Datenschutz im Krankenhaus. Andrea Hauser

href="#ulink_ca672f7a-8ccb-5803-b6ad-321e39b0e02c">16 Zum »Zwei-Schranken-Prinzip« vgl. auch Seelos, 550.

17 Az.: Ws (B) 51/07 – 2 Ss 23/07.

      III Datenschutznormen/-regelungen

      Wie zuvor unter II. dargestellt, ist die datenschutzrechtliche Zulässigkeit der Verarbeitung personenbezogener Daten davon abhängig, ob

      • entweder eine gesetzliche Grundlage existiert, die die Verarbeitung erlaubt/legitimiert oder

      • eine Einwilligung der betroffenen Person vorliegt.

      Für die Beantwortung der Frage, ob Daten verarbeitet werden dürfen, bedarf es also u. a. der Prüfung des Vorliegens einer datenschutzrechtlichen Befugnisnorm.

      Eine einheitliche Rechtsgrundlage bzw. ein einzelnes Gesetz für den Patientendatenschutz im Krankenhaus existiert in Deutschland bedauerlicherweise nicht. Vielmehr gibt es eine Fülle datenschutzrechtlicher Regelungen auf Landes- und Bundes- sowie EU-Ebene. Diese Regelungen sind unübersichtlich und aufgrund ihres unterschiedlichen Verhältnisses zueinander für den Anwender äußerst kompliziert.

Bei der Beurteilung der Zulässigkeit einer Verarbeitung (Erheben, Erfassen, Speichern, Verwendung, Übermittlung usw.) personenbezogener Daten kommen (neben der ärztlichen Schweigepflicht¹⁸) also verschiedenste Gesetze/Verordnungen zur Anwendung. Welche dies sind bzw. im Einzelfall sein können, wird nachfolgend dargestellt.

      1 Übersicht über die Regelungen

      Als datenschutzrechtliche Regelungen/Befugnisnormen sind folgende Gesetze/Verordnungen zu nennen:

      Auf europäischer Ebene:

      • EU Datenschutz-Grundverordnung (DS-GVO).

      Auf Bundesebene:

      • Bundesdatenschutzgesetz (BDSG) sowie

      • bereichsspezifische Bundesregelungen, z. B. SGB V, StrlSchG, AMG usw.

      Auf Landesebene:

      • Landeskrankenhausgesetze (LKHG),

      • bereichsspezifische Landesregelungen, z. B. GDSG NW, und

      • Landesdatenschutzgesetze (LDSG).

      Für konfessionelle Krankenhausträger:

      • kirchliche Sonderregelungen (DSG-EKD/KDG).

      Welche dieser Gesetze im Einzelnen zur Anwendung kommen, hängt in der Regel von der Trägerschaft des Krankenhauses ab.

      2 EU Datenschutz-Grundverordnung (DS-GVO)

      Während die im Nachfolgenden noch beschriebenen Gesetze sich zum Teil nur in einzelnen Abschnitten mit dem Datenschutz beschäftigten, z. B. die Landeskrankenhausgesetze, enthält die DS-GVO insgesamt Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Art. 1 Abs. 1 DS-GVO.

      2.1 Persönlicher Anwendungsbereich

Eine nähere Regelung, für wen die DS-GVO gilt (sog. persönlicher Anwendungsbereich), existiert nicht. Insofern gilt die DS-GVO unterschiedslos für jeglichen Verarbeiter personenbezogener Daten, unabhängig davon, ob eine natürliche oder juristische Person die Verarbeitung vornimmt oder sich der Verarbeitungsvorgang – anders insoweit die Regelungen im BDSG – im öffentlichen oder im nicht-öffentlichen Bereich abspielt.¹⁹

      Insofern gilt die DS-GVO sowohl für die Krankenhausträger in öffentlicher als auch in nicht-öffentlicher, privater Trägerschaft. Zu nennen seien hier beispielhaft folgende Krankenhausträger, für die die DS-GVO zur Anwendung kommt:

       Öffentliche Trägerschaft:

      • Bundewehrkrankenhäuser,

      • Hochschulkliniken,

      • Krankenhäuser im Straf- und Maßregelvollzug,

      • Gemeinde-, Stadt, Kreis-, Bezirks-, Zweckverbandskrankenhäuser usw.

      Nicht-öffentliche Trägerschaft:

      • Private Krankenhäuser,

      • freigemeinnützige Krankenhäuser.

      2.2 Kirchliche Krankenhausträger

      Hinsichtlich der Krankenhausträger in kirchlicher Trägerschaft ist zu beachten, dass sowohl die evangelische als auch die katholische Kirche entsprechende Regelungen erlassen haben, um den Einklang mit der DS-GVO herzustellen.

      Die 12. Synode der Evangelischen Kirche in Deutschland hat auf ihrer 4. Tagung zum 15.11.2017 ein Kirchengesetz beschlossen (Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD), das die durch die DS-GVO bedingten Änderungen weitestgehend umsetzt und gemäß § 56 DSG-EKD am 24.05.2018 in Kraft getreten ist.

      Ebenso sind für den katholischen Bereich in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20.11.2017 Neuregelungen des kirchlichen Datenschutzgesetzes (Gesetz über den kirchlichen Datenschutz (KDG) erfolgt, die gem. § 58 KDG ebenfalls am 24.05.2018 in Kraft getreten sind.

      Von der grundsätzlichen Ausrichtung her ist festzustellen, dass die kirchlichen Vorschriften stark an die Regelungen der DS-GVO angelehnt sind, weshalb die Ausführungen für die kirchlichen Träger im Wesentlichen entsprechend gelten. Weitere Einzelheiten bzw. Besonderheiten finden sich direkt an den entsprechenden Textstellen bzw. in den Musterformulierungen.

      2.2.1 Verhältnis DSG-EKD/KDG zur DS-GVO

      Fraglich ist jedoch, in welchem Verhältnis die kirchlichen Regelungen zu den Regelungen der DS-GVO stehen, oder anders gefragt, ob die kirchlichen Krankenhäuser ergänzend zu ihren kirchlichen Regelungen noch die Regelungen der DS-GVO beachten müssen.

      Für die Krankenhäuser in katholischer Trägerschaft ist diese Frage von eher geringerer Bedeutung, da sich die Regelungen der KDG nur marginal von den Regelungen der DS-GVO unterscheiden.

      Für Krankenhäuser in evangelischer Trägerschaft ist die Frage im Hinblick auf zum Teil vorzufindende Abweichungen von etwas größerer Bedeutung.

      Art. 91 DS-GVO führt unter dem Titel »Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften« in Abs. 1 dazu Folgendes aus:

      »Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.«

      Erwägungsgrund 165 führt dazu weiter aus, dass die DS-GVO im Einklang mit Art. 17 AEUV den Status achtet, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt diesen nicht.

      Für die evangelischen Krankenhäuser schließt der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland daraus, dass die Vorschriften der DSG-EKD abschließend sind. Eine ergänzende Anwendung der Vorschriften der DS-GVO sei nicht angezeigt.

      2.2.2 Praxis-Tipp: evangelische Musterformulare

      Als Praxis-Tipp für die evangelischen Krankenhäuser empfiehlt sich insofern, in sämtlichen Mustern/Formularen, die im Hinblick auf die DS-GVO neu empfohlen werden, die Regelungen aus der DS-GVO komplett zu