[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 1.2.2007

13. Gesundheitswesen

13.1. Gesundheitsverwaltung und Kassenärztliche Vereinigung

13.1.1. Presseinformationen des Gesundheitsamts zu Infektionskrankheiten

Zwischen den Wünschen der Presse nach umfassender Information und dem informationellen Selbstbestimmungsrecht kann ein Spannungsverhältnis bestehen, wie auch folgender Fall zeigt:

In einem Landkreis ist ein schwerer Fall von Meningitis (Hirnhautentzündung) aufgetreten. Das Landratsamt hat nicht von sich aus die Öffentlichkeit in der Region informiert. Die Presse hat dieses Verhalten des Landratsamts kritisch kommentiert. Das Landratsamt (Gesundheitsamt) hat sich daraufhin mit einer Anfrage an mich gewandt, ob und wie es von sich aus die Öffentlichkeit beim Vorliegen von Infektionskrankheiten informieren muss, ohne datenschutzrechtliche Grundsätze zu verletzen.

Aufgabe der öffentlichen Stellen ist auch ihre allgemeine Öffentlichkeitsarbeit. In Einklang mit diesem allgemeinen Grundsatz bestimmt Art. 8 des Gesetzes über den öffentlichen Gesundheits- und Veterinärdienst, die Ernährung und den Verbraucherschutz sowie die Lebensmittelüberwachung (Gesundheitsdienst- und Verbraucherschutzgesetz - GDVG), dass die Gesundheitsämter an der Information und Aufklärung der Bevölkerung in allen Fragen des öffentlichen Gesundheitsdienstes und des gesundheitlichen und ernährungsbezogenen Verbraucherschutzes mitwirken. Danach ist also das Gesundheitsamt grundsätzlich berechtigt, von sich aus die Presse bzw. die Medien über relevante Ereignisse aus dem eigenen Zuständigkeitsbereich zu informieren.


Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren Krankheit führen können oder ist anzunehmen, dass solche Tatsachen vorliegen, so trifft das Gesundheitsamt die notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren, vgl. § 16 Abs. 1 Satz 1 des Gesetzes zur Verhütung und Bekämpfung von Infektionskrankheiten bei Menschen (Infektionsschutzgesetz - IfSG). Je nach konkreter Gefährdungslage vor Ort kann sich dadurch die Berechtigung des Gesundheitsamts zur Presseinformation zu einer Verpflichtung verdichten.

Sollen jedoch auch personenbezogene Daten übermittelt werden, so ist auch die Zulässigkeit dieser Übermittlung zu prüfen:

Als Grundvoraussetzung jeder Übermittlung personenbezogener Daten durch die Herausgabe der entsprechenden Presseinformationen muss diese Übermittlung zur Aufgabenerfüllung (also zur Gefahrenabwehr) erforderlich sein. Zwar kommt es insofern jeweils ganz auf die Umstände des Einzelfalls an, allgemein wird sich jedoch sagen lassen, dass die Übermittlung personenbezogener Daten in einer bzw. durch eine Presseinformation sich nur in Ausnahmefällen zur erfolgreichen Abwehr der Gefahr als erforderlich erweisen wird. Denn in den meisten Fällen wird es ausreichen, dass das Gesundheitsamt von sich aus mögliche Kontaktpersonen ermittelt und diese über eine mögliche Infektion informiert und berät.

Eine unbedingte und voraussetzungslose Verpflichtung des Gesundheitsamts, jeden Erkrankungsfall unter namentlicher Nennung des/der Betroffenen aktiv von sich aus der Presse zu melden, wäre mit den gesetzlichen Vorgaben unvereinbar.

13.1.2. Neugeborenen-Screening

Die Neuordnung des Neugeborenen-Screenings in Bayern habe ich seinerzeit auch wegen seiner bundesweiten Vorreiterstellung intensiv in datenschutzrechtlicher Hinsicht begleitet und hierzu ausführlich in meinem 18. Tätigkeitsbericht (Nr. 3.1.1) Stellung genommen. Seither hat sich das Neugeborenen-Screening in Bayern in den vergangenen Jahren - auch und gerade in datenschutzrechtlicher Hinsicht - sehr gut bewährt.

Zusätzlich zu den eigentlichen Untersuchungsverfahren wird in Bayern das so genannte Tracking-Verfahren durchgeführt, mit dessen Hilfe unter Einschaltung der Gesundheits- und Einwohnermeldeämter sichergestellt werden soll, dass die Eltern jedes in Bayern geborenen Kindes die Möglichkeit erhalten haben, ihr Kind (wie ca. 98 % aller in Bayern geborenen Kinder) am Neugeborenen-Screening teilnehmen zu lassen. Zu diesem Zweck melden die Kliniken die Neugeborenen, die am Screening teilgenommen haben, (nur den sog. Stammdatensatz, also Name des Kindes, Geburtsdatum, Name und Anschrift der Eltern - ohne jegliche Aussage zum Ergebnis des Screenings) den Gesundheitsämtern. Daraufhin stellen die Gesundheitsämter an Hand der Meldedaten fest (§ 5 a Bayerische Meldedaten-Übermittlungsverordnung), ob Neugeborene im Amtsbezirk bislang noch nicht am Screening teilgenommen haben und weisen deren Eltern in einem Anschreiben auf die bestehende Möglichkeit des Screenings und seine Vorteile hin und bieten diesbezügliche Beratung an. Abschließend wird die Teilnahmequote am Neugeborenen-Screening mittels einer statistischen Erhebung ermittelt.

Im Berichtszeitraum fragte die Datenschutzbeauftragte eines Landratsamtes an, ob und ggf. zu welchen Zwecken die weitere Speicherung der beim Gesundheitsamt im Rahmen des Neugeborenen-Screenings angefallenen Stammdatensätze (Name des Kindes, Geburtsdatum, Name und Anschrift der Eltern) zulässig sei. Der Anfrage lag folgender Sachverhalt zu Grunde: Beim jugendärztlichen Dienst des Gesundheitsamtes werde das EDV-Modul "Einschulungsuntersuchung mit Screening" eingesetzt. Dort würden im Rahmen des Neugeborenen-Screenings die von den Kliniken gemeldeten Stammdaten erfasst. Mit diesen Daten sei lediglich die Angabe verknüpft, ob ein Screening stattgefunden habe. Diese Angabe würde nach Abschluss der statistischen Auswertung gelöscht. Der Stammdatensatz (Name des Kindes, Geburtsdatum, Name und Anschrift der Eltern) bliebe aber in der EDV erhalten, um diese Daten bei der Einschulungsuntersuchung nicht erneut erfassen zu müssen. Die Datenschutzbeauftragte des Landratsamtes hielt diese weitere Speicherung der isolierten Stammdatensätze für datenschutzrechtlich unzulässig, obwohl keinerlei weitere Informationen (insbesondere Gesundheitsdaten) damit verknüpft seien und diese Daten auch vom sonstigen Gesundheitsmedizinischen Dienst des Gesundheitsamtes nicht eingesehen oder sonst genutzt werden könnten.

Ich habe in meiner Stellungnahme zunächst daraufhin gewiesen, dass mangels bereichsspezifischer Regelungen das Speichern, Verändern oder Nutzen personenbezogener Daten gemäß Art. 17 Abs. 1 BayDSG nur zulässig ist, wenn es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Beide Voraussetzungen waren im vorliegenden Fall nicht erfüllt.

Bereits der Wortlaut des Gesetzes "erforderlich ist" macht für eine rechtmäßige Datenspeicherung zur Voraussetzung, dass diese auf konkrete und aktuell zur Bewältigung anstehende Aufgaben bezogen ist. Personenbezogene Daten dürfen nicht vorab oder vorsorglich für den Fall erhoben werden, dass sie später einmal (möglicherweise) benötigt werden. Dies wäre eine grundsätzlich unzulässige Speicherung der Daten auf Vorrat.

Überdies ist zu bedenken, dass sich während des zwischen dem Neugeborenen-Screening und der Einschulungsuntersuchung liegenden Zeitraumes aller Voraussicht nach ein nicht unerheblicher Änderungsbedarf (Hin- und Wegzüge) im Datenbestand ergibt, welcher eingepflegt werden muss. Zudem entstünde eine dem Melderegister vergleichbare parallele Datensammlung.

