Gesundheit

Die Frage, wann Unternehmen einen betrieblichen Datenschutzbeauftragten (bDSB) benötigen, ist in § 38 Bundesdatenschutzgesetz (BDSG) und Art. 37 DS-GVO geregelt. Diese Regelungen gelten auch für den Gesundheitsbereich, vorliegend für Arzt- und Zahnarztpraxen, Apotheken und Sanitätshäuser.

§ 38 Abs. 1 BDSG lautet:

„Ergänzend zu Art. 37 Absatz 1 Buchstabe b und c DS-GVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Dabei spielt es keine Rolle, ob die Mitarbeiter vollzeit- oder teilzeitbeschäftigt sind. Auch freie Mitarbeiter, Leiharbeitnehmer, Auszubildende und Praktikanten sind hier einzubeziehen. Entscheidend ist, dass die betreffenden Mitarbeiter personenbezogene Daten automatisiert verarbeiten. Dies ist i.d.R. bereits bei einer regelmäßigen E-Mail-Kommunikation der Fall, wie sie insbesondere Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie Mitarbeiter von Personal- und Finanzabteilungen häufig führen.

Unabhängig von der Anzahl der Mitarbeiter nach § 38 Abs. 1 BDSG müssen Unternehmen nach Art. 37 Abs. 1 Buchst. b) und Buchst. c) DS-GVO auch einen Datenschutzbeauftragten bestellen, wenn sie folgende Kriterien bei der Verarbeitung von personenbezogenen Daten erfüllen:

„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn…

1. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens, d.h. Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend und keine routinemäßigen Verwaltungsaufgaben sind. So stellt bspw. die Verarbeitung von Mitarbeiterdaten keine Kerntätigkeit dar, da dies i.d.R. nur ein verwaltungsorganisatorischer Prozess ist, der nicht zur Haupttätigkeit des Unternehmens gehört.

Da die Untersuchung von Patienten mit entsprechender Diagnose eine Haupttätigkeit von Ärzten darstellt, ist der Begriff der Kerntätigkeit erfüllt. „Die Kerntätigkeit von Ärzten liegt damit in der Verarbeitung sensibler Daten; (…) Entscheidend wird daher der Umfang der Verarbeitung sein, sodass jedenfalls bei Einzel-Praxen keine Pflicht besteht, einen Datenschutzbeauftragten zu benennen…“ (Kühling/Buchner, Kommentar DS-GVO/BDSG, Verlag C.H.Beck München, 2. Aufl. 2018, Art. 37 Rn. 24)

Die Verarbeitung der o.g. Daten muss dem Wortlaut nach „umfangreich“ sein. Doch wann ist dies der Fall? Das heißt, wann gilt die Verarbeitung von Patientendaten (genetische Daten, biometrische Daten, Gesundheitsdaten) in Arzt- und Zahnarztpraxen oder Apotheken i.S. der Kerntätigkeit als „umfangreich“? Der Begriff „umfangreich“ ist in der DS-GVO selbst nicht weiter definiert. Lediglich in Bezug auf die Datenschutz-Folgenabschätzung (DSFA) in Art. 35 DS-GVO wird der Begriff nochmals verwendet. Im Hinblick auf die Verarbeitung von personenbezogenen Patientendaten in medizinischen und/ oder heilberuflichen Einrichtungen, vorliegend Arzt- und Zahnarztpraxen oder Apotheken, führt Erwägungsgrund 91 DS-GVO konkreter u.a. aus:

„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten […] betrifft und durch einen einzelnen Arzt […] erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“ Dies ist auch adäquat anzunehmen für die Notwendigkeit, einen betrieblichen Datenschutzbeauftragten zu bestellen, die in diesem Falle nicht gegeben ist. Somit ist i.S. Art. 37 Abs. 1 Buchst. b) und Buchst. c) DS-GVO für die Bestellung eines betrieblichen Datenschutzbeauftragten die Größe der Arztpraxis entscheidend.

Als Orientierungshilfe zur Bestellung ist insofern eine Untergrenze festgelegt. Eine ärztliche Einzelpraxis muss grundsätzlich keinen Datenschutzbeauftragten bestellen. Anders kann es aber bei Gemeinschaftspraxen aussehen. Für Gemeinschaftspraxen gilt diese Ausnahme nicht mehr. Doch ab wann fängt eine „umfangreiche Verarbeitung“ an? Eine gesicherte Antwort auf diese Frage ergibt sich unter Bezugnahme auf § 38 Abs. 1 BDSG: Im Falle von 20 Mitarbeitern in der Gemeinschaftspraxis muss auf jeden Fall ein Datenschutzbeauftragter bestellt werden.

