Datenschutzrecht für Ärzte, Teil 2: Schutzbereich und Adressaten des BDSG

Im zweiten Teil dieser Serie geht es um die Einordnung der Arztpraxis in den Anwendungsbereich des Bundesdatenschutzgesetzes (BDSG). Daneben werden wichtige datenschutzrechtliche Grundbegriffe erläutert.
Die Grundlage des Datenschutzes - auch in Arztpraxen - bilden die allgemeinen Datenschutzvorschriften, allen voran das Bundesdatenschutzgesetz (BDSG). Da das BDSG grundsätzlich keine Vorschriften für bestimmte Sachverhalte beinhaltet, wird es auch als "Querschnittsgesetz" bezeichnet. Alle Bereiche, die mit der Verarbeitung und Nutzung personenbezogener Daten in Berührung kommen, können damit erfaßt werden. Neben den Regelungen im BDSG gewährleisten aber noch andere Fachgesetze wie das Sozialgesetzbuch den Schutz dieser Daten. Innerhalb der Fachgesetze kommt dem BDSG lediglich eine "Auffangfunktion" zu. Somit repräsentiert es nicht den "Datenschutz in toto", sondern nur ein "Stück Datenschutz".
Schutzbereich des BDSG
§ 1 Abs. 1 BDSG enthält eine grundsätzliche Zielbestimmung des Gesetzes. Datenschutz ist nicht allein der Schutz von Daten. Vielmehr soll der von der Datenverarbeitung Betroffene (etwa der Patient) vor den Gefahren der Datenverarbeitung geschützt, das heißt, er soll vor Beeinträchtigungen in seinem Persönlichkeitsrecht durch die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten geschützt werden. "Personenbezogene Daten" ist der wichtigste und am häufigsten verwendete Begriff im Datenschutzrecht. Um von personenbezogenen Daten sprechen zu können, müssen diese zwei Merkmale aufweisen: Sie müssen Einzelangaben sowie Angaben über persönliche oder sachliche Verhältnisse enthalten.
Einzelangaben sind Informationen, die sich auf eine natürliche Person beziehen oder einen Bezug zu dieser ermöglichen. Eine Einzelangabe liegt nur dann vor, wenn die Angabe einer bestimmten oder bestimmbaren Person zugeordnet werden kann. Bestimmbar ist eine Person, wenn ein Bezug zu ihr mit normalerweise zur Verfügung stehenden Mitteln mit verhältnismäßigem Aufwand hergestellt werden kann, etwa durch Nachschlagen im Telefonbuch. Aggregierte Daten über Personengruppen oder anonymisierte Daten, das heißt Daten, bei denen einzelne Angaben nicht mehr erkennbar sind, fallen nicht unter Einzelangaben.
Die Einzelangabe muß weiter Angaben über persönliche oder sachliche Verhältnisse der natürlichen Person zum Gegenstand haben. Einzelangaben über persönliche Verhältnisse sind zum Beispiel Name, Alter, Angaben über den Gesundheitszustand, politische Einstellung, Vorstrafen oder Fotos. Zu den Einzelangaben über sachliche Verhältnisse gehören Wohnungsbesitz, Kfz-Kennzeichen, Bankguthaben u. a. Auch Werturteile - etwa "guter Kunde", "schwierig im Umgang" - gehören im Sinne der gesetzlichen Definition dazu, da diese etwas über die Verhältnisse des Betroffenen aussagen. Personenbezogen sind Daten nur dann, wenn sie sich auf eine natürliche Person beziehen. Die Aussage des BDSG stellt eine Einschränkung der Grundrechte dar, da diese nach Art. 19 Abs. 3 GG "auch für inländische juristische Personen, soweit sie ihrem Wesen nach auf diese anwendbar sind", gelten. Sie können datenschutzrechtliche Ansprüche nur aus dem allgemeinen Persönlichkeitsrecht ableiten.
Daten Verstorbener finden im BDSG keinen Schutz. Das BDSG setzt eine aktive Beteiligung am Datenverarbeitungsprozeß - zum Beispiel bei der Erteilung der Einwilligung nach § 4 Abs. 2 BDSG - voraus. Diese Einwilligung kann nur von einer lebenden Person gegeben werden.
Normadressaten
Das BDSG regelt in § 1 Abs. 2 den Anwendungsbereich des Gesetzes auf zweierlei Art: Zum einen werden die öffentlichen und nichtöffentlichen Stellen benannt, die das BDSG anzuwenden haben (Adressaten), zum anderen wird der sachliche Anwendungsbereich bestimmt.
Öffentliche Stellen des Bundes sind alle Stellen des Verwaltungsträgers "Bundesrepublik Deutschland": n Bundesbehörden, n Organe der Rechtspflege (Bundesverfassungsgericht und die obersten Bundesgerichte) und n andere öffentlich-rechtlich organisierte Einrichtungen des Bundes sowie deren Vereinigungen (etwa eine durch den Bund beherrschte GmbH).
Da bereits in allen Bundesländern eigene Datenschutzgesetze erlassen wurden, sind diese Landesdatenschutzgesetze und nicht das BDSG auf die öffentlichen Stellen der Länder (etwa Landesbehörden, Kommunalverwaltungen) anzuwenden.
