Zum Inhalt springen Zur Navigation springen
Patientendatenschutz und die ärztliche Schweigepflicht

Patientendatenschutz und die ärztliche Schweigepflicht

In der Medizin konzentriert sich der Behandlungsprozess in der Regel nicht nur auf den Hausarzt. Zur Unterstützung kommen immer häufiger technische Medizinprodukte zum Einsatz, die personenbezogene Daten der Patienten elektronisch erheben und speichern können. Bei der Verarbeitung sensibler Daten wie Gesundheitsdaten muss immer konkret geprüft werden, wer Zugriff auf die Daten erhalten darf. Dieser Artikel betrachtet den Patientendatenschutz und die ärztliche Schweigepflicht genauer.

Softwarebasierte Medizinprodukte

Bei der Diagnose und Behandlung von Patienten kommen häufig Medizinprodukte zum Einsatz. Bei Medizinprodukten i.S.d. § 3 Medizinproduktegesetz (MPG) kann es sich um Verbandsmittel, Brillen und Gehhilfen handeln, aber auch um technisch-basierte Geräte wie Blutzucker- oder Herzfrequenzmesser. Die Geräte erfassen dabei Patientendaten, die anschließend vom behandelnden Arzt ausgewertet und zur Diagnose oder Überwachung des Gesundheitszustandes herangezogen werden können.

Datenschutzrechtliche Fragestellungen beim Einsatz von Medizinprodukten

Die Zuhilfenahme der Technik führt in der Praxis aber auch dazu, dass Arzt, Hersteller und weitere Dritte Zugriff auf die Patientendaten benötigen. Neben dem Arzt kann auch der Medizinprodukte-Hersteller Zugriff auf die Daten haben, indem er für den Arzt die Software bereitstellt oder Wartungsaufgaben vornimmt. Bei der Verwendung von Medizinprodukten stellen sich also u.a. folgende datenschutzrechtliche Fragen:

  • Auf welcher Rechtsgrundlage dürfen die Patientendaten an die beteiligten Stellen übermittelt werden?
  • Welche Auswirkungen hat die ärztliche Schweigepflicht nach § 203 StGB?

Gesetzlichen Regelungen zum Datenschutz

Ausgangspunkt kann als spezielles Gesetz das Medizinproduktegesetz sein.

In § 2 Abs. 4 des MPG steht:

„Die Vorschriften des Atomgesetzes, der Strahlenschutzverordnung, der Röntgenverordnung und des Strahlenschutzvorsorgegesetzes, des Chemikaliengesetzes, der Gefahrstoffverordnung, der Betriebssicherheitsverordnung, der Druckgeräteverordnung, der Aerosolpackungsverordnung sowie die Rechtsvorschriften über Geheimhaltung und Datenschutz bleiben unberührt.

Spezielle gesetzliche Vorschriften für den Umgang mit Patientendaten gibt es also nicht. Das MPG verweist lediglich auf die allgemeinen Vorschriften. Solche Rechtsvorschriften zur Geheimhaltung und zum Datenschutz können sein:

  • 203 StGB (Schweigepflicht von Berufsgeheimnisträgern)
  • Das Bundesdatenschutzgesetz
  • Das Sozialgesetzbuch (speziell SGB V und X)
  • Die Berufsordnung der Ärzte ( § 9 MBO)

Verhältnis zwischen Arzt und Hersteller aus datenschutzrechtlicher Sicht

Für die Frage, auf welcher rechtlichen Grundlage der Datenaustausch zwischen Arzt und Hersteller erfolgen kann, kommt es maßgeblich darauf an, wie das Verhältnis zwischen den Beteiligten aus datenschutzrechtlicher und strafrechtlicher Sicht ausgestaltet ist.

Auftragsdatenverarbeitung nach § 11 BDSG

Datenschutzrechtlich kommt zwischen den Beteiligten die Vereinbarung einer Auftragsdatenverarbeitung nach § 11 BDSG in Betracht. Das ist in den Fällen notwendig, in denen der Hersteller für den Arzt weisungsgebunden IT-und Wartungsdienstleistungen vornimmt. Eine Auftragsdatenverarbeitung regelt allerdings nur die Legitimation aus datenschutzrechtlicher Sicht. Wie die strafrechtliche Verpflichtung zur Wahrung des Patientengeheimnisses zu beurteilen ist, ist eine andere, davon unabhängige Frage.