Zum 1. März 2020 ist das Masernschutzgesetz in Kraft getreten. Alle nach 1970 geborenen Personen, die in einer Gemeinschaftseinrichtung, zum Beispiel Schulen und Kindergärten, betreut werden, müssen den Impfschutz gegen Masern nachweisen.

Nach § 20 Abs. 9 Satz 1 Infektionsschutzgesetz (IfSG) ist der Nachweis über die Masernschutzimpfung gegenüber der Leitung der jeweiligen Einrichtung zu erbringen. Der/die Leiter/in ist die Person, die mit den Leitungsaufgaben in der jeweiligen Einrichtung beauftragt ist, vgl. § 2 Nr. 15 IfSG. Im Falle der Thüringer Schulen wurden durch die Gesundheitsämter i.d.R. die jeweiligen Klassenlehrer mit der Entgegennahme des Impfnachweises beauftragt. In den Thüringer Kindergärten obliegt diese Aufgabe der/dem Kindergartenleiter/in. Die damit beauftragten Personen (Schulleiter/in oder der/die Klassenlehrer/in und Kindergartenleiter/in) dürfen den Immunitätsnachweis (Impfpass und/oder ärztliches Attest) jedoch nur einsehen und sich einen entsprechenden Vermerk über die Vorlage machen; sie dürfen keine Kopie davon anfertigen. Für die Anfertigung und Speicherung einer Kopie des Impfausweises oder ärztlichen Attestes besteht keine Rechtsgrundlage. Dies kann allenfalls mit Einwilligung der Eltern bzw. Sorgeberechtigten nach Art. 9 Abs. 2 Buchst. a) Datenschutz-Grundverordnung (DS-GVO) erfolgen.

Eine Ausnahme von der Impfpflicht besteht u.a. für Personen, die mit einem ärztlichen Attest nachweisen, dass eine Impfung aus gesundheitlichen Gründen kontraindiziert ist oder wenn sie bereits immun sind. Diese Kontraindikation muss jedoch – ebenso wie der Nachweis der Impfung – ärztlich bestätigt sein.

Zur Nachweisführung der Impfbescheinigung hat das Thüringer Ministerium Bildung, Jugend und Sport (TMBJS) den Schulen ein Musterformular zur Verfügung gestellt. Dieses Formular kann auch von den Kindergärten genutzt werden. In diesem Formular ist mittels Ankreuzverfahren anzugeben, ob ein Impfnachweis vorgelegt wurde oder nicht; das Anfertigen von Kopien ist nicht vorgesehen. Das ausgefüllte Formular bzw. eine Kopie des Formulars kann in die Schülerakte aufgenommen bzw. im Kindergarten, unzugänglich für Dritte (unbefugte) Personen) aufbewahrt werden.

Gemäß dem Formular des TMBJS ist der Schulleiter verpflichtet, das Gesundheitsamt zu informieren, wenn kein Impfnachweis erbracht wurde, d.h. wenn weder eine Impfbescheinigung noch ein ärztliches Attest über eine bestehende Kontraindikation für die Impfung vorgelegt wurden, müssen der Schulleiter bzw. die Kindergartenleitung das Gesundheitsamt informieren. Eine Übermittlung von personenbezogenen (Gesundheits-) Daten des Kindes an das Gesundheitsamt muss also nur erfolgen, wenn der Nachweis nach § 20 Abs. 9 Infektionsschutzgesetz (IfSG) nicht erbracht wurde. Gegebenenfalls wird das Gesundheitsamt dann im, Rahmen seiner amtlichen Zuständigkeiten und Befugnisse, Kontakt zu den Eltern aufnehmen und um persönliche Vorlage von Impfdokumenten bitten. Sofern die Impf- bzw. Impfunfähigkeitsbescheinigung ordnungsgemäß vorgelegt wurde, besteht somit keine Rechtsgrundlage, dass der/die Schulleiter/in oder die Kindergartenleitung personenbezogene (Gesundheits-) Daten an das Gesundheitsamt übermittelt (vgl. § 20 Abs. 9 Satz 4 und Satz 5 IfSG).