Das BDSG verzichtet auf eine abstrakte Umschreibung der nichtöffentlichen Stellen. § 2 Abs. 4 Satz 1 BDSG zählt sie statt dessen auf: juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit diese nicht zu den öffentlichen Stellen des Bundes oder der Länder gehören. Zu den nichtöffentlichen Stellen gehören ferner die natürlichen Personen, gleichviel ob sie als Privatperson agieren, einen freien Beruf (zum Beispiel Arzt) oder ein Gewerbe ausüben. Juristische Personen des Privatrechts sind:
n rechtsfähige Vereine mit ideeller Zielsetzung (§ 21 BGB), sogenannte eingetragene Vereine (zum Beispiel Sport- und Gesangvereine),
n rechtsfähige Vereine mit wirtschaftlicher Zielsetzung (§ 22 BGB) (Taxizentralen oder Inkassovereine),
n Kapitalgesellschaften wie AG, GmbH, KGaA.
Personengesellschaften und andere Personenvereinigungen sind:
n Gesellschaften des Bürgerlichen Rechts (§§ 705 ff. BGB),
n Personengesellschaften des Handelsrechts, die ein Handelsgewerbe betreiben (OHG, KG, GmbH & Co. KG),
n nichtrechtsfähige Vereine (§ 54 BGB) (politische Parteien, Gewerkschaften).
Räumlicher Anwendungsbereich
Für nichtöffentliche Stellen (§ 2 Abs. 4 BDSG) ist der räumliche Anwendungsbereich - wie bei den öffentlichen Stellen - die Bundesrepublik Deutschland, das heißt, er richtet sich nach dem Ort des Datenumgangs. Im Inland tätige ausländische nichtöffentliche Stellen mit Sitz im Ausland fallen unter das BDSG, im Ausland tätige inländische nichtöffentliche Stellen unterliegen dort nicht dem BDSG. Alle nichtöffentlichen Stellen, die im Inland mit personenbezogenen Daten umgehen, fallen somit unter den Anwendungsbereich des BDSG.
Sachlicher Anwendungsbereich
Der sachliche Anwendungsbereich erfaßt den gesamten Umgang mit personenbezogenen Daten. Darunter fallen Erhebung, Verarbeitung und Nutzung.
Erhebung: Gemäß § 3 Abs. 4 BDSG bedeutet "Erheben" das zielgerichtete Beschaffen von Daten über den Betroffenen. Die Datenerhebung fällt nicht unter die Phasen der Datenverarbeitung (§ 3 Abs. 5 BDSG), sondern ist als eigenständiger Begriff definiert. Die Datenerhebung muß als Vorphase der eigentlichen Datenverarbeitung gesehen werden. Die Erhebung kann mündlich oder schriftlich geschehen, muß jedoch auf einer aktiven Tätigkeit beruhen. Beispiele hierfür sind:
n Erfragen personenbezogener Angaben durch Aktenanforderung,
n Beobachtung personenbezogener Verhältnisse,
n Fotografieren, Filmen bestimmter oder bestimmbarer Personen,
n Untersuchungen bzw. Tests (etwa Blutproben, Genomanalyse).
Datenverarbeitung: In § 3 Abs. 5 BDSG werden fünf Arten des Umgangs mit personenbezogenen Daten zum Sammelbegriff "Verarbeitung" zusammengefaßt (siehe Kasten auf Seite 12). Nutzung: Hierunter ist jede Verwendung personenbezogener Daten zu verstehen, soweit es sich nicht um Verarbeitung (Speicherung, Veränderung, Übermittlung, Sperrung und Löschung) handelt. Damit wird die Nutzung zu einem umfassenden Auffangtatbestand, der dann gegeben ist, wenn der Umgang mit personenbezogenen Daten keiner anderen Verarbeitungsphase zugerechnet werden kann. Darunter fällt zum Beispiel das "Durchblättern" einer Datenbankdatei (etwa einer Patientendatei), wobei alle vom Bearbeiter (Beispiel: die Sprechstundenhilfe) zur Kenntnis genommenen Daten genutzt werden, oder der Abgleich von Datenbeständen. Während bei öffentlichen Stellen des Bundes das BDSG uneingeschränkt (bezogen auf Dateien und Akten) gilt, ist der sachliche Anwendungsbereich des BDSG bei nichtöffentlichen Stellen (zum Beispiel Arztpraxen) auf eine Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien beschränkt. Dies stellt eine Verminderung des Schutzniveaus dar. Folglich schützt die Vorschrift des § 1 Abs. 2 Nr. 3 BDSG im nichtöffentlichen Bereich (Privatwirtschaft) nicht den Umgang mit personenbezogenen Daten in oder aus Akten oder Bild- und Tonträgern. Es gibt zwei Ausnahmen dieser Beschränkung:
n Daten in Akten, die offensichtlich aus einer Datei entnommen wurden, werden in das BDSG einbezogen (§ 27 Abs. 2 BDSG).
n Nichtöffentliche Stellen, welche personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung speichern (Auskunfteien, Detekteien), müssen dem Betroffenen auch Auskunft geben, wenn die "Angaben nicht gespeichert sind", das heißt, wenn diese in Aktenform vorliegen. Uwe M. Seidel

Der dritte Teil wird unter anderem den datenschutzrechtlichen Datei- und Aktenbegriff sowie die Ausnahmen bei der Anwendung des BDSG thematisieren.