Datennutzung nach § 28 Abs. 7 S. 2 BDSG oder Einwilligung des Patienten

Es kann aber auch die Situation geben, in denen Arzt und Hersteller zusammenarbeiten, ohne das Bestehen eines weisungsgebundenen Abhängigkeitsverhältnisses. Eine Auftragsdatenverarbeitung kommt dann nicht in Betracht. Müssen für die Behandlung trotzdem Daten ausgetauscht werden, kommt als Legitimationsgrundlage § 28 Abs. 7 BDSG oder eine Einwilligung des Patienten nach § 4a BDSG in Betracht. § 28 Abs. 7 S. 2 BDSG erlaubt das Verarbeiten von Gesundheitsdaten, wenn der betroffene Personenkreis der Geheimhaltungspflicht nach § 203 StGB unterliegt. Ferner ist eine Verarbeitung ausweislich § 28 Abs. 7 S. 3 BDSG bei Herstellern und dem Vertrieb von Hilfsmitteln erlaubt, sofern eine Schweigepflichterklärung abgegeben wurde.

Inwiefern sich bei Verarbeitungen im Verhältnis Arzt – Hersteller demnach auf § 28 Abs. 7 BDSG gestützt werden kann, oder eine ausdrückliche Einwilligung des Patienten erforderlich ist, ist demnach am Einzelfall zu prüfen.

Die ärztliche Schweigepflicht nach § 203 StGB

Neben der datenschutzrechtlichen Rechtfertigung ist zusätzlich § 203 StGB zu berücksichtigen. Wie stets beim Umgang mit Patientendaten der Fall, ist der behandelnde Arzt gesetzlich verpflichtet, gegenüber dem Patienten die Schweigepflicht zu wahren. Das folgt aus der Berufsordnung für Ärzte und aus § 203 StGB.

Konkret bedeutet dies, dass der Arzt unbefugt keine Informationen, die er im Zusammenhang mit der Behandlung erlangt, an Dritte weitergeben darf. Demnach kann jede Datenübermittlung auch ein Verstoß gegen die ärztliche Schweigepflicht sein. Damit der Arzt sich beim Einsatz von Medizinprodukten nicht strafbar macht, muss es sich also um eine befugte Datenübermittlung handeln.

Befugte Datenübermittlung an Gehilfen des Arztes i.S.d § 203 Abs. 3 S. 2 StGB

Teilt der Arzt Patienteninformationen mit seinem berufsmäßig tätigen Gehilfen, handelt es sich nicht um eine Offenbarung des Patientengeheimnisses. Demnach liegt in diesem Fall auch kein Verstoß gegen die ärztliche Schweigepflicht vor. Wer jedoch als Gehilfe des Arztes einzuordnen ist, ist juristisch umstritten. Grundsätzlich wird verlangt, dass der Gehilfe zum Behandlungskreis des Patienten gehört und gegenüber dem Arzt weisungsgebunden ist. Demnach muss überlegt werden, ob zumindest bei einer Auftragsdatenverarbeitung zwischen Hersteller und Arzt eine Gehilfenstellung vorliegt. Aber auch darauf kann keine pauschale Antwort gegeben werden. Aufsichtsbehörden und Literatur vertreten dazu unterschiedliche Meinungen, so dass immer der Einzelfall zu prüfen ist. Im Zweifel ist vom Patienten daher eine Einwilligung in die Entbindung von der Schweigepflicht einzuholen.

