Patientendatenschutz bei Praxisaufgabe und Verkauf

Patientendatenschutz bei Praxisaufgabe und Verkauf

Patientendatenschutz bei Praxisaufgabe und Verkauf

Der Patientendatenschutz ist nicht nur im normalen Betrieb einer Arztpraxis oder eines Krankenhauses zu beachten, sondern auch wenn Aufgabe, Übergabe, Verkauf oder Insolvenz anstehen bzw. geplant sind. Patientendaten sind nach Datenschutzrecht als Gesundheitsdaten, Art. 9 DSGVO, und als Privatgeheimnis gemäß § 203 StGB (Berufsgeheimnis, Arztgeheimnis) sowie nach Berufsrecht, § 9 MBOÄ (Musterberufsordnung-Ärzte), geheim zu halten. Sie sind bis zum Ablauf der gesetzlichen Aufbewahrungsfrist, welche im Regelfall 10 Jahre beträgt, § 630f Abs. 3 BGB, aufzubewahren. Anschließend sind die Daten zu vernichten, Löschpflicht nach Art. 17 DSGVO.

Patientendatenschutz bei Praxisaufgabe, Praxisverkauf oder Schließung eines Krankenhauses

Für den Fall der Aufgabe oder der Übergabe der Praxis (z.B. im Rahmen eines Verkaufs oder der Einbringung in ein MVZ) regelt § 10 Abs. 4 MBOÄ, dass die Patientenakten nicht herrenlos werden dürfen, sondern weiterhin aufzubewahren sind oder „in gehörige Obhut gegeben werden“.

Nach Aufgabe der Praxis haben Ärztinnen und Ärzte ihre ärztlichen Aufzeichnungen und Untersuchungsbefunde gemäß Absatz 3 aufzubewahren oder dafür Sorge zu tragen, dass sie in gehörige Obhut gegeben werden.

Weiter ist indirekt geregelt, dass die „gehörige Obhut“ nur von anderen Ärztinnen und Ärzten ausgeübt werden kann, es sich also um Berufsgeheimnisträger handeln muss und dass das sogenannte Zweischrank-Modell anzuwenden ist: der die Patientenakten übernehmende Arzt muss die übernommenen Akten separat aufbewahren und darf nur mit Einwilligung der Patientinnen udn Patienten die Akten des betreffenden Patienten aus dem Schrank mit Altakten des Vorgängers entnehmen und in seinen laufenden Aktenbestand übernehmen.

Ärztinnen und Ärzte, denen bei einer Praxisaufgabe oder Praxisübergabe ärztliche Aufzeichnungen über Patientinnen und Patienten in Obhut gegeben werden, müssen diese Aufzeichnungen unter Verschluss halten und dürfen sie nur mit Einwilligung der Patientin oder des Patienten einsehen oder weitergeben.

Die Aufbewahrungspflicht bleibt aber gleichwohl beim „Alt-Arzt“. Unter Geltung der DSGVO ist dieser Alt-Arzt als „Verantwortlicher“, Art. 4 Nr. 7 DSGVO, anzusehen. Die Aufbewahrung der Akten ist datenschutzrechtliche eine Datenverarbeitung in Form der Speicherung, Art. 4 Nr. 2 DSGVO. Dies gilt auch für Patierakten, die in einem „Dateisystem“ also mit einem Ordnungssystem abgelegt sind, die ein Auffinden der Daten ermöglicht, Art. 2 Abs. 1 DSGVO. Der Verantwortliche muss also – neben dem Berufsrecht und dem Strafrecht – auch das Datenschutzrecht einhalten (Datenschutz-Compliance).

Patientendatenschutz und technisch-organisatorische Maßnahmen, Art. 32 DSGVO.

Hierzu gehört es mittels angemessener technischer und organisatorischer Maßnahmen den Zugriff Unberechtigter zu verhindern und die Zugriffsmöglichkeit für den Verantwortlichen sicherzustellen, Art. 32 DSGVO, § 22 Abs. 2 BDSG sowie § 10 Abs. 5 MBOÄ. Teil dieser Maßnahmen ist der phyische Schutz der Daten in abgeschlossenen Räumen, abgeschlossenen Schränken etc.

