BVerfGE 65, S. 1 ff.
8 Simitis, NJW 1984, 398 ff.
9 Simitis, a. a. O.
10 Simitis, a. a. O.
11 Simitis, a. a. O.
12 Vgl. BVerfG, Beschluss vom 08.03.1972, Az.: 2 BvR 28/71 = NJW 1972, 1123 ff.
II Zentraler Grundsatz der Verarbeitung
Sofern sich Krankenhäuser / die Verantwortlichen in Krankenhäusern mit der Frage der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten eines Patienten auseinandersetzen, war bereits vor dem Geltungsbeginn der DS-GVO, also dem 25.05.2018, folgender Grundsatz von zentraler Bedeutung:
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dafür eine gesetzliche Grundlage existiert oder der Betroffene eingewilligt hat.
Dieser Grundsatz folgte z. B. aus § 4 Abs. 2 BDSG in der bis zum 24.05.2018 geltenden Fassung oder landesrechtlichen Regelungen und war – von wenigen Ausnahmen abgesehen – Grundlage für jedwede Verarbeitung von Daten.
Sollte also weder eine gesetzliche Grundlage eine Verarbeitung erlauben noch eine Einwilligung des Betroffenen vorliegen, blieb als Konsequenz nur, die Datenverarbeitung zu unterlassen.
Seit dem 25.05.2018 beansprucht nunmehr die DS-GVO unmittelbare Geltung in Deutschland. Aus diesem Grunde bedarf es seit diesem Zeitpunkt hinsichtlich jeglicher Prüfung, ob eine Verarbeitung datenschutzrechtlich zulässig ist, der Prüfung der durch die DS-GVO / das DSG-EKD13 / das KDG14 bedingten Anforderungen.
1 Verbot mit Erlaubnisvorbehalt gem. DS-GVO
An dem o. g. zentralen Grundsatz hat sich inhaltlich nichts geändert. Dieser findet sich seit Geltungsbeginn der DS-GVO in Form eines sog. Verbots mit Erlaubnisvorbehalt für die Verarbeitung sog. »besonderer Kategorien personenbezogener Daten«, mithin z. B. von Gesundheitsdaten, in Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG wieder.
Als Grundregel verbietet diese Vorschrift die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten usw. Es wird also ein allgemeines Verbot der Verarbeitung aufgestellt. Zu diesem Verbot existieren Ausnahmen. Eine solche Ausnahme stellt die Einwilligung der betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke dar (sog. besonderer Erlaubnistatbestand (Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG).
Anders ausgedrückt bedeutet dies: Das Verarbeitungsverbot gilt nicht, wenn die betroffene Person in die Verarbeitung z. B. der Gesundheitsdaten einwilligt. Andere Ausnahmen von dem Verbot ergeben sich im Wesentlichen aus den anderen Regelungsgegenständen von Art. 6, 9 Abs. 2, Abs. 4 DS-GVO / §§ 6, 13 Abs. 2 DSG-EKD / §§ 6, 11 Abs. 2 KDG.
Bei der Beantwortung der Frage, ob eine Verarbeitung datenschutzrechtlich zulässig ist, bedarf es also nach wie vor der Prüfung,
• ob eine Befugnisnorm die Verarbeitung legitimiert oder
• eine Einwilligung der betroffenen Person vorliegt.
Hinsichtlich der sich daran anschließenden Fragen, welche Befugnisnormen existieren und welche Anforderungen im Einzelnen an Einwilligungen zu stellen sind, vgl. vertiefend die Ausführungen unter III sowie IV.
2 »Verarbeitung« als neuer Oberbegriff
Während die deutschen Gesetze früher auf einzelne Begrifflichkeiten wie das Erheben, Verarbeiten, Nutzen usw. von Daten abgestellt haben, bildet die Verarbeitung seit dem 25.05.2018 den Oberbegriff. Seitdem bezeichnet der Begriff »Verarbeitung« gemäß der Legaldefinition in § 4 Ziff. 2 DS-GVO / § 4 Ziff. 3 DSG-EKD / § 4 Ziff. 3 KDG
»jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.«
3 Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz
Neben den datenschutzrechtlichen Anforderungen gilt es, im Krankenhausbereich zusätzlich den Anforderungen der ärztlichen Schweigepflicht gerecht zu werden.
Während sich der Schutz sensibler Daten in datenschutzrechtlicher Hinsicht an das Krankenhaus als Institution bzw. durch die DS-GVO direkt an den »Verantwortlichen« richtet, bezieht sich das Gebot der ärztlichen Schweigepflicht auf das Innenverhältnis zwischen Arzt und Patient, adressiert also insbesondere den Arzt.15
Das Verhältnis zwischen ärztlicher Schweigepflicht und datenschutzrechtlichen Regelungen lässt sich wie folgt beschreiben: Datenschutzrechtliche Regelungen einerseits sowie das Gebot der ärztlichen Schweigepflicht andererseits bilden jeweils eine die unbefugte Offenbarung von Patientendaten verhindernde Schranke (Hürde). Beide Schranken stehen gleichrangig nebeneinander. Man spricht insofern von dem sog. Zwei -Schranken-Prinzip16, d. h. dass bei der Frage nach der Zulässigkeit einer Verarbeitung von Patientendaten stets beide Schranken überwunden werden müssen.
Wenn jedoch ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten ausdrücklich zulässt, ist auch das Gebot der Schweigepflicht gewahrt. Der Arzt und die übrigen schweigepflichtigen Krankenhausmitarbeiter handeln befugt, soweit sie sich auf eine gesetzliche Norm stützen können, die zur Offenbarung von Patienteninformationen verpflichtet oder zumindest berechtigt. Ihr Tun ist strafrechtlich gerechtfertigt. Einer Einwilligung des Betroffenen bedarf es nicht.
Diese Auffassung wird insbesondere vor dem Hintergrund vertreten, dass es nur schwer nachvollziehbar wäre, den einzelnen Arzt bzw. die berufsmäßig tätigen Gehilfen unter Strafe zu stellen, wenn gleichzeitig die Institution Krankenhaus zur Offenbarung personenbezogener Daten im Rahmen einer zulässigen Verarbeitung legitimiert ist.
Daran ändert z. B. auch der Beschluss des Kammergerichts (KG) vom 20.08.201017 nichts. Dieser Beschluss hat vielmehr den speziellen Hintergrund, dass ein Rechtsanwalt unter Berufung auf seine anwaltliche Verschwiegenheitspflicht Auskünfte gegenüber dem Berliner Landesdatenschutzbeauftragten verweigerte. Das KG kam mit Beschluss vom 20.08.2010 zu dem Ergebnis, dass sich der betroffene Rechtsanwalt auf seine Verschwiegenheitspflicht berufen konnte, obwohl gemäß § 38 Abs. 3 Satz 1 BDSG (a.F.) die der Kontrolle unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen der Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer
