Gesundheitsdaten - Geheim oder Gemeingut? - Deutsche ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1/2020
43. Jahrgang
ISSN 0137-7767
14,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
Gesundheitsdaten –
Geheim oder Gemeingut?
www.datenschutzverein.de
■ Der Betriebsarzt und der Datenschutz ■ Verarbeitung von Ge-
sundheits- und Sozialdaten ■ „Digitale-Versorgung-Gesetz“ und Da-
tentransparenz ■ Datenschutz in der Klinik ■ 1000 Schritte zur
alltäglichen Überwachung ■ Implantateregister-Errichtungsgesetz ■ Pres-
semitteilungen ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Inhalt
Thilo Weichert Pressemitteilungen:
Der Betriebsarzt und der Datenschutz 4
„Ärztliche Schweigepflicht über gesetzliche Willkür“
Werner Hülsmann – Arbeitsbündnis gegen Datenmissbrauch in der
Datenschutzrechtliche Aspekte der Verarbeitung Medizin gebildet 37
von Gesundheits- und Sozialdaten 9
Bündnis fordert Verbot automatisierter
Werner Hülsmann Gesichtserkennung 38
Sammlung, Auswertung und Verarbeitung von
Gesundheitsdaten durch die Haftpflichtversicherer FIfF kritisiert Digitalpakt mit Windows 10
über ihre Dienstleister am Beispiel ACTINEO 13 und Office 365 39
Thilo Weichert Internet- und Telefonanbieter speichern
„Digitale-Versorgung-Gesetz“ Aufenthaltsort und Internetkennungen
und Datentransparenz 20 tagelang auf Vorrat 41
Interview mit einem Arzt Datenschutznachrichten
Datenschutz in der Klinik 26
Deutschland 42
Heinz Alenfelder
Nach dem Essen sollst du ruh‘n, oder … Ausland 56
1000 Schritte zur alltäglichen Überwachung 31 Technik-Nachrichten 67
Mike Kuketz Rechtsprechung 70
Implantateregister-Errichtungsgesetz
„Zu Risiken und Nebenwirkungen fragen Sie Buchbesprechungen 74
den Gesundheitsminister“ 35
Termine
Donnerstag, 30. April 2020 [verschoben auf Herbst 2020]
Big Brother Awards
Stadttheater Bielefeld
Freitag, 01. Mai 2020
Redaktionsschluss DANA 2/2020
„e-Payment“
Mittwoch/Donnerstag 06./07. Mai 2020
BvD-Verbandstage 2020 „Datenschutz: Made in Europe –
ein globaler Standard“
Samstag, 01. August 2020:
Redaktionsschluss DANA 3/2020
„eGovernment – Datenschutz in öffentlichen Stellen“
Sonntag, 01. November 2020
Redaktionsschluss DANA 4/2020
„Mobilität“
Foto: Pixabay..com
DANA • Datenschutz Nachrichten 1/2020
2
DANA
Editorial
Datenschutz Nachrichten
ISSN 0137-7767
43. Jahrgang, Heft 1
Herausgeber
Deutsche Vereinigung für
Datenschutz e.V. (DVD)
DVD-Geschäftsstelle:
Reuterstraße 157, 53113 Bonn
Tel. 0228-222498
IBAN: DE94 3705 0198 0019 0021 87
Sparkasse KölnBonn
E-Mail: dvd@datenschutzverein.de
www.datenschutzverein.de
Redaktion (ViSdP)
Heinz Alenfelder Bild: iStock
c/o Deutsche Vereinigung für
Datenschutz e.V. (DVD)
Reuterstraße 157, 53113 Bonn Aktuell ist die Gesundheit allerorten dank der Corona-Pandemie ein Gesprächsthe-
dvd@datenschutzverein.de ma. In Zeiten nicht nur virtueller globaler Vernetzung können aus lokal auftretenden
Den Inhalt namentlich gekenn- Krankheiten schnell Epidemien werden, wie uns COVID-19 gerade deutlich zeigt. Die
zeichneter Artikel verantworten die Pläne für diese Schwerpunktausgabe wurden allerdings recht früh im letzten Jahr ge-
jeweiligen Autorinnen und Autoren. macht und dieses Heft kann und will vor allem eines nicht leisten: die Lieferung tages-
Layout und Satz aktueller Information zu Gesetzen und immer neuen Gesetzesvorhaben der Berliner
Frans Jozef Valenta, 53119 Bonn Regierungskoalition.
valenta@datenschutzverein.de
Druck Vielmehr werden Hintergründe beleuchtet sowie Fakten und Auslegungen gelie-
Onlineprinters GmbH fert, indem das „Digitale-Versorgung-Gesetz“ detailliert betrachtet wird, die Daten-
Rudolf-Diesel-Straße 10
schutzaspekte bei Auftragsverarbeitung von Gesundheits- und Sozialdaten heraus-
91413 Neustadt a. d. Aisch
www.diedruckerei.de gearbeitet werden und schließlich die Datenverarbeitung durch die Dienstleistungs-
Tel. +49 (0) 91 61 / 6 20 98 00 firma ACTINEO kritisch analysiert wird. Die umfassende rechtliche Beleuchtung der
Fax +49 (0) 91 61 / 66 29 20 Position eines Betriebsarztes rundet das Schwerpunktthema ab. Außerdem versuchen
Bezugspreis wir in diesem Heft ein für die DANA neues Format, das Interview, und hinterfragen die
Einzelheft 14 Euro. Jahresabonnement alltägliche Datenschutzsituation eines Arztes im Krankenhaus.
48 Euro (incl. Porto) für vier
Hefte im Kalenderjahr. Für DVD-Mit- Zum Weiterlesen können sowohl die Meldungen als auch die Buchbesprechungen an-
glieder ist der Bezug kostenlos. Das Jah- regen, die den Schluss dieser Ausgabe bilden. Datenschutz-Themen, die Sie hier nicht
resabonnement kann zum 31. Dezember
eines Jahres mit einer Kündigungsfrist finden, sind vielleicht im letzten Jahr schon in der DANA behandelt worden. Deshalb
von sechs Wochen gekündigt werden. Die empfehlen wir einen Blick ins beigeheftete Jahresregister 2019 und verabschieden
Kündigung ist schriftlich an die DVD- uns mit dem Wunsch, dass Sie alle gesund bleiben mögen!
Geschäftsstelle in Bonn zu richten.
Copyright Die DANA-Redaktion
Die Urheber- und Vervielfältigungsrechte
liegen bei den Autoren.
Der Nachdruck ist nach Genehmigung
durch die Redaktion bei Zusendung von Autorinnen und Autoren dieser Ausgabe:
zwei Belegexemplaren nicht nur gestat-
tet, sondern durchaus erwünscht, wenn Heinz Alenfelder
auf die DANA als Quelle hingewiesen Vorstandsmitglied in der DVD,
wird. alenfelder@datenschutzverein.de, Köln
Leserbriefe Werner Hülsmann
Leserbriefe sind erwünscht. Deren Vorstandsmitglied in der DVD, huelsmann@datenschutzverein.de, Ismaning
Publikation sowie eventuelle Kürzungen
bleiben vorbehalten. Mike Kuketz
Abbildungen, Fotos Pentester und Lehrbeauftragter für IT-Sicherheit, www.kuketz-blog.de
Frans Jozef Valenta, Dr. Thilo Weichert
Pixabay, iStock Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise,
weichert@datenschutzverein.de, Kiel
DANA • Datenschutz Nachrichten 1/2020
3
Gesundheitsdaten – Geheim oder Gemeingut?
Thilo Weichert
Der Betriebsarzt und der Datenschutz
in Deutschland zu sensitiven Daten weit-
gehend weitergelten konnten.2 Tatsäch-
lich wurden von den deutschen Gesetz-
gebern auf Bundes- und auf Landesebe-
ne die insofern relevanten Regelungen
inhaltlich nicht geändert.