Patientendatenschutz und Auftragsverarbeitung, Art. 28 DSGVO

Wird die Tätigkeit der Aufbewahrung „in gehörige Obhut“ gegeben, also ausgelagert (Outsorucing), bedarf es hierzu des Abschlusses eines Vertrages zur Auftragsverarbeitung, AVV, nach Art. 28 DSGVO.

Verstöße gegen die Pflicht zum Abschluss eines Vertrages zur Auftragsverarbeitung und einhaltung technisch-organisatorischer Datenschutzmaßnahmen kann mit einem Bußgeld bis zum 10 Millionen Euro oder 2 % des Jahresgesamtumsatzes geahndet werden, Art. 83 Abs. 4a) DSGVO.

Wer also als Arzt / Praxisinhaber / Krankenhausträger Patientendaten aufbewahren muss und diese Tätigkeit auslagert, sollte mit dem Aufbewahrenden einen Vertrag zur Auftragsverarbeitung abschließen. Hier bei sollte auch regelt werden, dass der Alt-Arzt z.B. wenn ehemalige Patienten Auskunftsanspruche gegen ihn gelten machen oder gar Arzthaftungsansprüche, Zugriff auf die Daten hat, auch wenn der Patient zwischenzeitlich dem Neu-Arzt die Einwilligung in die Übernahme der Patientenakte gegeben hat. Der Zugriff darf sich aber nur auf die Daten (Befunde, Aufzeichnungen etc.) beziehen, die im Verantwortungsbereich des Alt-Arztes von ihm erfasst wurden.

Patientendatenschutz und Einwilligung in Aktenübernahme

Bei elektronischen Patientenakten kann das Zwei-Schrankmodell durch Zugriffsrechte auch in einem AIS (Arztinformationssystem) oder KIS (Krankenhausinformationssystem) erfolgen: der Zugriff auf die Patientenakte und die Übernahmen in den normalen Aktenbestand erfolgt erst nach Freischaltung, wenn eine schriftliche Einwilligung des Patienten vorliegt. Um dabei nicht nur den Anforderungen nach § 203 StGB (Entbindung von der ärztlichen Schweigepflicht) und Einwilligung nach § 10 Abs. 4 MBOÄ genüge zu tun, sondern auch den paralle geltenden Datenschutzbestimmungen genüge zu tun, muss die Einwilligung nach Art. 7 DSGVO ausdrücklich, freiwillig und nach vorheriger Information erfolgen. Die Information kann mit der nach Art. 13 DSGVO erforderlichen allgemeinen Information über die Verarbeitung von Patientendaten in der Arztpraxis bzw. im Krankenhaus verbunden werden.

Patientendatenschutz und herrenlose Daten

Die Landesdatenschutzaufsicht Hamburg (LDA Hamburg) musste sich mit einem Fall befassen, bei dem Patientenakten in einem ehemalige Krankenhaus nach der Insolvenz der Trägergesellschaft, einem Tochterunternehmen der Marseille Kliniken, ohne gehörige Obhut und Schutz zurückgelassen wurden. Die LDA Hamburg ordnete, nachdem mehrfach Unberechtigte sich Zugang zu den Akten verschafft hatte, gegenüber der jetzigen Eigentümerin des Gebäudes, einer Schwestergesellschaft des ursprünglichen Krankenhausbetreibers, an, die Akten in datenschutzgerechter Weise zu lagern und zwar sofort. Gegen die sofortige Vollziehbarkeit setzte sich die Eigentümerin erfolgreich vor dem VG Hamburg (VG = Verwaltungsgericht) durch. Die LDA Hamburg hat hiergegen Beschwerde beim OVG Hamburg (OVG = Oberverwaltungsgericht) eingelegt.

