Sie sind hier: > Start > Tätigkeitsberichte > 26. TB 2014 > 7. Gesundheitswesen
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 20.01.2015
7. Gesundheitswesen
7.1. Gesundheitsamt
7.1.1. Prüfungen in den Gesundheitsämtern
Im Berichtszeitraum habe ich im Bereich Gesundheit den Schwerpunkt meiner Prüfungen darauf gelegt, mir einen aktuellen Überblick über die Einhaltung datenschutzrechtlicher Bestimmungen bei den Gesundheitsämtern zu verschaffen.
Im Wesentlichen ging ich der Frage nach, in welcher Weise die Gesundheitsämter die Geheimhaltungspflichten und Verwertungsverbote des Art. 30 Abs. 1 Gesundheitsdienst- und Verbraucherschutzgesetz (GDVG) sicherstellen. Die Vorschrift trägt dem Umstand Rechnung, dass der öffentliche Gesundheitsdienst neben seinen hoheitlichen Aufgaben in vielfältiger Weise auch beratende und aufklärende Funktionen übernimmt. Im Rahmen freiwilliger Inanspruchnahme entstehen Vertrauensverhältnisse zum Probanden, in denen der Arzt oder das nichtärztliche Fachpersonal gemäß § 203 Strafgesetzbuch zur Geheimhaltung verpflichtet ist.
Art. 30 GDVG Datenschutz, Geheimhaltungspflichten
(1) 1Die Behörden für Gesundheit, Veterinärwesen, Ernährung und Verbraucherschutz dürfen Geheimnisse, die Amtsangehörigen in der Eigenschaft als Arzt, Tierarzt oder als andere gemäß § 203 Abs. 1 oder 3 des Strafgesetzbuchs (StGB) zur Wahrung des Berufsgeheimnisses verpflichtete Person
- in Wahrnehmung der in Art. 13 und 14 genannten Aufgaben,
- im Zusammenhang mit einer Untersuchung oder Begutachtung, der sich der Betroffene freiwillig unterzogen hat oder
- bei einer Beratung von Tierhaltern im Rahmen des Art. 19 Abs. 1 Nr. 3 anvertraut oder sonst bekannt geworden sind, bei der Erfüllung einer anderen Aufgabe als der, bei deren Wahrnehmung die Erkenntnisse gewonnen wurden, nicht verarbeiten oder nutzen. ... 5 Die Wahrung der Geheimhaltungspflichten und Verwertungsverbote ist von den Behörden für Gesundheit, Veterinärwesen, Ernährung und Verbraucherschutz durch angemessene Maßnahmen auch organisatorisch sicherzustellen.
- Schon die Organisation der Zuständigkeiten innerhalb des Gesundheitsamts muss eine datenschutzgerechte Trennung der Aufgabenbereiche ermöglichen. Nach Möglichkeit sollte einem Sachgebiet bzw. nur bestimmten Sachbearbeitern der Bereich der freiwilligen gesundheitlichen Aufklärung und Beratung zur weitgehend eigenverantwortlichen Aufgabenerfüllung übertragen sein. Hoheitliche Aufgaben, auch solche, die im fachlichen Zusammenhang mit freiwillig in Anspruch zu nehmenden Angeboten stehen, sollten dagegen von den anderen Sachgebieten bzw. von anderen Sachbearbeitern wahrgenommen werden. Ich empfehle im Rahmen der personellen und strukturellen Vorgaben eine sachgebietsbezogene Aufteilung in die übergeordneten Bereiche Medizinisches Gutachterwesen, Infektionsschutz und Hygiene sowie Gesundheitsförderung. Meine Prüfungen ergaben, dass die Umsetzung der gesetzlichen Vorgaben des Art. 30 GDVG ganz erheblich von der Behördengröße und von der personellen Ausstattung des jeweiligen Gesundheitsamts abhängt. Kleinere Gesundheitsämter nehmen oft eine organisatorische Aufgabentrennung nach den verschiedenen im Gesundheitsamt tätigen Berufsgruppen vor (Ärzte, Sozialpädagogen o.ä., Sozialmedizinische Assistenten, Hygienekontrolleure). Die berufsbezogene Aufgabenzuordnung ist eine effektive Möglichkeit, den datenschutzrechtlichen Organisationsanforderungen weitgehend gerecht zu werden. Das gilt erst recht, wenn eine datenschutzgerechte Sachgebietsaufteilung aufgrund der geringen Größe bzw. der geringen Zahl der Mitarbeiter und Verantwortungsträger nicht sinnvoll zu realisieren ist. Allerdings können hierbei problematische Doppelzuständigkeiten für hoheitliche Aufgaben und Aufgaben der Gesundheitsförderung und Beratung nur dann vermieden werden, wenn zusätzliche Maßnahmen ergriffen werden (z.B. Aufgabenzuweisung an unterschiedliche Sachbearbeiter, Vertretungsregelungen, getrennte Aktenverwaltung und -aufbewahrung).
- In Bezug auf die Frage, wie sich Art. 30 Abs. 1 GDVG auf die Aktenverwaltung der Gesundheitsämter auswirkt, habe ich - wie auch schon bei vorangegangenen Prüfungen - leider erneut feststellen müssen, dass sich die geprüften Gesundheitsämter in der Regel nicht auf speziell für den Gesundheitsamtsbereich gültige Dienstanweisungen stützen können. Dabei liegt es auf der Hand, dass die vorhandenen allgemeinen Geschäftsanweisungen der Landratsämter und Städte die besonderen datenschutzrechtlichen Anforderungen nicht ausreichend abbilden. Dementsprechend habe ich bei meinen aktuellen Prüfungen wieder sehr unterschiedliche, zum Teil auch problematische Verfahrensweisen festgestellt, wenn es um die Frage ging, ob und wie die gesetzlich gebotene Trennung personenbezogener Unterlagen aus der Beratung, Untersuchung und Begutachtung auf freiwilliger Basis von den sonstigen im Gesundheitsamt vorhandenen personenbezogenen Aktenbeständen umgesetzt ist.
So haben sich etwa in Bezug auf die Führung der Registratur Beispielsfälle dafür ergeben, dass dort, wo die Zentraldatei oder -kartei Hinweise auf Vorgänge zu freiwillig in Anspruch genommenen Angeboten des Gesundheitsamts enthält, diese auch den Anlass zum Informationsaustausch bis hin zur Zusammenführung der vorhandenen Unterlagen geben. Beides ist mit Art. 30 Abs. 1 GDVG grundsätzlich nicht vereinbar. Es darf nicht offen lesbar sein, aus welchen Gründen sich jemand zur freiwilligen Beratung oder Begutachtung ins Gesundheitsamt begeben hat. Nur formale Hinweise, in welchen Sachgebieten oder bei welchen Sachbearbeitern Vorgänge zu bestimmten Personen vorhanden sind, dürfen angezeigt werden, soweit sie notwendig sind, um Eingänge oder Anfragen in einer Zentrale zuordnen oder weitervermitteln zu können. Aus der Angabe eines bestimmten Sachgebiets oder Sachbearbeiters dürfen jedoch keine Rückschlüsse auf bestimmte Erkrankungen gezogen werden können (z.B. Sucht, psychische Erkrankungen, Beratung zu ansteckenden Krankheiten). Ist dies nicht vermeidbar, empfiehlt es sich in den relevanten Bereichen sowohl die Aktenverwaltung als auch die Aktenaufbewahrung sachgebiets- bzw. sachbearbeiterbezogen zu organisieren. Dies wird in einigen der geprüften Gesundheitsämter auch so praktiziert. Registraturen werden bei den Gesundheitsämtern im Übrigen heutzutage meist elektronisch verwaltet. Die verwendeten Software-Produkte zur Aktenverwaltung ermöglichen es, diese nur als Suchdatei ohne Informationen über den Speicheranlass zu nutzen und weitergehende Informationen nur dann anzuzeigen, wenn entsprechende Berechtigungen bestehen.
Ich habe mir zudem die Aktenführung genauer angesehen. Auch wenn es in den Gesundheitsämtern schon Bestrebungen gibt, Akten ausschließlich elektronisch zu führen, dominiert noch die papiergebundene Aktenführung. Soweit es erforderlich ist, personenbezogene Akten anzulegen, werden in der Regel keine Einheitsakten in dem Sinne geführt, dass Unterlagen des Gesundheitsamts über ein und dieselbe Person aus freiwilliger Beratung oder freiwilliger Begutachtung einerseits und hoheitlicher Tätigkeit andererseits in einer Akte zusammengefasst werden. Mir fiel allerdings auf, dass insbesondere beim ärztlichen Dienst häufig Personenakten entstehen, die sämtliche Vorgänge enthalten, wegen denen der Betreffende untersucht oder begutachtet wurde. Es ist hier jedoch zu beachten, dass sich der Betroffene den jeweiligen Untersuchungen beim ärztlichen Dienst in vielen Fällen freiwillig unterzieht (z.B. im Auftrag des Dienstherrn, des Arbeitgebers, des Sozialamts). Folglich gelten die Geheimhaltungspflichten des Art. 30 Abs. 1 Satz 1 Nr. 2 GDVG. Für unterschiedliche Aufgaben, also insbesondere in Bezug auf verschiedene Auftraggeber bzw. nicht im Zusammenhang stehende Fragestellungen darf daher eine Zusammenfassung der Daten in einer Akte nur dann erfolgen, wenn Art. 30 Abs. 1 GDVG dem nicht entgegensteht (siehe Art. 30 Abs. 2 GDVG) und beispielsweise hinsichtlich der Heranziehung bereits vorhandener Dokumentationen die Einwilligung des Betroffenen vorliegt.