Zur Umsetzung der Öffnungsklauseln
der DSGVO und Anpassung des nationalen
Rechts an die DSGVO mussten aber die all-
gemeinen Datenschutzgesetze, also auf
Bundesebene das Bundesdatenschutz-
gesetz (BDSG), geändert werden.3 In
§ 22 BDSG ist die „Verarbeitung beson-
derer Kategorien personenbezogener
Bild: iStock
Daten“ geregelt. Die Norm paraphrasiert
in Abs. 1 weitgehend Art. 9 Abs. 2 DSGVO
Die Datenverarbeitung durch Be- u. a. genannt: die ausdrückliche Einwilli- sowie in Abs. 2 die Anforderungen an
triebsärzte weist gegenüber anderer gung (lit. a), die Erforderlichkeit, damit „angemessene und spezifische Maßnah-
medizinischer Datenverarbeitung die „aus dem Arbeitsrecht und dem Recht men“ der Technik und der Organisation,
Besonderheit auf, dass nicht nur das der sozialen Sicherheit und des sozialen wie sie insbesondere in den Art. 25, 32
Medizinrecht und das Datenschutzrecht Rechtsschutzes erwachsende Rechte“ DSGVO geregelt sind.4 Eine für die ärzt-
zur Anwendung kommen, sondern zu- ausgeübt werden können (lit. b), der liche Datenverarbeitung bedeutsame
dem das Arbeitsrecht mit seinen spezifi- Schutz „lebenswichtiger Interessen“ der Regelung ist zudem die Einschränkung
schen Regelungen. Mit der europäischen Betroffenen (lit. c), die Erforderlichkeit der Kontrollbefugnisse der Datenschutz-
Datenschutz-Grundverordnung (DSGVO) „zur Geltendmachung, Ausübung oder aufsichtsbehörden bei Berufsgeheimnis-
kam zusätzlich zur nationalen eine euro- Verteidigung von Rechtsansprüchen“ trägern (§ 29 Abs. 3 BDSG).
päische Regelungsebene hinzu, was die (lit. f), „für Zwecke der Gesundheitsvor- Art. 88 DSGVO, der die „Datenver-
Anwendung der Normen nicht einfacher sorge oder der Arbeitsmedizin, für die arbeitung im Beschäftigtenkontext“
macht. Im Folgenden sollen die wesentli- Beurteilung der Arbeitsfähigkeit des Be- regelt, enthält eine weitere Öffnungs-
chen Regeln in ihrer praktischen Umset- schäftigten, für die medizinische Diag- klausel. Deren Umsetzung erfolgte in
zung dargestellt werden. nostik, die Versorgung oder Behandlung § 26 BDSG, der in den Absätzen 1 und
im Gesundheits- oder Sozialbereich“ 3 eine weitgehende Paraphrasierun-
1. Datenschutz-Grundverordnung (lit. h), „aus Gründen des öffentlichen gen des Art. 88 Abs. 1 DSGVO bzgl. der
Interesses im Bereich der öffentlichen Verarbeitungszwecke vornimmt und in
Die europäische Datenschutz-Grund- Gesundheit“ (lit. i) oder für „Forschungs- Abs. 2 die Voraussetzungen für wirksa-
verordnung (DSGVO) ist auf betriebsärzt- zwecke“ (lit. j). me Einwilligungen im Beschäftigten-
liche Datenverarbeitung umfassend an- Art. 9 Abs. 3 DSGVO enthält zudem kontext präzisiert. § 26 Abs. 7 BDSG
zuwenden, da hierbei personenbezogene eine Regelung zur Verarbeitung von Da- stellt klar, dass die datenschutzrechtli-
Daten verarbeitet werden (Art. 2 DSGVO). ten, die einem Berufsgeheimnis unter- chen Regeln unabhängig davon gelten,
Die Verarbeitung personenbezogener liegen, so wie dies im deutschen Recht ob die Beschäftigtendaten in einem (di-
Gesundheitsdaten ist in Art. 9 DSGVO für die Verarbeitung durch Betriebsärz- gitalen) Dateisystem oder in (Papier-)
geregelt unter dem zusammenfassen- te zutrifft. Danach ist es den nationalen Akten gespeichert sind und verarbeitet
den Begriff der „besonderen Kategori- Gesetzgebern erlaubt, verstärkte Ge- werden. Als Rechtsgrundlage für die
en personenbezogener Daten“. Hierzu heimhaltungspflichten festzulegen.1 Verarbeitung kommen auch Kollektiv-
gehören u. a. auch genetische Daten, Sowohl Art. 9 Abs. 2 lit. b, h, i und j als vereinbarungen (Dienst- bzw. Betriebs-
biometrische Daten zur eindeutigen auch Art. 9 Abs. 3 DSGVO enthalten Öff- vereinbarungen, Tarifverträge) in Be-
Personenidentifizierung sowie Daten nungsklauseln, wonach eine präzisieren- tracht (Art. 88 Abs. 1 DSGVO, § 26 Abs. 4
zum Sexualleben. de nationale Rechtsgrundlage möglich, BDSG), wobei diese die allgemeinen
Als Erlaubnistatbestände für die Ver- ja evtl. sogar nötig ist. Dies bedeutet, Abwägungsregeln zwischen den Arbeit-
arbeitung dieser besonderen Datenka- dass die vor dem Wirksamwerden der DS- geberinteressen und den Grundrechten
tegorien werden in Art. 9 Abs. 2 DSGVO GVO geltenden spezifischen Regelungen der betroffenen Beschäftigten beachten
DANA • Datenschutz Nachrichten 1/2020
4
Gesundheitsdaten – Geheim oder Gemeingut?
müssen.5 Für die betriebsärztliche Da- des Arbeitsplatzes erforderlichen Infor- auch Zwecke der Verarbeitung bestimmt
tenverarbeitung gibt es also zwei Öff- mationen zur Verfügung gestellt werden (Art. 26 DSGVO).
nungsklauseln (Art. 9 u. 88 DSGVO).6 und zugleich der Persönlichkeitsschutz
Mit der DSGVO sind nunmehr viele all- der Beschäftigten und deren Vertrau- 3. Arbeitsmedizin zwischen Medizin-,
gemeine Fragen zur Datenverarbeitung ensverhältnis zum medizinischen Arbeits- und Datenschutzrecht
durch den Betriebsarzt abgedeckt, so Personal gewahrt werden.9 Zur daten-
zur Verantwortlichkeit, zur Begründung schutzrechtlichen Verantwortlichkeit Neben den datenschutzrechtlichen
der Betroffenenrechte oder zur Da- enthält das Arbeitssicherheitsgesetz Anforderungen sind im Bereich der Ar-
tenschutzkontrolle generell. Das neue (ASiG) keine Aussage, weshalb insofern beitsmedizin die des Medizinrechts zu
BDSG ist relevant als Auffangregelung, auf die allgemeinen Normen der DSGVO beachten. Diese finden ihre standes-
soweit nicht spezifische Gesetze präzi- zurückzugreifen ist. Danach ist zu un- rechtliche Grundlage in den Berufsord-
sere Regelungen enthalten, sowie für terscheiden, ob der Betriebsarzt Mit- nungen der Landesärztekammern, wel-
Beschränkungen der Betroffenen- und arbeiter des Arbeitgebers ist (interner che sich weitgehend an der Musterord-
der Kontrollrechte (§§ 29, 32-37 BDSG). Betriebsarzt) oder seine Dienste als un- nung für die in Deutschland tätigen Ärz-
abhängiger Dienstleister zur Verfügung tinnen und Ärzte (MBOÄ) orientieren.
2. Verantwortlichkeit stellt (externer Betriebsarzt).10 Eine weitere Rechtsgrundlage für
Ist der Betriebsarzt Mitarbeiter des das Arzt-Patienten-Verhältnis ist der
Gemäß Art. 4 Nr. 4 DSGVO ist „‚Verant- Arbeitgebers (interner Betriebsarzt), so zivilrechtlich abgeschlossene Behand-
wortlicher‘ die natürliche oder juristi- ist er Teil der vom Arbeitgeber geführ- lungsvertrag, dessen Ausgestaltung mit
sche Person, Behörde, Einrichtung oder ten juristischen Person und somit nicht dem Patientenrechtegesetz 2013 in den
andere Stelle, die allein oder gemeinsam Verantwortlicher.11 Verantwortlicher ist §§ 630a bis 630h Bürgerliches Gesetz-
mit anderen über die Zwecke und Mittel der Arbeitgeber. Dieser ist i. d. R. auch buch (BGB) ausführlich geregelt wurde.
der Verarbeitung von personenbezo- im sachenrechtlichen Sinn über die Diese Regelungen gelten für den exter-
genen Daten entscheidet“. Es kommt betriebsärztliche Dokumentation ver- nen Betriebsarzt, auch wenn das Ver-
auf die juristische Sichtweise an: Die fügungsbefugt. Dass dem Arbeitgeber tragsverhältnis nicht zwischen Patienten
natürliche oder juristische Person, die wegen der ärztlichen Schweigepflicht und Arzt, sondern zwischen Arbeitgeber
über Zweck und Mittel der Verarbeitung keine Zugriffsrechte auf die Daten zu- und Arzt besteht. Es handelt sich dabei
bestimmt, ist verantwortlich.7 Dabei ist stehen, spielt für die datenschutzrecht- in Bezug auf den beim Arbeitgeber Be-
es nicht nötig, dass die Stelle objektiv liche Einordnung keine Rolle. schäftigten um einen unechten Vertrag
und umfassend über die Daten bestim- Der externe Betriebsarzt, egal ob zugunsten eines Dritten (vgl. § 328 BGB)
men kann, nicht einmal, dass sie direkt Einzelperson oder betriebsärztlicher bzw. um einen Vertrag mit Schutzwir-
darauf Zugriff hat.8 Voraussetzung für Dienst, ist als eigenständige, vom Ar- kung für einen Dritten.12 Unerheblich für
die Verantwortlichkeit ist, dass die Stel- beitgeber getrennte juristische Per- die Einstufung als Behandlungsvertrag
le willentlich, evtl. in Kooperation mit son dagegen nicht dem Arbeitgeber ist, dass die ärztlichen Leistungen sich
anderen gemeinsam Verantwortlichen, zuzuordnen. Der externe Betriebsarzt vorrangig auf den Betrieb des Arbeitge-
einen kausalen Beitrag für die Daten- bzw. betriebsärztliche Dienst ist also bers beziehen (§ 3 Abs. 1 Nr. 1, 3, 4 ASiG)
verarbeitung leistet. im Sinne des Datenschutzrechts selbst und erst in zweiter Linie, etwa bei der
Der Betriebsarzt wird gemäß § 2 Abs. 1 Verantwortlicher. Dies schließt nicht Untersuchung von Arbeitnehmern, auf
Arbeitssicherheitsgesetz (ASiG) vom aus, dass er die Räumlichkeiten, Ein- den Probanden bzw. Patienten (§ 3 Abs. 1
Arbeitgeber bestimmt. Der Arbeitgeber richtungen und Geräte des Arbeitgebers Nr. 2 ASiG). Beim internen Betriebsarzt
sorgt dafür, dass die von ihm bestellten in Anspruch nimmt und der Arbeitge- besteht zwischen diesem und dem Ar-
Betriebsärzte ihre Aufgaben erfüllen ber insofern deren Eigentümer ist. Es beitgeber ein Arbeitsvertrag. Auf diesen
und stellt die hierfür nötigen „Räume, kommt darauf an, dass er als natürliche lassen sich aber die §§ 630a ff. BGB weit-
Einrichtungen, Geräte und Mittel zur oder juristische Person vertraglich mit gehend entsprechend anwenden.
Verfügung“ (§ 2 Abs. 2 ASiG). Zu den dem Arbeitgeber hierüber eine Verein- Es besteht gemäß § 11 Arbeitsschutz-
Aufgaben des Betriebsarztes gehört es, barung trifft und insofern über Mittel gesetz (ArbSchG) eine spezifische
„die Arbeitnehmer zu untersuchen, ar- und Zwecke der Verarbeitung (mit-)be- Schutzpflicht des Arbeitgebers zur „ar-
beitsmedizinisch zu beurteilen und zu stimmt. Möglich ist auch, dass sich die beitsmedizinischen Vorsorge“: „Der
beraten sowie die Untersuchungsergeb- Mittel der ärztlichen Dokumentation im Arbeitgeber hat den Beschäftigten auf
nisse zu erfassen und auszuwerten“ (§ 3 Eigentum des externen Betriebsarztes ihren Wunsch unbeschadet der Pflich-
Abs. 1 Nr. 2 ASiG). befinden. Der Arbeitgeber ist in Bezug ten aus anderen Rechtsvorschriften zu
Arbeitsmedizin ist geprägt von einem auf die Verarbeitung im Rahmen der ermöglichen sich je nach den Gefahren
Dreiecksverhältnis zwischen Arbeitge- gesetzlichen Aufgabenwahrnehmung für ihre Sicherheit und Gesundheit bei
ber, Beschäftigten und Betriebsarzt. des Betriebsarztes, also nicht bei einer der Arbeit regelmäßig arbeitsmedi-
Dabei geht es in Bezug auf die Verar- freiwilligen medizinischen Behandlung zinisch untersuchen zu lassen, es sei
beitung von Daten darum, dass dem eines Patienten, auch (gemeinsam) denn, auf Grund der Beurteilung der Ar-
Arbeitgeber die für die Erbringung der Verantwortlicher, weil er gemeinsam beitsbedingungen und der getroffenen
Arbeitsleistung und die Bereitstellung mit dem Betriebsarzt sowohl Mittel als Schutzmaßnahmen ist nicht mit einem
DANA • Datenschutz Nachrichten 1/2020
5
Gesundheitsdaten – Geheim oder Gemeingut?
Gesundheitsschaden zu rechnen.“ Zu- Grundlagen zur Dokumentation seiner Hinsichtlich der Verantwortlichkeit
gunsten der Beschäftigten ist zudem in ärztlichen Tätigkeit verpflichtet. Der wird in Nr. 4. (2) AMR 6.1. klargestellt,
§ 10 ArbSchG geregelt, dass der Arbeit- Behandelnde, wozu auch der Betriebs- dass es Aufgabe des Arbeitgebers ist,
geber Vorkehrungen zur ersten Hilfe arzt gehört, muss die Behandlung in „dafür Sorge zu tragen, dass die Unterla-
und zu sonstigen Notfallmaßnahmen einer „Patientenakte in Papierform oder gen innerhalb der Frist sicher verwahrt
ergreifen muss, wozu er sich des Be- elektronisch“ dokumentieren (§ 630f werden und nur für datenschutzrecht-
triebsarztes bedienen kann. Abs. 1 S. 1 BGB). „Berichtigungen und lich befugte Personen zugänglich sind“.
Zu beachten ist weiterhin § 203 Straf- Änderungen von Eintragungen in der „Näheres regelt das ärztliche Berufs-
gesetzbuch (StGB), der Verstöße gegen Patientenakte sind nur zulässig, wenn recht und das Datenschutzrecht“ (Nr. 4
die berufliche Schweigepflicht mit Stra- neben dem ursprünglichen Inhalt er- (1) AMR 6.1.).
fe bedroht und der für Angehörige eines kennbar bleibt, wann sie vorgenommen Bei der Dokumentation des Betriebs-
Heilberufs und insbesondere für Ärzte worden sind“ (S. 2). Erfasst werden arztes handelt es sich materiell-recht-
gilt (§ 203 Abs. 1 Nr. 1 StGB). Die Ver- müssen alle „wesentlichen Maßnah- lich nicht um einen Teil der Personal-
pflichtung gilt auch für Betriebsärzte men“, „insbesondere die Anamnese, akte, die vom Arbeitgeber zu führen ist
(§ 8 Abs. 1 S. 3 ASiG). Diagnosen, Untersuchungen, Untersu- und für die gesonderte rechtliche Rege-
Schließlich gibt es eine Vielzahl chungsergebnisse, Befunde, Therapien lungen gelten.18
von Spezialgesetzen, die für besonde- und ihre Wirkungen, Eingriffe und ihre In der ArbMedVV ist eine Unterschei-
re Formen der ärztlichen Behandlung Wirkungen, Einwilligungen und Aufklä- dung zwischen der Vorsorge im Diens-
wie auch der ärztlichen Dokumenta- rungen. Arztbriefe sind in die Patien- te der Gesundheit des Arbeitnehmers
tion gelten. Hierzu zählen mit Bezug tenakte aufzunehmen“ (§ 630f Abs. 2 (§§ 5, 5a) und Eignungsuntersuchun-
zum Arbeitsverhältnis die §§ 2-4 ASiG, BGB). Diese vertraglichen Pflichten gen für Zwecke des Arbeitgebers (§ 4)
11 ArbSchG, 19-22 Gendiagnostikgesetz entsprechen den in § 10 Abs. 1 Muster- angelegt.19 Diese Differenzierung zwi-
(GenDG).13 Kommt es durch Betriebsärz- berufsordnung für Ärzte (MBOÄ) gere- schen der Verarbeitung im vorrangigen
te zu bestimmten Behandlungen, so gel- gelten standesrechtlichen Dokumen- Interesse des Arbeitnehmers und der
ten diese Regelungen ergänzend. tationspflichten „über die in Ausübung im Interesse des Arbeitgebers sollte
Zu den Spezialregelungen für den Be- ihres Berufes gemachten Feststellungen sich in der Struktur der Dokumentati-
reich der arbeitsmedizinische Vorsorge und getroffenen Maßnahmen“. on des Betriebsarztes widerspiegeln.
