Patientendatenschutz und die ärztliche Schweigepflicht

gesundheit 05
Fachbeitrag

In der Medizin konzentriert sich der Behandlungsprozess in der Regel nicht nur auf den Hausarzt. Zur Unterstützung kommen immer häufiger technische Medizinprodukte zum Einsatz, die personenbezogene Daten der Patienten elektronisch erheben und speichern können. Bei der Verarbeitung sensibler Daten wie Gesundheitsdaten muss immer konkret geprüft werden, wer Zugriff auf die Daten erhalten darf. Dieser Artikel betrachtet den Patientendatenschutz und die ärztliche Schweigepflicht genauer.

Softwarebasierte Medizinprodukte

Bei der Diagnose und Behandlung von Patienten kommen häufig Medizinprodukte zum Einsatz. Bei Medizinprodukten i.S.d. § 3 Medizinproduktegesetz (MPG) kann es sich um Verbandsmittel, Brillen und Gehhilfen handeln, aber auch um technisch-basierte Geräte wie Blutzucker- oder Herzfrequenzmesser. Die Geräte erfassen dabei Patientendaten, die anschließend vom behandelnden Arzt ausgewertet und zur Diagnose oder Überwachung des Gesundheitszustandes herangezogen werden können.

Datenschutzrechtliche Fragestellungen beim Einsatz von Medizinprodukten

Die Zuhilfenahme der Technik führt in der Praxis aber auch dazu, dass Arzt, Hersteller und weitere Dritte Zugriff auf die Patientendaten benötigen. Neben dem Arzt kann auch der Medizinprodukte-Hersteller Zugriff auf die Daten haben, indem er für den Arzt die Software bereitstellt oder Wartungsaufgaben vornimmt. Bei der Verwendung von Medizinprodukten stellen sich also u.a. folgende datenschutzrechtliche Fragen:

  • Auf welcher Rechtsgrundlage dürfen die Patientendaten an die beteiligten Stellen übermittelt werden?
  • Welche Auswirkungen hat die ärztliche Schweigepflicht nach § 203 StGB?

Gesetzlichen Regelungen zum Datenschutz

Ausgangspunkt kann als spezielles Gesetz das Medizinproduktegesetz sein.

In § 2 Abs. 4 des MPG steht:

„Die Vorschriften des Atomgesetzes, der Strahlenschutzverordnung, der Röntgenverordnung und des Strahlenschutzvorsorgegesetzes, des Chemikaliengesetzes, der Gefahrstoffverordnung, der Betriebssicherheitsverordnung, der Druckgeräteverordnung, der Aerosolpackungsverordnung sowie die Rechtsvorschriften über Geheimhaltung und Datenschutz bleiben unberührt.

Spezielle gesetzliche Vorschriften für den Umgang mit Patientendaten gibt es also nicht. Das MPG verweist lediglich auf die allgemeinen Vorschriften. Solche Rechtsvorschriften zur Geheimhaltung und zum Datenschutz können sein:

  • 203 StGB (Schweigepflicht von Berufsgeheimnisträgern)
  • Das Bundesdatenschutzgesetz
  • Das Sozialgesetzbuch (speziell SGB V und X)
  • Die Berufsordnung der Ärzte ( § 9 MBO)

Verhältnis zwischen Arzt und Hersteller aus datenschutzrechtlicher Sicht

Für die Frage, auf welcher rechtlichen Grundlage der Datenaustausch zwischen Arzt und Hersteller erfolgen kann, kommt es maßgeblich darauf an, wie das Verhältnis zwischen den Beteiligten aus datenschutzrechtlicher und strafrechtlicher Sicht ausgestaltet ist.

Auftragsdatenverarbeitung nach § 11 BDSG

Datenschutzrechtlich kommt zwischen den Beteiligten die Vereinbarung einer Auftragsdatenverarbeitung nach § 11 BDSG in Betracht. Das ist in den Fällen notwendig, in denen der Hersteller für den Arzt weisungsgebunden IT-und Wartungsdienstleistungen vornimmt. Eine Auftragsdatenverarbeitung regelt allerdings nur die Legitimation aus datenschutzrechtlicher Sicht. Wie die strafrechtliche Verpflichtung zur Wahrung des Patientengeheimnisses zu beurteilen ist, ist eine andere, davon unabhängige Frage.

