Cookie-Hinweis: Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind erforderlich, während andere uns helfen unser Onlineangebot zu verbessern. Sie können alle Cookies über den Button “Alle akzeptieren” zustimmen, oder Ihre eigene Auswahl vornehmen und diese mit dem Button “Auswahl akzeptieren” speichern.
Wird ein Behandlungsvertrag abgeschlossen, entsteht gleichzeitig die Pflicht des Behandelnden, durch bestimmte Maßnahmen sicherzustellen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur von berechtigten Personen eingesehen werden können und die Verarbeitung nur zu erlaubten Zwecken erfolgt (LG Flensburg, Urt. v. 19.11.2021 – Az. 3 O 227/19).
Sachverhalt:
Als sich einer der Chefärzte eines Krankenhauses dort selbst behandeln ließ, wurde etwa 150-mal auf dessen Patientendaten zugegriffen. Als der Behandelte davon Kenntnis erlangte, ging er rechtlich dagegen vor, da er der Ansicht war, dass zumindest vier dieser Zugriffe von Personen erfolgte, die über keine ausreichende Berechtigung verfügten.
Das Landgericht Flensburg gab daraufhin zu erkennen, dass ein Behandlungsvertrag die Pflicht des Behandelnden begründe, sicherzustellen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden. Dabei komme es auch nicht auf die Position des Mitarbeiters an, der die Daten verarbeitet. Von Bedeutung sei allein seine Berechtigung zu einem solchen Vorgehen. Eine solche Berechtigung könne u.a. dann gegeben sein, sofern der Zugriff auf die Daten zur Erfüllung des Behandlungsvertrages erforderlich sei und soweit der Patient nichts anderes bestimmt habe. Das schließe auch die Erfüllung möglicher Dokumentationspflichten ein.
Eine nähere Eingrenzung dieser Pflichten unterließ das Gericht jedoch, da der Chefarzt zu spät klagte und ein möglicher Anspruch auf Schadensersatz bereits verjährt war.
Fazit:
Sobald die Möglichkeit besteht, dass mehrere Personen auf Patientendaten zugreifen können, ist sicherzustellen, dass ausreichende technische und organisatorische Maßnahmen getroffen werden, welche die Zugriffsmöglichkeiten beschränken. Andernfalls wird es schnell zu Konflikten mit dem aktuellen Datenschutzrecht kommen.