gemäß § 38 Abs. 3 Satz 2 BDSG (a.F.) die Auskunft auf solche Fragen verweigern kann, deren Beantwortung ihn der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. In dieser Fallkonstellation wird somit das Konkurrenzverhältnis zwischen datenschutzrechtlicher Übermittlungsverpflichtung und strafrechtlicher Offenbarungsbefugnis bereits durch die Vorschrift selbst, nämlich § 38 Abs. 3 Satz 2 BDSG (a.F.), geklärt. Da dies jedoch eine spezielle gesetzliche Regelung betrifft, gibt auch der Beschluss des KG keinen Aufschluss darüber, ob das Gebot der Schweigepflicht gewahrt ist, wenn ein Gesetz mit gleichem Schutzniveau die Verarbeitung von Patientendaten, z. B. im Rahmen einer Auftragsverarbeitung, ausdrücklich zulässt. Der Beschluss klärt also nicht das Verhältnis zwischen datenschutzrechtlicher Verarbeitungserlaubnis und strafrechtlicher Offenbarungsbefugnis generell.
Ferner ist zu beachten, dass die ärztliche Schweigepflicht bei der Verarbeitung aller Patientendaten im Krankenhaus und unabhängig von der jeweiligen Trägerschaft des Krankenhauses stets zu beachten ist. Sie wird über das Standesrecht hinaus in § 203 StGB mit anderen Sondertatbeständen der Geheimniswahrung allgemeinverbindlich geregelt.
13 Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.
14 Gesetz über den kirchlichen Datenschutz (KDG); hinsichtlich weiterführender Erläuterungen vgl. III.2.2.
15 Vgl. hierzu vertiefend die Ausführungen zur »Ärztlichen Schweigepflicht« unter V.
16 Zum »Zwei-Schranken-Prinzip« vgl. auch Seelos, 550.
17 Az.: Ws (B) 51/07 – 2 Ss 23/07.
III Datenschutznormen/-regelungen
Wie zuvor unter II. dargestellt, ist die datenschutzrechtliche Zulässigkeit der Verarbeitung personenbezogener Daten davon abhängig, ob
• entweder eine gesetzliche Grundlage existiert, die die Verarbeitung erlaubt/legitimiert oder
• eine Einwilligung der betroffenen Person vorliegt.
Für die Beantwortung der Frage, ob Daten verarbeitet werden dürfen, bedarf es also u. a. der Prüfung des Vorliegens einer datenschutzrechtlichen Befugnisnorm.
Eine einheitliche Rechtsgrundlage bzw. ein einzelnes Gesetz für den Patientendatenschutz im Krankenhaus existiert in Deutschland bedauerlicherweise nicht. Vielmehr gibt es eine Fülle datenschutzrechtlicher Regelungen auf Landes- und Bundes- sowie EU-Ebene. Diese Regelungen sind unübersichtlich und aufgrund ihres unterschiedlichen Verhältnisses zueinander für den Anwender äußerst kompliziert.
Bei der Beurteilung der Zulässigkeit einer Verarbeitung (Erheben, Erfassen, Speichern, Verwendung, Übermittlung usw.) personenbezogener Daten kommen (neben der ärztlichen Schweigepflicht18) also verschiedenste Gesetze/Verordnungen zur Anwendung. Welche dies sind bzw. im Einzelfall sein können, wird nachfolgend dargestellt.
1 Übersicht über die Regelungen
Als datenschutzrechtliche Regelungen/Befugnisnormen sind folgende Gesetze/Verordnungen zu nennen:
Auf europäischer Ebene:
• EU Datenschutz-Grundverordnung (DS-GVO).
Auf Bundesebene:
• Bundesdatenschutzgesetz (BDSG) sowie
• bereichsspezifische Bundesregelungen, z. B. SGB V, StrlSchG, AMG usw.
Auf Landesebene:
• Landeskrankenhausgesetze (LKHG),
• bereichsspezifische Landesregelungen, z. B. GDSG NW, und
• Landesdatenschutzgesetze (LDSG).
Für konfessionelle Krankenhausträger:
• kirchliche Sonderregelungen (DSG-EKD/KDG).
Welche dieser Gesetze im Einzelnen zur Anwendung kommen, hängt in der Regel von der Trägerschaft des Krankenhauses ab.
2 EU Datenschutz-Grundverordnung (DS-GVO)
Während die im Nachfolgenden noch beschriebenen Gesetze sich zum Teil nur in einzelnen Abschnitten mit dem Datenschutz beschäftigten, z. B. die Landeskrankenhausgesetze, enthält die DS-GVO insgesamt Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Art. 1 Abs. 1 DS-GVO.
2.1 Persönlicher Anwendungsbereich
Eine nähere Regelung, für wen die DS-GVO gilt (sog. persönlicher Anwendungsbereich), existiert nicht. Insofern gilt die DS-GVO unterschiedslos für jeglichen Verarbeiter personenbezogener Daten, unabhängig davon, ob eine natürliche oder juristische Person die Verarbeitung vornimmt oder sich der Verarbeitungsvorgang – anders insoweit die Regelungen im BDSG – im öffentlichen oder im nicht-öffentlichen Bereich abspielt.19
Insofern gilt die DS-GVO sowohl für die Krankenhausträger in öffentlicher als auch in nicht-öffentlicher, privater Trägerschaft. Zu nennen seien hier beispielhaft folgende Krankenhausträger, für die die DS-GVO zur Anwendung kommt:
Öffentliche Trägerschaft:
• Bundewehrkrankenhäuser,
• Hochschulkliniken,
• Krankenhäuser im Straf- und Maßregelvollzug,
• Gemeinde-, Stadt, Kreis-, Bezirks-, Zweckverbandskrankenhäuser usw.
Nicht-öffentliche Trägerschaft:
• Private Krankenhäuser,
• freigemeinnützige Krankenhäuser.
2.2 Kirchliche Krankenhausträger
Hinsichtlich der Krankenhausträger in kirchlicher Trägerschaft ist zu beachten, dass sowohl die evangelische als auch die katholische Kirche entsprechende Regelungen erlassen haben, um den Einklang mit der DS-GVO herzustellen.
Die 12. Synode der Evangelischen Kirche in Deutschland hat auf ihrer 4. Tagung zum 15.11.2017 ein Kirchengesetz beschlossen (Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD), das die durch die DS-GVO bedingten Änderungen weitestgehend umsetzt und gemäß § 56 DSG-EKD am 24.05.2018 in Kraft getreten ist.
Ebenso sind für den katholischen Bereich in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen
