Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.5         Schutz des Patientengehimnisses

4.5.1       Corona-Testzentren  – Zulässigkeit von Abrechnungsprüfungen der KVSH durch ein Inkassobüro

Im Berichtsjahr erhielten wir verschiedene Anfragen von Corona-Testzentren, u. a. von einer Apotheke, ob denn die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) berechtigt wäre, gezielte vertiefte Prüfungen der ordnungsgemäßen Durchführung und Abrechnung von Corona-Testungen unter Einbeziehung der lokalen Dokumentation durch ein privates Unternehmen durchführen zu lassen.

Ja! Gemäß § 7a Abs. 2 der Coronavirus-Testverordnung ist festgelegt, dass die Kassenärztlichen Vereinigungen der Länder im Rahmen ihrer Abrechnungsprüfungen stichprobenartig oder dann, wenn Veranlassung dazu besteht, gezielte vertiefte Prüfungen vornehmen müssen. Für die Durchführung der Prüfung sind die Leistungserbringer und die sonstigen abrechnenden Stellen verpflichtet, der Kassenärztlichen Vereinigung auf Verlangen Auskunft zu erteilen und die Dokumentation zu überlassen, die für die Prüfung erforderlich ist. Hierzu zählt insbesondere die Auftrags- und Leistungsdokumentation. Die Kassenärztliche Vereinigung war somit befugt, die für die Zwecke der Prüfung erforderlichen Daten zu verarbeiten und geeignete Dritte mit der Prüfung zu beauftragen.

Die Kassenärztliche Vereinigung Schleswig-Holstein beauftragte ein Inkassobüro mit der Prüfung. Da dieser Beauftragung ein Vertrag zur Auftragsverarbeitung zugrunde lag, waren keine Anhaltspunkte für einen datenschutzrechtlichen Verstoß erkennbar.

4.5.2       Online-Meldung  von Corona-Infektionen mit verstecktem Tracking ?

Das Infektionsschutzteam einer Kreisverwaltung ermöglichte im Herbst 2022 Personen, die sich mit dem Coronavirus infiziert hatten, ihrer zu diesem Zeitpunkt bestehenden Meldepflicht mittels eines online zur Verfügung gestellten „Kontaktformulars für Positive“ nachzukommen. Als besondere Serviceleistung wurden zudem u. a. eine Vorlesefunktion, ein Übersetzungsprogramm und ein Tool für die Barrierefreiheit angeboten. Genutzt wurden hierfür die Angebote externer Dienstleister (u. a. ReadSpeaker, Google und DIGIaccess).

Allerdings fehlte eine ausreichende Information über die beabsichtigte Datenverarbeitung (Artikel 13 DSGVO). Zudem wurden die betroffenen Personen nicht darüber aufgeklärt, dass bei Nutzung der Vorlesefunktion, des Übersetzungsprogramms und des Tools für die Barrierefreiheit personenbezogene Daten an die Dienstleister übermittelt werden. Die betroffenen Personen waren im Zweifel völlig ahnungslos. Für die Übermittlung der personenbezogenen Nutzerdaten an die Dienstleister lag deren Einverständnis nicht vor.

Die Kreisverwaltung reagierte umgehend auf unsere Nachfrage. Das Online-Meldeportal wurde um die fehlenden Informationen zum Zweck der Datenverarbeitung ergänzt. Zudem wurde die Nutzung der Vorlesefunktion, des Übersetzungsprogramms und des Tools für die Barrierefreiheit von dem Einverständnis der Nutzenden abhängig gemacht. Es wurde zugesagt, einen eindeutigen Hinweis aufzunehmen, dass die Nutzung der Dienste die Übermittlung personenbezogener Daten an die externen Dienstleister bedingt.

Was ist zu tun?
Nutzen Verantwortliche bei ihren Online-Angeboten externe Dienstleister, so müssen diese ausdrücklich darauf hinweisen, wenn bei der Nutzung dieser Dienste personenbezogene Daten an die Dienstleister übermittelt werden.

 

4.5.3       Bereitstellung einer Kopie der Patientenakte kostenfrei

§ 630g Abs. 1 und 2 BGB
1. Dem Patienten ist auf Verlangen unverzüglich Einsicht in die vollständige, ihn betreffende Patientenakte zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Die Ablehnung der Einsichtnahme ist zu begründen. § 811 BGB ist entsprechend anzuwenden.
2. Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen. Er hat dem Behandelnden die entstandenen Kosten zu erstatten.

Patientinnen und Patienten von Arztpraxen, Kliniken, Pflegeeinrichtungen und anderen Stellen haben ein Recht auf Einsicht in die eigenen Behandlungsunterlagen. Vorschriften im Bürgerlichen Gesetzbuch (BGB) sehen darüber hinaus vor, dass elektronische Abschriften verlangt werden können und dem Behandelnden die entstandenen Kosten zu erstatten sind.

