Jörg-Alexander Paul

Hauser/Haag, Datenschutz im Krankenhaus


Andrea Hauser/Ina Haag, Datenschutz im Krankenhaus, Düsseldorf (Deutsche Krankenhaus Verlagsgesellschaft mbH) 4. Aufl. 2012, ISBN 978-3-942734-25-7, € 45,-

 

ZD-Aktuell 2013, 03140     Jeder, der sich mit dem Gesundheitsdatenschutz, speziell in größeren Organisationseinheiten wie einem Krankenhaus oder gar einem Gesundheitskonzern, auseinandersetzt, weiß, dass es sich dabei um ein Thema handelt, welches nicht nur polarisiert, sondern einen in manchen Situationen an den Rand der Verzweiflung treibt: Dies liegt zum einen an den zahlreichen Regelungsmaterien, angefangen vom Datenschutzrecht im engeren Sinne über das Sozialrecht bis hin zur ärztlichen Schweigepflicht, um nur einige Gebiete zu nennen. Aber zum anderen die gesetzlichen Regelungen und ihre Auslegung durch die Datenschutzbehörden einerseits und die Anforderungen in der Praxis andererseits lassen sich häufig kaum miteinander in Einklang bringen. Zusätzlich schwebt über allem noch das Damoklesschwert der strafrechtlichen Verantwortlichkeit.

 

Dieses „Dickicht“ in eine für die Praxis verwertbare Form zu bringen, ist keine leichte Aufgabe, doch die Autorinnen des jetzt in der 4. Auflage vorliegenden Werks – das sei vorab gesagt – haben sie im Großen und Ganzen gut bewältigt. Als Referentinnen in der Rechtsabteilung der Deutschen Krankenhausgesellschaft sind sie regelmäßig mit den alltäglichen Problemen und Nöten der im Krankenhaus tätigen Juristen und/oder Datenschutzbeauftragten konfrontiert; nicht zuletzt daran dürfte es liegen, dass die Auswahl der Inhalte sowie die Schwerpunktsetzung im Wesentlichen überzeugen können.

 

Nach einer kurzen Einführung, die das Recht auf informationelle Selbstbestimmung zum Gegenstand hat, stellen die Autorinnen die Grundlagen des Datenschutzrechts sowie der ärztlichen Schweigepflicht dar. Anschließend und überwiegend behandelt das Werk die Zulässigkeit der Verwendung von Patientendaten innerhalb und außerhalb des Krankenhauses. Dabei ist insbesondere vor dem Hintergrund der Zielgruppe des Werks positiv herauszustellen, dass die rechtlichen Voraussetzungen nicht abstrakt, sondern regelmäßig anhand von konkreten, an den Bedarf von Krankenhäusern orientierten Fallbeispielen erörtert werden. Daneben widmen sich einzelne Kapitel der Funktion und Stellung des betrieblichen Datenschutzbeauftragten, der Dokumentation und Archivierung von Behandlungsunterlagen sowie dem Arbeitnehmerdatenschutz. Letzteres Thema ist allerdings auf mageren 10 Seiten dargestellt, wobei die regelmäßig sehr relevante und oftmals problematische Einwilligung im Arbeitsverhältnis nur punktuell Berücksichtigung findet. Auch wenn es nicht Anspruch des Werks sein kann, das gesamte Arbeitnehmerdatenschutzrecht umfassend darzustellen, so sollte der Leser doch darauf hingewiesen werden, dass eine Erörterung dieses Themas nur ganz summarisch erfolgen kann.

 

Dagegen vermag die Aktualität des Werks zu überzeugen: An vielen Stellen wird auf aktuelle Gesetzesvorhaben auf nationaler und europäischer Ebene eingegangen, z.B. auf den Entwurf zur Änderung des BDSG im Bereich des Arbeitnehmerdatenschutzes (S. 145), den Entwurf zum Patientenrechtegesetz (S. 67 ff.) sowie den Entwurf des Gesetzes zur Fortentwicklung des Meldewesens (S. 119 f.). Lediglich die mit der geplanten Datenschutz-Grundverordnung (DS-GVO) möglicherweise einhergehenden Änderungen hätten angesichts der hohen Relevanz auch für den Gesundheitssektor ausführlicher behandelt werden können.

