ArchivDÄ-TitelSupplement: PRAXiSPraxis Computer 1/1999Datenschutzrecht für Ärzte, Teil 4: Die Einwilligung der Patienten in die Verarbeitung und Nutzung von Daten

Supplement: Praxis Computer

Datenschutzrecht für Ärzte, Teil 4: Die Einwilligung der Patienten in die Verarbeitung und Nutzung von Daten

Dtsch Arztebl 1999; 96(11): [11]

Seidel, Uwe M.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Teil 4 der Serie gibt einen Überblick über die Voraussetzungen, unter denen die Datenverarbeitung und -nutzung durch den Arzt zulässig ist. Darüber hinaus wird aufgezeigt, welche Anforderungen an eine wirksame Einwilligung des Betroffenen in die Verarbeitung und Nutzung seiner personenbezogenen Daten nach dem Bundesdatenschutzgesetz (BDSG) gestellt werden.


Der Schutz des Persönlichkeitsrechts des Patienten wird durch Regelungen im BDSG über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten gewährleistet, die der Arzt im individualrechtlichen Behandlungsverhältnis zum Patienten zu beachten hat.
Zulässigkeitsvoraussetzungen der Datenverarbeitung
Das BDSG ist im Verhältnis Patient-Arzt nach den allgemeinen Grundsätzen anwendbar. Das Grundprinzip, daß personenbezogene Daten nicht verarbeitet und genutzt werden dürfen, ist in § 4 Abs. 1 BDSG festgeschrieben. Jedoch gilt dieses Verbot nicht uneingeschränkt - es ist vielmehr ein Verbot mit Erlaubnisvorbehalt.
Die Zulässigkeit, Daten zu verarbeiten und zu nutzen, wird in zweierlei Hinsicht geregelt: Sie kann entweder durch das BDSG oder eine andere Rechtsvorschrift erlaubt bzw. angeordnet oder durch den Betroffenen genehmigt sein. Die Einwilligung des Betroffenen (hier: Patient) muß sich auf jede Phase (Erheben, Verarbeiten, Nutzen von Daten) erstrecken. Dies gibt ihm die Möglichkeit, zum Beispiel nur die Speicherung und Nutzung, nicht aber die Übermittlung an Dritte zu gestatten. Die Zulässigkeit der Datenerhebung ergibt sich für den öffentlichen Bereich aus § 13 BDSG und für den nichtöffentlichen Bereich (Beispiel Ärzte) aus §§ 28, 29 BDSG.
Einwilligung des Betroffenen
Personenbezogene Daten dürfen dann verarbeitet und genutzt werden, wenn der Betroffene dafür seine Einwilligung gibt (§ 4 Abs. 1 BDSG). Die Einwilligung kann jederzeit vom Betroffenen widerrufen werden. Der Widerruf kann allerdings nur für die Zukunft gelten und besitzt keine Rückwirkung. Eine bereits getätigte Verarbeitung und Nutzung ist somit durch die vorherige Einwilligung gedeckt und rechtmäßig.
Im öffentlichen Bereich spielt die Einwilligung des Betroffenen eine geringere Rolle, weil hier die Datenverarbeitung und -nutzung meist durch Rechtsvorschrift gestattet ist und eine Zustimmung nur in Forschungs- oder Planungsfällen oder in Fällen der Übermittlung von Daten an private Dritte eingeholt werden muß. Im Privatbereich wird eine Einwilligung regelmäßig im Rahmen der einzelnen Vertragsverhältnisse (zum Beispiel Kauf-, Miet-, Behandlungsverträge) vom Betroffenen gefordert. Eine gesonderte Einwilligung muß nur dann eingeholt werden, wenn ein derartiges Vertragsverhältnis nicht besteht.
Eine Einwilligung gilt erst dann als rechtswirksam, wenn diese vom Betroffenen ohne rechtlichen und faktischen Zwang und ohne arglistige Täuschung abgegeben wurde. Jedoch bleibt dem Bürger oft keine andere Wahl, als den Behörden und Arbeitgebern seine personenbezogenen Daten preiszugeben. Darüber hinaus ist für die Einsichtsfähigkeit in die Tragweite der Entscheidung (hier: Einwilligung) die Geschäftsfähigkeit des Betroffenen nicht erforderlich, sondern auch Minderjährige - mit entsprechender Einsicht - können ihre Einwilligung geben.
Hinweispflicht
Nach § 4 Abs. 2 Satz 1 BDSG muß die speichernde Stelle (zum Beispiel Arzt, Bank, Behörde) den Betroffenen über den Zweck der Datenspeicherung und einer vorgesehenen Übermittlung aufklären. Des weiteren hat sie - auf Verlangen des Betroffenen - die Pflicht, die Folgen der Verweigerung der Einwilligung darzulegen.