§ 10 Abs. 2 Berufsordnung der Ärztekammer Schleswig-Holstein
Ärzte haben Patientinnen und Patienten auf deren Verlangen in die sie betreffende Dokumentation Einsicht zu gewähren, soweit der Einsichtnahme nicht erhebliche therapeutische Gründe oder erhebliche Rechte des Arztes oder Dritter entgegenstehen. Auf Verlangen sind dem Patienten Kopien der Unterlagen gegen Erstattung der Kosten herauszugeben.
§ 12 Abs. 4 Berufsordnung der Zahnärztekammer Schleswig-Holstein
Der Zahnarzt hat dem Patienten auf dessen Verlangen, Einsicht in die ihn betreffenden zahnärztlichen Dokumentationen zu gewähren. Auf Verlangen sind dem Patienten Kopien der Unterlagen gegen Erstattung der Kosten herauszugeben.

Verschiedene Berufsordnungen sehen zudem vor, dass den Patientinnen und Patienten auf deren Verlangen Kopien der ärztlichen Dokumentation gegen Kostenerstattung herauszugeben sind. Erfasst sind davon etwa Aufzeichnungen über Befunde und Behandlungsmaßnahmen, die zu jeder zu behandelnden Person getrennt zu führen sind. Beispielhaft bestehen etwa solche Regelungen in den Berufsordnungen der Ärzte- und Zahnärztekammer.

Art. 15 Abs. 3 Satz 1 und 2 DSGVO
Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

Ein weiterer Anspruch auf Erhalt einer Kopie der vorhandenen Patientenunterlagen ergibt sich aus der DSGVO. Die erste Kopie ist demnach kostenfrei zur Verfügung zu stellen.

Uns erreichen in diesem Zusammenhang immer wieder Beschwerden über eine Nichterteilung kostenfreier Auskünfte aus den Patientenunterlagen oder eine Bereitstellung solcher Unterlagen ausschließlich gegen Kostenerstattung.

Das Landgericht Dresden hatte bereits mit Urteil vom 29.05.2020, Az. 6 O 76/20, entschieden, dass die erste Bereitstellung von Patientenunterlagen nicht von einer Kostenerstattung abhängen darf, soweit sich die Patientinnen oder Patienten dabei auf den Auskunftsanspruch nach der DSGVO berufen. Nach Überzeugung des Gerichts steht dieser Bewertung nicht entgegen, dass nach nationalem Recht, vor allem nicht auf Grundlage von § 630g BGB, eine Kostenerstattung vorgesehen ist. Dieser Einordnung ist das ULD seither gefolgt und wirkte in Beschwerdeverfahren auf die Bereitstellung kostenfreier Kopien der Patientenunterlagen hin.

Der Europäische Gerichtshof (EuGH) hat in einer Entscheidung vom 26.10.2023, Az. C-307/22, nunmehr für weitere Klarheit und Sicherheit in der Rechtsanwendung gesorgt und vor allem folgende Punkte hervorgehoben:

• Ein Arzt, der eine vorgeschriebene Dokumentation für seine Patienten führt, ist als datenschutzrechtlich Verantwortlicher im Sinne der DSGVO anzusehen und unterliegt damit den mit dieser Eigenschaft einhergehenden Verpflichtungen, wobei er insbesondere auf Antrag der betroffenen Personen gewährleistet, dass über die personenbezogenen Daten Auskunft erteilt wird.
• Die unentgeltliche Zurverfügungstellung einer ersten Kopie der personenbezogenen Daten ist nicht davon abhängig, dass die betroffenen Personen ihren Antrag begründen.
• Aus den Erwägungsgründen der DSGVO ist zu entnehmen, dass das Recht der betroffenen Personen auf Auskunft über ihre personenbezogenen Daten im Hinblick auf ihre gesundheitsbezogenen Daten auch Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten, einschließt.
• Angesichts der Bedeutung, die die DSGVO dem garantierten Recht auf Auskunft über die personenbezogenen Daten beimisst, darf die Ausübung dieses Rechts folglich nicht von Bedingungen abhängig gemacht werden, die der Unionsgesetzgeber nicht ausdrücklich festgelegt hat. Nationale Regelungen, die eine entgeltliche Bereitstellung der Kopie von Patientenunterlagen vorsehen, haben daher auf einen Auskunftsanspruch nach der DSGVO keinen Einfluss.

Was ist zu tun?
Betroffene Personen, die bei den Verantwortlichen unter Berufung auf die DSGVO eine Kopie ihrer Patientenunterlagen begehren, haben ein Recht darauf, dass ihnen die erste Kopie unentgeltlich zur Verfügung gestellt wird. Ärztinnen und Ärzte sowie andere verpflichtete Stellen müssen diese Vorgaben berücksichtigen. Im Falle der Versendung einer digitalen Kopie ist auf eine angemessene Verschlüsselung zu achten.