Vor allem aber stellt eine solche Vorgehensweise eine geradezu klassische Durchbrechung des im Datenschutzrecht fundamentalen Grundsatzes der Zweckbindung dar, da die ursprünglich im Rahmen des Neugeborenen-Screenings angefallenen Daten nunmehr für einen anderen Zweck (Durchführung der Einschulungsuntersuchung) genutzt werden sollen. Diese Zweckänderung ist keinesfalls von der Einwilligung der Eltern, welche ihr Kind am Neugeborenen-Screening teilnehmen lassen, abgedeckt. Da zudem keine den verfassungsrechtlichen Anforderungen gerecht werdende, normenklare gesetzliche Befugnisnorm existiert, die diese Zweckänderung erlaubte (insbesondere liegen die Voraussetzungen des Art. 17 BayDSG nicht vor), ist die weitere Speicherung der Stammdatensätze schlichtweg unzulässig.

Ich habe der Datenschutzbeauftragten des Landratsamtes mitgeteilt, dass die geschilderte Vorgehensweise nicht mit den datenschutzrechtlichen Vorschriften zu vereinbaren ist sowie daraufhin gewiesen, dass die unzulässigerweise gespeicherten Daten gem. Art. 12 Abs. 1 Nr. 1 BayDSG unverzüglich zu löschen sind.

13.1.3. Mammographie-Screening

Ein derzeit viel diskutiertes Thema ist die flächendeckende Einführung des Mammographie-Screenings gemäß den Krebsfrüherkennungs-Richtlinien des Bundesausschusses der Ärzte und Krankenkassen. Wie schon in meinem 21. Tätigkeitsbericht unter Nr. 6.2 dargestellt, gab es in Bayern bereits ein Pilotprojekt der Kassenärztlichen Vereinigung Bayerns (KVB) und der gesetzlichen Krankenkassen hierzu, das nunmehr an die neuen Anforderungen angepasst werden muss.

Nach dem neuen Konzept werden die anspruchsberechtigten Frauen nunmehr von einer so genannten zentralen Stelle eingeladen, die in Bayern bei der KVB angesiedelt ist. Diese soll für diesen Zweck von den Meldeämtern die Daten aller in Frage kommenden Frauen erhalten und wird daraus die Einladungen generieren. Die Teilnahme am Screening ist freiwillig. Erscheint die Klientin in der Screening-Einheit, so werden Mammographie-Aufnahmen erstellt und sowohl von einem Erstbefunder, als auch von einem unabhängigen Zweitbefunder beurteilt. In Zweifelsfällen werden weitere Befunder hinzugezogen. Der Klientin wird das Ergebnis schriftlich mitgeteilt.

Für das Mammographie-Screening werden bei der Klientin eine Vielzahl von Daten erhoben, wie z.B. identifizierende Daten (Name, Adresse), medizinische Daten (Befunde, Diagnosen, Vorgeschichte) und Mammographie-Aufnahmen. Die eindeutige Identifikation der Klientinnen erfolgt über eine 10-stellige ScreeningID mit der alle erhobenen Bilder und Daten gekennzeichnet werden. Dennoch stehen dem Arzt für die Befundung auch die identifizierenden Daten der Klientin zur Verfügung, um Verwechslungen zu vermeiden.

Zur Evaluation der Teilnahmequote ist eine Auswertung der Einladungsdaten vorgesehen, die durch gesondert auf den Datenschutz verpflichtete Mitarbeiter der KVB durchgeführt wird. Des Weiteren findet eine Auswertung der medizinischen Daten durch die KVB im Rahmen der Qualitätssicherung statt. Darüber wird mit dem Krebsregister abgeglichen. Dabei werden die Daten jedoch nicht personenbezogen, sondern mit Kontrollnummern versehen an die Registerstelle des Krebsregisters übermittelt. Die Daten aus dem Krebsregister werden nach dem gleichen Prinzip mit Kontrollnummern versehen, so dass ein Abgleich der Daten möglich ist. Ziel ist es, die Qualität des Screenings zu überprüfen und beispielsweise Falschdiagnosen (kein Brustkrebs) zu erkennen.

Um den Dokumentationsaufwand möglichst gering zu halten, soll eine elektronische Dokumentation des Screenings erfolgen. Hierzu hat die KVB eine eigene Softwarelösung MammaSoft entwickelt, die auch in anderen Bundesländern zum Einsatz kommen soll. Diese Software läuft auf einem von der KVB betriebenen Datenbank-Server und ermöglicht über ein Web-Interface die Eingabe der Daten. In dieser Datenbank sind sowohl die Einladungsdaten der zentralen Stelle, als auch die medizinischen Befunddaten in einer Datenbank gespeichert. Die Mitarbeiter der zentralen Stelle greifen über ein Virtual Private Network (VPN) auf den Server zu, die Screening-Einheiten sind über das KV-Safenet (siehe 21. Tätigkeitsbericht, Nr. 22.2.3.1) angebunden.

Eine zentrale Stelle darf nach meiner Ansicht nicht identisch mit der KVB, sondern allenfalls bei der KVB angesiedelt sein. Der tiefere Grund dafür ist, dass die zentrale Stelle Daten von Personen bekommt, die nicht am System der gesetzlichen Krankenversicherung teilnehmen. Weiter ist es ein Anliegen des Datenschutzes, dass zentrale Datenbestände wegen der damit verbundenen Missbrauchsmöglichkeit möglichst verhindert werden sollen. Auch wenn nur ein bestimmter Teil der Bevölkerung im Datenbestand der KVB verzeichnet ist, wäre eine unmittelbare Aufgabenerfüllung der zentralen Stelle durch die KVB ein weiterer Schritt in diese Richtung. Die KVB hatte nach meiner Intervention keine grundsätzlichen Bedenken gegen eine technische und organisatorische Trennung der zentralen Stelle vom sonstigen KVB-Betrieb.

Jedoch wirft der mir übermittelte Lösungsansatz der KVB insbesondere aus Sicht des technisch-organisatorischen Datenschutzes einige Fragen auf.

Insbesondere soll nach dem neuesten Konzeptentwurf der Datebank-Server nicht mehr in den Räumen der KVB stehen, sondern bei einem externen Provider. In diesem Fall müssen diverse Sicherheitsmaßnahmen analog zu der im 21. Tätigkeitsbericht unter Nr. 22.2.3.2 dargestellten externen Archivierung ergriffen werden. Dies beinhaltet insbesondere eine verschlüsselte Datenspeicherung, so dass der Provider keine Kenntnis von den bei ihm gespeicherten Daten nehmen kann.

Die aufgeworfenen Probleme werden derzeit noch mit der KVB diskutiert, so dass noch keine abschließende Bewertung des Mammographie-Screenings möglich ist.

13.1.4. Einsichtnahme in Impfbücher und Erstellung einer Impfstatistik durch ein Gesundheitsamt

In vielen Fällen sind Ämter zu ihrer Aufgabenerfüllung auf die Mitwirkung der Bevölkerung angewiesen. Welche datenschutzrechtlichen Grundsätze bei einem Einladungsschreiben zu einer Behördenaktion zu beachten sind, zeigt folgender Beispielsfall:

Die Gesundheitsabteilung eines Landratsamtes bot in einem Rundschreiben an alle Eltern der Schülerinnen und Schüler der 8. Klassen eine "Kontrolle der Impfbücher" an. Um einen Überblick über die Durchimpfung im Landkreis zu erhalten, würden die Mitarbeiterinnen des Gesundheitsamts an einem bestimmten Tag die Impfbücher der Kinder in der Schule einsehen. Daher würden die Eltern gebeten, ihrem Kind zu diesem Termin das Impfbuch in die Schule mitzugeben. Sie erhielten es umgehend mit der Mitteilung zurück, welche Impfungen bei ihrem Kind fehlten.