Die Aufklärung über den Zweck einer Speicherung und gegebenenfalls einer Übermittlungsabsicht ist grundsätzlich nur für den Einzelfall zulässig. Eine generelle Erklärung oder eine Blankovollmacht - oftmals fälschlicherweise als Datenschutzklausel bezeichnet - mit dem Inhalt, daß sich der Betroffene mit der Verarbeitung seiner personenbezogenen Daten einverstanden erklärt, reicht nicht aus. Um zu wissen, was mit den eigenen personenbezogenen Daten geschieht, muß der Betroffene erst einmal erfahren, um welche personenbezogenen Daten es sich handelt. Zu diesem Zweck muß eine "Datenschutzklausel" die betreffenden Daten nennen oder auf diese Bezug nehmen, etwa durch einen Hinweis wie "die Daten des ...-Antrags auf Seite ...". Ein Zweifel über die Art und den Umfang der Daten muß durch diesen Hinweis ausgeräumt werden.
Neben dem Hinweis, "was" gespeichert werden soll, muß die Hinweispflicht auch beinhalten, ob die Daten zur Übermittlung an einen Dritten bestimmt sind. Wenn dies der Fall ist, sind Empfänger und Umfang der zu übermittelnden Daten anzugeben.
Einen Hinweis auf die Folgen der Verweigerung der Einwilligung muß die speichernde Stelle nur auf Verlangen des Betroffenen geben, das heißt, wenn der Betroffene ausdrücklich darauf hinweist. Die Hinweispflicht besteht nicht, wenn dieser die Daten selbst (freiwillig) zur Verfügung stellt, da hierbei eine Einwilligung konkludent gegeben ist.
Es ist notwendig, daß die Einwilligungserklärung vom Betroffenen selbst abgegeben wird. Eine Vertretung durch Vollmachterteilung ist nicht möglich, da höchstpersönliche Entscheidungen nicht auf Dritte übertragen werden können. Dritte können nur als Überbringer der Einwilligungserklärung fungieren.
Bei der Verweigerung der Einwilligung durch den Antragsteller im öffentlichen Bereich kann die Behörde dessen Antrag zurückweisen. Dem Antragsteller muß dieser Nachteil zugemutet werden, wenn er als Folge persönlicher Entscheidung eine Mitwirkung durch Einwilligungsverweigerung unterläßt (vgl. Beschluß des BGH vom 25. Februar 1985, in: NJW 1985, S. 1842 ff.). Auch im Bereich der Privatwirtschaft (Banken, Versicherungen) wird der Betroffene oft mit diesen Nachteilen konfrontiert, etwa wenn er die Einwilligung zur Übermittlung seiner Daten an eine Kreditauskunftei nicht erteilt.
Das BDSG sieht bei einer Verletzung der Hinweispflicht durch die speichernde Stelle keine Folgen vor. Im öffentlichen Bereich kann sich aber aus § 839 BGB eine Amtspflichtverletzung ergeben, nach der die speichernde Stelle einen dem Betroffenen entstandenen Schaden zu ersetzen hat. Im nichtöffentlichen Bereich könnte sich eine Schadensersatzforderung für den Betroffenen aus § 823 BGB ergeben. Außerdem käme noch eine Nebenpflichtverletzung mit der Möglichkeit zur Schadensersatzforderung oder zum Rücktritt in Betracht.
Nach heutiger Auffassung ist eine auf der schriftlichen Einwilligungserklärung basierende Datenverarbeitung oder -nutzung trotz Verletzung der Hinweispflicht grundsätzlich zulässig.
Form der Einwilligung
Die Einwilligung bedarf grundsätzlich der Schriftform, sofern nicht wegen besonderer Umstände davon abgesehen werden kann. Die Einwilligung muß der Betroffene höchstpersönlich geben. Ein Verstoß gegen die Schriftform des § 4 Abs. 1 Satz 2 BDSG führt stets zur Unzulässigkeit der Datenverarbeitung/
-nutzung und zur Unwirksamkeit der Einwilligung nach § 125 BGB, wenn nicht unter besonderen Umständen eine andere Form angemessen sein kann.
Eine "andere Form" kann beispielsweise bei Geschäftsbeziehungen von langjähriger Dauer möglich sein, bei der es unter Umständen nicht vertretbar ist, bei jeder Datenerhebung eine schriftliche Einwilligungserklärung abzugeben. Hat der Betroffene einmal seine Einwilligung gegeben, kann davon ausgegangen werden, daß diese - unter unveränderten Verhältnissen - weiterhin Gültigkeit besitzt. Ein Verzicht auf die Schriftform der Einwilligungserklärung - das heißt, die Erklärung wird mündlich oder fernmündlich abgegeben - ist auch in Eilbedürftigkeitsfällen, etwa bei einer dringenden Aufnahme in ein Krankenhaus, möglich. "Besondere Umstände" werden verneint, wenn es um die bloße Einwilligung zur Weitergabe von Patientendaten an eine gewerbliche Abrechnungsstelle zum Zwecke der Honorarberechnung geht (vgl. Urteil des OLG Bremen vom 18. November 1991, in: RDV 1992, S. 133 ff.).