gehört die Verordnung zur arbeitsme- „Der Behandelnde hat die Patienten Angaben zu Eignungsuntersuchungen
dizinischen Vorsorge (ArbMedVV).14 akte für die Dauer von zehn Jahren sind getrennt oder zumindest abtrenn-
Diese Verordnung verpflichtet den Ar- nach Abschluss der Behandlung aufzu- bar zu verwahren.20
beitgeber (§§ 3 ArbMedVV), wozu die- bewahren, soweit nicht nach anderen
ser sich des Betriebsarztes bedient (§ 6 Vorschriften andere Aufbewahrungs- 5. Ärztliches Berufsgeheimnis
ArbMedVV). In diesem Kontext werden fristen bestehen“ (§ 630f Abs. 3 BGB).
vom Arbeitgeber Kenntnisse in Bezug Diese Regelung entspricht inhaltlich Für Betriebsärzte gilt die ärztliche
auf die Arbeitsplatzverhältnisse (§ 6 vollständig § 10 Abs. 3 MBOÄ. Eine Schweigepflicht des § 203 Strafgesetz-
ArbMedVV) sowie Vorsorgemaßnahmen Konkretisierung bzgl. weitergehender buch (StGB) bzw. § 9 MBOÄ (Patienten-
in Bezug auf die Beschäftigten (§§ 4-5a Aufbewahrungspflichten erfolgte durch geheimnis). Ein Beschäftigter hat zwar
ArbMedVV) eingefordert. Pflichtunter- den Ausschuss für Arbeitsmedizin in – anders als beim normalen Arzt-Pati-
suchungen erfolgen auch gegenüber der Arbeitsmedizinischen Regel (AMR) enten-Verhältnis – keine freie Arztwahl.
Jugendlichen (§ 32 Abs. 1 Jugendar- zu „Fristen für die Aufbewahrung ärzt- Für bestimmte Untersuchungen ist aus-
beitsschutzgesetz – JArbSchG), bei licher Unterlagen“ (AMR 6.1):17 „Bei schließlich der Betriebsarzt zuständig.
Tätigkeiten im Lebensmittelbereich Tätigkeiten, bei denen nach längeren Dennoch muss die Beziehung zwischen
(§ 43 Abs. 1 Infektionsschutzgesetz), Latenzzeiten Gesundheitsstörungen dem Betriebsarzt und den Beschäftig-
zur Ermittlung der Seediensttauglich- auftreten können, reicht diese Auf- ten von starkem Vertrauen getragen
keit (§ 81 Seemanngesetz) sowie im bewahrungszeit nicht aus. Dies gilt sein, welches vom Patientengeheimnis
Rahmen von Unfallverhütungsvor- insbesondere für ärztliche Unterlagen gestützt wird.
schriften der Unfallversicherungsträger zu Tätigkeiten mit krebserzeugenden Der Betriebsarzt hat nach § 8 Abs. 1
(§ 15 Abs. 1 S. 1 Nr. 3 Sozialgesetzbuch Gefahrstoffen (K1 und K2), für die Ar- ArbSiG eine dem Arbeitgeber bzw. dem
– SGB – VII).15 Wegen der Öffnungsklau- tikel 15 der Richtlinie 2004/37/EG des Dienstherrn gegenüber unabhängige
seln in der DSGVO behalten sämtliche Europäischen Parlaments und des Rates Stellung und muss auch diesem gegen-
der genannten nationalen, regionalen vom 29. April 2004 über den Schutz der über die ärztliche Schweigepflicht wah-
und standesrechtlichen Regelungen Arbeitnehmer gegen Gefährdung durch ren.21 Er darf den Arbeitgeber nur im
ihre Wirksamkeit (s. o. 1).16 Karzinogene oder Mutagene bei der Ar- Rahmen des für die Aufgabenwahrneh-
beit eine Aufbewahrungsfrist von min- mung erforderlichen Umfangs informie-
4. Dokumentationspflichten destens 40 Jahren vorsieht“ (Nr. 1 AMR ren, was sich in der Regel auf die für den
6.1). Weitere Konkretisierungen der Arbeitgeber zu ziehenden Schlussfolge-
Der Betriebsarzt ist nach vertragli- Aufbewahrungsfristen von mindestens rungen beschränkt.22 Untersuchungs-
chen, deliktischen wie berufsrechtlichen 40 Jahren finden sich in Nr. 3 AMR 6.1. ergebnisse aus der allgemeinen arbeits-
DANA • Datenschutz Nachrichten 1/2020
6
Gesundheitsdaten – Geheim oder Gemeingut?
medizinischen Vorsorge (§ 3 Abs. 1 Nr. 2 ten, dass bei einem Wechsel des Betriebs- Um den Pflichten nach dem ASiG
ASiG) bedürfen für ihre Offenbarung ge- arztes den betroffenen Beschäftigten für und der Verordnung zur arbeitsmedi-
genüber dem Arbeitgeber der ausdrück- die Teile der Akte eine Widerspruchs- zinischen Vorsorge (ArbMedVV) ent-
lichen Einwilligung des Patienten.23 § 26 möglichkeit eingeräumt wird, die der sprechen zu können, muss ein Zugriff
Abs. 2 BDSG ist insofern anzuwenden. Es Vorgänger außerhalb einer Pflichtvor- auf bestimmte Daten des Vorgängers
kommt dabei nicht darauf an, ob der Be- sorge angelegt hat.24 Die medizinischen möglich sein. Das gilt für die für die
triebsarzt intern mittels Arbeitsvertrag Daten, die ein Patient dem Betriebsarzt arbeitsmedizinische Tätigkeit erforder-
eingesetzt ist oder ob er allein praktizie- freiwillig zugänglich gemacht hat, sind lichen Stammdaten der Beschäftigten
rend bzw. als Mitarbeiter eines ärztlichen für den neuen Betriebsarzt zu sperren. und die Angaben, die gegenüber dem
Unternehmens, dessen Geschäftsfeld die Dabei handelt es sich um eine medizin- Arbeitgeber zu attestieren sind, also Art
Erbringung betriebsärztlicher Leistun- spezifische Form der Einschränkung der und Datum der Vorsorge sowie Datum
gen ist, extern tätig ist. Verarbeitung (vgl. Art. 18 DSGVO). Bei der nächsten Vorsorge. Auch die vom
einem Wechsel des Betriebsarztes darf Betriebsarzt erstellte Arbeitsplatzbe-
6. Beendigung der betriebsärztlichen der Nachfolger nur mit expliziter Einwil- schreibung steht im Zugriff des Nach-
Tätigkeit ligung des Betroffenen Zugriff auf die In- folgers. Es macht dabei keinen Unter-
formationen aus Eignungsuntersuchun- schied, ob die Dokumentation analog
§ 10 Abs. 4 MBOÄ regelt, wie mit der gen nehmen (vgl. Art. 18 Abs. 2 DSGVO, oder digital geführt wird. Bei elektro-
Dokumentation nach Beendigung der § 9 Abs. 4 MBOÄ). nischer Aktenführung können die Zu-
ärztlichen Tätigkeit umzugehen ist: Der Datenbestand mit Bezug zu Vor- griffsmöglichkeiten durch entsprechen-
„Nach Aufgabe der Praxis haben Ärztin- sorgemaßnahmen geht an den neuen de Rechtevergabe gesteuert werden.
nen und Ärzte ihre ärztlichen Aufzeich- Betriebsarzt über. Die Zustimmung der Beim Wechsel eines internen Be-
nungen und Untersuchungsbefunde ge- betroffenen Beschäftigten ist nicht erfor- triebsarztes verbleiben die patienten-
mäß Absatz 3 aufzubewahren oder dafür derlich. Wohl aber sind die Beschäftigten bezogenen Unterlagen im Eigentum und
Sorge zu tragen, dass sie in gehörige aus Transparenzgründen rechtzeitig und in der datenschutzrechtlichen Verant-
Obhut gegeben werden. Ärztinnen und umfassend über den geplanten Wechsel wortlichkeit des Arbeitgebers. Wegen
Ärzte, denen bei einer Praxisaufgabe des Betriebsarztes aufzuklären (z. B. des Patientengeheimnisses darf der
oder Praxisübergabe ärztliche Aufzeich- durch Mitarbeiter-Rundschreiben).25 Bei Arbeitgeber aber keinen Einblick in die
nungen über Patientinnen und Patien- einem Wechsel des externen Betriebs- Unterlagen nehmen. Er hat sie vielmehr
ten in Obhut gegeben werden, müssen arztes wird dies zwingend durch Art. 14 dem neu bestellten Betriebsarzt zur Ver-
diese Aufzeichnungen unter Verschluss DSGVO gefordert. fügung zu stellen.
