Datenschutz im Krankenhaus. Andrea Hauser
Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten.
Persönlicher Anwendungsbereich des BDSG
Zu beachten ist in diesem Zusammenhang des Weiteren der Anwendungsbereich des BDSG, also die Frage, für wen dieses Gesetz nunmehr überhaupt gilt. Gem. § 1 BDSG gilt das BDSG primär für öffentliche Stellen des Bundes, jedoch ebenfalls – und dies ist für den Großteil der Krankenhäuser von Relevanz – für öffentliche Stellen der Länder und auch für nicht-öffentliche Stellen.
Eine Differenzierung, für wen eine Regelung im Einzelfall gilt, erfolgt dabei häufig – neben der grundsätzlichen Regelung des Anwendungsbereichs in § 1 BDSG – direkt in der jeweiligen Vorschrift, so z. B. in § 22 BDSG.
Dies führt dazu, dass etwaige durch das BDSG bedingte Änderungen/Ausnahmen je nach Trägerschaft des Krankenhauses Anwendung finden oder nicht, was im Einzelfall zu prüfen ist.
Hinsichtlich der Anwendbarkeit für die Krankenhäuser in der Trägerschaft des Landes, für die das BDSG häufig durch Sonderregelungen in den Landesdatenschutzgesetzen zur Anwendung kommt, vgl. diesbezüglich die Ausführungen unter III.6.3.
4 Fazit zur DS-GVO und zum BDSG als Befugnisnormen
Unter Maßgabe zuvor genannter Regelungen der DS-GVO sowie des BDSG ist festzustellen, dass ein weites Spektrum der im Krankenhausalltag notwendigen Verarbeitungen davon abgedeckt, d. h. datenschutzrechtlich zulässig ist.
Mit anderen Worten ausgedrückt: Unter die o. g. Regelungen können viele Verarbeitungen subsumiert werden, die datenschutzrechtlich alleine auf diesen Grundlagen zulässig sind, ohne dass es einer Einwilligung durch den Patienten bedarf.
Grenzfälle im Krankenhausbereich
Besteht in einem Einzelfall Anlass zu Zweifeln, ob die entsprechende Verarbeitung noch unter die o. g. Regelungen subsumiert werden kann, ist zu hinterfragen, ob die fragliche Verarbeitung noch vom Zweck des zwischen dem Patienten und dem Krankenhausträger abgeschlossenen Behandlungsvertrages gedeckt ist bzw. ob der Patient mit dieser Verarbeitung rechnen muss. Als Ziel des Behandlungsvertrages gilt die Erbringung aller medizinisch notwendigen sowie sonstigen mit dem Patienten vereinbarten Leistungen. Dieses Ziel ist nur dann erreichbar, wenn Informationen über das Behandlungsgeschehen im erforderlichen Maße an die an der Behandlung notwendig Beteiligten weitergegeben werden. Personen, die in das Behandlungsgeschehen nicht eingebunden sind, dürfen über Art und Grund einer Erkrankung sowie über die Therapie hingegen keine Kenntnis erhalten.
Dabei wird dem Patienten zwar die Notwendigkeit eines arbeitsteiligen Zusammenwirkens verschiedener Krankenhauseinheiten einleuchten. Dies bedeutet jedoch nicht, dass er gleichzeitig auch damit einverstanden ist, dass jeder im Krankenhaus Beschäftigte jederzeit freien Zugriff auf die Gesamtheit seiner persönlichen Daten besitzt. Der Zweck des Behandlungsvertrages rechtfertigt lediglich solche Datenverarbeitungen, bei denen ein Zugriff auf die Daten nur in dem Umfang erfolgen kann, wie dies zur Erfüllung der jeweiligen Aufgaben der am Behandlungsgeschehen beteiligten Personen tatsächlich notwendig ist.