Zur räumlichen Aufbewahrung der Papierakten stellte ich fest, dass diese meist dezentral im jeweiligen Sachgebiet bzw. beim zuständigen Sachbearbeiter erfolgt, soweit die jeweiligen Vorgänge noch nicht abgeschlossen oder jüngeren Datums sind (je nach Raumkapazität). Ältere Akten befinden sich oft in speziellen Archivräumen. Hier werden die Grundsätze der Aktentrennung und -abschottung allerdings häufig nicht ausreichend gewahrt. Insbesondere werden die Akten unabhängig von ihren Inhalten in den gleichen Räumlichkeiten aufbewahrt und bestehen keine nennenswerten Zugangsbeschränkungen. Auch diesbezüglich gilt, dass die datenschutzgerechte Aufbewahrung der Aktenbestände durch geeignete organisatorische Maßnahmen sicherzustellen ist (siehe Art. 30 Abs. 1 Satz 5 GDVG). Insbesondere Akten über freiwillig in Anspruch genommene Leistungen des Gesundheitsamts sind abzuschotten. Daneben sind Zugangsbeschränkungen zu regeln und umzusetzen, indem nur bestimmten, für die Registratur und Archivierung zuständigen Mitarbeitern oder - bei getrennten Räumen - nur den berechtigten Sachbearbeitern der Zugriff bzw. die Entnahme von Akten ermöglicht wird.
- Auf meine ergänzenden Fragen zur Dauer der Aufbewahrung von Gesundheitsamtsdaten bzw. den Zeitpunkt der Aussonderung, Löschung oder Vernichtung ergab die Prüfung vielfältige Vorgehensweisen und einige Mängel. Im Rahmen geführter Prüfungsgespräche ließ sich ein großes Bedürfnis nach Information und Beratung feststellen. So musste zum Teil grundsätzlich darüber aufgeklärt werden, dass dann, wenn es sich nicht um ärztliche Aufzeichnungen handelt und auch keine sonstigen spezialgesetzlichen Aufbewahrungsvorschriften existieren, die notwendige Aufbewahrungsfrist nach dem Erforderlichkeitsgrundsatz zu bestimmen ist. Personenbezogene Daten in Dateien bzw. in Akten sind zu löschen, wenn ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist (Art. 12 Abs. 1 Nr. 2, Abs. 4 Satz 2 BayDSG). Zu beachten sind hierbei - was nicht bei allen geprüften Ämtern der Fall war - Anbietungspflichten gegenüber Archiven (siehe Art. 6 Abs. 1 Satz 1, Art. 13 Abs. 1 Bayerisches Archivgesetz). Soweit öffentliche Stellen verpflichtet sind, Unterlagen einem öffentlichen Archiv anzubieten, ist eine Löschung zur Aufgabenerfüllung nicht mehr erforderlicher Unterlagen erst dann zulässig, nachdem die Unterlagen dem öffentlichen Archiv angeboten wurden (siehe Art. 12 Abs. 8 BayDSG).
In Anbetracht der Vielzahl der zu verwaltenden Dateien und Akten sollte auf der Basis eines vom jeweiligen Gesundheitsamt zu erstellenden Aussonderungs- bzw. Löschkonzepts vorgegangen werden. Damit kann sichergestellt werden, dass in regelmäßigen Abständen geprüft wird, ob Dateien oder Akten auszusondern bzw. nach dem Angebot an das öffentliche Archiv zu löschen sind.
- Ich bin auch noch der Frage nachgegangen, wie im Zusammenhang mit der Aufgabe, gesundheitliche Beratung für Menschen anzubieten, die an einer Sucht oder an einer psychischen Krankheit leiden, von ihr bedroht oder dadurch gefährdet sind (siehe Art. 13 Abs. 1 Satz 2 Nr. 2 GDVG), gewährleistet wird, dass die Geheimhaltungspflichten und Verwertungsverbote des Art. 30 Abs. 1 GDVG gewahrt werden. Zugleich obliegt den Gesundheitsämtern nämlich auch die Aufgabe der Mitwirkung als fachkundige Stelle im Hinblick auf psychisch kranke Personen, die von einer Unterbringung bedroht sind (siehe Art. 13 Abs. 2 Nr. 2 GDVG). Mich interessierte besonders, wie verhindert wird, dass Erkenntnisse aus der freiwilligen Inanspruchnahme bei Begutachtungen in Unterbringungsverfahren Verwendung finden.
Hierzu ergab sich ein differenziertes Bild. Grundsätzlich war die erforderliche Aufgaben- und Aktentrennung bzw. -abschottung zwar organisatorisch gut bewältigt. In einzelnen Ämtern führten besondere Verfahrensweisen dann aber doch dazu, dass die bestehenden Verwertungsverbote nicht in der gebotenen Weise Beachtung fanden. Nach meinen Prüfungsfeststellungen erhält der medizinische Dienst, der u.a. die Aufträge zur medizinischen Begutachtung im Zusammenhang mit einem Unterbringungsverfahren nach Art. 7 Unterbringungsgesetz bearbeitet, bei manchen Gesundheitsämtern Kenntnis von bereits existierenden Vorgängen zu der betreffenden Person aus dem Bereich des Sozialdienstes. Dies geschieht etwa dadurch, dass durch die Registratur auf solche aus dem Registratursystem ersichtlichen Vorgänge ausdrücklich hingewiesen wird oder dass beim Sozialdienst gezielt nachgefragt wird, ob die betreffende Person bekannt ist. Ist dies der Fall, findet ein Informationsaustausch zumeist in beide Richtungen statt, wenn auch in der Regel, ohne die jeweils fremde Akte zugänglich zu machen. Um eine Geheimnisoffenbarung handelt es sich gleichwohl, so dass es im Einzelfall entsprechender Offenbarungsbefugnisse bedarf (siehe etwa Art. 30 Abs. 2 Satz 2 bzw. Art. 31 Abs. 2 GDVG).
- Ein weiteres Schwerpunktthema meiner Prüfungen betraf die Anlässe und die Art und Weise der Verwendung formularmäßiger Einwilligungserklärungen in die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten bzw. Erklärungen zur Schweigepflichtentbindung bei den Gesundheitsämtern. Ich stellte fest, dass entsprechende Formulare sehr vielfältig zum Einsatz kommen. Sehr häufig sind die Formulare von den jeweiligen Gesundheitsämtern selbst entworfen worden und unterscheiden sich entsprechend weitreichend. Sie finden zum Teil auch dann Verwendung, wenn gesetzliche Grundlagen für die Erhebung bzw. Übermittlung von Probandendaten bestehen bzw. aufgrund der Gesamtsituation auch von einer wirksamen stillschweigenden Einwilligung des Probanden ausgegangen werden könnte (siehe Art. 30 Abs. 2 GDVG). Ich habe die geprüften Ämter darauf hingewiesen, dass sie Einwilligungserklärungen und insbesondere Erklärungen zur Entbindung von der ärztlichen Schweigepflicht nur dann einsetzen sollten, wenn die angestrebte Erhebung bzw. Übermittlung von personenbezogenen Daten tatsächlich erforderlich ist und keine gesetzliche Befugnisnorm existiert. Liegt eine Befugnis aufgrund von Rechtsvorschriften vor, führt eine zusätzlich eingeholte Einwilligungserklärung nicht unbedingt zur Rechtsklarheit, sondern u.U. zu Folgeproblemen, insbesondere dann, wenn der Proband die Einwilligung verweigert oder widerruft.
- Bei den gesichteten Schweigepflichtentbindungserklärungen war durch die Formulargestaltung nicht immer gewährleistet, dass die Erklärung sämtliche Wirksamkeitsvoraussetzungen erfüllt. Die mir zur Kenntnis gelangten formularmäßigen Entbindungserklärungen waren sehr häufig in Bezug auf die Person oder Institution (z.B. Sachgebiet) innerhalb des Gesundheitsamts sowie in Bezug auf die Person oder Stelle, die entbunden werden soll, zu allgemein gefasst. Die Formulare sind jedoch so zu gestalten, dass die betreffenden Personen und Stellen in dafür vorgesehenen Textfeldern ausdrücklich benannt werden können. In der Regel war den vorgelegten Formularerklärungen auch nicht die konkrete Zielsetzung der Entbindung zu entnehmen. Je nach Gutachterauftrag wird es jedoch häufig ausreichend sein, nur in Bezug auf konkrete medizinische Fragestellungen, jedenfalls aber nur hinsichtlich der aktuellen Begutachtungsthematik von der Schweigepflicht zu entbinden.
- Soweit sich datenschutzrechtliche Mängel in Bezug auf Formulare ergaben, die von zentraler Stelle den Gesundheitsämtern vorgegeben sind, bin ich mit dem zuständigen Staatsministerium in einen Dialog getreten. Die Formulare wurden daraufhin geändert. Dies betraf die beim ärztlichen Dienst Verwendung findende "Beurteilungsgrundlage", ein Formular im Bereich der Schulgesundheitspflege ("Mitteilungsbogen zur Vorlage bei der Schule") und Musteranschreiben zu Impfbuchkontrollen an Schulen (siehe Nr. 7.1.2).
Die Verbesserung der datenschutzrechtlichen Standards bei den Gesundheitsämtern wird auch weiterhin zu meinen Schwerpunktthemen gehören (zu den technisch-organisatorischen Fragestellungen der Prüfungen siehe Nr. 2.2.2).