Weitere Informationen zur Frage der Nachweisführung der Masernschutzimpfung finden Sie auch auf der Internetseite des TMBJS unter https://bildung.thueringen.de/schule/aktiv/gesundheit/

weitere Informationen:

Musterformular des TMBJS zum Nachweis der Masernschutzimpfung:

https://bildung.thueringen.de/fileadmin/schule/aktiv/gesundheit/Erfassungsbogen_Impfstatus_Masern_Schueler.pdf

Gemäß § 6 Abs. 3 Nr. 2 der 2. ThürSARS-CoV-2-IfSGrundVO sind Personen, denen die Verwendung einer Mund-Nasen-Bedeckung wegen Behinderung oder aus gesundheitlichen oder anderen Gründen nicht möglich oder unzumutbar lediglich verpflichtet, „dies in geeigneter Weise glaubhaft zu machen.“ Mit Beschluss 132/20 (Rn. 27) vom 4.1.2021 hat das OVG Berlin Brandenburg entschieden, dass ärztliche Atteste, die die Ausnahme von der Verpflichtung zum Tragen einer Mund-Nasen-Bedeckung aus gesundheitlichen Gründen bescheinigen, keine medizinische Diagnose enthalten müssen. Zur Begründung führt das OVG an, dass der Betroffen durch Angabe der medizinischen Diagnose auf dem Attest gezwungen sei, seine personenbezogenen Gesundheitsdaten an vielen privaten, d.h. nicht-öffentlichen Stellen wie Geschäften, öffentlichen Verkehrsmitteln oder bei Demonstrationen etc. zu offenbaren. Dies sei mit dem Datenschutz und dem hohen Schutzniveau von Gesundheitsdaten unvereinbar, so das OVG.

Das Verwaltungsgericht Würzburg (VG) hatte im September 2020 entschieden, dass die Angabe der medizinischen Diagnose im ärztlichen Attest zur Maskenbefreiung zwingend erforderlich sei (VG Würzburg vom 16.09.2020, Az. W 8 E 20.1301). Jedoch bezog sich die Entscheidung des VG Würzburg nur auf den schulischen Bereich, d.h. öffentlich-rechtliche Einrichtungen. In diesem Bereich erhalten nur Personen Kenntnis von der ärztlichen Diagnose (beispielsweise Schulleitung, Gesundheitsamt, Ordnungsbehörde), die ihrerseits der Amtsverschwiegenheit unterliegen.

Somit muss zwischen den beiden Bereich (öffentlich-rechtlich einerseits und privat andererseits) unterschieden werden. Diese erforderliche Unterscheidung bestätigt auch das OVG Berlin-Brandenburg in einer weiteren Entscheidung vom 19.1.2021 (OVG Berlin-Brandenburg vom 19.1.2021, Az. 11 S 4/21, Rn. 17 f.). Daher muss ein ärztliches Attest zur Glaubhaftmachung der Befreiung vom Tagen einer Mund-Nasen-Maske regelmäßig nur den Namen und das Geburtsdatum der betroffenen Person einschließlich Signatur/Stempel des Arztes enthalten. Lediglich für den Fall, dass eine hierzu befugte Behörde (beispielsweise Gesundheitsamt) die Vorlage des ärztlichen Attestes fordert, sind konkrete Angaben (zur medizinische Diagnose) zu machen, warum die betroffene Person vom der Tragepflicht befreit ist. Die behördlichen Mitarbeiter sind verpflichtet, aufgrund des Gebots der Amtsverschwiegenheit, Stillschweigen über die erhobenen Daten zu bewahren. 

Weiterhin muss die Behörde sicherstellen, dass die Kenntnisnahme der Daten durch unbefugte Personen ausgeschlossen ist. Sofern zu Dokumentationszwecken erforderlich, kann die Behörde über die Vorlage der ärztlichen Diagnosen eine schriftliche Notiz anfertigen, die die medizinische Diagnose sowie Name und Adresse des Arztes/der Ärztin enthält, der/die das Attest ausgestellt hat. Die Anfertigung einer Kopie ist nur zulässig, wenn die betroffene Person gemäß Art. 9 Abs. 2 Buchstabe a) DS-GVO hierin einwilligt. Die verarbeiteten Gesundheitsdaten dürfen nur für den Nachweiszweck von vorgeschriebenen Hygieneregeln zur Eindämmung der Ausbereitung des Coronavirus verwendet werden; sämtliche Datenschutzvorschriften des Thüringer Datenschutzgesetzes (ThürDSG) und der DS-GVO sind hierbei zu beachten. Sobald die Daten für den genannten Nachweiszweck nicht mehr benötigt werden, sind sie nach Art. 17 Abs. 1 Buchst. a) DS-GVO umgehend zu löschen bzw. zu vernichten.

weitere Informationen:

VG Würzburg vom 16.9.2020:

https://openjur.de/u/2296778.html

OVG Berlin-Brandenburg vom 4.1.2021: https://www.kostenlose-urteile.de/OVG-Berlin-Brandenburg_OVG-11-S-13220OVG-Berlin-Brandenburg_OVG-11-S-13820_Vorerst-keine-Diagnose-auf-Attest-fuer-Maskenpflicht-Befreiung.news29685.htm

Jeder Betroffene hat nach Art. 15 Abs. 1 DS-GVO das Recht auf Auskunft darüber, welche personenbezogenen Daten in seiner Patientenakte enthalten sind, in welcher Form diese Daten verarbeitet und an wen sie ggf. übermittelt werden. Darüber hat die Arztpraxis oder das Krankenhaus dem Patienten, der nach Art. 15 Abs. 3 DS-GVO sein Recht auf Kopie geltend macht, in aller Regel eine erste Kopie seiner Patientenakte unentgeltlich zur Verfügung zu stellen, sofern nicht therapeutische Gründe oder Rechte Dritter entgegenstehen (§ 630g Abs. 1 BGB).

Im Allgemeinen ist es zwar ausreichend, wenn der Verantwortliche der betroffenen Person eine vollständige und originalgetreue Zusammenstellung ihrer Daten zur Verfügung stellt, die Gegenstand der Verarbeitung sind. Darüber hinaus kann sich aber auch die Bereitstellung von Dokumenten oder Dateien als unerlässlich erweisen, wenn der Kontext der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu ermöglichen. Wie der Europäische Gerichtshof feststellt (EuGH, Urteil v. 26. Oktober 2023, C-307/22), ist hiervon regelmäßig bei Dokumenten auszugehen, die sich in der Patientenakte befinden und bei denen die Gefahr besteht, dass bei einer einfachen Zusammenstellung relevante Daten ausgelassen oder unrichtig wiedergegeben werden. Dabei dürfen den Patienten für die Kopie der Patientenakte keine Kosten in Rechnung gestellt werden, da die Kostenregelung des Bürgerlichen Gesetzbuchs (§ 630g Abs. 2 Satz 2 BGB) vom Anwendungsvorrang der Datenschutz-Grundverordnung verdrängt wird.

Auch genügt das kommentarlose Überlassen einer Kopie dem Anspruch auf Auskunft über die verarbeiteten Daten nicht. Zusätzlich müssen dem Betroffenen auch die Details der Verarbeitung mitgeteilt werden (Art. 15 Abs. 1 Buchst a) bis h) DS-GVO). Dies betrifft etwa die Verarbeitungszwecke (z.B. Heilbehandlung, Vorsorge), die Kategorien der verarbeiteten Daten (z.B. Gesundheitsdaten, Personenstammdaten), die einzelnen Empfänger oder, soweit diese zum Zeitpunkt der Auskunft noch nicht bekannt sind, die Kategorien von Empfängern (z.B. Kassenärztliche Vereinigung, Sozialversicherungsträger) sowie die Kriterien für die Speicherdauer und die damit verbundene Löschung der Daten.

Können oder müssen Ärzte von ihren Patienten schriftliche Einwilligungen in die Verarbeitung ihrer personenbezogenen (Gesundheits-) Daten verlangen? Diese Frage lässt sich nicht einfach mit „ja“ oder „nein“ beantworten; wie in vielen Fällen, so sind auch hier die genaueren Umstände, in denen sich die betroffene Person, vorliegend der versicherte Patient, befindet, entscheidend.

Die einschlägigen datenschutzrechtlichen Normen für die Verarbeitung von personenbezogenen (Patienten-) Daten ergeben sich aus Art. 9 DS-GVO, Art. 6 DS-GVO und § 22 Bundesdatenschutzgesetz (BDSG).