Man darf gespannt sein, ob aus der gesellschaftsrechtlichen Verbindung oder der Eigentümerstellung eine datenschutzrechtliche Verantwortlichkeit erwächst. Oder ist die berufsrechtliche Aufbewahrungspflicht bei der Muttergesellschaft oder den ursprünglich leitenden Arzten geblieben und folgt dem die datenschutzrechtliche Verantwortlichkeit? Der Ansatzpunkt ist m.E. die Lagerung der Akten als Datenverarbeitungsvorgang (s.o.). Das VG hatte damit argumentiert, dass die Lagerung der Patientenakten in ihrem Gebäude kein Verarbeitungsvorgang sein, der unter die DSGVO falle, sondern es sich um einen bloßen Zustand handele. Dass die Lagerung von Papierakten eine Speicherung darstellt, weil diese Akten mit Sicherheit mit einem Ordnungssystem gelangert werden und damit in den Anwendungsbereich der DSGVO fallen, hatte ich bereits ausgeführt. Ich bin gespannt, ob das OVG sich dem anschließt. Oder evtl. schließt der DSGVO-Gesetzgeber in der ohnehin gerade laufenden Evaluierung der DSGVO die eventuell vorhandene Schutzlücke dahingehend, dass im Insolvenzfall eines Verantwortlichen die Pflichten auf eine evtl. vorhandene Muttergesellschaft übergeht.

Update: Mit Beschluss vom 15.10.2020 zum Az. 5 Bs 152/20 hat das OVG Hamburg die Entscheidung des VG Hamburg bestätigt, wonach die Anordnung gegen den Gebäudeeigentümer mangels datenschutzrechtlicher Verantwortlichkeit für die Lagerung rechtswidrig war. Es liege schon keine Datenverarbeitung, Art. 4 Nr. 2 DSGVO, vor.

Es hat lediglich festgestellt, dass in der bloßen Lagerung der Patientenakten (als Zustand) in den Räumen des ehemaligen Krankenhauses keine Datenverarbeitung (durch die Antragstellerin) liege, weil eine Datenverarbeitung im Sinne der Datenschutzgrundverordnung eine Handlung bzw. die Veränderung eines Zustands voraussetze, die hier nicht vorliege. Diese Ausführungen sind rechtlich nicht zu beanstanden.

Mangels Datenverarbeitung durch den Grundstückseigentümer ist dieser auch nicht Verantwortlicher, Art. 4 Nr. 7 DSGVO. Das VG hat die Frage nach dem Verantwortlichen offen gelassen.

Die tatsächliche Sachherrschaft begründe für sich genommen keine rechtliche Entscheidungsgewalt und damit auch keine datenschutzrelevante Pflichtenstellung. Der reine Besitz eines analogen Datenbestandes vermöge daher weder eine einschlägige Pflichtenstellung der Antragstellerin noch entsprechende Eingriffsbefugnisse des Antragsgegners zu begründen.

Die LDA Bayern berichtete in ihrem Tätigkeitsbericht 2015/2016, S. 56 von einem ähnlichen Fall, der allerdings pragmatisch gelöst wurde: in den Gebäuden einer insolventen Klinik befanden sich in verschiedenen Räumen und Gebäudeteilen verstreut ungeordnet Patientenakten „aus allen Nutzungszeiträumen“. Die LDA Bayern vereinbarte mit dem neuen Eigentümer das Gelände durch einen Zaun zu sichern.

Weiterhin wurden nach unserer Besichtigung alle Akten unter Aufsicht des Datenschutzbeauftragten des neuen Eigentümers datenschutzkonform vernichtet. Wir hielten es in diesem Fall für vertretbar, trotz eventuell in Einzelfällen möglicherweise noch laufender Aufbewahrungsfristen alle Akten der Vernichtung zuzuführen, da aufgrund der unübersichtlichen Lage und der Aktenunordnung eine manuelle Sortierung und Auswertung nicht mit verhältnismäßigen Mitteln möglich war.

Der Fall zeigt, dass bei der Übergabe von Datenbeständen und Geschäftsaufgaben genaue Regelungen getroffen werden sollten und auch Insolvenzverwalter ein Augenmerk auf einen sicheren und datenschutzkonformen Umgang mit den verbliebenen Akten haben sollten.