7.1.2. Impfberatung in Schulen
Wiederholt habe ich von den Bestrebungen des zuständigen Staatsministeriums berichtet, die Personensorgeberechtigten gesetzlich zu verpflichten, bei Schuleingangsuntersuchungen und weiteren schulischen Impfberatungen den Impfausweis ihres Kindes vorzulegen (siehe hierzu 25. Tätigkeitsbericht 2012 Nr. 7.8 sowie 24. Tätigkeitsbericht 2010 Nr. 7.2). Gemäß Art. 14 Abs. 5 Satz 8 des Gesundheitsdienst- und Verbraucherschutzgesetzes (GDVG) besteht nun seit dem 01.01.2013 eine solche gesetzliche Verpflichtung zur Vorlage von Impfdokumenten im Rahmen schulischer Impfberatungen. Sie gilt zunächst nur für die Dauer von drei Jahren und wird zum 01.01.2016 wieder aufgehoben, wenn sich nicht im Rahmen einer durchzuführenden Evaluation deren Nutzen für eine flächendeckende Impfaufklärung bzw. eine Erhöhung der Durchimpfungsrate feststellen lässt.
Art. 14 GDVG Schutz der Gesundheit von Kindern und Jugendlichen
(5) ... 8Bei der Schuleingangsuntersuchung nach Satz 4 und bei weiteren schulischen Impfberatungen sind vorhandene Impfausweise und Impfbescheinigungen (§ 22 IfSG) der Kinder durch die Personensorgeberechtigten vorzulegen ...
Die datenschutzgerechte Umsetzung der schulischen Impfberatung war auch unabhängig von der neu eingeführten Vorlagepflicht für Impfausweise Gegenstand einiger Eingaben und meiner anlassunabhängigen Prüfungen von Gesundheitsämtern. Ich bin insbesondere der Frage nachgegangen, ob die Ämter ihre Verfahrensweise bei schulischen Impfberatungen, speziell in den 6. Jahrgangsstufen (siehe Art. 14 Abs. 5 Satz 8 GDVG, § 10 Abs. 1 Nr. 2 Verordnung zur Schulgesundheitspflege), datenschutzgerecht gestalten, um zu verhindern, dass Lehr- und Verwaltungskräfte, ggf. sogar andere Schüler, Verfügungsmöglichkeiten über die Impfdokumente erlangen und unbefugt Einsicht in diese nehmen können.
Die festgestellten Vorgehensweisen ähnelten sich. Mittels formularmäßigem Informationsblatt, welches in den betroffenen Schulklassen von den Klassenlehrern ausgeteilt wird, werden die Eltern um die Übergabe der Impfausweise gebeten. Diese werden dann entsprechend den Darstellungen im Informationsblatt von den Kindern in die Schule mitgebracht, von den Klassenleitern eingesammelt und meist bis zu dem Tag, an dem die Kontrolle durch Mitarbeiter des Gesundheitsamts stattfindet bzw. die Dokumente vom Gesundheitsamt abgeholt werden, in der Schule verwahrt. Danach werden die Impfausweise mit eingelegten Hinweisblättern zum Impfstatus wiederum über die Schule an die Schulkinder zurückgegeben.
Ich habe den geprüften Gesundheitsämtern und dem zuständigen Staatsministerium für Gesundheit und Pflege mitgeteilt, dass schulisches Personal künftig nur dann bei der Organisation der Impfausweiskontrolle mitwirken könne, wenn die Vertraulichkeit der Impfdokumente gewahrt bleibt. Beispielsweise kann ein Verfahren festgelegt werden, in dem die Impfdokumente in verschlossenen Umschlägen, adressiert an das Gesundheitsamt, in der Schule abgegeben und nach der Durchsicht durch Mitarbeiter des Gesundheitsamts wiederum nur in verschlossenen Umschlägen, mit dem Namen des jeweiligen Schülers versehen, an das Schulpersonal übergeben sowie in dieser Form an die Schüler weitergereicht werden. Die an die Eltern bzw. die Schule und die Klassenleiter gerichteten Informationsblätter, die die Gesundheitsämter vor der Impfausweiskontrolle austeilen, müssen entsprechende Hinweise enthalten.
Das Staatsministerium veranlasste im Rahmen der Verwaltungsvorschrift zum Vollzug des § 20 Abs. 5 des Infektionsschutzgesetzes (IfSG) Regelungen im Sinne der von mir vorgeschlagenen Vorgehensweise und änderte zugleich die Vorlagen für zu verwendende Formblätter (Elternanschreiben, Informationsschreiben an die Schulen). Die Musterformblätter enthalten nun auch einen deutlichen Hinweis auf die neu eingeführte Vorlagepflicht hinsichtlich der Impfdokumente.
7.1.3. Videoüberwachung im Gesundheitsamt (Türklingelanlage)
Ein staatliches Gesundheitsamt fragte bei mir an, ob es aus datenschutzrechtlicher Sicht bedenklich ist, eine Klingelanlage zu installieren, die eine Videoüberwachung ermöglicht. Die Kamera solle nur außerhalb der Öffnungszeiten durch Klingeln und jeweils nur für einen bestimmten Zeitraum aktiviert werden können. Die Überwachung finde am Bildschirm eines Mitarbeiters statt. Eine Aufzeichnung erfolge nicht.
Anhand der übermittelten Informationen konnte ich zwar keine abschließende rechtliche Beurteilung der Zulässigkeit der vorgesehenen Videoüberwachung vornehmen. Ich konnte das anfragende Amt jedoch darauf hinweisen, dass es sich in Bezug auf die vorgetragene datenschutzrechtliche Fragestellung an Art. 21a BayDSG zu orientieren hat. Danach ist die Videobeobachtung (Erhebung) personenbezogener Daten mit Hilfe von optisch-elektronischen Einrichtungen u.a. dann zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist, um öffentliche Einrichtungen oder sonstige bauliche Anlagen öffentlicher Stellen sowie die dort oder in deren unmittelbarer Nähe befindlichen Sachen zu schützen. Gemäß Art. 21a Abs. 1 Satz 2 BayDSG dürfen zudem keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen der Betroffenen beeinträchtigt werden. In diesem Zusammenhang sind insbesondere die Interessen besonders schutzbedürftiger Personen(gruppen) in den Blick zu nehmen (z.B. Besucher der Schwangerenberatung), für die aller Voraussicht nach nicht ausgeschlossen werden kann, dass sie Gesprächstermine oder Beratungsangebote auch außerhalb der üblichen Öffnungszeiten wahrnehmen bzw. nachfragen (siehe auch meine Ausführungen zur Videoüberwachung in einer Schwangerenberatungsstelle im 25. Tätigkeitsbericht 2012 Nr. 7.9).
Auf meiner Homepage ist ein Prüfungsschema zur Videobeobachtung und Video-aufzeichnung (Videoüberwachung) gemäß Art. 21a BayDSG über "Veröffentlichungen" - "Mustervordrucke" sowie ein Leitfaden für bayerische Kommunen zur Videoüberwachung unter "Themen" - "Kommunales" - "Videoüberwachung - Leitfaden für bayerische Kommunen" abrufbar.
7.2. Krankenhaus
7.2.1. De-Mail im Krankenhaus
Ich bin angefragt worden, ob für die Kommunikation zwischen Patienten und (kommunalen) Kliniken per De-Mail Rechtssicherheit angenommen werden könne. Dazu habe ich folgende Auffassung vertreten:
Gemäß Art. 27 Abs. 6 Bayerisches Krankenhausgesetz (BayKrG) sind insbesondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.
Art. 27 BayKrG Datenschutz
(6) Es sind besondere Schutzmaßnahmen technischer und organisatorischer Art zu treffen, dass Patientendaten nicht unberechtigt verwendet oder übermittelt werden können.
De-Mail garantiert die Authentizität von Sender und Empfänger sowie die gesicherte Zustellung von Nachrichten. Allerdings stellt nur eine Ende-zu-Ende-Verschlüsselung eine durchgängige Verschlüsselung zwischen Versender und Empfänger dar, die für eine Versendung besonders schutzbedürftiger Daten die notwendige Rechtssicherheit bieten kann. Eine Ende-zu-Ende-Verschlüsselung wird vom insoweit einschlägigen De-Mail-Gesetz jedoch nicht gefordert. Für den De-Mail-Diensteanbieter ergeben sich dementsprechend keine Pflichten, eine solche Verschlüsselung vorzusehen. Für den Versand von Daten mit dem Schutzbedarf "sehr hoch" ist eine Ende-zu-Ende-Verschlüsselung jedoch zwingend notwendig. Gesundheitsdaten, insbesondere Patientendaten, die der ärztlichen Schweigepflicht (§ 203 Strafgesetzbuch) unterliegen, sind als besonders schutzbedürftige Daten in aller Regel dem Schutzbedarf "sehr hoch" zuzurechnen. Beim Schutzbedarf "sehr hoch" können die Schadensauswirkungen bei unberechtigtem Zugriff ein existentiell bedrohliches Ausmaß erreichen. Insoweit müssen sich die Nutzer von De-Mail dann selbst um die Installation und Nutzung einer entsprechenden Verschlüsselungssoftware kümmern.
Weitere Informationen enthält die "Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail" der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 1. März 2013.
7.2.2. Patientendatenübermittlung an einen Nachlasspfleger
Der behördliche Datenschutzbeauftragte eines meiner Zuständigkeit unterliegenden Krankenhauses richtete an mich die Frage, ob es einem Nachlasspfleger Auskünfte über einen verstorbenen Patienten erteilen dürfe. Er stelle sich insbesondere die Frage, ob der Nachlasspfleger sich selbst von der ärztlichen Schweigepflicht entbinden könne. Ich wies auf Folgendes hin:
Der Nachlasspfleger im Sinne des § 1960 des Bürgerlichen Gesetzbuches (BGB) ist gesetzlicher Vertreter der (noch unbekannten) Erben. Eine Rechtsbeziehung zum verstorbenen Patienten hatte bzw. hat der Nachlasspfleger nicht inne. Nach dem Tod des Patienten, der zugleich Erblasser ist, kann weder der Erbe noch ein naher Angehöriger von der über den Tod des Patienten hinauswirkenden ärztlichen Schweigepflicht entbinden. Eine Vertretung ist insoweit unzulässig (siehe auch 24. Tätigkeitsbericht 2010 Nr. 7.4). Erst recht kann daher der Nachlasspfleger nicht wirksam und zu seinen Gunsten von der Schweigepflicht entbinden. Der Nachlasspfleger ist eine außen stehende Person, die Auskunftserteilung an ihn ist als Datenübermittlung einzustufen (siehe Art. 27 Abs. 5 Satz 1 des Bayerischen Krankenhausgesetzes - BayKrG).