Die Verarbeitung personenbezogener Daten kann sich gemäß Art. 9 DS-GVO i.V.m. Art. 6 DS-GVO und § 22 BDSG auf folgende Rechtsgrundlagen stützen:

• auf einen Behandlungsvertrag, Art. 9 Abs. 2 lit. h) DS-GVO („Vertrag mit einem Angehörigen eines Gesundheitsberufes“) i.V.m. Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO (Vertrag, bspw. für Zwecke der Abrechnung) oder
• auf spezielle Rechtsnormen wie bspw. §§ 294 ff. SGB V, Art. 9 Abs. 2 lit. h) DS-GVO („Zwecke der Gesundheitsfürsorge“) i.V. m. Art. 6 Abs.1 Satz 1 lit. e) DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse) i.V.m. §§ 294 ff. Sozialgesetzbuch V (SGB V) oder
• auf eine Einwilligung, Art. 9 Abs. 1 lit. a) DS-GVO

Einer Einwilligung der Patienten bedarf es grundsätzlich nicht, wenn die Datenverarbeitung auf Grund eines Behandlungsvertrags, der in aller Regel abgeschlossen wird, erfolgt. Der Vertragsschluss erfolgt üblicherweise konkludent, indem der Patient sich in die Behandlung begibt.  „Dem Vertrag mit ihm [dem Kassenpatient] liegt grundsätzlich die Einigung über eine medizinische Behandlung ohne Kostenbelastung des Patienten zugrunde.  Der Kassenpatient schuldet wegen des gesetzlichen Anspruchs auf Sach- und Dienstleistung gegen seine Krankenkasse dem Behandelnden, der zur medizinischen Behandlung von Kassenpatienten zugelassen ist, keine vertragliche Vergütung für eine Behandlung im Rahmen des Leistungskatalogs der Krankenkasse (…) An die Stelle des zivilrechtlichen Vergütu8ngsanspruchs tritt ein sozialrechtlicher Anspruch des Behandelnden. Er richtet sich bei ambulanter Behandlung gegen die kassenärztliche Vereinigung, die die Vergütung auf Grund der mit den Krankenkassen geschlossenen Gesamtverträge abrechnet (SGB V, § 82 Abs. 2).“ (Palandt, Kommentar zum BGB, Verlag C.H. Beck München, 77. Auflage 2018, § 630a Rn. 8)

Für die beiden Rechtsgrundlagen (privatrechtlicher Behandlungsvertrag / SGB V) gilt Folgendes:

Besteht ein Behandlungsvertrag, ist keine (zusätzliche) Einwilligung erforderlich:

Arzt und Patient vereinbaren i.d.R. mündlich das ärztliche Tätigwerden (beim Facharzt bspw. aufgrund einer Überweisung durch den Hausarzt); dies umfasst regelmäßig die Durchführung von Untersuchungen, Behandlungen, Beratungen usw. Die Verarbeitung personenbezogener Daten, die zur Durchführung dieses Behandlungsvertrages erforderlich ist, ist nach Art. 9 Abs. 2 lit. h) DS-GVO i.V.m. Art. 6 Abs. 1 lit. b) DS-GVO sowie § 22 Abs. 1 Nr. 1 lit. b) BDSG aufgrund des Behandlungsvertrages zulässig. Die Einbeziehung weiterer behandelnder Ärzte wird grundsätzlich im Rahmen des Behandlungsvertrages festgelegt, so dass sich hieraus auch die Rechtsgrundlage zur Datenverarbeitung für die weiterbehandelnden Ärzte ergibt, d.h. die Einholung und Weitergabe von patientenbezogenen Informationen. Mit den weiterbehandelnden Ärzten schließt der Patient i.d.R. ebenfalls Behandlungsverträge ab, die die Rechtsgrundlage für deren Datenverarbeitung bilden. Weiterhin muss nach dem Berufsrecht (§ 9 Abs. 3 Musterberufsordnung Ärzte – MBO-Ä) eine entsprechende Schweigepflichtentbindungserklärung vorliegen bzw. für die Datenübermittlung anzunehmen sein, die es den weiterbehandelnden Ärzten ermöglicht, Patienteninformationen vom Hausarzt einzuholen und die den Hausarzt befugt, die entsprechenden Informationen herauszugeben.

