Das Interdiözesane Datenschutzgericht musste sich in dem Verfahren IDSG 01/2021 mit dieser praxisrelevanten Frage beschäftigen. Der Beschluss ist als anonymisierte Fassung abrufbar auf der Website der Deutschen Bischofskonferenz (DBK).
Sachverhalt
Der Antragsteller war Patient in einer chirurgischen Arztpraxis und wurde dort Mitte 1993 ambulant behandelt. Eine Regelung zum Datenschutz, insbesondere etwa für den Fall der Praxisveräußerung, wurde damals nicht getroffen. Der ursprüngliche Arzt gab die Arztpraxis 2010 auf. Diese wurde von einem Urologen und einer Chirurgin übernommen. Die Räumlichkeiten befanden sich zudem nunmehr in einem Medizinischen Versorgungszentrum (MVZ). Ende 2016 wurde der Antragsteller in dieser (neuen) Praxis vorstellig. Die Patientenakte des Antragstellers aus 1993 wurde durch den Urologen mit Eintragungen zu diesem Beratungstermin fortgeführt. Mitte 2017 wurde der Antragsteller durch die Chirurgin ambulant behandelt. Die Dokumentation dieser Behandlung erfolgte ebenfalls in der Patientenakte von 1993.
Der Antragsteller beschwerte sich beim Antragsgegner, dem Katholischen Datenschutzzentrum, u. a. darüber, dass die Daten von 1993 ohne seine Erlaubnis von den Praxisnachfolgern übernommen worden waren. Er führte aus, dass die Datenübernahme rechtswidrig war, insbesondere, weil er rund 25 Jahre nicht vor Ort lebte und daher kein Zusammenhang zwischen der ursprünglichen und der nunmehr existierenden Arztpraxis bestehe. Außerdem seien die Daten nicht übernommen worden, als er das MVZ aufgesucht habe, sondern bereits wesentlich früher, was ihm bei seinem Besuch im Mai 2017 mitgeteilt worden sei.
Der Antragsgegner wies die Beschwerde zurück, da keine Anhaltspunkte für eine Datenschutzverletzung vorlagen. Dabei beruft er sich auf die Rechtsprechung des Bundesgerichtshofes und vertritt die Auffassung, dass eine konkludente Einwilligung vorgelegen habe, weil der Patient sich einer ärztlichen Behandlung durch den Praxisnachfolger unterzogen habe.
Die Entscheidung des Gerichtes
Da der Fall vor dem Inkrafttreten des KDG spielte, muss dieser anhand der damals geltenden KDO bewertet werden. Zunächst wurden die dortigen Rechtsgrundlagen, vor allem des § 9 KDO geprüft, die allesamt nicht zum Tragen kamen.
Letztlich blieb nur der Rückgriff auf eine konkludente Einwilligung. Das Interdiözesane Datenschutzgericht zitiert zunächst die Rechtsprechung des Bundesgerichtshofes sowie des Bundesverfassungsgerichtes und beurteilt anhand dieser Kriterien den Sachverhalt.
„Nach der Rechtsprechung des BGH kann ein hinreichend eindeutiges schlüssiges Verhalten des Patienten, das eine konkludente Einwilligung darstellt, vorliegen, wenn der Patient sich dem Praxisübernehmer zur ärztlichen Behandlung anvertraut. (BGH, Urteil vom 11.12.1991, AZ: VIII ZR 4/91).“
„Auch eine stillschweigende Einwilligung erfordert eine bewusste und freiwillige Gestattung der Datenverarbeitung. Dies setzt voraus, dass der Einwilligende eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt, so dass er Bedeutung und Tragweite seines als schlüssig zu bewertenden Verhaltens überblicken kann. Aus der tatsächlichen Verbreitung eines bestimmten datenschutzrechtlich relevanten Vorgehens in Verbindung mit dem Fehlen eines vorsorglichen Widerspruchs des Betroffenen allein kann eine konkludente Einwilligung nicht geschlossen werden. Auch unter Berücksichtigung des Grundgedankens des § 157 BGB scheidet eine konkludente Einwilligung aus, wenn der Patient keine Kenntnis von den Umständen hat, die für die Annahme eines schlüssigen Verhaltens wesentlich sind (BVerfG, Beschluss vom 9.10.2002, AZ: 1 BvR 1611/96 und 1 BvR 805/98).“
Beim Aufsuchen der urologischen bzw. chirurgischen Abteilung des MVZ hatte der Antragsteller unstrittig keine Kenntnis von der Praxisübernahme durch das MVZ. Dieser Umstand war für den Antragsteller auch nicht offensichtlich, da zwischen den Behandlungen 23 Jahre lagen, der Antragsteller viele Jahre nicht vor Ort war und die Einzelpraxis in einem MVZ aufgegangen ist.
Aus diesen Gründen konnte der Antragsteller die Bedeutung und Tragweite seines Verhaltens nicht überblicken, als er sich 2016 und 2017 in die medizinische Behandlung begab. Daher konnte eine konkludente Einwilligung nicht „erklärt“ werden. Die Datenverarbeitung war folglich rechtswidrig und der Antragsgegner hätte aufgrund der Datenschutzverletzung tätig werden müssen.
Anforderung an eine konkludente Einwilligung
Im Ergebnis können folgende Kriterien definiert werden, die für die Annahme einer konkludenten Einwilligung vorliegen müssen:
- Die bewusste und freiwillige Gestattung der Datenverarbeitung,
- das Bestehen einer im Wesentlichen zutreffenden Vorstellung davon, worin eingewilligt wird, damit er
- die Bedeutung und Tragweite seines als schlüssig zu bewertenden Verhaltens überblicken kann.
Fazit
Das Interdiözesane Datenschutzgericht stellt die Anforderungen an eine konkludente Einwilligung detailliert dar, macht aber auch deutlich, dass es grundsätzlich einer Einzelfallbetrachtung bedarf und eine Pauschalisierung nicht möglich ist.
Leider wird auf zwei weitere interessante Punkte nicht (detailliert) eingegangen. Das betrifft einerseits die Frage, ob ein MVZ, welches an ein kirchliches Krankenhaus angegliedert ist, automatisch unter das kirchliche Datenschutzrecht fällt. Zwar sagt § 3 Abs. 1 lit. c KDG, dass das KDG „für die Verarbeitung personenbezogener Daten durch […] die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform“ gilt. Ob man ein MVZ (welches faktisch keinen kirchlichen Auftrag verfolgt) darunter fassen kann, ist in der Praxis tatsächlich noch umstritten. Die Entscheidung des Interdiözesanen Datenschutzgerichtes sagt hierzu nichts, führt lediglich im Sachverhalt aus:
„Als der Landesbeauftragte [für den Datenschutz und die Informationsfreiheit] erkannte, dass die Beteiligte [das MVZ] von einer kirchlichen Stiftung getragen ist, leitete er die Datenschutzbeschwerde im November 2017 an den Datenschutzbeauftragten des Bistums X weiter, der die Datenschutzbeschwerde wegen des Auslaufens seiner Zuständigkeit im Dezember 2017 an den Antragsgegner [das Katholische Datenschutzzentrum] weiterleitete.“
Andererseits schweigt der Beschluss zu dem Umstand, dass die Behandlungsdaten vorliegend mehr als 23 Jahre aufbewahrt wurden; nach § 10 Abs. 3 MBO-Ärzte bzw. § 630f BGB liegt die Aufbewahrungspflicht und -frist der Behandlungsdokumentation grundsätzlich bei zehn Jahren nach Abschluss der Behandlung.