Grundsätzlich gilt, dass sämtliche Patientendaten auch über den Tod des Behandelten hinaus geheim zu halten sind. Allerdings kann sich aus der Erforschung des Willens des verstorbenen Patienten ergeben, dass sein Interesse an der weiteren Geheimhaltung erloschen wäre. Insoweit ist der Wille des Erblassers zu Lebzeiten im Hinblick auf die Schweigepflicht zu ermitteln. Kann dieser nicht festgestellt werden, ist der mutmaßliche Wille des Erblassers zu erforschen, ob er die konkrete Offenlegung durch seinen Arzt billigen oder missbilligen würde (vgl. BGH NJW 1984, Seite 2893). Zu prüfen ist insoweit das wohlverstandene Interesse des Verstorbenen an der weiteren Geheimhaltung der dem Arzt anvertrauten Tatsachen (siehe z.B. Oberlandesgericht Sachsen-Anhalt, Beschluss vom 09.12.2004, Az.: 4 W 43/04; siehe zum Einsichtsrecht eines Angehörigen in Patientenakten eines Verstorbenen auch 24. Tätigkeitsbericht 2010 Nr. 7.4).
Im Ergebnis kann also die Weitergabe von Patientendaten eines verstorbenen Patienten an den Nachlasspfleger im Einzelfall nach eingehender und gewissenhafter Prüfung der konkreten Umstände und bei hinreichenden Anhaltspunkten für einen entsprechenden (mutmaßlichen) Willen des Verstorbenen gerechtfertigt sein. Die Hauptverantwortung für die Einhaltung der Schweigepflicht vor dem Hintergrund einer ggf. eigenen Strafbarkeit nach § 203 Abs. 1 des Strafgesetzbuches (StGB) obliegt demnach dem Arzt. Ihm kann die Erforschung des mutmaßlichen Willens des Verstorbenen nicht abgenommen werden. Eine Offenlegung kann allerdings nicht einfach "aus grundsätzlichen Erwägungen" verweigert werden (siehe BGH, a.a.O.).
7.2.3. Übersendung eines Krankenhaus-Arztbriefes an namensgleiche Patientin
Aufgrund einer Eingabe erfuhr ich von einem Vorfall, bei dem ein Krankenhaus einen den stationären Aufenthalt einer Patientin betreffenden Arztbrief datenschutzrechtswidrig an die Anschrift einer anderen, bereits verstorbenen Frau verschickt hat. Der Witwer öffnete den dem Anschein nach an seine verstorbene Frau adressierten Brief. Erst nach Kenntnisnahme vom enthaltenen Arztbrief erkannte er, dass dieser eine ihm fremde Frau mit gleichem Namen betraf.
Den Angaben des Krankenhauses zu Folge geschah die falsche Adressierung versehentlich. Dieses Versehen war auch verständlich: Die Verstorbene war zu Lebzeiten ebenfalls Patientin des betreffenden Krankenhauses gewesen; Vor- und Nachnamen der beiden Frauen waren identisch. Hinzu kam sogar noch die Ähnlichkeit des Geburtsdatums, welches nur in einer Ziffer voneinander abwich. Dennoch handelte es sich bei der fehlerhaften Übersendung des Arztbriefes an die falsche Adresse aus datenschutzrechtlicher Sicht um eine unbefugte Übermittlung von Patientendaten. Gemäß Art. 27 Abs. 5 Satz 1 Bayerisches Krankenhausgesetz (BayKrG) ist die Übermittlung von Patientendaten an Dritte zulässig im Rahmen des Behandlungsverhältnisses oder dessen verwaltungsmäßiger Abwicklung oder wenn eine Rechtsvorschrift die Übermittlung erlaubt oder wenn die betroffene Person eingewilligt hat. Keine der genannten Voraussetzungen lag vor. Es handelt sich auch um einen erheblichen Verstoß, da als besonders sensibel einzustufende Patientendaten, die zugleich der ärztlichen Schweigepflicht unterliegen (siehe § 203 Strafgesetzbuch - StGB), unberechtigt weitergegeben wurden.
Von einer förmlichen Beanstandung habe ich in Anbetracht der außergewöhnlichen Umstände abgesehen (Art. 31 Abs. 3 BayDSG). Hierfür sprach auch, dass das Krankenhaus umgehend Maßnahmen ergriff, um vergleichbare Vorfälle zukünftig zu verhindern. Die Mitarbeiter des Krankenhauses wurden abteilungsübergreifend auf die Notwendigkeit der Kontrolle der Richtigkeit der Patientendaten vor jedem Postausgang hingewiesen. Die gegenständliche Personenverwechslung soll außerdem exemplarisch zum Gegenstand künftiger Datenschutzschulungen gemacht werden.
Da insbesondere Namensidentitäten jedoch nicht derart unwahrscheinlich sind, dass sie für die Zukunft völlig ausgeschlossen werden können, habe ich neben der Sensibilisierung der Mitarbeiter noch zusätzliche Schritte gefordert. Vor allem halte ich es in einem solchen Fall für notwendig, die Abläufe für die Herausgabe von Arztbriefen und die Prüfung der Adressen einer eingehenden Prüfung zu unterziehen, um ggf. datenschutzgerechtere Verfahrensweisen vorzusehen. Erfolgt etwa die Arztbriefschreibung elektronisch und sind die Arztbriefe in das Krankenhausinformationssystem eingebunden, sollte der Aufruf und Ausdruck auch immer nur über das Krankenhausinformationssystem erfolgen, das automatisch die richtigen Adressdaten zur Verfügung stellt.
Außerdem sollten die in der Orientierungshilfe Krankenhausinformationssysteme (abrufbar unter https://www.datenschutz-bayern.de, "Themen" - "Gesundheitswesen" - "Orientierungshilfe Krankenhausinformationssysteme (2. Fassung))" im Teil 1 unter den Punkten 21 - 25 geforderten Maßnahmen umgesetzt sein, so dass spätestens ein Jahr nach Abschluss der Behandlung die Daten entlassener Patienten nicht mehr regulär im Zugriff stehen. Damit hätten die Daten der verstorbenen Patientin nicht mehr zur Auswahl gestanden und die Verwechslung hätte nicht stattfinden können.
7.2.4. Hygieneverordnung und Krankentransport
Eine Änderung des § 23 Infektionsschutzgesetz (IfSG) hat die Landesregierungen verpflichtet, für bestimmte Gesundheitseinrichtungen die Maßnahmen zum Infektionsschutz zu regeln. Bayern hat dazu eine Verordnung zur Hygiene und Infektionsprävention in medizinischen Einrichtungen erlassen (MedHygV). Insbesondere die Vorschrift des § 13 MedHygV hat dabei zu datenschutzrechtlichen Zweifelsfragen geführt, um deren Beantwortung ich wiederholt gebeten wurde. Meist ging es hierbei um die Informationsbedürfnisse und -befugnisse des Rettungsdienstes. Zum Rettungsdienst sind gemäß Art. 1 Bayerisches Rettungsdienstgesetz (BayRDG) u.a. die Notfallrettung, der arztbegleitete Patiententransport und der Krankentransport im Sinne des Art. 2 Abs. 5 BayRDG zu zählen, nicht jedoch Krankenfahrten (siehe Art. 3 Nr. 6 BayRDG).
Nach Art. 13 MedHygV, der sich am Wortlaut des § 23 Abs. 8 Nr. 10 IfSG orientiert, haben die in § 1 Abs. 2 Nrn. 1 bis 5 der Verordnung genannten medizinischen Einrichtungen bei Verlegung, Überweisung oder Entlassung von Patienten Informationen über Maßnahmen, die zur Verhütung und Bekämpfung von nosokomialen Infektionen und von Krankheitserregern mit speziellen Resistenzen und Multiresistenzen erforderlich sind, an den Rettungsdienst, die aufnehmende Einrichtung oder die niedergelassene Ärztin oder den niedergelassenen Arzt weiterzugeben.
Für Bayern entwickelte die Arbeitsgemeinschaft Multiresistente Erreger (LARE) für diesen sektorenübergreifenden Informationsaustausch spezielle Informationsweitergabebögen. Die zugehörigen vier Ausdrucke sind entweder für den ausstellenden Arzt, den weiterbehandelnden Arzt, den Krankentransport oder die aufnehmende Einrichtung bestimmt. Die Formulargestaltung ist jeweils an die unterschiedlichen Informationsbedürfnisse angepasst und wurde mit mir abgestimmt. Für den Krankentransport wurde allerdings in der Folge angezweifelt, dass die dem Ausdruck nach mitzuteilenden Informationen ausreichend sind. Insbesondere wurde diskutiert, welche Informationen zur konkret bestehenden Infektion oder Besiedelung des Patienten an den Krankentransport weitergegeben werden dürfen bzw. müssen.
Zur Reichweite der Informationsweitergabebefugnis des ausstellenden Arztes bzw. der abgebenden Einrichtung gegenüber dem Krankentransport habe ich wiederholt darauf hingewiesen, dass sowohl dem Wortlaut des § 13 MedHygV als auch der Begründung zum Verordnungsentwurf zu entnehmen ist, dass beim Informationsaustausch zwischen den Einrichtungen die Information über die notwendigen Schutzmaßnahmen im Vordergrund steht. Die Zulässigkeit näherer Informationen über die konkrete Infektion oder Kolonisation hängt davon ab, ob deren Kenntnis für die Festlegung der Verhütungs- oder Bekämpfungsmaßnahmen erforderlich ist.
§ 13 MedHygV Sektorübergreifender Informationsaustausch
Die Einrichtungen nach § 1 Abs. 2 Nrn. 1 bis 5 haben bei Verlegung, Überweisung oder Entlassung von Patientinnen und Patienten Informationen über Maßnahmen, die zur Verhütung und Bekämpfung von nosokomialen Infektionen und von Krankheitserregern mit speziellen Resistenzen und mit Multiresistenzen erforderlich sind, an den Rettungsdienst, die aufnehmende Einrichtung oder die niedergelassene Ärztin oder den niedergelassenen Arzt weiterzugeben.
Die Frage, inwieweit das Vorliegen von Infektionskrankheiten oder die Besiedelung mit multiresistenten Erregern bzw. ein entsprechender Verdacht an den Rettungsdienst mitgeteilt werden darf, ist in Bayern bereits durch Art. 40 Abs. 2 des BayRDG geregelt. Art. 13 MedHygV kommt in Bezug auf den Rettungsdienst daher nur deklaratorische Bedeutung zu. Nach der genannten rettungsdienstgesetzlichen Spezialnorm ist der Besteller rettungsdienstlicher Leistungen verpflichtet, der Integrierten Leitstelle oder dem Unternehmer bei der Bestellung das Vorliegen oder den Verdacht einer Infektionskrankheit oder einer Besiedelung mit multiresistenten Erregern mitzuteilen. Wie bei Art. 13 MedHygV geht es auch bei dieser Rechtsvorschrift in erster Linie darum, den Rettungsdienst in die Lage zu versetzen, die im Einzelfall erforderlichen Hygienemaßnahmen zu treffen. Die Pflicht nach Art. 40 Abs. 2 BayRDG bezieht sich daher nur auf die insoweit erforderlichen Informationen. Die Reichweite oder der Umfang der Information ist nach dem Sinn und Zweck der Norm danach zu bestimmen, ob es zu Gefährdungen des Transportpersonals, des Patienten und/oder nachfolgend transportierter Patienten kommen kann und sich hieraus die Notwendigkeit der Einhaltung bestimmter Schutzvorkehrungen ergibt (vgl. auch die Begründung zu Art. 40 des Gesetzentwurfs, Landtags-Drucksache 15/10391). Es genügt daher in der Regel die Mitteilung, dass beim zu transportierenden Patienten eine Infektionskrankheit oder eine Besiedelung mit multiresistenten Erregern vorliegt bzw. ein diesbezüglicher Verdacht besteht und welche Hygienemaßnahmen erforderlich sind.
Die mit mir zuletzt abgestimmte Fassung des Informationsweitergabebogens, die in Bezug auf den Ausdruck für den Krankentransport Änderungen erfahren hat, berücksichtigt diese datenschutzrechtlichen Anforderungen. Ist ein Patient mit multiresistenten Erregern zu transportieren, sind dem Ausdruck für den Krankentransport allgemeine Informationen über das in einem solchen Fall erforderliche Hygienemanagement zu entnehmen. Lediglich dann, wenn beim Patienten eine Besiedelung von Nase oder Rachen vorliegt, wird eine entsprechende patientenbezogene Information an den Krankentransport aus fachlicher Sicht für erforderlich gehalten. In diesem Fall sei es zum Schutz des Personals und nachfolgend zu transportierender Patienten dringend notwendig, dem Patienten einen Mund-Nasenschutz anzulegen. Diese Begründung halte ich für nachvollziehbar.
7.2.5. Videoüberwachung im Patientenzimmer der Psychiatrie
Ein Universitätsklinikum bat mich um meine datenschutzrechtliche Einschätzung zur Frage der Rechtmäßigkeit der Videoüberwachung in speziellen Patientenzimmern der Psychiatrie (und zugehörigen Toilettenräumen). Den Angaben zu Folge liege der Videoüberwachung im Einzelfall eine Einwilligungserklärung des betreffenden Patienten zugrunde.
Soweit Videoüberwachung auf der Grundlage von Einwilligungserklärungen der Patienten durchgeführt wird, stellt sich für die Notwendigkeit der Videoüberwachung die naheliegende Frage, ob die betroffenen Patienten in ihrer besonderen Situation überhaupt in der Lage sind, wirksam einzuwilligen. Hierzu bedürfte es der Einwilligungsfähigkeit der Patienten. Die Erklärung müsste zudem freiwillig abgegeben worden sein (siehe § 4a Abs. 1 Satz 1 Bundesdatenschutzgesetz). Bei einem Patienten, der aufgrund seines akuten Krankheitszustandes in die geschlossene Abteilung eines psychiatrischen Krankenhauses aufgenommen wurde, kann schon nicht ohne weiteres angenommen werden, dass er einwilligungsfähig ist. Sollte der konkret betroffene Patient im Einzelfall als einwilligungsfähig eingestuft werden können, wird er im Fall einer zwangsweisen Unterbringung jedenfalls nicht freiwillig in eine Videoüberwachung einwilligen. Selbst dann, wenn der Patient sich aufgrund einer freien Entscheidung zur Behandlung in die geschlossene Abteilung begeben hat, entsteht in gewisser Weise ein Abhängigkeitsverhältnis zwischen ihm und der behandelnden Einrichtung, aufgrund dessen die Freiwilligkeit der Patientenerklärung grundsätzlich fraglich ist. Die Einwilligung des Patienten ist daher regelmäßig kein taugliches Instrument, um für den besonders sensiblen Bereich der Überwachung suizidgefährdeter Psychiatriepatienten eine datenschutzrechtliche Grundlage zu schaffen.
Insofern bedarf die Videoüberwachung einer gesetzlichen Grundlage. Dabei ist zu klären, welche Rechtsgrundlage für die Videobeobachtung der Patientenzimmer nebst Toilettenräumen in Betracht kommt. Universitätskliniken sind rechtsfähige Anstalten des öffentlichen Rechts des Freistaats Bayern (Art. 1 des Bayerischen Universitätsklinikagesetzes - BayUniKlinG) und damit öffentliche Stellen (siehe Art. 2 Abs. 1 BayDSG). Es gilt somit grundsätzlich das Bayerische Datenschutzgesetz, soweit nicht gemäß Art. 2 Abs. 7 BayDSG bereichsspezifische Datenschutzvorschriften vorgehen oder das Bayerische Datenschutzgesetz selbst die Anwendbarkeit des Bundesdatenschutzgesetzes bestimmt. Auch für Universitätskliniken vertrete ich mittlerweile die Auffassung, dass für sie die Sonderregelung für Wettbewerbsunternehmen des Art. 3 Abs. 1 BayDSG gilt, wonach öffentliche Stellen, soweit sie als Unternehmen am Wettbewerb teilnehmen, dem Bundesdatenschutzgesetz mit Ausnahme dessen zweiten Abschnitts unterfallen. Da Universitätskliniken Aufgaben der Krankenversorgung wahrzunehmen haben, die auch von privaten oder gemeinnützigen Krankenhäusern erbracht werden können, nehmen sie insoweit am Wettbewerb teil, auch wenn die Unikliniken die Krankenversorgung an den Aufgaben ihrer Universität in Forschung und Lehre auszurichten haben und diese hierdurch eine spezielle Prägung erfahren (siehe Art. 2 Abs. 1 Satz 1 BayUniKlinG und Wilde/Ehmann/Niese/ Knoblauch, BayDSG, Art. 3, Rn 22 ff.). Bei der vorliegend thematisierten Videobeobachtung handelt es sich um die Erhebung von personenbezogenen Daten mittels optisch-elektronischer Einrichtungen, die der Krankenversorgung und damit der Erbringung der Wettbewerbsleistung dient (siehe hierzu Wilde/Ehmann/ Niese/Knoblauch, BayDSG, Art. 3, Rn 4 f.).
In Bayern ist für Universitätskliniken allerdings auch die bereichsspezifische Datenschutzvorschrift des Art. 27 Bayerisches Krankenhausgesetz (BayKrG) entsprechend anwendbar (siehe Art. 2 Abs. 3 BayUniKlinG). Soweit Art. 27 BayKrG den Datenschutz im Krankenhaus regelt (siehe Art. 27 Abs. 1 Satz 2 BayKrG), kommt gemäß Art. 3 Abs. 1 Satz 2, Art. 2 Abs. 7 BayDSG die Verweisung auf das BDSG nicht zum Tragen. Insoweit ist von Bedeutung, dass das BDSG für die hier im Raum stehende Videobeobachtung keine spezielle Vorschrift bereithält. § 6b BDSG gilt nur für die Videoüberwachung öffentlich zugänglicher Räume. Um solche handelt es sich bei den (überwachten) Patientenzimmern nicht.
Gemäß Art. 27 Abs. 2 BayKrG dürfen Patientendaten erhoben werden, soweit dies zur Erfüllung der Aufgaben des Krankenhauses oder im Rahmen des krankenhausärztlichen Behandlungsverhältnisses erforderlich ist oder die betroffene Person eingewilligt hat. Die Beobachtung mittels optisch-elektronischer Einrichtungen stellt eine Form der Erhebung von Patientendaten dar (siehe Art. 27 Abs. 1 BayKrG). Der Schutz krankheitsbedingt suizidaler Patienten vor Selbstgefährdung ist Aufgabe des Krankenhauses. Sie resultiert aus Fürsorgepflichten gegenüber aufgenommenen Patienten und gehört zur Krankenversorgung. Soweit bestimmte Patienten wegen der akuten Gefahr, sich selbst zu verletzen, in besonderer Weise überwachungsbedürftig sind, ist bei der Wahl und Ausgestaltung der im konkreten Fall vorzusehenden Überwachungsmaßnahme allerdings dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen.