Patientendatenschutz und Missachten in Tätigkeitsberichten

Datenschutzaufsichtsbehörden erstellen jährliche Tätigkeitsberichte, in denen sie von verschiedensten Missstände beim Schutz von Patientendaten und ähnlichen Daten berichten:

Offen herumliegende Kundenkarteien mit sensiblen Anamnesedaten im Publikumsbereich von Kosmetikstudios, unzureichend akustisch abgekoppelte Behandlungsbereiche in Gemeinschaftsräumlichkeiten verschiedener Therapeuten, Trainern und Coaches, die Aufbewahrung von Behandlungsdokumentationen auf einem unverschlossenen privaten Dachboden, eine offene Lagerung zu entsorgender Unterlagen vor der vollen Papiertonne eines Mehrparteienhauses oder die (unvollständige) Verbrennung von Patientenakten auf einem öffentlich zugänglichen Grundstück – ….  Zudem sind Abgaben an die Staatsanwaltschaft wegen bestehenden Anfangsverdachts von Straftaten erfolgt.

LDA Hamburg, TB 2019, S. 79

Patientenakte in Poliklinik verwahrt

Im Zusammenhang mit einer Anfrage zum Verbleib einer Patientenakte bei einer geschlossenen Arztpraxis in Gera erhielt der Patient mit Hilfe der LDA Thüringen die Auskunft, dass sich die Akten sicher und betrennt von anderen Akten (2-Schrank-Modell) in einer Poliklinik befunden, zu der die geschlossene Arztpraxis gehört hat.

LDA Thürnigen, TB 2018, S. 239

Patientendaten auf Altglas im offenen Container

Der Datenschutzbeauftragte der Klinik wurde von einer Person darauf aufmerksam gemacht, dass ihr auf dem Klinikgelände ein überfüllter Altglascontainer aufgefallen sei. Bei dem Container handelte es sich um einen normalen Standardcontainer, wie er gewöhnlich von den Entsorgungsunternehmen zur Altglassammlung aufgestellt wird. In dem betreffenden Container entsorgte die Klinik Altglas, wie es unter anderem bei Infusionslösungsflaschen oder anderen Flüssigmedikamenten zum Einsatz kommt. Problematisch hierbei war, dass ein nicht unerheblicher Anteil dieser Glasbehälter mit einem zusätzlichen Etikett versehen war. Dieses Etikett enthielt zum Zeitpunkt des Vorfalls einen ausführlichen Datensatz des jeweils betroffenen Patienten mit:
– Patienten-Identifikationsnummer (PID)
– Name, Vorname
– Geburtsdatum
– Adresse
– Krankenversicherungsnummer
– Name der Krankenversicherung
– betroffene Krankenhausstation
– Name des behandelnden Arztes / der behandelnden Ärztin (teilweise)
Durch den offenen Aufbau des Containers war es mühelos möglich, die
Daten von einigen Krankenhauspatienten und Krankenhausangestellten
einzusehen und einzelne Flaschen zu entwenden.

LDA Hessen, TB 2019, S. 63 – lehrreich sind auch die geschilderten Abhilfemaßnahmen

Verlust der Behandlungsdokumentation durch Wasserschäden

Ärztinnen und Ärzte haben geeignete technische und organisatorische Maßnahmen zu treffen, um die Patientendokumentation vor Elementarschäden zu schützen. Der zufällige Untergang der Behandlungsdokumentation stellt eine  meldepflichtige Verletzung des Schutzes personenbezogener Daten i. S. d. Art. 33 i. V. m. Art. 4 Nr. 12 DS-GVO dar. Im Frühjahr und Frühsommer des Jahres 2018 kam es mehrfach zu starken Unwettern in Hessen. Unabhängig voneinander meldeten mir Arztpraxen, dass durch ein Unwetter Wasser in die Keller der Praxen eingedrungen war, in denen Patientenunterlagen aufbewahrt wurden. Hierbei hat das Wasser einen großen Teil der ärztlichen Dokumentation zerstört.

