Arzt- und Zahnarztpraxen benötigen oftmals Dienstleistungen von Fremdfirmen, wie z.B. eine IT-Firma, die bei EDV-Problemen konsultiert wird, oder einen Abrechnungsspezialisten. Bei diesen Tätigkeiten wird bisweilen auch Einblick in hochsensible Patientendaten genommen, was keinesfalls unkompliziert[...]
Datenschutzrechtliche Pflichten bei einem ärztlichen Behandlungsvertrag
Das Landgericht Flensburg (LG) befasste sich in seinem Urteil vom 19.11.2021 (Az. 3 O 227/19) zuletzt mit der Frage über die datenschutzrechtlichen Pflichten bei einem ärztlichen Behandlungsvertrag.
Sachverhalt
Der Kläger, selbst als Chefarzt leitender Angestellter des in Anspruch genommenen Krankenhausträgers, wurde wegen eines Herzinfarkts in der kardiologischen Abteilung der Klinik des beklagten Krankenhausträgers behandelt. Während des Behandlungsverhältnisses wurde von Mitarbeitern der Klinik etwa 150-mal auf die Patientendaten des Klägers zugegriffen. Nachdem der Kläger hiervon erfuhr, analysierte er die erfolgten Zugriffe und ordnete zumindest vier Zugriffe als fraglich ein. In der nachfolgenden Auseinandersetzung machte der Kläger, u.a. anwaltlich vertreten, Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten und schließlich Schadensersatz gegenüber dem beklagten Krankenhausträger geltend. Er wandte sich darüber hinaus mit einer Beschwerde an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD).
Den Aufforderungen des Klägers kam der Krankenhausträger nicht nach, so dass sich der Kläger veranlasst sah, zu klagen. In Bezug auf die streitgegenständlichen vier Zugriffe machte der Kläger Schadensersatz und Schmerzensgeld in Höhe von mindestens 20.000,00 EUR wegen unberechtigter Zugriffe auf seine Patientendaten geltend.
Kein Anspruch auf Schmerzensgeld oder sonstigen Schadensersatz
Den Anspruch lehnte das mit der Sache befasste LG Flensburg vorliegend ab. Das Gericht verneinte einen Anspruch des Klägers aus der Datenschutz-Grundverordnung (DSGVO), da diese zum Zeitpunkt der gerügten Zugriffe auf die Patientendaten des Klägers nicht galt und entsprechend nicht auf den Sachverhalt anwendbar war.
Inhaltlich scheiterte der Anspruch im Ergebnis an der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB). Die Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Auch die Anrufung des ULD habe nicht zu einer Hemmung der Verjährung geführt, da es sich beim ULD nicht um eine staatliche oder staatlich anerkannte Streitbeilegungsstelle handle. Das Verfahren vor dem ULD sei auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung und nicht auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch gerichtet.
Behandlungsvertrag begründet vertragliche Nebenpflicht zum Schutz der Patientendaten
Das Gericht stellte allerdings klar, dass der zwischen den Parteien bestandene Behandlungsvertrag unter anderem die selbständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden begründe, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten hätten. Es liege mit Blick auf § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag dahingehend zu konkretisieren, dass Patientendaten unter anderem verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich sei, soweit der Patient nichts anderes bestimmt habe.
Fazit
Datenverarbeitung unterliegt auch im Krankenhaus Grenzen. Krankenhausträger sollten spezifische Maßnahmen ergreifen, um sicherzustellen, dass der Zugriff auf Patientendaten nur auf erforderliche Zwecke der Behandlung nach dem Need-to-Know-Prinzip begrenzt ist. Danach erhalten nur die Personen Zugriffsrechte auf diejenigen Daten, die diese abhängig von ihrem jeweiligen Aufgabengebiet zur Erledigung der vom Arbeitgeber zugewiesenen Aufgaben tatsächlich benötigen.
Zugriffsberechtigungen auf personenbezogene Daten, insbesondere Gesundheitsdaten, sollten – auch in der Praxis – rollenbasiert nach diesem Prinzip vergeben werden. Zugriffe dürfen nur von dazu berechtigten Personen bspw. gelesen oder gelöscht werden, ansonsten sind sie zu verhindern.
RAin Bita Foroghi
lennmed.de Rechtsanwälte
Bonn | Berlin | Baden
Der lennmed.de-Newsletter
Melden Sie sich zu unserem kostenfreien Newsletter an, um regelmäßig zu aktuellen und relevanten Urteilen und Entwicklungen im Bereich der Heilberufe informiert zu sein. Damit sind Sie als Arzt, Zahnarzt, Apotheker, Krankenhausträger oder berufsständischer Entscheidungsträger immer auf dem Laufenden.
Unter anderem informieren wir aktuell hierüber:
Sie können sich natürlich jederzeit aus unserem Newsletter-Verteiler abmelden.