Die Maßnahme muss geeignet und erforderlich sowie im engeren Sinne verhältnismäßig sein. Bei der Prüfung der Geeignetheit ist zu fragen, ob sich die Videoüberwachung des konkret überwachungsbedürftigen Patienten im Hinblick auf seinen Krankheitszustand und seine Gefährdungssituation überhaupt eignet. Erforderlich ist die Videoüberwachung nur dann, wenn sie das mildeste Mittel zur Erreichung des angestrebten Zwecks darstellt, indem sie unter den zur Verfügung stehenden Maßnahmen (z.B. Sitzwache, bauliche oder sonstige organisatorische Maßnahmen) diejenige ist, die die schützenswerten Rechte des Betroffenen am wenigsten beeinträchtigt und daher angemessen ist. Der Schwerpunkt der Verhältnismäßigkeitsprüfung liegt folglich bei der Abwägung der Interessen des Einrichtungsträgers an der Videoüberwachung und den (verfassungs-) rechtlich geschützten Positionen des Betroffenen unter Würdigung aller Umstände des Einzelfalls.
Videoüberwachung ist generell mit einem erheblichen Kontroll- und Einschüchterungspotenzial verbunden und kann verhaltenslenkende Wirkungen entfalten. Der empfundene Überwachungsdruck, den die Kameras selbst dann auslösen, wenn sie nicht eingeschaltet sind, ist - je nach Krankheitsbild - bei Menschen, die stationärer psychiatrischer Behandlung bedürfen, u.U. sogar noch deutlich gesteigert. Erst recht gilt dies, wenn der betreffende Patient den Raum nicht verlassen und er sich der Videobeobachtung nicht einmal vorübergehend entziehen kann.
Die Videobeobachtung von Patientenzimmern ist daher immer als schwerwiegender Eingriff in das informationelle Selbstbestimmungsrecht (Art. 2 Abs. 1 in Verbindung mit Art 1 Abs. 1 Grundgesetz - GG) des betroffenen Patienten zu werten. Die Patientenzimmer stellen für die Patienten für die Dauer ihres Aufenthalts auf der geschlossenen Station auch Rückzugs- und Ruheraum dar. Die Beobachtung mittels Videokamera erfasst den höchstpersönlichen Lebensbereich des Patienten (siehe § 201a Strafgesetzbuch).
Erst recht gilt dies, soweit sogar die Toilettenräume videotechnisch überwacht werden sollen, in denen in intimster Weise der Körperhygiene nachgegangen wird. In diesem Zusammenhang kann sich im Einzelfall u.U. sogar die Frage stellen, ob eine solche Vorgehensweise noch als menschenwürdige Behandlung angesehen werden kann (siehe Art. 1 Abs. 1 GG). Die Menschenwürdegarantie verbietet eine Herabwürdigung zum Objekt und gebietet die Wahrung menschlicher Identität und Integrität (vgl. BVerfGE 96, 375, 399 f., m.w.N.).
Im Ergebnis halte ich die Videoüberwachung von Patientenzimmern psychiatrischer Patienten nur in Ausnahmefällen für zulässig, wenn sich in der konkreten Situation und bezogen auf den konkreten Patienten kein weniger einschneidendes Mittel anbietet, um Leib und Leben des Betreffenden zu schützen. Ihr Einsatz muss auf einer ärztlichen Gefahreneinschätzung beruhen und sich auf ganz bestimmte, als solche kenntlich gemachte Wachräume sowie auf das zeitlich Erforderliche beschränken. Die betroffenen Patienten sowie ihre gesetzlichen Vertreter sind über die Videoüberwachung und ihre Zwecke zu informieren. Anlass, Anordnung, Umfang und Dauer der Maßnahmen sind zu dokumentieren.
Noch strengere Anforderungen sind an die Überwachung der Toilettenräume mittels Videokamera zu stellen. In der Regel wird sie nicht verhältnismäßig sein. Insoweit ist zu berücksichtigen, dass die Videoüberwachung von Patientenzimmern nur dann zur Erhöhung der Sicherheit beiträgt, wenn Personal zur Verfügung steht, das die übertragenen Aufnahmen zeitgleich am Bildschirm überwacht. Das Aufsuchen der Toilette, die Verweildauer sowie sonstige Auffälligkeiten könnten daher nachvollzogen werden, ohne den Raum von innen zu überwachen. Daneben sind zunächst weniger belastende Möglichkeiten (bauliche und gestalterische Maßnahmen sowie Maßnahmen des Personaleinsatzes) zur Verbesserung der Sicherheit zu ergreifen.
7.2.6. Videoüberwachung auf dem Klinikparkplatz
Ein Klinikum wollte von mir wissen, ob es datenschutzrechtlich für die Videoüberwachung von Anlagen, Einfahrtsschranken und Parkautomaten auf dem Klinikparkplatz verantwortlich ist, obwohl die Betreuung der gesamten Parkflächen einschließlich Tiefgarage vertraglich an eine externe Firma vergeben wurde.
Grundsätzlich sind Videoüberwachung und -aufzeichnung im Krankenhaus und auf dem zugehörigen Gelände nach § 6b Bundesdatenschutzgesetz (BDSG) zu beurteilen, wenn es sich - wie bei der anfragenden Einrichtung - um ein Wettbewerbsunternehmen im Sinne des Art. 3 Abs. 1 BayDSG handelt. Soweit im Rahmen der Videoüberwachung auch Patientendaten erhoben oder gespeichert werden, ist Art. 27 Abs. 2 des Bayerischen Krankenhausgesetzes (BayKrG) zu beachten. Die Verantwortung für die Einhaltung der genannten datenschutzrechtlichen Vorschriften trägt das Krankenhaus. Das gilt grundsätzlich auch dann, wenn es den Bereich der Parkplatzüberwachung mittels optisch-elektronischer Einrichtungen im Wege der Auftragsdatenverarbeitung einem externen privaten Unternehmen übertragen hat. Im Rahmen der Auftragsdatenverarbeitung hat der Auftraggeber die datenschutzrechtliche Freigabe, die Erstellung und Führung einer entsprechenden Verfahrensbeschreibung sowie die Aufnahme des Verfahrens in sein öffentliches Verfahrensverzeichnis durchzuführen, soweit personenbezogene Daten in einem automatisierten Verfahren verarbeitet werden.
Mit den Voraussetzungen einer zulässigen Auftragsdatenverarbeitung im Sinne des § 11 BDSG (siehe auch Art. 27 Abs. 4 Satz 5 BayKrG) ist es nicht vereinbar, dass die externe Firma den Betrieb der Parkflächen einschließlich der Parkraumüberwachung und der Entscheidung über den Einsatz von optisch-elektronischen Einrichtungen in eigener Verantwortung wahrnimmt. Geschieht dies, spricht viel für das Vorliegen einer Funktionsübertragung, zu der die öffentliche Stelle Krankenhaus berechtigt sein müsste. Im Fall einer rechtmäßigen Funktionsübertragung wäre die private Betreiberfirma selbst verantwortliche Stelle nach § 3 Abs. 7 BDSG und für die Einhaltung der Voraussetzungen des § 6b BDSG zuständig.
7.2.7. Videoüberwachung eines OP-Zugangs
Ein Krankenhaus wandte sich an mich, um die datenschutzrechtliche Zulässigkeit der Videoüberwachung eines irregulären OP-Zugangs zu klären. Der spezielle Zugang bestehe neben den üblichen OP-Schleusen aus brandtechnischen Gründen. Er ermögliche es einzelnen Ärzten der nahegelegenen Anästhesieabteilung den OP-Bereich in Notfällen besonders schnell zu erreichen. Dies erfolge dann allerdings unter Umgehung der üblichen Hygienemaßnahmen in den OP-Schleusen. Hiergegen habe das zuständige Gesundheitsamt aufgrund der hygienischen Risiken Bedenken geäußert. Es habe überdies befürchtet, dass die Tür nicht nur im Notfall benutzt werde. Mit Hilfe der Videoüberwachung wolle man daher sicherstellen, dass der irreguläre Zugang tatsächlich nur in Notsituationen genutzt wird und dies auch kontrolliert werden kann. Die hierfür bereits eingeführten Maßnahmen, nämlich die Versiegelung der Tür, die tägliche Kontrolle des Siegels und die Anweisung an das Klinikpersonal, jede Nutzung schriftlich zu dokumentieren, um im Fall des Siegelbruchs die Berechtigung nachvollziehen zu können, seien nicht ausreichend gewesen. Die Kamera solle durch das Öffnen der Tür aktiviert werden. Die Videoaufzeichnungen würden nur bei Diskrepanzen zwischen gebrochenem Türsiegel und ärztlichen Aufzeichnungen ausgewertet.
Ich habe dem Krankenhaus mitgeteilt, dass zunächst durch die für den Datenschutz verantwortliche Stelle zu klären ist, welche Rechtsgrundlage für die geplante Maßnahme in Betracht kommt. Bei dem Klinikum handelt es sich um eine bayerische öffentliche Stelle, für die grundsätzlich das Bayerische Datenschutzgesetz anwendbar ist (Art. 4 Abs. 2 in Verbindung mit Art. 2 Abs. 1 und 2 BayDSG).
In Art. 3 Abs. 1 BayDSG ist zwar geregelt, dass auf öffentliche Stellen, "soweit" sie als Unternehmen am Wettbewerb teilnehmen, die Vorschriften des Bundesdatenschutzgesetzes mit Ausnahme des Zweiten Abschnitts Anwendung finden. Der Begriff "soweit" deutet jedoch daraufhin, dass es erforderlich ist, innerhalb einer öffentlichen Stelle, die als Wettbewerbsunternehmen agiert, zu differenzieren. Nach Art. 3 Abs. 1 BayDSG ist das Bundesdatenschutzgesetz nur bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten anzuwenden, die der Erbringung der Wettbewerbsleistung dienen und soweit keine besonderen Rechtsvorschriften über den Datenschutz anzuwenden sind (z.B. Art. 27 Bayerisches Krankenhausgesetz).