… Verstöße gegen die Grundsätze des Art. 5 DS-GVO können nach Art. 83 Abs. 5 DS-GVO mit einem erhöhten Bußgeld geahndet werden. Vorliegend war der Sachverhalt jedoch aufgrund der rechtzeitigen Meldung (Anm. binnen 72 Stunden) nach Art. 33 DS-GVO nicht bußgeldrelevant, § 43 Abs. 4 BDSG.

LDA Hessen, TB 2019, S. 65 – diese Fälle zeigen nehmen der Wichtigkeit der auch gegen Elementarschäden wie Wasser geschützen Lagerung von Daten (mit Details-Tipps der Aufsicht) auch den Vorteil der Meldung von „Datenpannen“ und Datenverlust – ein Bußgeld kann wegen des gemeldeten Falles nicht verhängt werden.

Entsorgung von Bewerbungsunterlagen und Patientendaten durch eine Apotheke in Papiertonne im frei zugänglichen Hinterhof

… Da bei der Datenvernichtung der Grundsatz des Art. 5 Abs. 1 lit. f DSGVO nicht beachtet wurde, liegt ein Verstoß im Sinne des Art. 83 Abs. 5 lit. a DSGVO vor. Die unsachgemäße Entsorgung von personenbezogenen Daten kann einen Bußgeldtatbestand erfüllen und wird deshalb nach Abschluss der fachlichen Fallprüfung auch von meiner Bußgeldstelle dahingehend noch geprüft und bewertet werden.

LDA Hessen, TB 2019, S. 72

Patientenunterlagen im Hausmüll führt zu Bußgeld

Einige Streitigkeiten im Ordnungswidrigkeitenverfahren mussten im vergangenen Berichtszeitraum gerichtlich geklärt werden…. Mit einer Ausnahme bestätigte das Gericht in allen Fällen, dass die Verhängung eines Bußgeldes geboten war. So konnte auch das Verfahren gegen eine Ärztin abgeschlossen werden. Sie wurde zur Zahlung einer Geldbuße verurteilt, weil sie Patientenunterlagen unsachgemäß im Hausmüll entsorgt hatte.

LDA Brandenburg, TB 2018, S. 51

6 Kubikmeter Patientenunterlagen in der Innenstadt frei zugänglich

Ein medizinisches Labor hat Patientenunterlagen in einen Papiercontainer auf dem Gehweg entsorgt, ohne zu überwachen, dass die Entsorgungsfirma diesen verschließt und taggleich abholt. Es fehlte wohl auch ein Vertrag zur Auftragsverarbeitung, der auch für die Aktenentsorgung erforderlich ist, Art. 28 DSGVO. Zudem ist eine Verpflichtung auf das Berufsgeheimnis nach § 203 StGB erforderlich, wenn der Entsorgungsprozess nicht in einem geschlossenen System erfolgt, welches die Einsichtnahmemöglichkeit in Patientendaten ausschließt.

Datenschutzrechtlich verantwortlich war in diesem Fall das Labor, das es versäumt hatte, eine ordnungsgemäße Entsorgung der personenbezogenen Daten zu gewährleisten. Gegen den Verantwortlichen wurde ein Ordnungswidrigkeitenverfahren eingeleitet. Es droht eine empfindliche Geldbuße.

ULD TB 2020, S. 57

Abholung und Entsorgung von Röntgenbildern durch eine Fake-Firma!

Einer Arztpraxis wurde die Entsorgung von Röntgenbildern (Aufbewahrungspflicht, vgl. § 85 Abs. 2 Strahlenschutzgesetz) per Fax (was eine wettbewerbswidrige Werbung nach § 7 UWG ist) angeboten, wobei der Entsorger sogar 2 Euro pro Kilo wegen des enthaltenen Silbers zahlen wollte. Die Arztpraxis hatte keinen Vertrag zur Auftragsverarbeitung geschlossen, meldete, als sie Verdacht geschöpft hatte, den Vorfall als Datenschutzverstoß nach Art. 33 DSGVO und stellte Strafanzeige. Sie kam mit einer Verwarnung durch die Datenschutzaufsicht, also ohne Bußgeld, davon.