halten und dürfen sie nur mit Einwilli- Den Betroffenen ist die Möglichkeit Beim Wechsel von externen Betriebs-
gung der Patientin oder des Patienten einzuräumen, Widerspruch gegen die ärzten sollte der frühere Betriebsarzt
einsehen oder weitergeben.“ Einsicht in patientenbezogene Informa- seine Dokumentation unmittelbar an
Die betriebsärztliche Dokumentation tionen aus Vorsorgemaßnahmen zu er- seinen Nachfolger übergeben, zu dessen
beinhaltet arbeitnehmerbezogene indi- heben (Art. 21 DSGVO). Mit Blick auf das Bestellung der Arbeitgeber gesetzlich
viduelle medizinische wie auch arbeit- in § 2 Abs. 1 Nr. 3 ArbMedVV bestehende verpflichtet ist. Auf diese Weise kommt
geber- bzw. unternehmens- und arbeits- Recht des Beschäftigten, Untersuchun- der scheidende Betriebsarzt auch sei-
platzbezogene Aspekte. Sie wird sowohl gen abzulehnen, gilt für die Informati- ner Verpflichtung aus § 10 Abs. 4 MBOÄ
für den Patienten als auch für den Arbeit- onserhebung durch Einsicht in die ge- nach, dafür Sorge zu tragen, dass seine
geber geführt und kann insbesondere ge- sundheitsbezogene Dokumentation frü- ärztlichen Aufzeichnungen in gehörige
genüber den Unfallversicherungsträgern herer Untersuchungen nichts anderes. Obhut gegeben werden.
als Nachweis erfolgter Vorsorgemaßnah- Eine Löschung dieser Informationen aus Der ausscheidende Betriebsarzt hat
men dienen. Das Patientengeheimnis Anlass des Arztwechsels kommt im Hin- kein Recht, die von ihm erstellten Unter-
steht einer Aktenübergabe an den nach- blick auf die zehnjährige und evtl. län- lagen „mitzunehmen“. Diese sind in Aus-
folgenden Betriebsarzt grundsätzlich gere Aufbewahrungsfrist ärztlicher Un- übung der gesetzlichen Pflicht nach dem
nicht entgegen; datenschutzrechtlich terlagen (s. o. 4.) nicht in Betracht. Die ASiG entstanden. Sie verlieren durch den
ist die Übergabe für die weitere Aufga- gesperrten Unterlagen dürfen nicht vom Wechsel nicht ihre Funktion gemäß § 3
benerfüllung gerechtfertigt. Bei einem neuen Betriebsarzt beigezogen werden; ASiG. Insofern besteht ein Unterschied
Wechsel des Betriebsarztes sind die Pa- sie sind besonders geschützt im Betrieb zu Unterlagen, die im Bereich sonstiger
tientenakten an den neuen Betriebsarzt aufzubewahren, bis die Löschungsfrist ärztlicher Praxen entstehen.
zu übergeben. Dieser muss in der Lage erreicht ist. Die Verwahrung im Betrieb Verantwortlicher im Sinne des Daten-
sein, die Aufgaben seines Vorgängers für unter Verschluss durch den amtierenden schutzrechts bleibt im Falle des internen
den Arbeitgeber sowie im Interesse der Betriebsarzt ist auch aus praktischer Betriebsarztes der Betrieb des Arbeitge-
Beschäftigten nahtlos weiter zu erfüllen. Sicht sachgerecht, da sich ein Beschäf- bers. Im Fall des externen Betriebsarz-
Eine ausdrückliche Einwilligung der tigter nach Verlassen des Unternehmens tes ist dieser bei einem Wechsel gemäß
Beschäftigten bzw. Patienten für den bei Bedarf eher an den früheren Arbeitge- dem ASiG verpflichtet, die Dokumenta-
Übergang des Gewahrsams an den Akten ber wenden wird als an einen gegebenen- tion an den übernehmenden externen
ist nicht nötig. Allerdings ist zu beach- falls extern beauftragten Betriebsarzt.26 Betriebsarzt oder an den Arbeitgeber
DANA • Datenschutz Nachrichten 1/2020
7
Gesundheitsdaten – Geheim oder Gemeingut?
zu übergeben. Dem ausscheidenden zu sperren und der Zugriff hierauf z. B. renziert Washausen in Kingreen/Kühling
Betriebsarzt kann und muss unter Um- mittels Passwort zu sichern. (En. 5), S. 420.
ständen, z. B. zum Zweck der Geltend- Für einen erstmaligen Zugriff auf 12 Weidenkaff in Palandt, Bürgerliches
machung, Ausübung oder Verteidigung einen Patientendatensatz durch den Gesetzbuch, 78. Aufl. 2019, § 630a
von Rechtsansprüchen (vgl. Art. 9 Abs. 2 Praxisnachfolger ist die Zustimmung Rn. 5.
lit. f DSGVO), Zugriff auf insofern erfor- des Patienten erforderlich. Liegt diese 13 Washausen in Kingreen/Kühling (En. 5),
derliche Daten eingeräumt werden. vor, so darf insoweit der Datensatz vom S. 424-427.
Für Beschäftigte, die ihre Betroffenen- Nachfolger freigeschaltet und weiterge- 14 ArbMedVV v. 18.12.2008, BGBl. I S. 2768,
rechte (Art. 12 ff. DSGVO, § 630g BGB) nutzt werden. Es wird davon ausgegan- zuletzt geändert am 15.11.2016, BGBl. I
wahrnehmen wollen, besteht so weiter- gen, dass die Einwilligung eines Pati- S. 2549.
hin die Möglichkeit, diese gegenüber ih- enten in die Übernahme durch einen 15 Washausen in Kingreen/Kühling (En. 5),
rem (früheren) Arbeitgeber auszuüben. Nachfolger die gesamte Patientenakte S. 425; Weichert RDV 2007, 192 f. mit
Dieser muss dann über den jeweiligen umfasst. Bringt ein Patient jedoch zum Angabe von weiteren Vorsorgepflichten,
Betriebsarzt dafür sorgen, dass die ent- Ausdruck, dass nur Teile der Akte bzw. Pieper, ArbSchR, 6. Aufl. 2017, Arbeitssi-
cherheitsgesetz Rn. 80-87; vgl. Däubler,
sprechenden patientenbezogenen Un- der Unterlagen übernommen werden Gläserne Belegschaften, 8. Aufl. 2019,
terlagen dem nachfragenden betroffenen sollen, so muss dieser Wunsch berück- Rn. 276 f.
Arbeitnehmer offenbart werden. sichtigt werden (vgl. § 9 Abs. 4 MBOÄ).29
16 Washausen in Kingreen/Kühling (En. 5),
Die dargestellte Vorgehensweise Um Probleme bei der Aktenübergabe S. 424 f.
entspricht dem sog. „Zwei-Schrank- bei Aufgabe der Tätigkeit als externer
17 GMBl Nr. 5, 24.02.2014, S. 90.
Modell“, das auch außerhalb des be- Betriebsarzt zu umgehen, empfiehlt
triebsärztlichen Bereichs für den Wech- sich eine vertragliche Vereinbarung mit 18 ULD (En. 11), III.
sel eines Arztes in einer Praxis und die dem Unternehmen des Arbeitgebers, 19 Däubler (En. 15), Rn. 282.
Übergabe der bisherigen Dokumenta- dass die Altakten entsprechend dem 20 Hinweis des Verband Deutscher Betriebs-
tion an seinen Nachfolger anzuwenden „Zwei-Schrank-Modell“ an den Nachfol- und Werkärzte (VDBW), Hinweise zur
ist.27 Der abgebende Arzt behält dabei ger übergeben werden.30 datenschutzgerechten Übergabe der Pa-
grundsätzlich eine informationsrecht- tientenakten beim Wechsel von Betriebs
liche Verfügungsbefugnis an den Altak- ärzten, VDBW aktuell, April 2019, S. 40.
1 Weichert in Kühling/Buchner, DS-GVO –
ten und übergibt sie in einem verschlos- 21 Aufhauser in Aufhauser u. a. (En. 10),
BDSG, Kommentar, 2. Aufl. 2018, Art. 9
senen Schrank dem Nachfolger, der § 8 Rn. 3.
Rn. 138 ff.
sich wiederum im Übernahmevertrag 22 Z. B. § 15 SGB VII, § 202 SGB VII i. V. m.
2 Weichert, DuD 2017, 541.
speziell verpflichtet, den Datenbestand § 5 BKVO, Däubler (En. 15), Rn. 272a.
zu verwahren und fallbezogen Zugriff 3 Gesetz v. 30.06.2017, BGBl. I S. 2097. 23 Weichert, RDV 2007, 191; vgl. ULD
auf einzelne Akten bzw. Datensätze zu 4 Weichert, DuD 2017, 542. (En. 11), III.
nehmen, wenn eine frühere Patientin 24 Washausen in Kingreen/Kühling (En. 5),
5 Washausen in Kingreen/Kühling, Ge-
oder ein früherer Patient ihn aufsucht. sundheitsdatenschutzrecht, 2015, S. 425.
Erfolgt dies, so führt der übernehmen- S. 411 ff.
25 Unabhängiges Landeszentrum für
de Arzt die Dokumentation in eigener Datenschutz Schleswig-Holstein (ULD),
6 Wedde in Däubler/Wedde/Weichert/
Verantwortung fort. Die alte Akte darf Sommer, EU-Datenschutz-Grundverord- Hinweise zur datenschutzgerechten
dann bei einem entsprechenden Ein- nung und BDSG-neu, 2018, Art. 88 Übergabe einer Arztpraxis mit Patien-
verständnis dieses Patienten entnom- Rn. 1; Maschmann in Kühling/Buchner tenakten und zum Wechsel von Be-
men und durch den Nachfolger mit der (En. 1), Art. 88 Rn. 1 7 ff., 19. triebsärzten, 10.01.2015/10.04.2015,
https://www.datenschutzzentrum.de/
laufenden Patientendokumentation des 7 Weichert in Däubler u. a. (En. 6), artikel/47-Hinweise-zur-datenschutz-
Erwerbers zusammengeführt werden. Art. 4 Rn. 88; Hartung in Kühling/ gerechten-UEbergabe-einer-Arztpraxis-
Das Einverständnis ist in der Akte zu Buchner (En. 1), Art. 4 Nr. 7 Rn. 9. mit-Patientenakten-und-zum-Wechsel-
dokumentieren. Dies bedeutet, dass für 8 EuGH 05.06.2018 – C-210/16, Rn. 38, von-Betriebsaerzten.html, 2.
den Nachfolger die datenschutzrechtli- NZA 2018, 921. 26 VDBW (En. 20), S. 41.
che Verfügungsbefugnis über die Akten 9 Weichert in Kühling/Buchner (En. 1), 27 Weichert RDV 2007, 191; ULD, Praxis
nur eingeschränkt besteht, unabhängig Art. 9 Rn. 112 f.; Weichert RDV 2007, über- oder -aufgabe, https://www.
davon, ob bzw. für welchen Zeitpunkt 189. datenschutzzentrum.de/medizin-
ein sachenrechtlicher Eigentumsüber- 10 Brunhöber in Aufhauser/Brunhöber/Igl, soziales/faq/arztpraxis/#20.
gang verabredet wird.28 Bei diesem Mo- Arbeitssicherheitsgesetz, 4. Aufl. 2010,
28 VDBW (En. 20), S. 42.
dell wird also unterschieden zwischen § 2 Rn. 2.
29 ULD (En. 25), 1.; Rehborn in Prütting,
der Übertragung des Gewahrsams an 11 Weichert RDV 2007, 191; Unabhängi-
Medizinrecht, 3. Aufl. 2014, § 9 MBOÄ
dem Gesamtaktenbestand und der da- ges Landeszentrum für Datenschutz
Rn. 9 m. w. N.
ten- bzw. patientenschutzrechtlich Schleswig-Holstein (ULD), Gesundheits-
daten im Arbeitsverhältnis, 31.03.2014, 30 ULD (En. 25), 2.; VDBW (En. 20), S. 42.
wesentlich sensibleren konkreten Ein- https://www.datenschutzzentrum.de/
sichtnahme. Bei elektronisch geführ- artikel/193-Gesundheitsdaten-im-
ten Patientendaten ist der alte Bestand Arbeitsverhaeltnis.html, III. zu undiffe-
DANA • Datenschutz Nachrichten 1/2020
8
Gesundheitsdaten – Geheim oder Gemeingut?
Werner Hülsmann
Datenschutzrechtliche Aspekte der Verarbeitung von
Gesundheits- und Sozialdaten bei Personenschäden
durch Sozialversicherungen und in Regress genommene
Haftpflichtversicherungen
Bei Unfällen mit Personenschäden, die ren natürlichen Person zu schützen“, len Sicherheit und des Sozialschutzes
durch Dritte verursacht werden, über- e) soweit sie erforderlich für die Wahr- erwachsenden Rechte ausüben und
nimmt gewöhnlich die entsprechende nehmung einer Aufgabe sind, „die im seinen bzw. ihren diesbezüglichen
Sozialversicherung der geschädigten öffentlichen Interesse liegt oder in Pflichten nachkommen kann, soweit
Person (Gesetzliche Krankenkasse, Un- Ausübung öffentlicher Gewalt erfolgt, dies nach Unionsrecht oder dem Recht
fallversicherung, Berufsgenossenschaft) die dem Verantwortlichen übertragen der Mitgliedstaaten oder einer Kollek-
erst einmal die Behandlungskosten, wurde“ oder tivvereinbarung nach dem Recht der
nimmt aber dann die Haftpflichtversi- f) auf der Basis einer Abwägung der In- Mitgliedstaaten, das geeignete Garan-
cherung der den Unfall verursachenden teressen von Verantwortlichen und tien für die Grundrechte und die Inter-
Person in Regress. Die Haftpflichtver- den von der Verarbeitung betroffenen essen der betroffenen Person vorsieht,
sicherungen wiederum nehmen für die Personen. zulässig ist,
Bearbeitung bzw. Abwehr dieser Regress- c) die Verarbeitung ist zum Schutz le-
forderungen häufig Dienstleister in An- 2. Verarbeitung von personenbezoge- benswichtiger Interessen der betrof-
spruch. Die Rechtsgrundlagen für die da- nen Gesundheitsdaten fenen Person oder einer anderen na-
mit verbundenen Datenverarbeitungen türlichen Person erforderlich und die
und Datenweitergaben werden in diesem Bei der Verarbeitung personenbezo- betroffene Person ist aus körperlichen
Artikel1 erörtert. gener Daten im Zusammenhang mit der oder rechtlichen Gründen außerstan-
Regulierung von Personenschäden sind de, ihre Einwilligung zu geben,
1. Einleitung allerdings bestimmte Besonderheiten zu d) die Verarbeitung erfolgt auf der
beachten. Zum einen handelt es sich bei Grundlage geeigneter Garantien
Für die Verarbeitung personenbezo- diesen Daten um Sozialdaten im Sinne des durch eine politisch, weltanschau-
gener Daten (im Folgenden: „Daten“) § 67 Abs. 2 Sozialgesetzbuch (SGB) X, die lich, religiös oder gewerkschaftlich
gilt ein sogenanntes Verbot mit Erlaub- gemäß Art 35 SGB I dem Sozialgeheimnis ausgerichtete Stiftung, Vereinigung
nisvorbehalt. Dies bedeutet, dass der unterliegen. Zum anderen handelt es sich oder sonstige Organisation ohne Ge-
Verantwortliche2 für jede Verarbeitung auch um Gesundheitsdaten, die gemäß winnerzielungsabsicht im Rahmen ih-
personenbezogener Daten eine Erlaub- Art. 9 Abs. 1 DSGVO zu den besonderen rer rechtmäßigen Tätigkeiten und un-
nis benötigt. Ein wichtiger Hinweis sei Kategorien personenbezogener Daten ter der Voraussetzung, dass sich die
hier erlaubt: Die Einwilligung der be- gehören und deren Verarbeitung in Art. 9 Verarbeitung ausschließlich auf die
troffenen Person ist nur eine von meh- Abs. 1 DSGVO untersagt wird. Von diesem Mitglieder oder ehemalige Mitglieder
reren Möglichkeiten für eine Erlaubnis. Verbot gibt es allerdings auch Ausnah- der Organisation oder auf Personen,
Die Erlaubnisse für die Verarbeitung von men. So regelt Art. 9 Abs. 2 DSGVO: die im Zusammenhang mit deren Tä-
personenbezogenen Daten sind für die „Absatz 1 gilt nicht in folgenden Fällen: tigkeitszweck regelmäßige Kontakte
hier zu betrachtenden Institutionen und a) Die betroffene Person hat in die Ver- mit ihr unterhalten, bezieht und die
Unternehmen grundsätzlich im Art. 6 arbeitung der genannten personenbe- personenbezogenen Daten nicht ohne
Abs. 1 der EU-Datenschutz-Grundver- zogenen Daten für einen oder mehrere Einwilligung der betroffenen Perso-
ordnung (DSGVO) geregelt. Erlaubt sind festgelegte Zwecke ausdrücklich ein- nen nach außen offengelegt werden,
danach Datenverarbeitungen gewilligt, es sei denn, nach Unions- e) die Verarbeitung bezieht sich auf per-
a) auf Grund der wirksamen Einwilligung recht oder dem Recht der Mitglied- sonenbezogene Daten, die die betrof-
der betroffenen Personen, staaten kann das Verbot nach Absatz fene Person offensichtlich öffentlich
b) zur Anbahnung oder Erfüllung eines 1 durch die Einwilligung der betroffe- gemacht hat,
Vertrags mit der betroffenen Person, nen Person nicht aufgehoben werden, f) die Verarbeitung ist zur Geltendma-
c) zur Erfüllung gesetzlicher Verpflich- b) die Verarbeitung ist erforderlich, damit chung, Ausübung oder Verteidigung
tungen, der Verantwortliche oder die betrof- von Rechtsansprüchen oder bei Hand-
d) „um lebenswichtige Interessen der fene Person die ihm bzw. ihr aus dem lungen der Gerichte im Rahmen ihrer
betroffenen Person oder einer ande- Arbeitsrecht und dem Recht der sozia- justiziellen Tätigkeit erforderlich,
DANA • Datenschutz Nachrichten 1/2020
9
Gesundheitsdaten – Geheim oder Gemeingut?
g) die Verarbeitung ist auf der Grundlage Zu den in Buchstabe h) genann- suchen hin ist nur zulässig, wenn die-
des Unionsrechts oder des Rechts ei- ten Zwecken dürfen die Daten nur von se sich gegenüber der übermittelnden
nes Mitgliedstaats, das in angemesse- Fachpersonal, das einem Berufsgeheim- Stelle verpflichtet hat, die Daten nur für
nem Verhältnis zu dem verfolgten Ziel nis nach nationalem Recht unterliegt den Zweck zu verarbeiten, zu dem sie ihr
steht, den Wesensgehalt des Rechts (wie z.B. das Patientengeheimnis) oder übermittelt werden. Die Dritten haben
auf Datenschutz wahrt und angemes- unter der Verantwortung derartigen die Daten in demselben Umfang geheim
sene und spezifische Maßnahmen zur Fachpersonals verarbeitet werden.4 Die zu halten wie die in § 35 des Ersten Bu-
Wahrung der Grundrechte und Inte- Nationalstaaten dürfen gemäß Art. 9 ches genannten Stellen.“
ressen der betroffenen Person vor- Abs. 4 DSGVO „zusätzliche Bedingun-
sieht, aus Gründen eines erheblichen gen, einschließlich Beschränkungen, 3. Formen der Weitergabe von perso-
öffentlichen Interesses erforderlich, einführen oder aufrechterhalten, so- nenbezogenen Daten
h) die Verarbeitung ist für Zwecke der weit die Verarbeitung von genetischen,
Gesundheitsvorsorge oder der Ar- biometrischen oder Gesundheitsdaten Während das alte Bundesdaten-
beitsmedizin, für die Beurteilung der betroffen ist.“ Somit sind die in den SGB schutzgesetz (BDSG) nur zwei Formen
Arbeitsfähigkeit des Beschäftigten, enthaltenen besonderen Regelungen der Datenweitergabe im Zusammenhang
für die medizinische Diagnostik, die zum Umgang mit Sozialdaten, soweit sie mit einer Dienstleistungserbringung
Versorgung oder Behandlung im Ge- Gesundheitsdaten sind, auch nach dem kannte, nämlich die Auftragsdatenver-
sundheits- oder Sozialbereich oder Wirksamwerden der DSGVO zulässig. arbeitung (wie die Auftragsverarbei-
für die Verwaltung von Systemen und Ein weiterer wesentlicher Aspekt bei tung im alten Datenschutzrecht hieß)
Diensten im Gesundheits- oder Sozi- der Verarbeitung von Gesundheitsda- und die Datenübermittlung (im Rahmen
albereich auf der Grundlage des Uni- ten ist der Umstand, dass als Rechts- einer sogenannten Funktionsübertra-
onsrechts oder des Rechts eines Mit- grundlage und damit als Erlaubnis für gung), kennt die DSGVO auch noch das
gliedstaats oder aufgrund eines Ver- die Verarbeitung von Gesundheitsda- Konstrukt der gemeinsamen Verant-
trags mit einem Angehörigen eines ten nur und ausschließlich die in Art. 9 wortlichen. Alle drei Formen werden im
Gesundheitsberufs und vorbehaltlich Abs. 2 DSGVO genannten Ausnahmen Folgenden kurz dargestellt. Auf die Auf-
der in Absatz 3 genannten Bedingun- bzw. die aufgrund von Art. 9 Abs. 4 tragsverarbeitung (AV) wird anschlie-
gen und Garantien erforderlich, DSGVO in nationalen Gesetzen geregel- ßend näher eingegangen.
i) die Verarbeitung ist aus Gründen des ten Ausnahmen herangezogen werden
öffentlichen Interesses im Bereich dürfen. Somit sind die Erlaubnisse aus 3.1. Funktionsübertragung
der öffentlichen Gesundheit, wie dem Art. 6 Abs. 1 DSGVO allein für Gesund-
Schutz vor schwerwiegenden grenz- heitsdaten nicht nutzbar.5 Damit fällt Für den Begriff der sogenannten Funk-
überschreitenden Gesundheitsgefah- auch die – für „normale“ personenbezo- tionsübertragung gab und gibt es keine
ren oder zur Gewährleistung hoher gene Daten mögliche – Interessenabwä- Legaldefinition. Auch in den alten Daten-
Qualitäts- und Sicherheitsstandards gung aus Art. 6 Abs. 1 Buchst. f) DSGVO schutzgesetzen kam dieser Begriff nicht
bei der Gesundheitsversorgung und als Erlaubnis zur Verarbeitung beson- vor. Allerdings wurde und wird der Begriff
bei Arzneimitteln und Medizinpro- derer Kategorien personenbezogener „Funktionsübertragung“ in der juristi-
dukten, auf der Grundlage des Uni- Daten und damit zur Verarbeitung von schen Fachliteratur u.a. dazu verwendet,
onsrechts oder des Rechts eines Mit- Gesundheitsdaten weg. um die Datenübermittlung zum Zwecke
gliedstaats, das angemessene und Des Weiteren ist zu beachten, dass So- der Beauftragung einer mehr oder weni-
spezifische Maßnahmen zur Wahrung zialdaten gemäß § 78 SGB X auch dann ger konkreten Dienstleistung von ande-
der Rechte und Freiheiten der betrof- noch einem besonderen Schutz unter- ren Datenübermittlungen (wie sie z.B.
fenen Person, insbesondere des Be- liegen, wenn sie – wie es bei Regressan- im Bereich des Adresshandels erfolgen)
rufsgeheimnisses, vorsieht, erforder- sprüchen regelmäßig geschieht – von zu unterscheiden. In der Begründung
lich, oder Sozialversicherungsträgern an Stellen zum „Entwurf eines Gesetzes zur Fortent-
j) die Verarbeitung ist auf der Grundlage übermittelt werden, die nicht dem Sozi- wicklung der Datenverarbeitung und des
des Unionsrechts oder des Rechts ei- algeheimnis aus § 35 SB I unterliegen. Datenschutzes“ der Bundesregierung aus
nes Mitgliedstaats, das in angemesse- So heißt es in § 78 SGB X Abs. 1 Sätze 1 dem Jahre 1989 wird der Begriff „Funkti-
nem Verhältnis zu dem verfolgten Ziel bis 3: onsübertragung“ in Abgrenzung zur Auf-
steht, den Wesensgehalt des Rechts „Personen oder Stellen, die nicht in tragsdatenverarbeitung genannt:
auf Datenschutz wahrt und angemes- § 35 des Ersten Buches genannt und „Wie bisher handelt es sich nicht um Auf-
sene und spezifische Maßnahmen zur denen Sozialdaten übermittelt worden tragsdatenverarbeitung im Sinne dieser Vor-
Wahrung der Grundrechte und Inter- sind, dürfen diese nur zu dem Zweck schrift, wenn neben der Datenverarbeitung
essen der betroffenen Person vorsieht, verarbeiten, zu dem sie ihnen befugt auch die zugrundeliegende Aufgabe über-
für im öffentlichen Interesse liegende übermittelt worden sind. Eine Übermitt- tragen wird (Funktionsübertragung). In
Archivzwecke, für wissenschaftliche lung von Sozialdaten nach den §§ 68 bis diesem Falle hat derjenige, dem die Funkti-
oder historische Forschungszwecke 77 oder nach einer anderen Rechtsvor- on übertragen wird, alle datenschutzrecht-
oder für statistische Zwecke gemäß schrift in diesem Gesetzbuch an eine lichen Pflichten, insbesondere die Ansprü-
Artikel 89 Absatz 1 erforderlich.“3 nicht-öffentliche Stelle auf deren Er- che des Betroffenen, zu erfüllen.“6
DANA • Datenschutz Nachrichten 1/2020
10Gesundheitsdaten – Geheim oder Gemeingut?
