Datenschutzrechtliche Informationspflicht bei der Familienanamnese und anderen Fällen von Informationen über andere Personen als den eigenen Patienten?
Im Rahmen des ärztlichen Anamnesegespräches kann es bei bestimmten Krankheiten angezeigt sein, sich danach zu erkundigen, ob noch andere Familienangehörige von bestimmten Krankheiten betroffen sind (Familienanamnese). Hierbei erfährt der Arzt bzw. die Ärztin besonders sensible und schützenswerte Gesundheitsdaten von anderen Personen. Es gibt zahlreiche andere Konstellationen, bei denen Ärzte im Rahmen der Diagnostik oder Beratung Informationen von ihren Patienten über Dritte erhalten, z.B. bei Infektionskrankheiten (siehe Infektionsschutzgesetz), bei der Kinderwunschberatung etc. Es stellt sich dabei die Frage, ob der Arzt datenschutzrechtlich verpflichtet ist, diese Personen darüber zu informieren, dass und welche Daten er über sie erhalten hat.
Die gleiche Frage stellt sich bei weiterbehandelnden Ärzten, Laborärzten oder bspw. Pathologen, die Patientendaten nicht direkt vom Patienten erhalten, sondern vom primär behandelnden Arzt bzw. Einsender.
Datenschutzrechtliche Informationspflichten nach der DSGVO
Datenschutzrechtlich gilt der Grundsatz, dass jede Person wissen soll, wer von ihm bzw. von ihr welche Daten warum und wie lange verarbeitet und welche Rechte die Person im Hinblick darauf dem Verantwortlichen gegenüber geltend machen kann. Dieses vom Bundesverfassungsgericht im Volkszählungsurteil entwickelte Grundrecht auf informationelle Selbstbestimmung hat Eingang in die Informationspflichten des neuen europäischen Datenschutzrechts in der Datenschutzgrundverordnung (DSGVO) gefunden. Die Informationspflichten sind in den Artikeln 12-14 DSGVO geregelt.
Art. 12 DSGVO stellt die allgemeinen Grundsätze auf, wonach der Verantwortliche die betroffene Person in klarer und einfacher Sprache präzise, transparent und verständlich in leicht zugänglicher Form zu unterrichten hat. Die Informationen sind schriftlich oder elektronisch zu übermitteln. Übermitteln bedeutet, dass ein „zum Abruf bereitstellen“ nicht genügt, sondern eine aktive Übermittlungshandlung erforderlich ist. Demnach genügt ein Aushang der Informationen in einer Arztpraxis nicht. Zumindest von einer Landesdatenschutzaufsichtsbehörde gibt es bisher die Stellungnahme, dass eine Kombination von ersten grundlegenden Informationen in einem Flyer mit einem Verweis der weitergehenden Informationen auf der Praxiswebseite ausreichen soll (Medienbruch). Diese Auffassung kann sich auf den Erwägungsgrund 58 der DSGVO stützen, der besagt:
„Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Webseite, wenn sie für die Öffentlichkeit bestimmt ist.“
Als Anwendungsfall für die Information über die Webseite wird jedoch insbesondere die Internetwerbung genannt und die Tatsache, dass die betroffenen Personen anders schwer erreichbar sind. Dies wäre aber gerade in der Arztpraxis mit dem persönlichen Kontakt nicht der Fall. Zudem dürfte nicht jeder Patient, gerade in der älteren Altersgruppe, über einen Internetzugang verfügen. Zumindest diesen Patienten müssten die Informationen auch in der Praxis in ausgedruckter Form zur Verfügung gestellt werden können.
Datenschutzrechtliche Informationspflichten bei Direkterhebung und bei Dritterhebung
Bei der Erteilung der Informationspflichten wird danach unterschieden, ob die Informationen direkt bei der betroffenen Person selbst erhoben werden, Art. 13 DSGVO (Direkterhebung), oder ob die Informationen nicht selbst bei der betroffenen Person erhoben werden, sondern von jemand anderem stammen, Art. 14 DSGVO (Dritterhebung).