Wird also von der öffentlichen Stelle Videoüberwachung im Rahmen der Erfüllung (nicht bereichsspezifischer) öffentlicher Aufgaben oder in Ausübung des Hausrechts durchgeführt, bleibt es bei der Anwendbarkeit des Bayerischen Datenschutzgesetzes (siehe hierzu Wilde/Ehmann/Niese/Knoblauch, BayDSG, Art. 3, Rn. 4f.). Die Zulässigkeit der geplanten Videoüberwachungsmaßnahme (Videobeobachtung und Speicherung) beurteilte sich im konkreten Fall daher nach Art. 21a BayDSG. Für die insoweit anzustellende Prüfung habe ich dem Klinikum empfohlen, das auf meiner Homepage https://www.datenschutz-bayern.de unter "Themen" - "Allgemeines" abrufbare Prüfungsschema Videoüberwachung heranzuziehen. Unter "Themen" - "Kommunales" ist nun auch ein Leitfaden zu finden ("Videoüberwachung - Leitfaden für bayerische Kommunen"), der sich mit der Videoüberwachung auf der Grundlage des Art. 21a BayDSG befasst. Gegenüber dem Krankenhaus habe ich insbesondere auf Folgendes hingewiesen:
- Gemäß Art. 21a Abs. 1 BayDSG wäre die Erhebung (Videobeobachtung) und Speicherung (Videoaufzeichnung) personenbezogener Daten u.a. dann zulässig, wenn dies im Rahmen der Erfüllung öffentlicher Aufgaben oder in Ausübung des Hausrechts erforderlich ist, um Leben, Gesundheit, Freiheit oder Eigentum von Personen, die sich im Bereich der öffentlichen Einrichtung aufhalten, zu schützen. Die Videoüberwachung soll vorliegend der Nutzungsbeschränkung auf den Notfall und hiermit verbunden der Sicherstellung der Einhaltung der Hygienevorschriften im Zusammenhang mit dem Zugang zum OP-Bereich sowie dem Schutz der Patienten vor gesundheitlichen Nachteilen dienen. Unter den Gesichtspunkten der Geeignetheit und Erforderlichkeit wäre zunächst zu untersuchen, ob der betreffende Zugang - außer im Brandfall - überhaupt ermöglicht werden muss. Normalerweise sollte auch beim Zutritt medizinischen Personals über die regulär zu nutzenden OP-Schleusen notfallgerechtes Verhalten möglich sein. Immerhin diente der Zugang, der videoüberwacht werden soll, ausschließlich brandtechnischen Zwecken. Er wurde nicht errichtet, um die OP-Schleusen für Mitarbeiter (im Notfall) zu umgehen. Käme man zu dem Ergebnis, dass ein Notfallzugang zum OP-Trakt nicht ermöglicht werden muss, wäre der Zugang zwar vor missbräuchlicher Benutzung u.U. ebenfalls zu sichern (Siegel, Plombe, Alarm; ggf. auch unterstützend Videoüberwachung, soweit notwendig). Die Anforderungen, die an eine erforderliche und im engeren Sinne verhältnismäßige Überwachung zu stellen wären, wären dann aber in Anbetracht der Zielrichtung und der Gewichtung der schutzwürdigen Interessen des betroffenen Personenkreises voraussichtlich andere.
- Die schutzwürdigen Interessen der von einer Videoüberwachung betroffenen Personen sind bei der Prüfung der Angemessenheit der Maßnahme mit zu berücksichtigen (siehe Wilde/Ehmann/Niese/ Knoblauch, BayDSG, Art. 21a, Rn. 26). So kann eine Videoüberwachung am Arbeitsplatz aufgrund des damit verbundenen erheblichen Eingriffs in das Persönlichkeitsrecht der Beschäftigten nur durch besondere Sicherheitsinteressen des Dienstherrn ausnahmsweise gerechtfertigt sein. Sollten die Voraussetzungen für die geplante Videoüberwachung vorliegen, wäre zu bedenken, dass die Heranziehung der Videoaufnahmen zu Zwecken der personenbezogenen Dienstaufsicht nach der - eng auszulegenden - datenschutzrechtlichen Zweckidentitätsvorschrift des Art. 17 Abs. 3 Satz 1 Fall 1 BayDSG gesetzlich nicht von vornherein ausgeschlossen ist. Zur Sicherstellung der Persönlichkeitsrechte der Beschäftigten hat der Personalrat jedoch nach Art. 75a Abs. 1 Nr. 1 Bayerisches Personalvertretungsgesetz (BayPVG) ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die - so die Auslegung der Rechtsprechung - an sich dazu geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Aus meiner Sicht empfehlenswert wäre in diesem Fall der Abschluss einer Dienstvereinbarung (siehe Art. 73, 70 BayPVG), die den Umfang und das Verfahren der Heranziehung der Videoaufzeichnungen zur Dienstaufsicht im Einzelnen festgelegt. Aus datenschutzrechtlicher Sicht sollte dabei der Zugriff auf die Aufzeichnungen nur in schwerwiegenden Fällen gestattet sein. Weiterhin ist unter dem Gesichtspunkt des Verfahrensrechts zu empfehlen, den Zugriff nur unter Beteiligung eines Mitglieds des Personalrats und des behördlichen Datenschutzbeauftragten zu gestatten. Aus Transparenzgründen wäre die Dienstvereinbarung den Beschäftigten zur Kenntnis zu geben.
7.2.8. Neufassung der "Orientierungshilfe Krankenhausinformationssysteme" (OH KIS)
In meinem 25. Tätigkeitsbericht 2012 unter Nr. 7.2 habe ich über die im Jahr 2011 veröffentlichte "Orientierungshilfe Krankenhausinformationssysteme" berichtet. Nun liegt eine 2. Fassung der Orientierungshilfe vor. Sie soll den Herstellern und Betreibern von Krankenhausinformationssystemen eine praxisgerechte und noch besser handhabbare Handreichung für die datenschutzgerechte Gestaltung und Nutzung von Krankenhausinformationssystemen bieten.
Im Rahmen der Neufassung der Orientierungshilfe tauschte sich eine Arbeitsgruppe der Datenschutzkonferenz intensiv mit der Deutschen Krankenhausgesellschaft (DKG) und einigen Landeskrankenhausgesellschaften aus. Die in diesem Rahmen gewonnenen Erkenntnisse sind in die überarbeitete Fassung der Orientierungshilfe eingeflossen.
Um Verständnisschwierigkeiten zu begegnen, die im Rahmen der vorausgegangenen Prüftätigkeiten einiger Datenschutzbeauftragten aufgefallen waren, ist ihr Teil I (Rechtliche Rahmenbedingungen) präzisiert worden. In Teil II (Technische Anforderungen) wird nun der durchgehende Bezug zu den rechtlichen Rahmenbedingungen verdeutlicht. Insgesamt wird jetzt auch klarer, dass den rechtlichen Anforderungen durch verschiedenartige System- und Prozessgestaltung entsprochen werden kann.
Die 2. Fassung der "Orientierungshilfe Krankenhausinformationssysteme" ist auf meiner Homepage https://www.datenschutz-bayern.de unter "Veröffentlichungen" - "Broschüren und Orientierungshilfen" auffindbar.
7.3. Klinische Krebsregister
In meinem 19. Tätigkeitsbericht 2000 unter Nr. 3.3, meinem 24. Tätigkeitsbericht 2010 unter Nr. 7.1 und meinem 25. Tätigkeitsbericht 2012 unter Nr. 7.1 habe ich mich bereits eingehend mit der bayerischen Krebsregistrierung befasst. Zwischenzeitlich hat der Bundesgesetzgeber mit Einfügung des § 65c Sozialgesetzbuch Fünftes Buch - Gesetzliche Krankenversicherung (SGB V) beschlossen, dass alle Länder zur Verbesserung der Qualität der onkologischen Versorgung klinische Krebsregister einrichten. Die für die Einrichtung und den Betrieb der klinischen Krebsregister notwendigen Bestimmungen einschließlich datenschutzrechtlicher Regelungen bleiben dem Landesrecht vorbehalten (§ 65c Abs. 1 Satz 6 SGB V). Nun wird bundesweit in den Ländern und bei den Datenschutzbehörden darüber diskutiert, wie die klinischen Krebsregister ausgestaltet werden sollen. Auf die derzeitigen Unstimmigkeiten zwischen den Anforderungen des Bayerischen Krebsregistergesetzes (BayKRG) und der Praxis in den klinischen Krebsregistern in Bayern habe ich insbesondere in meinem 24. Tätigkeitsbericht 2010 unter Nr. 7.1 bereits hingewiesen. Bis zu einer eventuellen gesetzlichen Neuregelung in Bayern habe ich zusammen mit den von mir geprüften klinischen Krebsregistern an der Erarbeitung einer schriftlichen Einwilligungserklärung und eines Informationsblatts für Patienten mitgewirkt, um den klinischen Krebsregistern im Rahmen des derzeit geltenden Bayerischen Krebsregistergesetzes zu ermöglichen, auch die Identitätsdaten mit Einwilligung der Betroffenen zu verarbeiten und zu nutzen (Art. 6 Abs. 1 Sätze 4 und 5 BayKRG). Inwieweit der bayerische Gesetzgeber die klinische und die epidemiologische Krebsregistrierung neu strukturieren wird, ist derzeit noch nicht absehbar. Die derzeitige Rechtslage in Bayern sieht jedenfalls nicht vor, dass alle in § 65c SGB V für die klinischen Krebsregister vorgesehenen Aufgaben ausgefüllt werden können. Dazu bedürfte es einer gesetzlichen Anpassung des BayKRG. Ich wäre selbstverständlich bereit, auch weiterhin meine datenschutzrechtliche Expertise einzubringen.
