In diesem Beitrag möchten wir erneut auf die Bedeutung und den besonderen Schutz von Gesundheitsdaten eingehen. In Italien hat ein Verstoß gegen die datenschutzrechtlichen Vorgaben im Zusammenhang mit Gesundheitsdaten zu einem Bußgeld in Höhe von 50.000 Euro geführt.
Sachverhalt
In einem italienischen Krankenhaus hatte eine Patientin das Krankenhauspersonal ausdrücklich angewiesen, ihre Gesundheitsdaten (vorgesehener Schwangerschaftsabbruch) nicht an Dritte weiterzugeben und gab als Kontakt zwecks Besprechung der weiteren Vorgehensweise eine separate Telefonnummer an. Eine Krankenschwester kontaktierte die Patientin nach ihrer Entlassung jedoch nicht mit der hinterlegten Telefonnummer, sondern suchte die in der Patientenakte hinterlegte Festnetznummer heraus. Nachdem der Ehemann der Patientin den Anruf entgegennahm, gab die Krankenschwester Informationen über die Patienten in Bezug auf den Aufenthalt auf der gynäkologischen Station weiter (keine ausführlichen medizinischen Informationen) und teilte mit, dass weitere Besprechungen zur Therapie vorgesehen sind (vgl. hier).
Dieser Verstoß gegen die Datenschutz-Grundverordnung (im Folgenden: DSGVO) führte zu einem Bußgeld in Höhe von 50.000 Euro gegen den Verantwortlichen.
Datenschutzrechtlicher Verstoß – im Detail:
Grundsätzlich bedarf es für jede Datenweitergabe an Dritte einer Rechtsgrundlage (gesetzliche Grundlage oder Einwilligungserklärung). Bei besonderen Kategorien von Daten, darunter fallen auch Gesundheitsdaten, besteht ein erhöhter Schutzbedarf. Der Ehemann der Patientin ist als Dritter anzusehen; selbst ohne die ausdrückliche Anweisung der Patientin, ihre Daten nicht an Dritte weiterzugeben, ist mithin für die rechtmäßige Datenweitergabe eine Rechtsgrundlage erforderlich. Die Patientin hat vorliegend keine Einwilligung erteilt und zudem ausdrücklich geäußert, dass sie eine Geheimhaltung ihrer personenbezogenen Daten Dritten gegenüber wünscht.
Bei der Festsetzung des Bußgeldes haben sich folgende Erwägungen besonders zum Nachteil des Krankenhauses ausgewirkt:
- Negative Auswirkungen auf das Privatleben der Patientin
- Offenlegung von Gesundheitsdaten
- Besondere Schutzwürdigkeit von Schwangerschaftsabbrüchen (bezüglich der Menschenwürde)
- Fehlende geeignete technische und organisatorische Maßnahmen
Gesundheitsdaten
Des Weiteren ist auch zu berücksichtigen, dass allein die Information über einen Krankenhausaufenthalt als Verarbeitung (Weitergabe) von Gesundheitsdaten anzusehen ist. Es ist keine Weitergabe von ausführlichen medizinischen Informationen erforderlich, um von Gesundheitsdaten zu sprechen.
Ein Krankenhausaufenthalt kann nämlich bereits Rückschlüsse darauf zulassen, dass die betroffene Person das Krankenhaus aus medizinischen Gründen/ zwecks medizinischer Behandlung aufgesucht hat.
Umsetzung von Maßnahmen
Das Krankenhaus hat nun zwar Maßnahmen zur Verwaltung von Telefonnummern implementiert; insbesondere organisatorische Maßnahmen und eine konkrete Dokumentation hätten einen solchen Verstoß aber ggf. vermieden.
Es ist festzuhalten, dass vorliegend nicht nur die Verwaltung von Telefonnummern und eine übersichtliche Dokumentation von Patientenäußerungen mangelhaft sein dürfte, sondern vielmehr im Allgemeinen die rechtmäßige Verarbeitung von Daten, darunter fällt auch die Datenweitergabe, nicht die datenschutzrechtlichen Anforderungen erfüllte.
Exkurs: Rechtslage in Deutschland in Bezug auf die ärztliche Schweigepflicht:
Bei der ärztlichen Behandlung hat der Datenschutz Berührungspunkte mit weiteren Rechtsgebieten, auf deren Ausmaß wir kurz zum besseren Verständnis in Bezug auf den bedeutenden Schutz von Gesundheitsdaten eingehen möchten:
Gesundheitsdaten sind nicht nur im Datenschutzrecht als sensibel anzusehen, sondern als Patientengeheimnisse auch durch andere Gesetze einem besonderen Schutz unterworfen. Am bekanntesten dürfte dabei die ärztliche Schweigepflicht sein. Die ärztliche Schweigepflicht ist gesetzlich in mehreren Normen geregelt (§ 9 Abs. 1 MBO-Ä bzw. den entsprechenden Bestimmungen der Berufsordnungen der Landesärztekammern; Nebenpflicht aus dem Behandlungsvertrag). Ein Verstoß gegen die ärztliche Schweigepflicht zieht strafrechtliche Konsequenzen nach sich, § 203 des Strafgesetzbuches (StGB). Bei der Weitergabe von Gesundheitsdaten stellt sich also auch immer die Frage, ob eine Offenbarungsbefugnis (gesetzlich oder Schweigepflichtentbindungserklärung) in Bezug auf die Schweigepflicht besteht. Dabei ist diese Befugnis von der datenschutzrechtlichen Befugnis (z. B. Einwilligungserklärung) zu unterscheiden. Eine Gemeinsamkeit besteht aber darin, dass der Schutzbedarf von Gesundheitsdaten als hoch einzustufen ist. Selbst der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) äußerte im Jahr 2019 in einem anderen Fall, in dem ebenfalls technische und organisatorische Defizite eines Krankenhauses beim Patientenmanagement zu einem Bußgeld führten, Folgendes: „Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“