Die Eltern eines betroffenen Kindes wandten sich im Wege einer Eingabe an mich und baten um Prüfung, ob dieses Vorgehen mit den geltenden datenschutzrechtlichen Vorschriften zu vereinbaren sei. Grundsätzlich sei die Aktion des Gesundheitsamtes, die Impfbücher auf fehlende Impfungen zu kontrollieren, zu begrüßen. Allerdings sollte dies - so die besorgten Eltern weiter - auf freiwilliger Basis erfolgen. Außerdem hätten sie erhebliche Bedenken gegen die Tatsache, dass Gesundheitsdaten der Kinder für eine Statistik erhoben werden sollten. Ich habe die Angelegenheit in datenschutzrechtlicher Hinsicht wie folgt bewertet:

Einsichtnahme in Impfbücher


Rechtsgrundlage für diese Maßnahme ist Art. 16 Abs. 1 BayDSG. Danach ist das Erheben personenbezogener Daten zulässig, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist. Darüber hinaus ist gemäß Art. 15 Abs. 7 Nr. 9 BayDSG das Erheben personenbezogener Daten über die Gesundheit nur zulässig, wenn es zum Zwecke der Gesundheitsvorsorge erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.


Gemäß § 34 Abs. 10 des Gesetzes zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz - IfSG) sollen die Gesundheitsämter und die in § 33 IfSG genannten Gemeinschaftseinrichtungen - zu denen auch Schulen gehören - die betreuten Personen oder deren Sorgeberechtigte gemeinsam über die Bedeutung eines vollständigen, altersgemäßen, nach den Empfehlungen der Ständigen Impfkommission beim Robert-Koch-Institut ausreichenden Impfschutzes aufklären. Weiter bieten die Gesundheitsbehörden gesundheitliche Beratung und Untersuchung im Kindes- und Jugendalter, insbesondere im Rahmen der schulärztlichen Aufgaben an (Art. 13 Abs. 1 Satz 2 Nr. 3 GDVG). Im vorliegenden Fall handelte also die Gesundheitsabteilung des Landratsamtes im Rahmen seines gesetzlichen Auftrages. Die Einsichtnahme in die Impfbücher erfolgt durch sozialmedizinische Assistentinnen (Kinderkrankenschwestern) der Gesundheitsbehörde, die der ärztlichen Schweigepflicht gemäß § 203 StGB unterliegen.

Allerdings erfolgt die Einsichtnahme in die Impfbücher der Schülerinnen und Schüler auf freiwilliger Basis, weshalb die Betroffenen auf die Freiwilligkeit hinzuweisen sind (Art. 16 Abs. 3 Satz 2 BayDSG). In dem Elternanschreiben der Gesundheitsbehörde kam der Hinweis auf die Freiwilligkeit lediglich ansatzweise zum Ausdruck ("bietet ... an"). Vor der Durchführung solcher Impfbucheinsichten müssen die Gesundheitsbehörden im Elternanschreiben demgegenüber ausdrücklich auf die Freiwilligkeit der Teilnahme und auch auf Verlangen auf die Folgen der Nichtteilnahme hinweisen. Ich habe deshalb das Gesundheitsamt gebeten, die Freiwilligkeit in dem Elternanschreiben stärker herauszustellen.

Erstellung einer Impfstatistik


Die von mir um Stellungnahme gebetene Gesundheitsabteilung des betroffenen Landratsamtes hat ausgeführt, dass die in den vorgelegten Impfbüchern verzeichneten Schutzimpfungen ohne jeden Personenbezug auf eine Strichliste übertragen würden, auf welcher lediglich die entsprechenden Krankheiten und die zu ihrer Vorbeugung (abstrakt) erforderlichen Schutzimpfungen verzeichnet sind. Aus den so gewonnenen Zahlen könne weder auf die an der Impfbucheinsicht teilnehmenden Personen noch auf deren Impfstatus geschlossen werden. Die in den einzelnen Schulen gewonnenen Zahlen würden anschließend auf Landkreisebene zusammengefasst und hieraus die Impfraten in Bezug auf die jeweiligen Schutzimpfungen errechnet.


Aufgrund der landkreisweiten Zusammenfassung der Zahlen ist meiner Auffassung nach ein Rückschluss auf einzelne Schülerinnen und Schüler nicht mehr möglich. Insofern werden durch die Erstellung der solchermaßen beschriebenen Impfstatistik keine personenbezogenen Daten (Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen, Art. 4 Abs. 1 BayDSG) erhoben. Allerdings musste ich insoweit feststellen, dass die wünschenswerte Angabe des Zweckes der Statistik sowie eine Erläuterung der Vorgehensweise bei ihrer Aufstellung gegenüber den Erziehungsberechtigten unterlieben ist. Die Gesundheitsabteilung des betroffenen Landratsamtes wird dies künftig im Elternanschreiben tun, wie sie mir in ihrer Stellungnahme versichert hat.

13.1.5. Meldung übertragbarer Krankheiten durch eine Kindertagesstätte an ein Gesundheitsamt

Viele Eltern machen die Erfahrung, dass ihre kleinen Kinder aus dem Kindergarten Kinderkrankheiten wie Masern, Röteln, Windpocken usw. mit nach Hause bringen. Diese Kinder sollen und dürfen zur Vermeidung weiterer Ansteckungen den Kindergarten nicht mehr betreten. In datenschutzrechtlicher Hinsicht stellt sich zum einen die Frage, ob das Gesundheitsamt diesbezüglich Daten erheben darf, zum anderen, ob Erzieherinnen personenbezogene Daten der Kinder an das Gesundheitsamt übermitteln dürfen.

Die Beantwortung der ersten Frage richtet sich nach dem Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten bei Menschen (Infektionsschutzgesetz - IfSG), das sich nicht nur mit der Bekämpfung meldepflichtiger Krankheiten, sondern auch mit übertragbaren Krankheiten (auch wenn diese nicht der Meldepflicht unterliegen) befasst. Werden Tatsachen festgestellt, die zum Auftreten einer übertragbaren (aber nicht notwendig meldepflichtigen) Krankheit führen können oder ist anzunehmen, dass solche Tatsachen vorliegen, trifft gemäß § 16 Abs. 1 Satz 1 IfSG das Gesundheitsamt die notwendigen Maßnahmen zur Abwehr der dem Einzelnen oder der Allgemeinheit hierdurch drohenden Gefahren. Die Befugnis zur Anordnung der notwendigen Maßnahmen schließt auch die Befugnis zur Erhebung derjenigen personenbezogenen Daten ein, die zur Durchführung der jeweils im Einzelfall gebotenen Maßnahmen erforderlich sind. Ob eine Datenerhebung durch das Gesundheitsamt zur Abwehr der drohenden Gefahren erforderlich ist, ist eine Fragestellung, die in erster Linie medizinisches Fach- und Hintergrundwissen erfordert. Sie ist vom Gesundheitsamt in jedem Einzelfall zu prüfen.

Seitens der Erzieherinnen besteht immer wieder Unsicherheit, ob sie einem Gesundheitsamt im Falle des Auftretens von übertragbaren Krankheiten diese Fälle namentlich melden dürfen. Hier ist darauf hinzuweisen, dass die Kindergartenleitung nach dem Infektionsschutzgesetz (§ 34 Abs. 6 Satz 1 IfSG) nicht nur das Recht, sondern sogar die Pflicht hat, das Gesundheitsamt etwa vom Auftreten von Masern, Windpocken, Keuchhusten, Mumps oder Krätze zu benachrichtigen und dabei krankheits- und personenbezogene Angaben zu machen.

13.2. Krankenhaus

13.2.1. Überwachung eines Aufwachraumes in einem Krankenhaus

Im Berichtszeitraum habe ich aufgrund einer Anfrage geprüft, ob die Überwachung eines Aufwachraumes (in dem sich etwa Patienten nach einer erfolgten ambulanten Operation befinden) durch ärztliches Personal mittels einer Web-Cam (Bild- und Tonüberwachung) aus datenschutzrechtlichen Gründen möglich ist und welche Voraussetzungen hierbei erfüllt sein müssen. Die Ärzte erhofften sich dadurch die Qualität der Betreuung der Patienten zu verbessern.