In dieser Bedeutung gibt es die Funk- die Verarbeitung der personenbezoge- Verfahren oder von Datenverarbeitungs-
tionsübertragung nach wie vor, auch nen Daten beim Auftragnehmer (jetzt: anlagen“ durch nichtöffentliche Stellen.
die DSGVO hat nichts daran geändert. der Auftragsverarbeiter) verantwort-
Im Falle einer Datenübermittlung im lich. Der Auftragsverarbeiter ist in erster 4. Rechtliche Anforderungen an die
Rahmen einer „Funktionsübertragung“ Linie nur dafür verantwortlich, die vom Auftragsverarbeitung
muss der abgebende Verantwortliche Verantwortlichen erhaltenen Daten im
eine Rechtsgrundlage, also eine Erlaub- Rahmen der Auftragsverarbeitung nur Eine wesentliche Anforderung an die
nis, für diese Datenübermittlung haben. entsprechend des konkreten Auftrags Auftragsverarbeitung ist, dass der Ver-
Die empfangende Stelle (Institution und eventueller ergänzender Weisungen antwortliche die Zwecke und Mittel der
oder Firma) muss selbst eine eigenstän- des Verantwortlichen und damit auch Verarbeitung der personenbezogenen
dige Erlaubnis für die Verarbeitung der nur zu dessen Zwecken zu verarbeiten. Daten bestimmt. Eine Bestimmung der
erhaltenen Daten haben. Die empfan- Eine Verarbeitung zu eigenen Zwecken Mittel durch den Verantwortlichen ist
gende Stelle muss zudem alle daten- des Auftragsverarbeiters ist im Rahmen allerdings auch dann gegeben, wenn
schutzrechtlichen Pflichten, die für Ver- der Auftragsverarbeitung unzulässig. der Auftragsverarbeiter nur seine be-
antwortliche im Sinne des Art. 4 Ziff. 7 Auf der anderen Seite benötigt der reits vorhandenen Mittel (Infrastruktur,
DSGVO gelten, erfüllen. Auftragsverarbeiter keine eigene Server, etc.) anbietet, da bereits durch
Rechtsgrundlage für die Verarbeitung die Auswahl des Auftragsverarbeiters
3.2. Gemeinsame Verantwortliche der personenbezogenen Daten, die er in diesem Fall die Mittelbestimmung
vom Verantwortlichen zur Erfüllung des erfolgt. Art. 28 Abs. 10 DSGVO sagt aus-
Im alten BDSG war das Konstrukt der Auftrags erhält. Der Auftragsverarbeiter drücklich:
gemeinsamen Verantwortlichen nicht zählt im Rahmen der Auftragsverarbei- „Unbeschadet der Artikel 82, 83 und 84
enthalten. Unter der DSGVO ist dieses tung nicht als Dritter gegenüber dem gilt ein Auftragsverarbeiter, der unter Ver-
Konstrukt EU-weit nutzbar: Verantwortlichen. Sofern also der Ver- stoß gegen diese Verordnung die Zwecke
„Legen zwei oder mehr Verantwortliche antwortliche die personenbezogenen und Mittel der Verarbeitung bestimmt, in
gemeinsam die Zwecke der und die Mittel Daten verarbeiten darf, darf er diese Bezug auf diese Verarbeitung als Verant-
zur Verarbeitung fest, so sind sie gemein- personenbezogenen Daten auch an ei- wortlicher.“8
sam Verantwortliche. Sie legen in einer nen Auftragsverarbeiter weitergeben, Weitere Anforderungen an eine da-
Vereinbarung in transparenter Form fest, der diese Daten dann – aber nur und tenschutzkonforme Auftragsdatenver-
wer von ihnen welche Verpflichtung gemäß ausschließlich zur Erfüllung des Auf- arbeitung sind:
dieser Verordnung erfüllt, insbesondere trags – auf Basis des Auftrags und auf • Sorgfältige Auswahl des Auftragsver-
was die Wahrnehmung der Rechte der be- Basis der Verarbeitungserlaubnis, auf arbeiters – So muss der Auftragsverar-
troffenen Person angeht, und wer welchen die sich der Verantwortliche berufen beiter nachweisen können, dass er die
Informationspflichten gemäß den Artikeln kann, verarbeiten darf. Dies gilt aller- gemäß Art. 32 DSGVO erforderlichen
13 und 14 nachkommt, sofern und soweit dings nur, wenn die in Art. 28 DSGVO technischen und organisatorischen
die jeweiligen Aufgaben der Verantwort- an die Auftragsverarbeitung gestellten Maßnahmen durchführt, so dass „die
lichen nicht durch Rechtsvorschriften der Anforderungen sowohl auf Seiten des Verarbeitung im Einklang mit den
Union oder der Mitgliedstaaten, denen Verantwortlichen als auch auf Seiten Anforderungen dieser Verordnung er-
die Verantwortlichen unterliegen, festge- des Auftragsverarbeiters erfüllt werden. folgt und den Schutz der Rechte der
legt sind. In der Vereinbarung kann eine Für die Beauftragung von Auftragsver- betroffenen Person gewährleistet.“9
Anlaufstelle für die betroffenen Personen arbeitern durch Sozialversicherungsträ- • Einsatz von Subunternehmern (Un-
angegeben werden.“7 ger ist ergänzend zu Art. 28 DSGVO noch terauftragsverarbeitern) nur mit
Hier müssen alle beteiligten Verant- § 80 SGB 10 zu beachten. So müssen schriftlicher Genehmigung des Ver-
wortlichen eine Rechtsgrundlage, also Sozialversicherungsträger ihre Rechts- antwortlichen.
eine Erlaubnis zur Verarbeitung der per- oder Fachaufsicht „rechtzeitig vor der • Die Auftragsverarbeitung erfolgt auf
sonenbezogenen Daten haben. Es reicht Auftragserteilung“ über diese informie- der Basis eines Vertrags (AV-Vertrag,
hier keinesfalls aus, dass nur einer der ren. Eine Beauftragung von nichtöffent- schriftlich oder in elektronischer
Verantwortlichen eine Erlaubnis für die lichen Stellen ist nur zulässig, Form) zwischen Verantwortlichen
Verarbeitung personenbezogener Daten „wenn und Auftragsverarbeiter. In diesem
nachweisen kann. 1. beim Verantwortlichen sonst Störungen Vertrag sind festzulegen:
im Betriebsablauf auftreten können - Gegenstand und Dauer der Verar-
3.3. Auftragsverarbeitung oder beitung,
2. die übertragenen Arbeiten beim Auf- - Art und Zweck der Verarbeitung,
Grundsätzlich hat sich am Konstrukt tragsverarbeiter erheblich kosten- - die Art der personenbezogenen Da-
der Auftragsdatenverarbeitung, wie die günstiger besorgt werden können.“ ten,
Auftragsverarbeitung im alten Daten- (§ 80 Abs. 3 SGB X) - die Kategorien betroffener Perso-
schutzrecht hieß, nicht viel geändert. nen und
Der Auftraggeber (jetzt: der Verantwort- Ausgenommen hiervon sind nur „die - die Pflichten und Rechte des Ver-
liche) bleibt auch nach der DSGVO für Prüfung oder Wartung automatisierter antwortlichen.
DANA • Datenschutz Nachrichten 1/2020
11Sie können auch lesen
