten usw. Es wird also ein allgemeines Verbot der Verarbeitung aufgestellt. Zu diesem Verbot existieren Ausnahmen. Eine solche Ausnahme stellt die Einwilligung der betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke dar (sog. besonderer Erlaubnistatbestand (Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG).

      Anders ausgedrückt bedeutet dies: Das Verarbeitungsverbot gilt nicht, wenn die betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten einwilligt. Andere Ausnahmen von dem Verbot ergeben sich im Wesentlichen aus den anderen Regelungsgegenständen von Art. 6, 9 Abs. 2, Abs. 4 DS-GVO / §§ 6, 13 Abs. 2 DSG-EKD / §§ 6, 11 Abs. 2 KDG.

      Bei der Beantwortung der Frage, ob eine Verarbeitung datenschutzrechtlich zulässig ist, bedarf es also nach wie vor der Prüfung,

      • ob eine Befugnisnorm die Verarbeitung legitimiert oder

      • eine Einwilligung der betroffenen Person vorliegt.

      Hinsichtlich der sich daran anschließenden Fragen, welche Befugnisnormen existieren und welche Anforderungen im Einzelnen an Einwilligungen zu stellen sind, vgl. vertiefend die Ausführungen unter III sowie IV.

      2 »Verarbeitung« als neuer Oberbegriff

      Während die deutschen Gesetze früher auf einzelne Begrifflichkeiten wie das Erheben, Verarbeiten, Nutzen usw. von Daten abgestellt haben, bildet die Verarbeitung seit dem 25.05.2018 den Oberbegriff. Seitdem bezeichnet der Begriff »Verarbeitung« gemäß der Legaldefinition in § 4 Ziff. 2 DS-GVO / § 4 Ziff. 3 DSG-EKD / § 4 Ziff. 3 KDG

      »jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.«

      3 Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz

      Neben den datenschutzrechtlichen Anforderungen gilt es, im Krankenhausbereich zusätzlich den Anforderungen der ärztlichen Schweigepflicht gerecht zu werden.

      Wenn jedoch ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten ausdrücklich zulässt, ist auch das Gebot der Schweigepflicht gewahrt. Der Arzt und die übrigen schweigepflichtigen Krankenhausmitarbeiter handeln befugt, soweit sie sich auf eine gesetzliche Norm stützen können, die zur Offenbarung von Patienteninformationen verpflichtet oder zumindest berechtigt. Ihr Tun ist strafrechtlich gerechtfertigt. Einer Einwilligung des Betroffenen bedarf es nicht.

      Diese Auffassung wird insbesondere vor dem Hintergrund vertreten, dass es nur schwer nachvollziehbar wäre, den einzelnen Arzt bzw. die berufsmäßig tätigen Gehilfen unter Strafe zu stellen, wenn gleichzeitig die Institution Krankenhaus zur Offenbarung personenbezogener Daten im Rahmen einer zulässigen Verarbeitung legitimiert ist.

      Ferner ist zu beachten, dass die ärztliche Schweigepflicht bei der Verarbeitung aller Patientendaten im Krankenhaus und unabhängig von der jeweiligen Trägerschaft des Krankenhauses stets zu beachten ist. Sie wird über das Standesrecht hinaus in § 203 StGB mit anderen Sondertatbeständen der Geheimniswahrung allgemeinverbindlich geregelt.