Datenschutzrechtlich stellen die über das krankenhausinterne Intranet übertragenen Bild- und Tonsignale patientenbezogene Daten im Sinne des Art. 27 Abs. 1 Bayerisches Krankenhausgesetz (BayKrG) dar, da diese Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patienten aus dem Bereich der Krankenhäuser enthalten. Für die datenschutzrechtliche Zulässigkeit ist zu unterscheiden, ob die Bild- und Tonsignale (lediglich) zum Zwecke der Beobachtung des Patienten in einen anderen Raum übertragen werden, oder ob darüber hinaus auch eine Aufzeichnung - datenschutzrechtlich gesehen eine Speicherung - der Patientendaten erfolgen soll.

Werden die in einem Aufwachraum mittels einer Web-Cam empfangenen Bild- und Tondaten über das krankenhausinterne Intranet in einen weiteren Raum übertragen, so liegt datenschutzrechtlich eine Erhebung von Patientendaten durch das Krankenhaus vor. Mangels spezieller gesetzlicher Vorschriften ist dies gemäß Art. 27 Abs. 2 Satz 1 BayKrG nur zulässig, soweit dies zur Erfüllung der Aufgaben des Krankenhauses oder im Rahmen des krankenhausärztlichen Behandlungsverhältnisses erforderlich ist oder die betroffene Person eingewilligt hat.


Ohne eine Einwilligungserklärung des Patienten ist eine solche Übertragung patientenbezogener Bild- und Tondaten über das krankenhausinterne Intranet daher nur zulässig, wenn sie im und auf Grund des Behandlungszusammenhanges erforderlich, d.h. aus sachlichen Gründen geboten ist. Ein sachlicher Grund kann in diesem Zusammenhang auch die Verbesserung der Betreuung des Patienten sein.

Unabhängig von der datenschutzrechtlichen Zulässigkeit der Übertragung patientenbezogener Bild- und Tondaten über das krankenhausinterne Intranet muss selbstverständlich durch geeignete technische und organisatorische Maßnahmen jegliche zweckfremde Nutzung der Daten zuverlässig und dauerhaft ausgeschlossen sein. Keinesfalls dürfen die Daten an anderen als den speziell der Beobachtung des Aufwachraumes dienenden Bildschirmarbeitsplätzen abrufbar oder einsehbar sein, ins Internet eingestellt oder sonst veröffentlicht werden; insofern sind auch Vorkehrungen zum Schutz vor missbräuchlicher Benutzung zu treffen.

Sollen - zulässigerweise erhobene - Patientendaten zusätzlich aufgezeichnet - datenschutzrechtlich gesehen also gespeichert - werden, bedarf dieser weitere Datenverarbeitungsvorgang erneuter Prüfung hinsichtlich seiner Zulässigkeit. Auch diese Prüfung hat am Maßstab des Art. 27 Abs. 2 Satz 1 BayKrG zu erfolgen.

In dem der Anfrage offenbar zugrunde liegenden konkreten Einzelfall konnte ich aufgrund der insoweit abstrakt gehaltenen Ausführungen nicht erkennen, warum die Speicherung der entsprechenden Bild- und Tonaufnahmen zur Erfüllung der Aufgaben des Krankenhauses oder im Rahmen des krankenhausärztlichen Behandlungsverhältnisses erforderlich sein sollte. Denn die Überwachung der operierten Patienten in Aufwachräumen dient dem Zweck, bei auftretenden Komplikationen sofort eingreifen zu können. Hierfür reicht aber die bloße Übertragung der entsprechenden Bild- und Tonsignale in einen anderen Raum zunächst vollkommen aus; die Speicherung dieser Signale ist für diesen Zweck grundsätzlich nicht erforderlich.

Schließlich ist zu bedenken, dass im Rahmen der Web-Cam-gestützten Beobachtung eines Aufwachraumes nicht nur Bild- und Tondaten der Patienten, sondern auch der sich dort aufhaltenden Krankenhausmitarbeiter über das krankenhausinterne Intranet übertragen werden. Da es sich bei der Anbringung einer Web-Cam um die Einführung einer technischen Einrichtung handelt, die zumindest geeignet ist, das Verhalten oder die Leistung des Klinikpersonals zu überwachen, besteht hier ein Mitbestimmungsrecht des Personalrats gemäß Art. 75 a Abs. 1 Nr. 1 BayPVG. Der Abschluss einer Dienstvereinbarung gemäß Art. 73 BayPVG ist daher zu empfehlen; ist eine solche zustandegekommen, ist das Klinikpersonal hierauf besonders hinzuweisen.

13.2.2. Getrennte Aufbewahrung von Krankenakten und Sozialdienstakten

An größeren Krankenhäusern, insbesondere Universitätskliniken, wird zum Teil ein eigenständiger Psychosozialer Dienst für die Patienten angeboten. Im Rahmen der Inanspruchnahme dieses Dienstes offenbaren die Betroffenen oftmals sensible Informationen. Um deren Vertraulichkeit zu gewährleisten führt der Psychosoziale Dienst eines Universitätsklinikums eigenständige und von den Krankenakten getrennt aufbewahrte Sozialdienstakten. Die Einrichtung sah sich dazu aus datenschutzrechtlichen Gründen verpflichtet und bat diesbezüglich um meine Einschätzung der Rechtslage. Ich habe der Einrichtung Folgendes mitgeteilt:

Werden im Rahmen eines Psychosozialen Dienstes auch soziale Betreuungsleistungen (z.B. zur Unterstützung bei der Beantragung von Sozialhilfe bzw. Grundsicherung sowie bei der Beantragung von Leistungen aus der Pflegeversicherung) erbracht, sind die hierbei eingesetzten staatlich anerkannten Sozialpädagogen oder staatlich anerkannten Sozialarbeiter nicht Teil des Behandlungsteams und unterliegen daher einer eigenständigen beruflichen Schweigepflicht gemäß § 203 Abs. 1 Nr. 5 StGB.

Wird überdies eine Beratung durch Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung angeboten, so fallen die diesen anvertrauten oder sonst im Rahmen der Psychosozialen Beratung bekannt gewordenen personenbezogenen Daten gleichfalls unter die Verschwiegenheitspflicht (§ 203 Abs. 1 Nr. 2 StGB).

Dies hat in beiden Fällen zur Folge, dass die betreffenden personenbezogenen Daten nicht unbefugt
- auch nicht an behandelnde Ärzte des Klinikums - offenbart werden dürfen. Eine gesetzliche Offenbarungspflicht oder Offenbarungsbefugnis besteht in solchen Fällen grundsätzlich nicht.

Auch ist nicht erkennbar, dass eine erfolgreiche ärztliche Behandlung im Krankenhaus regelmäßig eine Einsichtnahme in Sozialdienstakten erforderte oder dass eine zielführende Psychosoziale Beratung nur nach vorheriger Einsichtnahme in Krankenakten möglich wäre. Ausnahmefälle (insbesondere Notfallsituationen) bleiben allerdings denkbar. Diese stellen jedoch nicht den Regelfall dar, so dass - von Notfallsituation oder Ähnlichem abgesehen - eine Einsichtnahme in den jeweils anderen Vorgang zu unterbleiben hat.

Die Durchsetzung dieser datenschutzrechtlichen Forderung wird in technisch-organisatorischer Hinsicht am besten mit einer vollständigen Trennung von Krankenakten und Sozialdienstakten erreicht. Damit muss freilich eine wirksame und revisionsfähige Zugriffskontrolle einhergehen, da nur so tatsächlich gewährleistet werden kann, dass kein unbefugter Zugriff der jeweils anderen Seite auf die entsprechenden Vorgänge erfolgt (ist).