Wird eine Einwilligung nicht gesondert, sondern in Verbindung mit anderen Erklärungen eingeholt, so ist sie nach § 4 Abs. 2 Satz 3 BDSG im äußeren Erscheinungsbild hervorzuheben. Damit soll verhindert werden, daß der Betroffene, zum Beispiel im Rahmen der Unterzeichnung eines Vertragsverhältnisses, die Einwilligungserklärung ohne besondere Kenntnisnahme abgibt. Der Gesetzgeber will zudem vermeiden, daß die Einwilligungserklärung bei Formularverträgen im "Kleingedruckten" ausgewiesen wird. Die Erklärung der Einwilligung zur Datenverarbeitung bzw. -nutzung soll durch eine Hervorhebung im äußeren Erscheinungsbild, etwa durch drucktechnische Möglichkeiten, vom Kontext abgehoben werden. Ist dies nicht möglich, muß durch eine Anmerkung an "exponierter Stelle" auf die Einwilligung aufmerksam gemacht werden (strittig).
Normative Regelungen
Die Datenverarbeitung und -nutzung ist auch ohne Einwilligung des Betroffenen zulässig, wenn sie durch das BDSG selbst (siehe Kasten, Seite 12) oder eine andere Rechtsvorschrift außerhalb des BDSG erlaubt ist. Bei den Rechtsvorschriften außerhalb des BDSG kann zwischen Zulässigkeits- und Verbotsnormen unterschieden werden.
Zulässigkeitsnormen: Die bereichsspezifischen Bundesvorschriften, die nach § 1 Abs. 4 BDSG auf personenbezogene Daten und deren Veröffentlichung anzuwenden sind, gehen dem BDSG immer vor. Liegt keine bereichsspezifische Bundesvorschrift vor, kann die Datenverarbeitung nach "anderen Vorschriften" zulässig sein. Hierzu gehören alle materiellen Rechtsnormen, die einen bestimmten Lebensbereich und Sachverhalt regeln. Erforderlich für die Nachrangigkeit des BDSG ist, daß die speziellere Norm die Verarbeitung von personenbezogenen Daten in allen Phasen regelt. Bei den "anderen Rechtsvorschriften" muß es sich um Gesetze, Rechtsverordnungen oder autonome Satzungen (zum Beispiel Satzungen von Körperschaften, Betriebs- und Dienstvereinbarungen) handeln. Verwaltungsvorschriften oder Richtlinien, die interne Regelungen darstellen, reichen nicht aus, ebensowenig wie Satzungen von Vereinen, Parteien, Aktiengesellschaften und privatrechtlichen Stiftungen. Zu den vorrangigen Erlaubnisnormen (kollektivrechtliche Zulässigkeitsregelungen) gehört auch der normative Teil von Tarifverträgen, soweit dieser den Anforderungen des Volkszählungsurteils in bezug auf Normenklarheit und Verhältnismäßigkeit Rechnung trägt.
Verbotsnormen: Hierzu gehören Vorschriften, die ein Übermittlungsverbot personenbezogener Daten beinhalten. Vor allem im Hinblick auf Arbeitnehmerdaten gelten besondere Schweige- und Geheimhaltungsgebote, etwa das Geheimhaltungsgebot bezüglich der Angaben auf der Lohnsteuerkarte oder die ärztliche Schweigepflicht. Die Verarbeitung personenbezogener Daten ist widerrechtlich, wenn diese unzulässigerweise in Erfahrung gebracht oder erhoben wurden. Dies spielt beim Fragerecht des Arbeitgebers eine besondere Rolle: Dieser darf nur Fragen stellen, die das Arbeitsverhältnis unmittelbar betreffen. Die Speicherung unzulässig übermittelter Daten ist ebenso zu unterlassen wie die Speicherung unrichtiger Daten. Hat die speichernde Stelle Kenntnis von der Unrichtigkeit der Daten, muß sie die Speicherung unterlassen; hat sie nur Zweifel an der Richtigkeit, ist eine Richtigkeitskontrolle durchzuführen.
Zu den vorrangigen Rechtsvorschriften (des Bundes) zählen beispielsweise das Sozialgesetzbuch (SGB), das Bundesverfassungsschutzgesetz (BVerfSchG) oder das Bundesnachrichtendienstgesetz (BNDG). Uwe M. Seidel
Der folgende Beitrag in PC 2/99 zum Thema Datenschutz in der Arztpraxis wird einen Überblick über die Rechtsgrundlagen der Datenverarbeitung bei Ärzten geben.
Zum Autor
Dipl.-Kfm. Dr. rer. pol. Uwe M. Seidel ist Seniorberater bei der KPMG Consulting GmbH, München, und Autor von Beiträgen zum Rechnungswesen und zum Datenschutz- und Telekommunikationsrecht.