Zu dieser Thematik hat das OVG Münster23 zusammenfassend Folgendes festgestellt:
»Der Patient erklärt sich bei der Aufnahme in das Krankenhaus mit den Vorgängen einverstanden, die üblicherweise mit dem sozialen Geschehen einer Krankenhausbehandlung verbunden sind, mit denen er nach aller Erfahrung rechnen muss, die für ihn überschaubar und so selbstverständlich sind, dass es keiner ausdrücklichen Belehrungen ihm gegenüber und ausdrücklichen Einwilligung durch ihn bedarf.«
Die Ausführungen des Gerichts tragen dem Umstand Rechnung, dass anlässlich einer Krankenhausbehandlung eine soziale Beziehung entsteht, die vom Vertrauen des Patienten zu dem von ihm in Anspruch genommenen Krankenhaus und den ihn behandelnden Ärzten geprägt ist.
5 Bereichsspezifische Bundesregelungen
Des Weiteren existieren auf Bundesebene eine Reihe bereichsspezifischer, sehr spezieller Regelungen.
Diese gelten für alle Krankenhausträger gleichsam, unabhängig von deren Trägerschaft.
Hier sind beispielsweise die für den Abrechnungsvorgang mit den gesetzlichen Krankenkassen maßgeblichen Vorschriften zu nennen, die bereichsspezifische, datenschutzrechtliche Regelungen enthalten, etwa § 301 SGB V, welcher die Routinedatenübermittlung zwischen den Krankenkassen und den Krankenhäusern regelt.
Weitere bereichsspezifische, datenschutzrechtliche Regelungen enthalten z. B. folgende Gesetze:
• die Sozialgesetzbücher,
• das Krebsregistergesetz,
• das Infektionsschutzgesetz,
• das Strahlenschutzgesetz etc.
Während der Gesetzgeber im Zuge des (1.) DSAnpUG-EU bereits Anpassungen an die DS-GVO bzgl. des BDSG vorgenommen hat, hat sich der Gesetzgeber des Weiteren im Zuge des 2. DSAnpUG-EU mit der Anpassung dieses bereichsspezifischen Rechts beschäftigt. Hierdurch wurden zahlreiche Änderungen bereichsspezifischen Rechts vorgenommen.24
6 Landesrechtliche Regelungen
Auf Landesebene existieren nach wie vor die Regelungen
• der Landeskrankenhausgesetze (LKHG),
• der bereichsspezifischen Landesregelungen und
• der Landesdatenschutzgesetze (LDSG).
6.1 Landeskrankenhausgesetze
In fast jedem Bundesland existiert ein Landeskrankenhausgesetz (LKHG). Viele dieser Gesetze enthalten Regelungen zum Datenschutz. Diese sind in der Regel mit »Patientendatenschutz« oder »Datenschutz« oder Ähnlichem überschrieben oder befinden sich in einem gesonderten Datenschutz-Kapitel.
Die darin befindlichen Regelungen zum Datenschutz sind genau auf Krankenhäuser zugeschnitten, mithin sehr speziell und können insofern hilfreich für den Krankenhausalltag sein.
Auch diese wurden – zumindest zum Teil – im Zuge der Anpassungen an die DS-GVO novelliert.
Aktuell finden sich in folgenden LKHG Regelungen zum Datenschutz:
Baden-Württemberg (§§ 43–51 LKHG Baden-Württemberg)
Bayern (Art. 27 Bayerisches Krankenhausgesetz – BayKrG)
Berlin (§§ 24–26 LKHG Berlin)
Brandenburg (§§ 27–34 Brandenburgisches Krankenhausentwicklungsgesetz – BbgKHEG)
Hamburg (§§ 7–14 Hamburgisches Krankenhausgesetz – HmbKHG)
Hessen (§§ 11, 12 Hessisches Krankenhausgesetz – HKHG)
Mecklenburg-Vorpommern (§§ 32–39 LKHG Mecklenburg-Vorpommern – LKHG M-V)
Das LKHG M-V ist bereits novelliert worden (Gesetz zur Änderung des Gesundheitsrechts und dessen Anpassung an die Verordnung (EU) 2016/679 vom 16.05.2018, GS Meckl.-Vorp. 2018 Gl. Nr. 2121–12) und hat die datenschutzrechtlichen Regelungen maßgeblich geändert.
Rheinland-Pfalz (§§ 35–38 Landeskrankenhausgesetz (LKG) Rheinland-Pfalz)
Saarland (§§ 12–14 Saarländisches Krankenhausgesetz – SKHG)
Sachsen (§§ 31–34 Sächsisches Krankenhausgesetz – SächsKHG)
Das