ULD TB 2020, S. 62

Sicherung von Patientendaten als Freundschaftsdienst

Ein Mediziner beauftragte einen Bekannten mit der Sicherung der personenbezogenen Daten, die in seiner Arztpraxis anfielen. … Der Bekannte speicherte die zu sichernden Daten auf einem Computer an seinem Arbeitsplatz in einem Unternehmen, wo sie vom Arbeitgeber entdeckt wurden. Der Mediziner war für die (unbeabsichtigte) Offenlegung der Daten aus seiner Praxis an den Arbeitgeber seines Bekannten verantwortlich. … Der Landesbeauftragte verhängte gegen den Mediziner ein Bußgeld in vierstelliger Höhe.

Es fehlte am Vertrag zur Auftragsverarbeitung samt technisch-organisatorische Maßnahmen und deren Überprüfung durch den verantwortlichen Arzt.

LDA Brandenburg, TB 2019, S. 31

Zugriffsbeschränkungen auf Patientenakten in Krankenhäusern

Die LDA Berlin prüfte bei den Krankenhausträgern Charité und Vivantes, ob der Zugriff auf Patientendaten spätestens ein Jahr nach Abschluss der Behandlung gesperrt und die Daten nach Ablauf der Aufbewahrungsfrist (zwischen 10 und 30 Jahren) gelöscht wurden, was bei beiden Häusern nicht der Fall war. Hierüber berichtete die LDA unter Nennung der Krankenhäuser unter der Überschrift „Offene Patientenakten im Krankenhaus“ womit deutlich wird, das Datenschutzverstöße auch zu Image-Schäden führen können. Die Krankenhäuser mussten technische Systeme und Prozesse mit zeitlich definierten Zugriffsbeschränkungen einführen. Dabei bleibt es ihnen unbenommen, Patienten auf Wunsch eine längere Aufbewahrung anzubieten.

LDA Berlin, TB 2019, S. 102

Vergleichbare Anforderungen bestehen auch bei niedergelassenen Ärzten.

Datenübermittlung und Werbung nach Verkauf einer Versandapotheke

Ein Apotheker verkaufte die Kundenstammdaten seiner Versandapotheke. Daraufhin beschwerten sich mehrere Personen bzw. ehemalige Kunden beim Landesdatenschutzbeauftragten hierüber und über die Werbung, die sie erhielten.

Zwar hatte der Verkäufer richtigerweise vorgesehen, dass Datenübermittlungen nur auf der Grundlage einer Einwilligung der jeweils betroffenen Kunden stattfinden, jedoch entsprach die vorformulierte Online-Einwilligungserklärung nicht den Anforderungen der DS-GVO. … Die Überschrift und der Haupttext enthielten keinen Hinweis darauf, dass es sich überhaupt um eine datenschutzrechtliche Einwilligungserklärung handeln könnte,…. Der Text der Einwilligungserklärung war in einer Fußnote unterhalb des Haupttextes sehr kleingedruckt und damit nicht ohne weiteres … lesbar. Der Umstand, dass in die Datenübermittlung auch Gesundheitsdaten einbezogen waren, kam in dem Einwilligungstext nicht deutlich zum Ausdruck.

Da der verantwortliche Apotheker die Datenübermittlungen nicht bereits aufgrund der Beratung des Landesbeauftragten einstellte, erging eine Anweisung nach Art. 58 Abs. 2 lit. f DS-GVO (vorübergehende Beschränkung der Datenverarbeitung), mit der die Datenübermittlungen untersagt wurden, solange die vorformulierte Einwilligungs-erklärung nicht den Anforderungen der DS-GVO entspricht. Die Datenübermittlungen wurden sodann gänzlich eingestellt.