Datennutzung nach § 28 Abs. 7 S. 2 BDSG oder Einwilligung des Patienten

Es kann aber auch die Situation geben, in denen Arzt und Hersteller zusammenarbeiten, ohne das Bestehen eines weisungsgebundenen Abhängigkeitsverhältnisses. Eine Auftragsdatenverarbeitung kommt dann nicht in Betracht. Müssen für die Behandlung trotzdem Daten ausgetauscht werden, kommt als Legitimationsgrundlage § 28 Abs. 7 BDSG oder eine Einwilligung des Patienten nach § 4a BDSG in Betracht. § 28 Abs. 7 S. 2 BDSG erlaubt das Verarbeiten von Gesundheitsdaten, wenn der betroffene Personenkreis der Geheimhaltungspflicht nach § 203 StGB unterliegt. Ferner ist eine Verarbeitung ausweislich § 28 Abs. 7 S. 3 BDSG bei Herstellern und dem Vertrieb von Hilfsmitteln erlaubt, sofern eine Schweigepflichterklärung abgegeben wurde.

Inwiefern sich bei Verarbeitungen im Verhältnis Arzt – Hersteller demnach auf § 28 Abs. 7 BDSG gestützt werden kann, oder eine ausdrückliche Einwilligung des Patienten erforderlich ist, ist demnach am Einzelfall zu prüfen.

Die ärztliche Schweigepflicht nach § 203 StGB

Neben der datenschutzrechtlichen Rechtfertigung ist zusätzlich § 203 StGB zu berücksichtigen. Wie stets beim Umgang mit Patientendaten der Fall, ist der behandelnde Arzt gesetzlich verpflichtet, gegenüber dem Patienten die Schweigepflicht zu wahren. Das folgt aus der Berufsordnung für Ärzte und aus § 203 StGB.

Konkret bedeutet dies, dass der Arzt unbefugt keine Informationen, die er im Zusammenhang mit der Behandlung erlangt, an Dritte weitergeben darf. Demnach kann jede Datenübermittlung auch ein Verstoß gegen die ärztliche Schweigepflicht sein. Damit der Arzt sich beim Einsatz von Medizinprodukten nicht strafbar macht, muss es sich also um eine befugte Datenübermittlung handeln.

Befugte Datenübermittlung an Gehilfen des Arztes i.S.d § 203 Abs. 3 S. 2 StGB

Teilt der Arzt Patienteninformationen mit seinem berufsmäßig tätigen Gehilfen, handelt es sich nicht um eine Offenbarung des Patientengeheimnisses. Demnach liegt in diesem Fall auch kein Verstoß gegen die ärztliche Schweigepflicht vor. Wer jedoch als Gehilfe des Arztes einzuordnen ist, ist juristisch umstritten. Grundsätzlich wird verlangt, dass der Gehilfe zum Behandlungskreis des Patienten gehört und gegenüber dem Arzt weisungsgebunden ist. Demnach muss überlegt werden, ob zumindest bei einer Auftragsdatenverarbeitung zwischen Hersteller und Arzt eine Gehilfenstellung vorliegt. Aber auch darauf kann keine pauschale Antwort gegeben werden. Aufsichtsbehörden und Literatur vertreten dazu unterschiedliche Meinungen, so dass immer der Einzelfall zu prüfen ist. Im Zweifel ist vom Patienten daher eine Einwilligung in die Entbindung von der Schweigepflicht einzuholen.

Sonstige befugte Datenübermittlungen i.S.d § 203 StGB

Weiter liegt in folgenden Fällen kein Verstoß gegen die ärztliche Schweigepflicht vor:

  • Der Patient hat gegenüber dem Arzt in die Weitergabe der Daten eingewilligt
  • Es bestehen gesetzliche Offenbarungspflichten, z.B. aus dem SGB V

Folgen bei rechtswidriger Datenübermittlung

Ein Verstoß gegen die ärztliche Schweigepflicht kann mit einer Freiheitsstrafe von bis zu 2 Jahren geahndet werden. Zugleich wird dabei immer auch eine rechtswidrige Datenübermittlung vorliegen, die nach §§ 43 Abs. 2, 44 BDSG entweder eine Ordnungswidrigkeit oder auch eine Straftat begründet.

Konsequenz: Datenschutzrechtliche Fragen vorab klären

Wie im Artikel dargestellt, müssen bei der Beurteilung eine Vielzahl an gesetzlichen Regelungen berücksichtigt werden, so dass eine pauschale Handhabung nicht möglich ist. Softwarebasierte Medizinprodukte sind jedoch oftmals fester Bestandteil einer ganzheitlichen Behandlung. Daher empfiehlt es sich vorab die rechtliche Situation gemeinsam mit dem Datenschutzbeauftragten zu begutachten.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.