 

Daneben wurde die Orientierungshilfe Krankenhausinformationssysteme (KIS) der Datenschutzbeauftragten des Bundes und der Länder im Anhang abgedruckt und mit Anmerkungen versehen, die die Gespräche zwischen den Datenschutzbeauftragten und der Deutschen Krankenhausgesellschaft widerspiegeln. Angesichts des Tatsache, dass die Vorgaben der Orientierungshilfe – wie die Autorinnen konstatieren – „äußerst hohe Anforderungen enthalten“ (S. XIII), wäre es wünschenswert gewesen, wenn dem Leser zumindest Ansatzpunkte für ein praxisgerechtes Umschiffen dieser Klippen an die Hand gegeben worden wären.

 

Da das Werk sich, wie eingangs dargestellt, an den Praktiker richtet, ist die wissenschaftliche Tiefe überwiegend angemessen, sodass grundsätzlich zu begrüßen ist, dass nicht jede Verästelung im „Dickicht“ Berücksichtigung findet. Allerdings mangelt es hin und wieder doch an weitergehenden Literaturhinweisen, mit denen sich der Leser ein bestimmtes Problem näher erschließen könnte.

 

Ein wichtiger Kritikpunkt muss allerdings genannt werden, der sich offenbar durch mehrere Auflagen zieht, und es ist schwer nachvollziehbar, weshalb die Autorinnen hier keine Abhilfe geschaffen haben: So hat bereits Helle in seiner Rezension der 2. Auflage des Werks (NJW 2003, 193, 194) zurecht bemängelt, dass die datenschutzrechtliche Einwilligung (vgl. § 4a BDSG) mit der strafrechtlichen Einwilligung (oder treffender: Entbindung von der ärztlichen Schweigepflicht) gewissermaßen „in einen Topf geschmissen“ (vgl. S. 7 ff.) und der konkludenten und mutmaßlichen Einwilligung breiter Raum eingeräumt wird. Dabei wird in der Literatur z.B. bei der datenschutzrechtlichen Einwilligung in Bezug auf sensitive Daten größtenteils davon ausgegangen, dass diese auf Grund des Wortlauts des § 4a Abs. 3 BDSG nicht konkludent oder gar mutmaßlich erfolgen kann. In der Folge bleibt bei der Darstellung der einzelnen Szenarien, bei denen die Verfasserinnen häufig auf das Instrument der konkludenten oder mutmaßlichen Einwilligung zurückgreifen, unklar, ob diese lediglich die Entbindung von der ärztlichen Schweigepflicht umfassen soll oder ob die Autorinnen entgegen der h.M. den Standpunkt vertreten, dass dies auch für den Bereich des Datenschutzrechts möglich sei.

 

Das Werk bleibt auch hinsichtlich der Darstellung der Möglichkeiten und Hemmnisse der Auftragsdatenverarbeitung bemerkenswert unklar. Die Autorinnen gehen auf die Konsequenzen des Konflikts, der sich aus dem Nebeneinander der Regelungen des BDSG einerseits und dem Verbot des Offenbarens von Privatgeheimnissen andererseits (§ 203 StGB) ergibt, nicht ein. Stattdessen nehmen sie den Standpunkt ein, dass eine Auftragsdatenverarbeitung überhaupt nur möglich sein soll, wenn sie in den Landesgesetzen ausdrücklich vorgesehen ist (S. 95).

 

Nicht unerwähnt bleiben kann schließlich, dass die Autorinnen im Zusammenhang mit den Einsichtsrechten in die Patientenakte (S. 62 ff.) die unbedingten Einsichtsrechte nach BDSG nicht einmal diskutieren und stattdessen eine veraltete Entscheidung des BGH dafür heranziehen, dass der Arzt unter bestimmten Voraussetzungen die Einsichtnahme verweigern darf. Diese Frage mag sich ab 2013 erledigen, wenn das Patientenrechtegesetz in der vom Bundestag verabschiedeten Form in Kraft tritt (§ 630g BGB-E).

 

Anspruch der Autorinnen ist es, mit dem Werk „einen umfassenden Überblick über sämtliche relevanten Fragestellungen zum Thema Datenschutz im Krankenhaus [zu] geben“ (S. XIII). Diesem Anspruch werden sie durchaus gerecht; allerdings – das Werk als einzige Quelle für die tägliche Arbeit des Datenschutzrechtlers im Krankenhaus heranzuziehen, kann nicht guten Gewissens empfohlen werden.

 

Jörg-Alexander Paul ist Rechtsanwalt bei Bird & Bird LLP in Frankfurt/M.