Patientendaten ohne Einwilligung weitergegeben – Krankenhaus muss 50.000 € Bußgeld zahlen

 

Die europäische Datenschutzgrundverordnung (DSGVO) gilt seit 2018 in der gesamten Europäischen Union. Inzwischen liegen zahlreiche Urteile vor, in denen Firmen für Verstöße gegen den Datenschutz zu ganz massiven Bußgeldzahlungen verpflichtet wurden. Die französische Datenschutzbehörde verhängte gegen „Google“ zuletzt ein Bußgeld in Höhe von 50 Millionen Euro. Wegen zu lange gespeicherter Kundendaten droht dem Immobilienunternehmen Deutsche Wohnen aktuell möglicherweise ein Bußgeld in Höhe von 14,5 Millionen Euro.

 

Auch Ärzten und Krankenhausträger droht bei Verstößen gegen den Datenschutz die Verfolgung durch die Datenschutzbehörden. Dies zeigt nicht zuletzt ein aktueller Fall aus Italien. Dort hatte ein Verstoß gegen die datenschutzrechtlichen Vorgaben im Zusammenhang mit Gesundheitsdaten eine Bußgeldzahlung über 50.000 Euro zur Folge (Beschluss der Römischen Datenschutzbehörde vom 27.01.2021).

 

Eine Patientin hatte dort das Krankenhauspersonal einer Klinik für Gynäkologie mit einem Schwerpunkt für Schwangerschaftsabbrüche angewiesen, ihre Gesundheitsdaten nicht an Dritte weiterzugeben. Für die weitere Kontaktaufnahme und Besprechung des weiteren Vorgehens gab sie im Krankenhaus eine separate Telefonnummer an.

 

Eine Krankenschwester kontaktierte die Patientin nach deren Entlassung jedoch nicht mit der angegebenen, separaten Telefonnummer, sondern verwendete eine andere, in den Krankenunterlagen hinterlegte Festnetznummer. Diesen Anruf der Krankenschwester nahm der Ehemann der Patientin entgegen. Die Krankenschwester gab dem Ehemann der Patientin zwar keine medizinischen Details über die Behandlung der Patientin bekannt, wohl aber, dass diese sich im Krankenhaus in gynäkologischer Behandlung befand und noch eine weitere Besprechung mit der Patientin geplant war.

 

Schon hierin liegt ein klarer Verstoß gegen die Vorgaben der DSGVO. Denn grundsätzlich bedarf es für jede Datenweitergabe – erst recht bei besonders sensiblen Gesundheitsdaten – an Dritte, auch Ehegatten von Patienten, einer gesetzlichen Grundlage oder einer Einwilligungserklärung. Allein die Weitergabe bzw. Information über einen Krankenhausaufenthalt ist als Verarbeitung von Gesundheitsdaten anzusehen. Es ist keine Weitergabe von ausführlichen medizinischen Informationen erforderlich, um von einer Verarbeitung von Gesundheitsdaten zu sprechen.

 

Die Patientin hat vorliegend nicht nur keine Einwilligung erteilt, sondern sogar darum gebeten, ausdrücklich nur über eine separate, eigene Telefonnummer kontaktiert zu werden. Die Datenschutzbehörde ahndete dieses Vorgehen des Krankenhauses daher mit einem Bußgeld über 50.000 Euro gegen den Verantwortlichen. Bei der Festsetzung des Bußgeldes hat sich für die Höhe des Bußgeldes für das Krankenhaus besonders negativ ausgewirkt, dass:

  • es sich um die Offenlegung von besonders sensiblen Daten, nämlich Gesundheitsdaten handelt
  • ein besonderes Interesse an der Geheimhaltung und Schutzwürdigkeit von Schwangerschaftsabbrüchen besteht
  • die Datenweitergabe negative Auswirkungen auf das Privat- und Eheleben der Patientin hatte
  • im Krankenhaus keine geeigneten technischen und organisatorischen Maßnahmen vorhanden waren, um eine solche Offenlegung von Daten an Dritte zu vermeiden

 

Dieses Urteil aus Italien verdeutlicht einmal mehr, wie wichtig ein sensibler Umgang mit Behandlungsdaten und die Implementierung von organisatorischen Sicherheitsmaßnahmen zur Vermeidung einer irrtümlichen Datenweitergabe ist. Zumal Gesundheitsdaten nicht nur im Datenschutzrecht als besonders schützenswert anzusehen sind, sondern grundsätzlich auch der ärztliche Schweigepflicht (§ 9 Abs. 1 MBO-Ä bzw. den MBO der Landesärztekammern) unterfallen. Ein Verstoß gegen die ärztliche Schweigepflicht kann auch strafrechtlich sanktioniert werden, § 203 StGB.

Zurück

Pfeil Toplink