Bei privat versicherten Patienten wird vor der Behandlung ein schriftlicher Behandlungsvertrag zwischen Arzt und Patient geschlossen, der i.d.R. eine Einwilligungserklärung zur Übermittlung der Patientendaten enthält. Bei gesetzlich versicherten Patienten ergibt sich die Rechtsgrundlage zur Datenübermittlung aus den Regelungen des SGB (§ 95 Abs. 3 SGB V) und der Vorlage der jeweiligen Krankenkassen-Chipkarte.

Datenschutzrechtliche Normen:

Neben dem (privatrechtlichen) Behandlungsvertrag legitimieren verschiedene Rechtsnormen die Übermittlung personenbezogener Daten i.S. von Art. 9 Abs. 1 lit. h) für „Zwecke der Gesundheitsfürsorge“ i.V. m. Art. 6 Abs.1 e) DS-GVO, der Wahrnehmung einer Aufgabe im öffentlichen Interesse und/oder in Ausübung öffentlicher Gewalt (bspw. Amtsarzt)

Einwilligung

Bedarf es angesichts eines privatrechtlichen Behandlungsvertrags und SGB V überhaupt einer Einwilligung des Patienten im Falle einer medizinischen Behandlung? Kurze Antwort: Wenn es ums Geld geht, dann ja.

Die datenschutzrechtliche Grundlage für die Einwilligung der Patienten zur Verarbeitung und Übermittlung personenbezogener Daten bildet Art. 9 Abs. lit. a) DS-GVO i.V.m. Art. 6 Abs.1 Satz 1 lit. a) DS-GVO. Sofern die Verarbeitung personenbezogener Daten zur Erfüllung des Behandlungsvertrags nicht erforderlich ist und keine Rechtsnorm besteht, die die Verarbeitung legitimiert oder die Art der medizinischen Behandlung selbst die Verpflichtung begründet, muss die Einwilligung des Patienten eingeholt werden. Beispielsweise muss bei der externen Abrechnung der Behandlungskosten durch private Abrechnungsstellen eine solche Einwilligung eingeholt werden. Dies war jedoch auch vor Inkrafttreten der DS-GVO der Fall.

Weiterhin ist die Einwilligung für die Datenübermittlung im Rahmen der hausarztzentrierten Versorgung nach § 73 Abs. 1 b) SGB V oder nach § 140 a SGB V im Rahmen der „besonderen Versorgung“ erforderlich. Hierbei dürfen die Patientendaten selbst im Verhältnis von Arzt zu Arzt jedoch nur in den Fällen offenbart werden, in denen dies durch eine gesetzliche Normierung gestattet ist oder der Patient eingewilligt hat. Insofern muss für die Beauftragung eines externen Labors die Zustimmung vom betroffenen Patienten eingeholt werden, wenn dabei personenbezogene Daten, d.h. Daten, die die Identität der Person erfassen, übermittelt werden. Dies ist bspw. der Fall, wenn das Labor seine Leistung direkt mit dem Patienten abrechnet und nicht über den Arzt. Dies betrifft jedoch in erster Linie privat versicherte Patienten.

Werden die personenbezogenen (Patienten-)Daten hingegen einer Veränderung unterzogen (bspw. mittels Zahlencode anonymisiert) und Identifikationsmerkmale (bspw. Patientenname und Geburtsdatum) durch ein Kennzeichen, bspw. eine Zahl, ersetzt (Pseudonymisierung), ist die Weitergabe an ein externes Labor ohne gesonderte Einwilligung des Patienten datenschutzrechtlich nicht zu beanstanden und kann als zulässig erachtet werden.

Einige Arztpraxen wandten sich an den TLfDI mit dem Anliegen, für ihre Patienten einen zusätzlichen Kommunikationskanal auf der Basis von WhatsApp Business anzubieten. Doch welche Aspekte sind nach dem Bundesdatenschutzgesetz (BDSG) und der DS-GVO als rechtlich problematisch bei der Nutzung von WhatsAPP einzustufen und können Arztpraxen überhaupt datenschutzrechtskonform Messenger-Dienste zur Patientenkommunikation einsetzen?