7.4. App "Gesundheitsservice Bayern"
Das Staatsministerium für Gesundheit und Pflege bat mich, an der datenschutzgerechten Gestaltung einer geplanten mobilen Applikation mit der Bezeichnung "Gesundheitsservice Bayern" beratend mitzuwirken. Mir wurde mitgeteilt, dass die Applikation (App) für mobile Endgeräte den Zugriff auf Bayerns medizinisches Angebot von Krankenhäusern, Ärzten, Psychotherapeuten, Bereitschaftsdiensten, Apotheken, Notdiensten, Kur- und Heilbädern ermöglichen sowie zusätzlich allgemeine medizinische Beratungsleistungen bzw. Gesundheitsinformationen bieten soll. Nachdem das Staatsministerium selbst nicht über alle notwendigen Informationen zu den in Bayern erreichbaren medizinischen Dienstleistungen verfügt, werde eine Kooperation mit den bayerischen Kammern und Verbänden im Gesundheitswesen angestrebt. Daten der Ärzte, Zahnärzte, Psychotherapeuten, Apotheken, Krankenhäuser, Not- und Bereitschaftsdienste, die in eigenen Internetauftritten der kooperierenden Kammern und Verbände bereits veröffentlicht seien, sollten so in die App eingebettet werden, dass der Nutzer der App die Daten dem jeweiligen Verband bzw. der jeweiligen Kammer zuordnen könne. Man bewerte die beabsichtigte Kooperation hinsichtlich im Internet erreichbarer personenbezogener Daten als Auftragsdatenverarbeitung, bei der die Kammern und Verbände als Auftraggeber und das Staatsministerium als Auftragnehmer agieren.
Im Rahmen einer Besprechung sowie des sich daran anschließenden Schriftwechsels habe ich das Staatsministerium auf die folgenden datenschutzrechtlichen Problemstellungen aufmerksam gemacht.
- Sowohl nach den Vorschriften zum Sozialdatenschutz als auch nach dem in Bayern gültigen allgemeinen Datenschutzrecht ist als Auftragsdatenverarbeitung die Weitergabe personenbezogener Daten an einen Auftragnehmer zur Durchführung untergeordneter Hilfs- und Unterstützungsleistungen für den Auftraggeber zu verstehen. Ein Auftragsdatenverarbeitungsverhältnis ist dadurch gekennzeichnet, dass in Bezug auf die in Auftrag gegebene Datenverarbeitung der Auftraggeber "Herr der Daten" und verantwortlich bleibt. Der Auftragnehmer darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten. Insoweit äußerte ich zunächst Zweifel, dass diese Voraussetzungen vorliegen, da nach der mir vorgelegten Kooperationsvereinbarung von einer Zusammenarbeit und der Veröffentlichung einer gemeinsamen App die Rede war. Das Staatsministerium tritt als Mitherausgeber der App in Bezug auf bestimmte Inhalte (Patienten- bzw. Gesundheitsberatung) deutlich in Erscheinung. Später stellte sich heraus, dass das Staatsministerium im Rahmen der Kooperation eine Art Doppelrolle ausfüllt: Einerseits handelt es als Auftragnehmer in Bezug auf die Veröffentlichung von medizinischen Angeboten der weiteren Vertragspartner. Unabhängig hiervon platziert es andererseits mit der App auch eigene Inhalte (allgemeine Patientenberatung). Danach bestehen meine Bedenken hinsichtlich des Vorliegens der allgemeinen Voraussetzungen eines Auftragsdatenverarbeitungsverhältnisses nicht fort.
- Ausgehend hiervon habe ich darauf hingewiesen, dass der Auftraggeber gemäß § 80 Abs. 1 Sozialgesetzbuch Zehntes Buch - Sozialverwaltungsverfahren und Sozialdatenschutz (SGB X) bzw. Art. 6 Abs. 1 BayDSG für die Einhaltung der Vorschriften des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich bleibt. Dies betrifft insbesondere die Vorschriften über die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Es bedarf hinsichtlich der zusätzlichen bzw. weiteren Nutzung der personenbezogenen Daten im Rahmen der App einer Erweiterung der Einwilligungserklärung und vorausgehend einer entsprechenden Information.
- Mobile Applikationen sind als Telemediendienst zu qualifizieren. Entwickler und Anbieter haben daher die datenschutzrechtlichen Regelungen der §§ 11 ff. Telemediengesetz (TMG) sicherzustellen.
- Aus technisch-organisatorischer Sicht war zu diesem frühen Stadium u.a. zu prüfen, ob das vorgesehene Cache-Konzept dazu führt, dass ein zentraler Datenbestand geschaffen wird. Die App wäre dann als Verbundverfahren zu betrachten, für das eine rechtliche Grundlage erforderlich wäre. Nachdem die Speicherdauer im Cache nach dem mir übersandten Schnittstellen- und Cachekonzept auf maximal 1 Stunde reduziert wurde, ging ich davon aus, dass es sich bei der kurzfristigen Speicherung um eine rein technische Maßnahme zur Verbesserung der Performance handelt. Ich verwies zudem auf den vom Bayerischen Landesamt für Datenschutzaufsicht erstellten App-Prüfkatalog und bat, diesen bei der App-Entwicklung zugrunde zu legen (siehe Nr. 2.1.2).
Ich gehe davon aus, dass ich hinsichtlich der konkreten Umsetzung auf dem Laufenden gehalten werde, um auch weiterhin beratend tätig zu werden.
7.5. Datenschutz in medizinischen Forschungsprojekten
Soweit im Rahmen von medizinischen Forschungsprojekten personenbezogene Daten von Patienten bzw. Probanden erhoben, verarbeitet oder genutzt werden, hat dies in Einklang mit den datenschutzrechtlichen Vorschriften zu erfolgen. Die medizinische Forschung arbeitet zunehmend vernetzt in größeren Forschungsverbünden. Die Vernetzung schafft überregionale, meist auf die Erforschung bestimmter Krankheiten ausgerichtete Kooperationen von Grundlagenforschern und Ärzten. Ein wichtiges Element dieser Kooperation ist die überregionale Zusammenführung und Bereitstellung aller forschungsrelevanten Daten in zentralen Datenbanken bzw. Registern und von Proben in zentralen Biobanken.
Im 21. Tätigkeitsbericht 2004 unter Nr. 22.2.3.4 habe ich bereits darüber berichtet, dass die TMF, die Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V., unter Einbeziehung der Datenschutzbeauftragten des Bundes und der Länder im Jahr 2003 ein Datenschutzkonzept "Generische Lösungen zum Datenschutz für die Forschungsnetze in der Medizin" entwickelt hat. Dieses Datenschutzkonzept enthielt modifizierbare Musterlösungen für verschiedene Varianten von medizinischen Forschungsnetzen. Dabei wurde zwischen dem Modell A für Forschungsnetze mit "klinischem Fokus" und dem Modell B für eher "wissenschaftlich orientierte" Netze unterschieden. Zudem wurde im Jahr 2006, ebenfalls unter Einbeziehung der Datenschutzbeauftragten des Bundes und der Länder, "ein generisches Datenschutzkonzept für Biomaterialbanken" von der TMF entwickelt. Mit der Bereitstellung dieser Modelllösungen der TMF sollten Wege aufgezeigt werden, wie datenschutzkonform mit Patientendaten umgegangen und gleichzeitig ein für die Forschung relevanter Datensatz verfügbar gemacht werden kann.
Aufgrund der mit den generischen Datenschutzkonzepten gemachten Erfahrungen wurden diese von der TMF überarbeitet, als "Leitfaden zum Datenschutz in medizinischen Forschungsprojekten - Generische Lösungen der TMF - 2.0" zusammengefasst und im Sommer 2013 den Datenschutzbeauftragten des Bundes und der Länder vorgestellt.
In diesem Leitfaden wird nunmehr zwischen vier Modulen unterschieden, die - je nach Zielrichtung des jeweiligen Forschungsverbundes - einzeln oder kombiniert verwendet werden können:
- dem Klinischen Modul, das der Gewinnung von Forschungsdaten aus dem direkten Behandlungszusammenhang dient und in dem auch einfache oder informelle Forschungsprojekte wie Beobachtungsstudien oder Benchmarking-Projekte durchgeführt werden können,
- dem Studienmodul, in dem klinische Studien durchgeführt werden, die auch den besonderen Regularien des Arzneimittelgesetzes oder Medizinproduktegesetzes unterliegen können,
- dem Forschungsmodul, in dem besonders qualitätsgesicherte Daten für langfristige Forschungsprojekte zusammengeführt und vorgehalten werden, die für die Behandlung des einzelnen Patienten keine direkte Relevanz haben und daher aus dem Behandlungskontext nicht zugänglich sein müssen (z.B. epidemiologische Register), und
- dem Biobankenmodul, das der Sammlung und Verwaltung von Biomaterialien (Proben und daraus gewonnenen Materialien) für Forschungszwecke dient.
Die Datenschutzbeauftragten des Bundes und der Länder haben diesen Leitfaden intensiv diskutiert und in ihrer 87. Konferenz am 27./28.03.2014 beschlossen, den medizinischen Forschungseinrichtungen und Forschungsverbünden zu empfehlen, den von der TMF entwickelten "Leitfaden zum Datenschutz in medizinischen Forschungsprojekten - Generische Lösungen der TMF - 2.0" als Basis für die konkrete Ausgestaltung ihrer Datenschutzkonzepte zu verwenden. Der Leitfaden selbst ist unter www.tmf-ev.de (externer Link) zu beziehen.