Nach Art. 13 DSGVO sind die Informationen zum Zeitpunkt der Erhebung zu erteilen. Dies stellt sich zum Beispiel gerade bei der telefonischen Erst-Kontaktaufnahme zur Terminvereinbarung als sehr unpraktikabel dar. Daher hat sich eine Landesdatenschutzaufsichtsbehörde bereits dahingehend geäußert, dass im Falle der telefonischen Datenerhebung die Erfüllung der Informationspflichten beim ersten persönlichen Kontakt in der Arztpraxis genügt.
Art. 13 DSGVO regelt weiter die zwölf Informationen, die zu erteilen sind. Diese Informationspflichten sind im Gesetz wie in einer Checkliste aufgeführt. Mit Blick auf die eingangs gestellte Frage wird hierauf an dieser Stelle aber nicht näher eingegangen.
Die Informationspflichten für den Fall der sogenannten Dritterhebung regelt Art. 14 DSGVO. Die dort aufgeführten Informationen sind innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monatszu erteilen.
Man stelle sich das praktisch vor: ein Arzt fragt eine Patientin, ob ihre Mutter an Krebs erkrankt sei, Allergie habe o.ä.. Die Patientin bejaht die Frage (natürlich ohne Namensnennung und ohne Adressangabe) und der Arzt müsste dann, um einer möglichen Informationspflicht nachkommen zu können, noch den Namen und die Kontaktdaten erfragen. Damit würde er Daten erheben, die er für den eigentlichen Zweck der medizinischen Diagnose nicht benötigt. Dies würde dem Grundsatz der Datenminimierung widersprechen, Art. 5 Abs. 1c) DSGVO. Zudem würde der Arzt dann im Rahmen der Informationserteilung angeben müssen: „Ich habe folgende gesundheitsbezogenen Informationen über Sie von meiner Patientin XY erhalten.“ Damit würde der Arzt zugleich seine ärztliche Schweigepflicht, die dem Berufsgeheimnis nach § 203 StGB unterliegt und strafbewehrt ist, sowie die Schweigepflicht nach der ärztlichen Berufsordnung verletzen, § 9 MBOÄ.
Ausnahme von der datenschutzrechtlichen Informationspflicht bei Berufsgeheimnisträger
Diesen Konflikt hat auch der europäische Gesetzgeber gesehen und daher im Art. 14 Abs. 5d) DSGVO geregelt, dass die Informationspflichten bei Erhebung dann keine Anwendung finden, wenn und soweit
„die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer Satzung mäßigen Geheimhaltungspflicht, unterlegen und daher vertraulich behandelt werden müssen.“
§ 203 StGB (Strafgesetzbuch) regelt das Berufsgeheimnis nach Abs. 1 Nummer 1 für
„Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert.“
Damit können sich Ärzte auf die Ausnahme von Informationspflichten im Rahmen der Familienanamnese berufen. Diese Ausnahme gilt jedoch nur gegenüber den im Rahmen der Anamnese genannten dritten Personen, den Familienangehörigen, nicht jedoch gegenüber dem Patienten selbst. Diesem gegenüber sind die in Art. 13 DSGVO aufgelisteten Informationen mitzuteilen.
Hierzu gibt es bereits eine Äußerung in einem juristischen Kommentar (Kühling/Buchner/Bäcker DS-GVO Art. 14 Rn. 68-70, beck-online):
„Der Ausschlusstatbestand greift beispielsweise, wenn ein Arzt von einem Patienten therapeutisch bedeutsame Gesundheitsdaten über dessen Familienangehörige erhält. Art. 5 lit. d befreit den Arzt gegenüber diesen Angehörigen von den Informationspflichten des Art. 14.“
David Seiler, Rechtsanwalt, externer Datenschutzbeauftragter
Cottbus, den 27.04.2018