Sonstige befugte Datenübermittlungen i.S.d § 203 StGB

Weiter liegt in folgenden Fällen kein Verstoß gegen die ärztliche Schweigepflicht vor:

  • Der Patient hat gegenüber dem Arzt in die Weitergabe der Daten eingewilligt
  • Es bestehen gesetzliche Offenbarungspflichten, z.B. aus dem SGB V

Folgen bei rechtswidriger Datenübermittlung

Ein Verstoß gegen die ärztliche Schweigepflicht kann mit einer Freiheitsstrafe von bis zu 2 Jahren geahndet werden. Zugleich wird dabei immer auch eine rechtswidrige Datenübermittlung vorliegen, die nach §§ 43 Abs. 2, 44 BDSG entweder eine Ordnungswidrigkeit oder auch eine Straftat begründet.

Konsequenz: Datenschutzrechtliche Fragen vorab klären

Wie im Artikel dargestellt, müssen bei der Beurteilung eine Vielzahl an gesetzlichen Regelungen berücksichtigt werden, so dass eine pauschale Handhabung nicht möglich ist. Softwarebasierte Medizinprodukte sind jedoch oftmals fester Bestandteil einer ganzheitlichen Behandlung. Daher empfiehlt es sich vorab die rechtliche Situation gemeinsam mit dem Datenschutzbeauftragten zu begutachten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Frage: Verstößt ein deutsches Onlineportal zur ärztlichen Fernbehandlung von Patienten via Datenaustausch mittels dem US-amerikanischem Anbieter WhatsApp strukturell gegen die europäische DatenschutzGrundverordnung und gegen § 203 BGB Schweigepflichtsverletzung,, wenn Whatsap für den Einsatz nicht zertifiziert ist und außerdem die Daten entgegen deutschem und europäischen Recht außerhalb der EU weitergeleitetn werden?

    • Der Einsatz von WhatsApp dürfte in dieser Konstellation kaum datenschutzkonform möglich sein. Vermutlich wird sich das Portal eine Einwilligung der Nutzer einholen. Inwieweit diese aber ausreichend, d.h. freiwillig und transparent ist, müsste am Einzelfall geprüft werden. Hinzu kommt das allgemeine Problem mit WhatsApp: Für dem Zugriff auf das Telefonbuch und die Übermittlung aller Kontaktdaten lässt sich praxistauglich keine Einwilligung einholen.

  • ziehmlich entsetzt war ich heute bei einem ohrenarzt (nur ohren reinigen) als er meinte, das ich einen stent erhalten habe. dies konnte er nicht wissen, ich war da noch nie. darf ein arzt meine behandlung (stent gesezt) an alle ärzte versenden egal ob ich dort patient bin oder nicht??? und ganz wichtig… kann ich meinem arzt dieses tun untersagen falls es im rahmen, des formulares zur anmeldung, unterschrieben wurde???

    • Zunächst gilt die ärztliche Schweigepflicht auch unter Ärzten, d.h. diese dürfen Befunde ihrer Patienten nicht ohne gesetzliche Befugnis oder Einwilligung des Patienten untereinander austauschen. Beispielsweise erlaubt § 73 Abs. 1 b SGB V dem Hausarzt, bei Vorliegen einer Einwilligung Daten zur Behandlung an andere Leistungserbringer zu übermittelt, bzw. zu Dokumentationszwecken einzuholen. Diese Datenübermittlung soll die Qualität der hausärztlichen Versorgung sicherstellen. Sie ist allerdings, wie schon gesagt, an eine Einwilligung gebunden. Ähnliches regelt § 9 Abs. 4 der Berufsordnung für Ärzte. Demnach dürfen Befunde für die Weiter-und Nachbehandlung übermittelt werden, wenn eine Einwilligung vorliegt. Die Einwilligung muss hier aber nicht ausdrücklich erteilt werden. Es reicht, wenn der Arzt aufgrund äußerer Umstände von einer Einwilligung ausgehen kann, z.B. bei Überweisungen an einen Facharzt. An alle Ärzte darf der behandelnde Arzt die Information aber nicht versenden. Falls gegenüber dem Hausarzt eine generelle Einwilligung erteilt wurde, kann diese auch widerrufen werden.

  • Die Idee mit WhatsApp finde ich klasse. Aber ich denke auch, dass das mit dem Datenschutz nicht hinhauen wird. DAs Medizinrecht hingegen sehe ich nicht verletzt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.