13.2.3. Akteneinsicht und Patientenkontakt durch Doktoranden

Die Durchführung von medizinischen Forschungsvorhaben ist im Interesse der Weiterentwicklung der Diagnose-, Behandlungs- und Präventionsmöglichkeiten in einem modernen Gesundheitswesen von großer Bedeutung, erfordert aber in nicht wenigen Fällen eine Weitergabe der vom Gesetz besonders geschützten Patientendaten (vgl. § 203 StGB) an Wissenschaftler, die nicht zum Behandlungsteam gehören. In diesen Fällen ist es besonders wichtig, einen Bruch der ärztlichen Schweigepflicht zuverlässig und dauerhaft zu verhindern. Diese Aussage leuchtet zwar unmittelbar ein, ist aber im Alltag der klinischen Praxis schwer umzusetzen, wie der folgende Fall zeigt:

Ein früherer Patient des Klinikums beschwerte sich bei diesem darüber, dass er von einem ihm unbekannten Herrn angerufen und um Beantwortung von Fragen zu seinem Gesundheitszustand gebeten worden sei. Die Recherchen der Klinik ergaben, dass es sich um einen Doktoranden handelte, der beim Klinikum früher als Famulus tätig gewesen war. Zum Schutz der Patientenrechte habe das Klinikum seinerzeit festgelegt, dass die Einsicht in Krankenunterlagen in derartigen Fällen der Genehmigung durch den zuständigen Chefarzt bedarf und der Doktorand sich durch Unterschrift der folgenden Erklärung zu besonderer Verschwiegenheit verpflichten muss:

"Ich verpflichte mich, Daten nur in anonymisierter Form zu erheben und für meine wissenschaftliche Arbeit zu speichern. Ich werde die Daten nur im Rahmen der wissenschaftlichen Arbeit verwenden und nicht an Dritte weiterleiten. Ohne Genehmigung des Klinikums darf ich von dienstlichen Schriftstücken weder Abschriften noch Fotokopien fertigen. Krankenakten, Röntgenbilder oder genehmigte Ablichtungen dürfen nicht aus den Räumen des Klinikums entfernt werden."

Das Klinikum räumte ein, dass der Doktorand im vorliegenden Falle gegen diese Verpflichtung verstoßen habe. In zahlreichen Fällen sei jedoch eine Nachbefragung aufgrund des Forschungsgegenstandes schlichtweg erforderlich, bei anonymisierter Erhebung, Verarbeitung und Nutzung der Patientendaten aber nicht möglich. Daher bat mich das Klinikum anlässlich dieses Vorfalls, die Rechtslage insoweit insgesamt darzulegen. Ich habe dem Klinikum wie folgt geantwortet:

Gemäß Art. 27 Abs. 4 Satz 1 Fall 3 BayKrG dürfen Krankenhausärzte Patientendaten nutzen, soweit dies zu Forschungszwecken im Krankenhaus erforderlich ist.

Folglich darf ein bei einem Klinikum angestellter Arzt zum Zwecke der Anfertigung einer Dissertation Patientendaten nutzen, wenn und soweit die Forschung "im Krankenhaus" stattfindet. Dies bedeutet, dass die Patientendaten das Krankenhaus nicht verlassen dürfen; Grund der Regelung ist die Gewährleistung des Beschlagnahmeschutzes, welchen die Patientenunterlagen gemäß § 97 Abs. 2 Satz 2 StPO genießen, so lange sie sich "im Gewahrsam einer Krankenanstalt" befinden.


Voraussetzung ist weiter, dass anhand der Patientendaten nur geforscht werden darf, "soweit" dies zur Erreichung des Forschungszweckes unbedingt erforderlich ist, der Forschungszweck also mit anonymisierten bzw. jedenfalls pseudonymisierten Daten nicht oder nur mit einem unverhältnismäßigen Aufwand erreicht werden kann.

Forschen Studierende im Krankenhaus und beabsichtigen, zu diesem Zweck Patientendaten nutzen, so ist wie folgt zu unterscheiden:


Forschen sie für Krankenhausärzte, so können diese gemäß Art. 27 Abs. 4 Satz 2 1. Halbsatz BayKrG "andere Personen" (also auch Studierende) im Krankenhaus mit der Durchführung der entsprechenden Forschungsarbeiten beauftragen.


Forschen die Studierenden hingegen "im eigenen Auftrag", können jedoch die Krankenhausärzte gemäß Art. 27 Abs. 4 Satz 2 2. Halbsatz BayKrG ihnen die Nutzung von Patientendaten gestatten, wenn dies zur Durchführung des Forschungsvorhabens erforderlich ist und die Patientendaten im Gewahrsam des Krankenhauses verbleiben.


Darüber hinaus sind "diese Personen" (also unter anderem auch die Studierenden) gemäß Art. 27 Abs. 4 Satz 3 BayKrG zur Verschwiegenheit zu verpflichten, was etwa durch die oben wiedergegebene Erklärung geschehen kann.

Da aber in den zuletzt genannten Fällen die Forschenden nicht zum Behandlungsteam gehören, empfehle ich in diesen Fällen zum effektiven Schutz der Persönlichkeitsrechte der Patienten, eine schriftliche Einwilligung der Patienten vor Beginn des Forschungsprojektes einzuholen.


Dies gilt umso mehr als in vielen Fällen eine Nachbefragung der Patienten erforderlich, bei anonymisierter Datenerhebung aber eben nicht möglich ist. Eine solche Nachbefragung durch eine nicht mehr mit dem Krankenhaus verbundenen Person ist nur noch in Ausnahmefällen von der gesetzlichen Befugnisnorm des Art. 27 Abs. 4 Satz 2 Halbsatz 2 BayKrG gedeckt sein (etwa wenn der Forschende sich zur Durchführung der Nachbefragung in das Krankenhaus begibt, der dort zuständige Krankenhausarzt dem Forschenden die Gestattung im Sinne des Art. 27 Abs. 4 Satz 2 Halbsatz 2 BayKrG erteilt und der Forschende schließlich in den Räumlichkeiten des Krankenhauses die dort aufbewahrten Patientendaten zum Zwecke der Nachbefragung nutzt).


Aus datenschutzrechtlichen, aber auch aus Akzeptanzgründen ist jedenfalls in den Fällen, in denen der Forschungszweck eine Nachbefragung erforderlich macht bzw. machen könnte, dringend die Einholung einer schriftlichen Einwilligungserklärung der Patienten anzuraten.

Eine telefonische Nachbefragung ist durch die genannten datenschutzrechtlichen Vorschriften nicht ausdrücklich ausgeschlossen. Da bei fernmündlichen Nachfragen die Identität des Anrufers unter Umständen nicht ohne weiteres zweifelsfrei geklärt werden kann, sollte jedoch nur in geeigneten Fällen darauf zurückgriffen werden.


Eine solche Einwilligungserklärung in die allgemeinen Vertragsbedingungen des Krankenhauses aufzunehmen, ist datenschutzrechtlich nicht wünschenswert. Denn eine solche Einwilligung wäre in den meisten Fällen gleichsam ins Blaue hinein abgegeben. Demgegenüber verlangt eine rechtswirksame datenschutzrechtliche Einwilligungserklärung eine gezielte, verständliche und umfassende Information und Aufklärung des Betroffenen. Diese sollte mindestens die Angabe der konkreten Studie bzw. des Themas des Forschungsvorhabens bzw. der Promotion, die datenschutzrechtlich verantwortliche Person sowie den ausdrücklichen Hinweis enthalten, dass die Teilnahme an der Studie freiwillig ist und im Falle der Verweigerung oder auch des Widerrufs der Einwilligungserklärung keinerlei Nachteile hieraus entstehen. Diese Anforderungen kann eine Einwilligungserklärung, die in allgemeinen Geschäftsbedingungen enthalten ist, nicht erfüllen.

13.2.4. Übermittlung von Patientendaten für Zwecke der Krankenhausseelsorge (sog. "Pfarrerlisten")

Zu dieser Problematik habe ich bereits im 17. Tätigkeitsbericht (Nr. 3.4.4) ausführlich Stellung genommen. In meinem 18. Tätigkeitsbericht (Nr. 3.3.1) habe ich erneut darauf hingewiesen, dass die Weitergabe von Patientendaten (insbesondere schon die Tatsache des Krankenhausaufenthalts als solche) an die jeweilige Heimatgemeinde bzw. an einen (Laien-) Besuchsdienst der Heimatgemeinde datenschutzrechtlich nur dann zulässig ist, wenn der Patient dieser Datenweitergabe ausdrücklich zugestimmt hat.