 

4.5.4       Erhebung des Corona-Impfstatus  von Beschäftigten im Jahr 2023

Die Coronapandemie konfrontierte in den vergangenen Jahren auch Datenschützerinnen und Datenschützer mit vielen rechtlichen und praktischen Fragen (39. TB, Tz. 1.1; 40. TB, Tz. 4.1.3; 41. TB, Tz. 4.1.4). Während das Thema immer mehr aus der allgemeinen Berichterstattung gewichen ist, beschäftigt die Infektionskrankheit vor allem das Gesundheitswesen jedoch noch immer.

DSK-Beschluss vom 13. April 2022
Jedenfalls muss eine Löschung aller auf Grundlage des § 20a IfSG verarbeiteten Daten spätestens mit Ablauf der Rechtsgrundlage am 31. Dezember 2022 erfolgen.

Eine entscheidende Neuerung zum 01.01.2023 war das Auslaufen der sogenannten einrichtungsbezogenen Impfpflicht nach dem nun gestrichenen § 20a Infektionsschutzgesetz. Die Regelung schrieb Beschäftigten von medizinischen oder pflegerischen Einrichtungen die Vorlage eines Immunitätsnachweises vor. Bereits im Vorhinein machte die Datenschutzkonferenz auf den Verbleib von Datenbeständen aufmerksam, die auf Grundlage dieser Regelung erhoben worden sind:

Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 13. April 2022: „Zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht“:
https://www.datenschutzkonferenz-online.de/media/dskb/2022_13_04_beschluss_DSK_20a_IfSG.pdf
Kurzlink: https://uldsh.de/tb42-4-5-4a

§ 23a Satz 1 IfSG
Soweit es zur Erfüllung von Verpflichtungen aus § 23 Abs. 3 in Bezug auf übertragbare Krankheiten erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden.

Eine Anfrage an das ULD im Jahr 2023 brachte nun die Frage auf, ob ein Krankenhaus trotz Wegfall der Corona-Impfpflicht weiterhin den Impfstatus von Bewerberinnen oder Bewerbern für eine medizinische Berufsausbildung erheben darf. Zur Klärung der Sach- und Rechtslage im konkreten Fall wurde das betreffende Klinikum angehört. Tatsächlich konnte es für die Verarbeitung auf eine andere Rechtsgrundlage aus dem Infektionsschutzgesetz verweisen.

Die hier benannten Verpflichtungen treffen die Leitungen von Gesundheitseinrichtungen wie Kliniken und Krankenhäusern, die einer Weiterverbreitung von Infektionskrankheiten entgegenwirken müssen. Das Gesetz verweist bezüglich der Einschätzung solcher Gefahren auf die veröffentlichten Empfehlungen des Robert-Koch-Instituts. Eine Covid-19-Impfung für Personal in medizinischen Einrichtungen wird darin noch immer nahegelegt. Die entsprechende Mitteilung war zum Zeitpunkt der Abfassung dieses Beitrags weiterhin aktuell.

Anders als die ausgelaufene einrichtungsbezogene Impfplicht erstreckt sich diese Regelung nicht pauschal auf alle Mitarbeitenden in einem Krankenhaus. Die genannten Empfehlungen zu § 23 Abs. 3 IfSG stellen im Sinne einer Erforderlichkeitsbetrachtung auf den Kontakt verschiedener Berufsgruppen mit Patientinnen und Patienten sowie auf deren Vulnerabilität ab. Außen vor sind damit etwa Beschäftigte in der Verwaltung oder der Haustechnik medizinischer Einrichtungen.

Solange sich Infektionsschutzmaßnahmen mit Bezug auf das Coronavirus fachlich begründen lassen, müssen Mitarbeitende, Bewerberinnen und Bewerber bestimmter Berufsgruppen jedoch unter Umständen dulden, dass ihr Impfstatus erhoben und verarbeitet wird, um ihre Einsatzbereitschaft in verschiedenen empfindlichen Arbeitsbereichen beurteilen zu können. Nicht vorweggenommen wird mit dieser Grundlage zur Datenverarbeitung die Zulässigkeit daran gegebenenfalls ansetzender arbeitsrechtlicher Konsequenzen.

Die Rechtslage entspricht nun wieder der Situation vor dem 16. März 2022, als die allgemeine einrichtungsbezogene Impfpflicht wirksam geworden war. Hinzuweisen ist daher auch auf den bereits älteren Beschluss der Datenschutzkonferenz „Verarbeitungen des Datums ‚Impfstatus‘ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber“ vom 19. Oktober 2021, der damit anwendbar bleibt:
https://www.datenschutzkonferenz-online.de/media/dskb/20211025_DSK_Beschluss_Impfstatus_von_Besch%C3%A4ftigten.pdf
Kurzlink: https://uldsh.de/tb42-4-5-4b

Die Beschlüsse der Datenschutzkonferenz sind, nach Jahrgängen sortiert, u. a. hier abrufbar:
https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html
Kurzlink: https://uldsh.de/tb42-4-5-4c

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel