Kennen Sie den?
Neulich im Wartezimmer. Der Lautsprecher knistert und es folgt eine Durchsage:
„Aus datenschutzrechtlichen Gründen verzichten wir darauf, Sie namentlich aufzurufen. Als nächstes bitte der Herr mit den Potenzproblemen!“

Wer seit dem 25. Mai 2018 beim Arzt war, musste eine die Datenverarbeitungsvorgänge betreffende Einwilligungserklärung unterschreiben. Viele Einwilligungserklärungen wären datenschutzrechtlich zwar gar nicht nötig, da die Datenverarbeitung zur Erfüllung des Behandlungsvertrages erforderlich ist – aber lieber eine Einwilligung zu viel als eine zu wenig! Das, was auf dem Zettel meiner Zahnärztin stand, hat kaum jemanden interessiert, zumindest hat die Sprechstundenhilfe mich angesehen, als ob ich ein Alien wäre, weil ich den kompletten Text durchgelesen habe, der mir vorgelegt wurde. „Ich lese immer alles, bevor ich es unterschreibe…“, entschuldigte ich mich und sie musste lachen, weil sie mich wahrscheinlich für irgendwie zwanghaft gehalten hat. „Alle anderen haben einfach nur unterschrieben“, sagte sie. Datenschutzkram gilt nicht gerade als unterhaltsame Lektüre.

PATIENTENDATEN-LEAKS SIND OFT MENSCHLICHER NATUR

Gesundheitsdaten sind hochsensibel und zählen daher zu den „besonderen Arten von personenbezogenen Daten“. Rechtlich wird der Umgang mit diesen Daten in Art. 9 DS-GVO geregelt. Hinzu kommt die ärztliche Schweigepflicht. Ein Verstoß gegen sie kann sowohl berufsrechtlich als auch strafrechtlich sanktioniert werden. Auch Pflegekräfte und medizinische Fachangestellte unterliegen der Schweigepflicht. Im Grunde genommen jeder, der mit Patientendaten Umgang hat. Verstöße kommen aber immer wieder vor.
Wenn es nicht um uns selbst geht, machen wir uns nicht so viele Gedanken darüber. Vor 20 Jahren absolvierte ein Bekannter ein Praktikum in einem Krankenhaus. Er konnte auch an den Rechner, hatte aber nur eingeschränkte Einsichtsrechte. Während dieser Zeit verliebte sich eine gemeinsame Freundin in einen adretten Jurastudenten. Sie bat unseren Bekannten darum, nachzusehen, ob der junge Mann schon mal im Klinikum behandelt wurde, in dem er das Praktikum absolvierte. Und er sah tatsächlich nach! Auf diese Weise erfuhr unsere Freundin, wann der angehende Jurist Geburtstag hatte – er war älter als vermutet – und, dass er schon öfter behandlungsbedürfte Probleme mit dem Magen-Darm-Trakt hatte. Wenig später verliebte sich unsere Freundin in einen Lehramtsstudenten mit Hautproblemen. Dann war das Praktikum unseres Freundes vorbei.
Das Geburtsdatum zählt nicht zu den besonderen Arten personenbezogener Daten, aber allein die Auskunft über den Aufenthalt in der Klinik schon.

WENN DIE TECHNIK LÜCKEN LÄSST

Vorletzte Woche wurde bekannt, dass in Portugal ein Krankenhaus wegen eines Verstoßes gegen die DSGVO zu einer Geldstrafe in Höhe von 400.000 Euro verdonnert worden sein soll. Im Krankenhaus Barreiro Montijo stellten Datenschützer bereits im Juli fest, dass nicht nur die Ärzte Zugriff auf die Patientendaten hatten, sondern auch jeder mit einem „Techniker“-Profil. Zudem waren 985 Nutzer mit „Arzt“-Profilen registriert, obwohl 2018 lediglich 296 Ärzte im Krankenhaus ihren Dienst taten. Woher kamen die ganzen „virtuellen“ Ärzte? Hatte da etwa der berühmte „Doktor Google“, den wir gerne mal konsultieren seine Finger im Spiel? Das Krankenhaus gibt an, dass es sich um temporäre Profile gehandelt habe. Aber die „Techniker“ mit den uneingeschränkten Zugriffsrechten können auf diese Weise nicht wegerklärt werden. Die Krankenhausleitung jedoch fühlt sich missverstanden und möchte gegen die Entscheidung der portugiesischen Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) klagen.

WER HAT EIN EINSICHTSRECHT IN DIE PATIENTENAKT

Zuallererst mal der Patient selbst. Das ist seit 2013 klar im Patientenrechtegesetz geregelt. Nur in wenigen Ausnahmefällen, etwa bei psychisch kranken Menschen, bei denen die Gefahr bestehen könnte, dass sich die Einsichtnahme nachteilig auf den Therapieverlauf auswirkt, ist das Einsichtnahmerecht beschränkt. Und nur mit Einverständnis des Patienten selbst, sind Dritte berechtigt, Einsicht zu nehmen.
Und natürlich müssen die behandelnden Ärzte auf die Patientenakte zugreifen können. Hierbei wird streng auf den Datenschutz geachtet. Eine befreundete Ärztin erklärt mir, dass sie sich jedes Mal mit einem ellenlangen Passwort in das Krankenhausinformationssystem einloggen müsse. Jeder Zugriff auf Patientenakten wird zudem dokumentiert, so dass klar ersichtlich ist, wer wann was angesehen hat. Auch Ärzte können also nicht „einfach so“ sämtliche Patientenakten durchsehen. In puncto Datenschutz müssen Erforderlichkeit und Zweckbindung der Datennutzung gegeben sein. Pure Neugierde kann zu Konsequenzen führen. Nach dem Absturz der Passagiermaschine, die der Pilot Andreas Lubitz gesteuert hatte, waren mehrere Mitarbeiter des Krankenhauses, in dem er in Behandlung war, an seiner Akte interessiert und nahmen Einsicht in die Behandlungsunterlagen. Was sie davon hatten? Die kurze Befriedigung ihrer Neugierde und eine arbeitsrechtliche Abmahnung.

ES BESTEHT EINE DOKUMENTATIONSPFLICHT

Was ist eigentlich, wenn ein Patient nicht möchte, dass Behandlungsmaßnahmen in einer Patientenakte dokumentiert werden, weil er zum Beispiel aufgrund akut auftretender DSGVO-Hysterie nicht möchte, dass seine Daten gespeichert werden? Das ist schlichtweg nicht möglich, denn es besteht eine Dokumentationspflicht, die in § 630 f BGB geregelt ist. Ärzte müssen also zeitnah „Anamnese, Diagnosen, Untersuchungen, Untersuchungsergebnisse, Befunde, Therapien und ihre Wirkungen, Eingriffe und ihre Wirkungen, Einwilligungen und Aufklärungen“ dokumentieren. Das ist auch einer der Gründe dafür, dass man in einer Arztpraxis manchmal nicht sofort dran kommt und ein bisschen länger warten muss. Aber die sorgfältige Behandlung unserer besonders sensiblen personenbezogenen Daten sollten uns das schon wert sein, oder?