Bisher sind in der Artikelserie zum Datenschutzrecht für Ärzte erschienen:
- Teil 1: Datenschutz und ärztliche Schweigepflicht
- Teil 2: Schutzbereich und Adressaten des BDSG
- Teil 3: Dateien und Akten

Regelungen im BDSG
Zulässigkeitsregelungen für die Datenverarbeitung und -nutzung durch öffentliche Stellen des Bundes finden sich - neben den für die Erhebung in § 13 BDSG - in:
- § 14 BDSG für die Speicherung, Veränderung und Nutzung,
- §§ 15 bis 17 BDSG für die Übermittlung, - § 20 Abs. 2 und 3 BDSG für die Löschung und Sperrung.
Hier sind auch die allgemeinen Zulässigkeitsregeln der §§ 5, 9, 10 und 11 BDSG zu beachten, zum Beispiel die Schriftform der Auftragserteilung im Rahmen eines Auftragsdatenverarbeitungverhältnisses.
Neben den Regelungen für öffentliche Stellen des Bundes finden sich im BDSG auch Zulässigkeitsvoraussetzungen der Datenverarbeitung und -nutzung für eigene Zwecke des nichtöffentlichen (privatwirtschaftlichen) Bereichs (Beispiel Ärzte) in:
- § 28 BDSG für die Speicherung, Veränderung, Übermittlung und Nutzung und
- § 35 BDSG für die Sperrung und Löschung.
Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert (Datenverarbeitung und -nutzung für fremde Zwecke), kommen die Zulässigkeitsvoraussetzungen der §§ 29 (Speicherung, Veränderung und Übermittlung), 30 (anonymisierte Übermittlung) und 35 BDSG (Löschung und Sperrung) zur Anwendung.

Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.