Im Rahmen der Patientenkommunikation werden regelmäßig auch Gesundheitsdaten nach Art. 4 Nr. 15 Datenschutz-Grundverordnung (DS-GVO) verarbeitet. Gesundheitsdaten gehören gemäß Art. 9 Abs. 1 DS-GVO zu den sog. besonderen Kategorien von Daten, für die ein besonderer Schutz gilt. Nach Art. 9 Abs. 2 DS-GVO dürfen diese Daten nur unter bestimmten Voraussetzungen verarbeitet werden. So ist eine Verarbeitung von Gesundheitsdaten gemäß Art. 9 Abs. 2 Buchst.  h) u.a. zulässig „für Zwecke der Gesundheitsvorsorge, oder der Arbeitsmedizin,  (…) für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage  (…) des Rechts eines Mitgliedsstaats…“

Gemäß Art. 5 Abs. 1 Buchst. b) DS-GVO unterliegt die Verarbeitung personenbezogener Daten einer Zweckbindung, d.h. die Daten dürfen nur für einen eindeutig festgelegten, bestimmten Zweck verarbeitet werden. Das Unternehmen WhatsApp Inc. stellt als Tochterunternehmen von Facebook mit WhatsApp eine Plattform zur Kommunikation zwischen einzelnen Nutzern als auch innerhalb von Gruppen über das Internet zur Verfügung. Der Zugriff auf die Plattform kann dabei über verschiedene Apps, API (application programming interface) oder Webbrowser erfolgen.

Unter den Bezeichnungen WhatsApp Business App und WhatsApp Business API stellt WhatsApp zwei ähnlich lautende aber in ihrer Funktionsweise unterschiedliche Produkte zur Verfügung. Für eine genaue datenschutztechnische Bewertung ist es daher entscheidend, welches der beiden Produkte genutzt werden soll.

Identisch ist bei beiden Varianten, dass die zwischen Sender und Empfänger versendeten Nachrichten Ende-zu-Ende verschlüsselt übermittelt werden. Die Meta-Informationen wie bspw. Telefonnummern, die Teilnehmer des Nachrichtenaustauschs oder Zeitpunkt und Häufigkeit des Nachrichtenaustauschs sind jedoch nicht verschlüsselt und werden durch WhatsApp gespeichert. Ebenso werden diese Meta-Daten von WhatsApp an andere Facebook-Unternehmen weitergegeben.

Nach Angaben von WhatsApp werden zwar keine Benutzer-Metadaten an Facebook weitergegeben; allerdings ist nicht bekannt, wie WhatsApp konkret Benutzer-Metadaten definiert (vgl. https://faq.whatsapp.com/de/general/26000112?eea=1 und https://www.golem.de/news/weitergabe-von-metadaten-whatsapp-widerspricht-datenschutzbeauftragtem-kelber-2005-148551.html).

Dies erscheint aus datenschutzrechtlicher Sicht problematisch, da bereits aus den Meta-Daten erkennbar ist, dass eine medizinische Behandlungsbeziehung vorliegt. Daher wird aus datenschutztechnischer und -rechtlicher Sicht vom WhatsApp Einsatz bei der Arzt-Patienten-Kommunikation abgeraten.

Hinzu kommt, dass Ärzte und anderes medizinisches Personal als Berufsgeheimnisträger nach § 203 Abs. 1 Nr. 1 Strafgesetzbuch (StGB) zur Verschwiegenheit verpflichtet sind. Insofern muss bei der Verarbeitung von Patientendaten, über eine MessengerApp, gewährleistet sein, dass keine unbefugten Personen Zugang zu diesen Daten erhalten bzw. diese zur Kenntnis nehmen können. Genau dies erscheint durch die WhatsApp Business App jedoch nicht gewährleistet.

Nach Art. 32 Abs. 1 DS-GVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten. Gesundheitsdaten bedürfen eines sehr hohen Schutzniveaus.  Nach dem Grundsatz der Vertraulichkeit (s. auch Art. 5 Abs. 1 Buchstabe f) DS-GVO) darf keine unbefugte Person diese Daten zur Kenntnis nehmen.

Die Frage unter welchen technischen Bedingungen eine Messenger-App zur Patientenkommunikation möglich ist lässt sich in allgemeiner Form nicht beantworten. Hierzu wäre nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung für den konkreten Nutzungszweck durchzuführen. Diesbezüglich haben die Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz-DSK) zur Nutzung von Messenger-Diensten in Krankenhäusern bereits am 7.11.2019 einen Beschluss gefasst:

https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf

Dieser Beschluss wird derzeit durch die DSK überarbeitet. Sobald das aktuelle Dokument vorliegt finden sei es an dieser Stelle.