Trotzdem erreichte mich im Berichtszeitraum die Eingabe einer betroffenen Bürgerin. Ich habe Ihre Angelegenheit daraufhin datenschutzrechtlich überprüft und das betroffene Krankenhaus auf Folgendes hingewiesen:

Die Weitergabe von patientenbezogenen Daten an die jeweilige Heimatpfarrei bzw. an einen (Laien-) Besuchsdienst der jeweiligen Heimatpfarrei ist datenschutzrechtlich nur zulässig, wenn der Patient dieser Datenweitergabe zuvor ausdrücklich zugestimmt hat.

Aus der Angabe der Konfession im Aufnahmeformular kann nicht geschlossen werden, dass der Patient auch mit dem Besuch eines ehrenamtlich tätigen Besuchsdienstes seiner Heimatpfarrei einverstanden ist. Wie ich bereits in meinem 17. Tätigkeitsbericht (Nr. 3.4.4) ausgeführt habe, kann eine solche Angabe lediglich dahin interpretiert werden, dass der Patient mit der Verständigung eines haupt- oder nebenamtlich am Krankenhaus tätigen Seelsorgers einverstanden ist.

Keine Frage des Datenschutzes ist es, wenn ein Krankenhausseelsorger nach seinem Ermessen Patienten in ihrem Zimmer aufsucht und sich dort als Seelsorger vorstellt. Ein solches Handeln gehört zum rein innerkirchlich zu regelnden Bereich der Krankenhausseelsorge. Eine datenschutzrechtlich relevante Mitwirkung des Krankenhauses erfolgt dabei nicht. Sie läge nur vor, wenn der Krankenhausseelsorger vorher seitens des Krankenhauses Listen von Patienten erhält. In diesem Fall wäre bei der Weitergabe dieser Liste an den Seelsorger nach den oben dargestellten Grundsätzen zu verfahren.

Nach einem längeren Schriftwechsel änderte das Krankenhaus schließlich den Vordruck des Behandlungsvertrages dahingehend, dass nunmehr der Patient ausdrücklich gefragt wird, ob er damit einverstanden ist, dass seine Heimatpfarrei über seinen stationären Aufenthalt informiert wird.

13.2.5. Datenverarbeitung außerhalb eines Krankenhauses

In meinem letzten Tätigkeitsbericht habe ich mich zur Zulässigkeit der verschlüsselten Datenarchivierung von Patientendaten, die in einem Krankenhaus anfallen, bei externen Providern geäußert (dort Nr. 22.2.3.2). Im Berichtszeitraum erreichte mich diesbezüglich eine Vielzahl von Anfragen.

Klarstellend weise ich auf Folgendes hin: Ich halte eine Datenverarbeitung außerhalb eines Krankenhauses nach wie vor nur unter den seinerzeit geschilderten Voraussetzungen für zulässig. Unzulässig wäre es demnach, dass ein privater Unternehmer unverschlüsselt Patientenakten abholt, bei sich digitalisiert und dann extern speichert. Dieses Vorgehen verstieße gegen Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz (BayKrG), da die Auftragsdatenverarbeitung von Patientendaten nur in einem anderen Krankenhaus erfolgen darf. Der entscheidende Unterschied zu der im letzten Tätigkeitsberichtsbeitrag geschilderten Fallgestaltung, in dem unter bestimmten Voraussetzungen die Verarbeitung bei einem externen Provider für zulässig erachtet wurde, liegt darin, dass die Verschlüsselung nicht im Krankenhaus erfolgt. Der Dritte erhält somit Kenntnis von den Patientendaten. Eine solche Datenverarbeitung außerhalb eines Krankenhauses wäre unzulässig.

13.3. Medizinische Forschung

13.3.1. Datenschutzrechtliche Begleitung des Aufbaus einer Biomaterialbank - "Biobank der Blutspender"

Die Gewinnung, Aufbewahrung und Verwendung von Blut- und Gewebeproben ist in letzter Zeit zunehmend Gegenstand öffentlicher Erörterungen gewesen. Inzwischen liegen die ersten Ergebnisse der Diskussion hinsichtlich der rechtlichen Rahmenbedingungen und der Verfahrensabläufe bei der Gewinnung, Aufbewahrung und Verwendung von Blut- und Gewebeproben vor. So hat z.B. der nationale Ethikrat in seiner Stellungnahme zum Aufbau und Betrieb von Biobanken (2004) ausgeführt, dass es im Interesse der Patienten und Ärzte, aber auch und gerade der Forschung liege, die künftige Verwendung von Proben für allgemeine Forschungszwecke mittels schriftlicher Einwilligungserklärungen der Betroffenen auf eine klare und verlässliche rechtliche Grundlage zu stellen und die Verfahrensweisen klar zu strukturieren (www.ethikrat.org; (externer Link) Biobanken für die Forschung, Seite 56).

Im Berichtszeitraum plante eine große bayerische Blutspendeeinrichtung die Errichtung einer großen Biomaterialbank ("Biobank der Blutspender"). Dabei sollte ein Teil der bei jeder Blutspende anfallenden Blutproben und Daten gesammelt und für medizinische Forschung und Entwicklung verfügbar gemacht werden. Die so gegründete Biomaterialbank könne eine sinnvolle Ergänzung der Proben- und Datensammlungen der Kliniken darstellen (s. Nr. 23.5.3), die oft erst mit der Diagnosestellung beginnen. Durch die Bereitstellung biologischer Proben und verbundener Daten für medizinische Forschung und Entwicklung soll insbesondere ein Beitrag zur Individualisierung von Diagnose und Therapie und zur Verbesserung von Präventionsmaßnahmen geleistet werden.

Ausgewählte Blutspender werden fortlaufend als Teilnehmer in die Biobank der Blutspender aufgenommen und dabei entweder der Fallgruppe oder der Kontrollgruppe zugeordnet. Die Fallgruppe enthält Blutspender, die an einer häufigen chronischen Erkrankung leiden. Die Kontrollgruppe besteht aus gesunden Blutspendern, die der Fallgruppe demographisch vergleichbar sind. Die bereits vorhandenen Proben und Daten beider Gruppen werden systematisch in der "Biobank der Blutspender" erfasst und pseudonymisiert für medizinische Forschungs- und Entwicklungsprojekte verwendet.

Ich habe im Rahmen meiner Beratungstätigkeit den Aufbau der Biomaterialbank aus datenschutzrechtlicher Sicht begleitet. Dabei habe ich zahlreiche Verbesserungen in datenschutzrechtlicher Hinsicht angeregt bzw. gefordert. Folgende Punkte waren zentral:

Eine hinreichende Teilnehmerinformation ist Voraussetzung für eine freiwillige und informierte Einwilligung des Spenders. Sie sollte daher so verständlich wie möglich sein und den nicht vorgebildeten Laien in die Lage versetzen, Aufgabenstellung, Bedeutung und Umfang des in Rede stehenden Projektes in den Grundzügen zu erfassen und auf der Grundlage seiner so gewonnenen Einschätzung freiwillig über seine Teilnahme oder seine Nichtteilnahme an dem Projekt zu entscheiden.


Mindestens zu folgenden Punkten sollte die Teilnehmerinformation klare und verständliche Hinweise enthalten:

  • Aufklärung über die für die Proben und Daten dauerhaft verantwortliche Stelle
  • Ziel des Projektes
  • Dauer sowie Art und Weise der Speicherung/Aufbewahrung der gespeicherten Daten (insbesondere also die Frage nach Anonymisierung bzw. Pseudonymisierung)
  • Umfang der gespeicherten Daten
  • Kreis der Personen und Stellen, die von den pseudonymisierten Daten bzw. Proben Kenntnis erhalten können
  • bei pseudonymer Speicherung/Aufbewahrung: mögliche Anlässe für eine Reidentifizierung der Blutspender
  • deutlicher Hinweis auf die Freiwilligkeit der Teilnahme und darauf, dass dem Betroffenen durch eine eventuelle Ablehnung der Einwilligung keinerlei Nachteile entstehen
  • Hinweis auf das Recht des Spenders, die Einwilligung für die Zukunft zu widerrufen und eine Herausgabe oder Vernichtung seiner Proben zu verlangen
  • Informationen zur eventuellen Unterrichtung des Blutspenders für Forschungsergebnisse
  • Hinweis auf grundlegende Datenschutzrechte des Blutspenders (insbesondere Auskunftsanspruch gemäß Art. 10 BayDSG)

Eine Einwilligungserklärung muss vom Blutspender, der an dem Projekt teilnehmen möchte, unterzeichnet werden. Inhaltlich muss die Einwilligungserklärung sich ausdrücklich auf die zuvor ausgehändigte Teilnehmerinformation beziehen und die wesentlichen Punkte erneut aufgreifen (Korrelation zwischen Teilnehmerinformation und Einwilligungserklärung zur Erreichung des "informed consent").


Erforderlich ist weiter, neben der schriftlichen auch mündliche Information für den Spender anzubieten, wenn dieser eine solche wünscht. Aus diesem Grund muss in der Teilnehmerinformation eine Anlaufstelle für den Teilnehmer (mit vollständiger Postanschrift und Telefon- und Faxdurchwahlnummer) angegeben werden. Auf diese Art und Weise lässt sich der erforderliche "informed consent" am schnellsten erreichen und am dauerhaftesten aufrechterhalten.

Nach dem vorliegenden Konzept ist beabsichtigt, die Blutproben ganz allgemein zum Zweck der medizinischen Forschung einschließlich genetischer Forschung aufzubewahren und zu verwenden. Aufgrund der besonderen Sensibilität und der vielfältigen Erkenntnismöglichkeiten der genetischen Forschung halte ich es datenschutzrechtlich für erforderlich, die Teilnehmer in der Teilnehmerinformation ausdrücklich darauf hinzuweisen, dass auch der Einsatz der erhobenen personenbezogenen Daten zum Zwecke der genetischen Forschung beabsichtigt ist. Außerdem war das Vorgehen sowie die Erkenntnismöglichkeiten der genetischen Forschung allgemein verständlich darzulegen. Die im Rahmen des Projektes erhobenen Daten zum Zwecke der genetischen Forschung dürfen auf keinen Fall personenbezogen eingesetzt werden.


Zwar können Spender in die Aufbewahrung und Nutzung ihrer Daten und Proben für unbestimmte Dauer einwilligen. Denn die Aufbewahrungsdauer zwingend begrenzende Fristsetzungen würden den wissenschaftlichen Wert von Biobanken erheblich einschränken. Allerdings ist es aus datenschutzrechtlichen Gründen erforderlich, auf den Umstand der zeitlich unbegrenzten Aufbewahrung und Nutzung von Proben und Daten in der Teilnehmerinformation und der Einwilligungserklärung klar und unmissverständlich hinzuweisen.

Wegen der sehr hohen Sensitivität des Datenbestandes bedarf eine Biobank angemessener technisch-organisatorischer Datensicherungsmaßnahmen. Ein wichtiger Aspekt in diesem Zusammenhang ist zunächst die Unabhängigkeit der Biobank von den sonstigen Aufgaben des Blutspendedienstes. Eine personelle und räumliche Trennung der Datenbank-Systeme und Probenlagerung soll erfolgen. Besonderes Augenmerk ist auf die Ausgestaltung der Weisungsbefugnisse zu richten.


Von zentraler Bedeutung ist der Verteilungsgrad der Datenbestände der Biobank-Datenbank. Zur angemessenen Wahrung der Belange des Persönlichkeits- und Datenschutzes ist es angesichts der Größe, Zweckbestimmung und Bedeutung der Biomaterialbank nicht akzeptabel, dass alle Daten in einer Datenbank abgelegt werden. Dies ist insbesondere vor dem Hintergrund des Risikos einer unbefugten Depseudonymisierung zu sehen. Denn bei der Ablage aller Daten in einer Datenbank würde u.U. die Kompromittierung der einzelnen Person/Stelle, z.B. des Administrators ausreichen, um Zugriff auf sämtliche Daten der Teilnehmer zu erhalten.


Es ist daher eine physische und organisatorische Trennung zumindest von Personendaten und zur Forschung verwendeten medizinischen Daten erforderlich. Des Weiteren sollte der Pseudonymisierungsvorgang (Ersatz der Personendaten durch ein Pseudonym) weder vom Blutspendedienst noch von den Administratoren der Biobank durchgeführt werden, da die Zuordnung von Pseudonym zu Personen-Daten einem besonderen Schutzbedarf unterliegt. Häufig geeignet ist beispielsweise eine zentrale Patientenliste unter gesonderter Hoheit entsprechend dem generischen Datenschutzkonzept für Biomaterialbanken. Ziel der Verteilung von Datenbeständen muss sein, dass mindestens zwei Stellen kompromittiert sein müssen, bevor eine unbefugte Reidentifizierung der Spender möglich ist.


Beim Export der Daten aus der Datenbank des Blutspendedienstes in der Biobank-Datenbank muss eine wirksame Pseudonymisierung erfolgen. Nähere Ausführungen sind der entsprechenden Orientierungshilfe zu entnehmen: http://www.datenschutz-bayern.de/technik/orient/ohilfe_psn_03.html.

Die üblichen Berechtigungen und Zugriffsmöglichkeiten müssen gemäß den Aufgaben an die Benutzer vergeben werden. Weiter müssen bei einem Export von Daten der Proben an Forscher jeweils eigene Pseudonyme verwendet werden, die nicht Ordnungskriterium der Datenbank sind.

Unter den angesprochenen Voraussetzungen hatte ich gegen den Aufbau einer Biomaterialbank keine datenschutzrechtlichen Bedenken.

13.3.2. Verwendung von Initialen bei medizinischen Forschungsvorhaben

Die wesentlichen Anforderungen an die datenschutzgerechte Ausgestaltung von Forschungsvorhaben habe ich bereits mehrfach in meinen früheren Tätigkeitsberichten dargelegt, etwa im 21. Tätigkeitsbericht (Nr. 20.2.2) und im 19. Tätigkeitsbericht (Nr. 2.3.1).

Im Berichtszeitraum hat mich ein Universitätsklinikum gebeten, ein Forschungsprojekt im Rahmen der bundesweit stattfindenden ESPED-Erhebung in datenschutzrechtlicher Hinsicht zu überprüfen. ESPED (Erfassungssystem seltener pädiatrischer Erkrankungen in Deutschland) ist ein seit längerem etabliertes Erfassungssystem, an dem zahlreiche Universitätskliniken in ganz Deutschland teilnehmen. ESPED teilt der Universitätsklinik, die ein (meist epidemiologisches) Forschungsvorhaben in Bezug auf eine bestimmte (zuvor der ESPED-Zentrale gemeldete) Krankheit durchführt, mit, ob und in welcher Klinik in Deutschland ein Fall dieser Krankheit gemeldet wurde. Daraufhin versendet die forschende Universitätsklinik an die gemeldeten Kliniken Fragebögen. Durch die in dem Fragebogen enthaltenen Informationen wird der Fall hinsichtlich der Schwere des Krankheitsbildes und der etwaiger Komplikationen charakterisiert, er wird freiwillig und ohne Gegenleistung durch Klinikärzte neben deren klinischer Tätigkeit ausgefüllt. Auf dem Fragebogen war eine Klinik-Nummer und eine von der ESPED-Zentrale vergebene fortlaufende Fallnummer angegeben.

Als zusätzlichen Identifikationsmerker haben die Forscher die Initialen, das Geschlecht, der Geburtsmonat und das Geburtsjahr, die ersten drei Ziffern der Postleitzahl des Wohnortes sowie die Nationalität erfasst. Diese Identifikationsmerker seien notwendig, um Doppelmeldungen zu identifizieren und Nachfragen zu ermöglichen. Aufgrund der Erfahrungen mit anderen ESPED-Studien und aufgrund der Unvollständigkeit von Angaben (bei Freiwilligkeit der Teilnahme) sei dies immer wieder erforderlich, um die Daten sinnvoll nutzen zu können.

Nach Ansicht der Forscher ist damit eine ausreichende Pseudonymisierung (vgl. § 3 Abs. 6 a BDSG) erreicht.

Ich habe daraufhin dem Klinikum mitgeteilt, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig sind, wenn eine Rechtsvorschrift sie erlaubt oder anordnet oder der Betroffene eingewilligt hat (Art. 15 Abs. 1 BayDSG).Da im vorliegenden Fall die Forscher die Einwilligung der Betroffenen nicht eingeholt haben, setzt die Durchführung des Forschungsvorhabens voraus, dass die in dem Fragebogen erhobenen medizinischen Daten als anonymisiert in datenschutzrechtlichem Sinne (Art. 4 Abs. 8 BayDSG), also als nicht personenbezogen und nicht personenbeziehbar angesehen werden können. Nach meiner Auffassung war dies nicht der Fall, da die Versendung der Initialen, zusammen mit der Angabe des Geschlechtes, des Geburtsmonats und des Geburtsjahres, den ersten drei Ziffern der Postzeitzahl sowie der Angabe der Nationalität - ggf. unter Einsatz von Zusatzwissen - eine Reidentifizierungsmöglichkeit der betroffenen Personen nicht zuverlässig ausgeschlossen werden konnte. Hierbei war ebenfalls zu berücksichtigen, dass es sich vorliegend um sensible medizinische Daten handelte. Ich habe daher darauf hingewiesen, dass im Rahmen anderer Forschungsvorhaben - insbesondere auch von ESPED-Studien - der Forschungszweck durch den Einsatz von wesentlich datenschutzfreundlicheren Identifikationsmerkern möglich war. So wurde z.B. in einer ESPED-Studie statt der Initialen lediglich der jeweils zweite Buchstabe des Vor- und Nachnamens, das Geschlecht sowie Geburtsmonat und Geburtsjahr erhoben. Im Rahmen einer weiteren ESPED-Studie wurde sogar auf die Erhebung jeglicher Initialen verzichtet; dort wurde an Patientendaten lediglich die drei ersten Ziffern des Wohnortes, das Geschlecht sowie Geburtsmonat und Geburtsjahr erhoben. Vor diesem Hintergrund habe ich um Mitteilung gebeten, warum der Zweck des Forschungsvorhabens die Erhebung des von den Forschern vorgesehenen Datensatzes, insbesondere der Initialen zwingend erfordert.

Daraufhin erklärte sich das Klinikum bereit, auf Initialen sowie Postleitzahlangaben zu verzichten. Es wurden also lediglich Geburtsmonat und -jahr, Geschlecht und Nationalität erhoben. Die Erhebung der Nationalität erfolgt nunmehr ausschließlich in dem
- zum Teil neu zu bildenden - Kategorien "deutsch", "türkisch" und "andere" (letztere ohne Freitextfeld).

Ein in der Struktur identisches Problem stellte sich im Zusammenhang mit einer Studie des Robert-Koch-Instituts. Dieses plante eine bundesweite epidemiologische Studie zur Klärung eines möglichen Zusammenhangs zwischen bestimmten Impfungen und plötzlichen Todesfällen bei Kindern im 2. bis 24. Lebensmonat. Für den epidemiologischen Studienteil sollten alle leichenschauärztlichen Angaben sowie Geburts- und Todesdatum durch die öffentlichen Gesundheitsämter an die Studienleitung im Robert-Koch-Institut übermittelt werden. Die personenidentifizierenden Angaben (Name, Anschrift) sollten bis auf die Initialen geschwärzt werden.


Entsprechend meinen obigen Ausführungen habe ich um Mitteilung gebeten, ob nicht auf diese allenfalls pseudonymisierte Übermittlung des Inhalts der Todesbescheinigungen verzichtet werden kann. Das Robert-Koch-Institut hat mir daraufhin mitgeteilt, dass, um die Sicherheit der pseudonymisierten
Übermittlung des Inhalts der Todesbescheinigungen zu erhöhen, auf die ursprünglich geplante Übermittlung der Initialen des verstorbenen Kindes auf dem Todesschein verzichtet wird.

13.4. Selbstverwaltungsangelegenheiten

13.4.1. Elektronisches Fortbildungskonto für Ärzte

Die Bayerische Landesärztekammer hat mich über die Fortbildungszertifizierung der Ärztekammer informiert; ich wurde daraufhin sowohl in juristischer als auch in technisch-organisatorischer Sicht beratend tätig.

Vertragsärztinnen und -ärzte müssen gegenüber ihrer Kassenärztlichen Vereinigung den Nachweis kontinuierlicher ärztlicher Fortbildung erbringen. Um den Ärztinnen und Ärzten den Nachweis der Fortbildung zu erleichtern, bietet die Bayerische Landesärztekammer die Möglichkeit eines elektronischen Fortbildungskontos. Aus datenschutzrechtlicher Sicht habe ich gegen dieses Angebot keine Bedenken erhoben. Auf Landesebene ist in Bayern nämlich nach Art. 2 Abs. 1 Heilberufe-Kammergesetz der ärztlichen Berufsvertretung die Aufgabe zu gewiesen, die ärztliche Fortbildung zu fördern und die Erfüllung der ärztlichen Berufspflichten zu überwachen. Im Rahmen dieser Aufgabenzuweisung kann die Bayerische Landesärztekammer zur Erfüllung der gesetzlichen Fortbildungspflicht der Ärzte mittels eines elektronischen Fortbildungspunktekontos grundsätzlich Daten erheben und speichern.

Allerdings habe ich die Bayerische Landesärztekammer darauf aufmerksam gemacht, dass weder aus dem Anschreiben an die Ärzte noch aus den Informationsblättern explizit hervorgeht, dass die Teilnahme am elektronischen Punktekonto freiwillig ist. Im vorliegenden Fall werden nämlich personenbezogene Daten beim Betroffenen mit seiner Kenntnis erhoben, so dass zum einen der Erhebungszweck ihm gegenüber anzugeben ist. Zum anderen ist der Betroffene auf die Freiwilligkeit seiner Angaben hinzuweisen. Denn eine Pflicht, die Daten zu liefern besteht nicht gegenüber der Bayerischen Landesärztekammer, sondern gegenüber der Kassenärztlichen Vereinigung. Die Freiwilligkeit umfasst dabei auch die Wahl des Übermittlungswegs.

Zur Verwirklichung des elektronischen Fortbildungskontos soll eine einheitliche elektronische Fortbildungsnummer (EFN) generiert werden. Die EFN dient ausschließlich der Nutzung im Rahmen des Fortbildungspunktekontos, wodurch eine Verknüpfung verschiedener Datenbestände über den Arzt erschwert wird. Der Veranstalter einer Fortbildung benötigt für die Teilnahmemeldungen an die Ärztekammern nur die EFN, nicht jedoch weitere Nummern des Arztes wie z.B. die Bundeseinheitliche Ärztenummer (BAN). Für die Kommunikation mit der Ärztekammer spielt die EFN nur im Zusammenhang mit der Fortbildung eine Rolle, für andere Bereiche muss sie nicht vorgelegt werden. Ein wichtiger Grund für die Einführung einer gesonderten EFN war, die Nutzung der BAN für eine Vielzahl von Zwecken und somit die Einführung einer einzigen Nummer für die Verwaltung diverser Informationen über den Arzt zu vermeiden.

Ich habe es weiter für sinnvoll erachtet, in einem Informationsblatt einen Überblick darüber zu geben, wo sich welche Daten über den Arzt befinden und was an wen verschickt wird. Dabei sollte dargestellt werden, dass über den Elektronischen Informationsverteiler (EIV) keine personenbezogenen Daten des Arztes, wie Adresse, Name, BAN oder ähnliches übertragen werden, sondern nur seine EFN und die Veranstaltungsnummer/Punktemeldung. Eine Zuordnung zum Arzt geschieht erst in der zuständigen Ärztekammer im dortigen Punktekonto.

Zudem sollte auch noch erwähnt werden, dass die Ärzte auch im elektronischen Verfahren weiterhin vom Veranstalter Papierbescheinigungen über die Teilnahme erhalten, die im Zweifelsfall als Nachweis gegenüber der Ärztekammer gelten (z.B. bei Problemen mit dem elektronischen Punktekonto).

Unter den angesprochenen Bedingungen hatte ich keine Einwände gegen den Betrieb eines elektronischen Fortbildungskontos durch die Bayerische Landesärztekammer.