Quelle: LDA Sachsen-Anhalt, TB 2019, S. 56

Was hier deutlich wird ist, dass ohne eine wirksame Einwilligung, die Datenübermittlung rechtswidrig ist. Dies dürfte auch erhebliche Auswirkungen auf der zivilrechtlichen Ebene des Kaufvertrages über die Versandapotheke habe. Evtl. kann der Käufer sogar vom Kauf zurücktreten, dann der Verkäufer den Verkaufsgegenstand, Kundendaten, nicht liefern kann. Das LG Frensburg sah im Verstoß gegen die ärztliche Schweigepflicht, § 203 StGB, durch die ehrenamtliche externe IT-Wartung einen Grund zum Rücktritt vom Praxiskaufvertrag, LG Flensburg, Urteil vom 05. Juli 2013, Az. 4 O 54/11. Die datenschutzrechtliche Integrität und die Einhaltung der Verschwiegenheitsverpflichtung ist danach Bestandteil des immateriellen Wertes einer Praxis. Dies zeigt, wie wichtig die datenschutzrechtliche Beratung beim Verkauf von Datenbeständen durch Berufsgeheimnisträger ist.

Eine wirksame Einwilligung setzt neben der Freiwilligkeit der Einwilligung und dem Hinweis, dass die Einwilligung jederzeit widerrufen werden kann, eine verständliche Information darüber voraus, worin eingewilligt werden soll, Art. 7 DSGVO.

Darüber hinaus war datenschutzrechtlich problematisch, dass der Verkäufer nach dem Verkauf begann, Werbe-E-Mails an seinen alten Kundenstamm zu versenden, mit denen er Produkte aus dem Sortiment der verkauften Versandapotheke anpries und die Kunden unter Verwendung ihrer Bestellhistorie personalisiert ansprach. Der Landesbeauftragte erörterte gegenüber dem Verkäufer, dass für die Verwendung von Gesundheitsdaten aus der Bestellhistorie zu Werbezwecken im Art. 9 Abs. 2 DS-GVO keine Rechtsgrundlage zu finden ist.

Daten dürfen auf der Grundlage eines berechtigten Interesses auch zu Werbezwecken verwendet werden, vgl. Erwägungsgrund 47 der DSGVO (letzter Satz), wobei auf dieses Interesse und das Widerspruchsrecht im Rahmen der DSGVO-Info nach Art. 13 Abs. 1 d) DSGVO zuvor hinzuweisen ist. Aber: dies gilt nicht für Gesundheitsdaten und damit die Bestellhistorie. Und dies gilt nicht für jeden Werbekanal. Nach § 7 Abs. 2 Nr. 3 UWG bedarf es für E-Mail-Werbung einer ausdrücklichen Einwilligung, und zwar auch bei eigenen Kunden, wenn sich die Werbung auf fremde Waren (hier die des Erwerbers der Versandapotheke) bezieht.

Tod des Arztes und Schweigepflicht bei Praxisübergang auf Erben

In dem Fall, über den die LDA Sachsen berichtet, ging es um die Frage, was mit den Patientenakten passiert, wenn der Praxisinhaber verstirbt. In derartigen Fällen gibt es die Option, dass die Erben die Praxis an einen Nachfolger verkaufen, evtl. ist einer der Erben selbst Arzt der entsprechenden Fachrichtung und kann die Praxis samt Akten übernehmen oder übernimmt als Arzt einer anderen Fachrichtung zumindest die Aufbewahrung der Patientenakten als Berufsgeheimnisträger. Für den Fall des Todes ohne entsprechende Nachfolger gibt es nur in einzelnen Ärztekammern in den Heilberufsgesetzen Regelungen.

Dem Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018 lässt sich der nachfolgende Fall entnehmen:

2.7.4.4 Schweigepflicht bei Praxisübergang auf Erben

Was geschieht beim Tod des Praxisinhabers mit der Patientenakte? Mit dieser Frage wandte sich eine betroffene Patientin an mich. Ist Ursache für die Praxisaufgabe der Tod des Praxisinhabers, so geht die Praxis im Ganzen mit allen Rechten und Pflichten auf die Erben über (§ 1922 BGB). Die Schweigepflicht, an die der Arzt gemäß § 203 StGB und § 9 der Berufsordnung der Sächsischen Landesärztekammer gebunden war, geht auf die Erben nicht über, wenn sie nicht selbst Ärzte sind. Da die Schweigepflicht des Arztes aber wie die Dokumentations- und Aufbewahrungspflicht ebenfalls eine Nebenpflicht aus den früher geschlossenen Be-handlungsverträgen darstellt, geht diese Nebenpflicht auf diejenigen Personen über, welche als Erben die Patientenkartei aus dem Nachlass erlangen. Von ihnen ist zu verlangen, dass sie – wie ein Arzt – alle zumutbaren Maßnahmen ergreifen, um eine ord-nungsgemäße Aufbewahrung der Patientenkartei zu ermöglichen.

 

Konkretere Regelungen bestehen nicht. Anders ist dies zum Beispiel im Heilberufe-Kammergesetz Baden-Württemberg geregelt: Die Kammern haben dort nach § 4 HBKG bei der Wahrnehmung ihrer Aufgaben die Interessen des Gemeinwohls und die Rechte der Patienten zu beachten. Sie haben Patientenunterlagen für die Dauer der Aufbewahrungspflicht in Obhut zu nehmen und den Patienten Einsicht zu gestatten, sofern dies nicht durch das verpflichtete Kammermitglied oder dessen Rechtsnachfolgerin oder -nachfolger gewährleistet ist. Gegenüber den Verpflichteten besteht in diesem Fall ein Anspruch auf Erstattung der Kosten, welche im Zusammenhang mit der Aufbewahrung der Patientenakten entstehen. Die Kammern können andere Kammermitglieder oder Dritte mit der Erfüllung dieser Aufgabe betrauen, des Weiteren können die Kammern gemeinsame Einrichtungen zur Erfüllung dieser Aufgabe errichten oder nutzen.

In Kammerbezirken, in denen derartige konkrete Regelungen fehlen, bemüht sich die Ärztekammer gleichwohl um eine Lösung bzgl. Aufbewahrung der Patientenakten des verstorbenen Arztes im Interesse der Patienten aber auch im Interesse des Ansehens und Vertrauens der Patienten in die Ärzteschaft. Im Sächsischen Heilberufekammergesetz fehlen Regelungen zu diesem Thema. In Entsprechung zur MBOÄ – Musterberufsordnung Ärzte enthält § 10 Abs. 4 der Berufsordnung der Sächsischen Landesärztekammer Regelungen zum Umgang mit der Dokumentation bei Praxisaufgabe. Dafür enthalten die aktuellen Hinweise der Ärztekammer zu „Patientenunterlagen – Aufbewahrung und Einsichtsrecht in die Patientendokumentation“ vom 01.07.2020 den Hinweis, dass Kreisarchive z.B. von aufgelösten Polikliniken Patientenakten aufbewahren und die Auskunftserteilung über das Gesundheitsamt laufen. Erben können sich also in ihrem Bundesland bei der Ärztekammer und dem Gesundheitsamt nach dem jeweiligen Prozedere zur Aufbewahrung der Akten erkundigen.

Fazit

Dies sind nur einige Beispiele aus Meldungen und Tätigkeitsberichten der Datenschutzaufsicht, die zeigen, dass Patientendatenschutz für Arztpraxen und Krankenhäuser sehr wichtig ist und die Verletzung teuer werden kann. Insbesondere wer sich mit dem Gedanken trägt, seine Praxis zu verkaufen, aufzugeben oder in eine andere Praxis einzubringen sollte sich, selbst wenn er / sie noch einige Zeit in der übernehmenden Praxis weiter arbeitet, über den Datenschutz, das Zwei-Schrank-Modell und Regelungen zur Auftragsverarbeitung Gedanken machen bzw. sich entsprechend beraten lassen.

David Seiler ist Rechtsanwalt und Lehrbeauftragter für IT-Security Law sowie Gesellschafter der dpc Data Protection GmbH. Er berät bundesweit zu Datenschutz- und IT-Rechtsfragen.