Es ist 10:00 Uhr an einem Montagmorgen, im Empfangsbereich einer Hausarztpraxis wird ein Anruf von der zuständigen MFA entgegengenommen. Die im angrenzenden Warteraum befindlichen Patienten werden sodann Zeugen des folgenden Gesprächs:
MFA: „Schönen Guten Tag, wie kann ich Ihnen helfen?
Anruferin: *unverständlich*
MFA: „Ach, Frau Meier, schön, dass Sie anrufen. Wie geht es Ihnen denn? Einen kleinen Moment bitte, ich schaue in Ihre Akte.“
Anruferin: *unverständlich*
MFA: „Ja, dass verstehe ich. Eine Psoriasis kann sehr unangenehm sein.“
Anruferin: *unverständlich*
MFA: „Natürlich können wir ein Rezept für das entsprechende Medikament vorbereiten. Zum Datenabgleich benötigen wir noch Ihr Geburtsdatum und Ihre Adresse.“
Anruferin: *unverständlich*
MFA: „Ah ja, der 10. Januar 1960. Sie wohnen nach wie vor in der Müllergasse 10?“
Anruferin: *unverständlich*
MFA: „Sehr schön. Wie geht es denn Ihrem werten Gatten?“
Anruferin: …
Den Rest des Gespräches ersparen wir Ihnen.
A. Gesetzliche Rahmenbedingungen
Arztpraxen verarbeiten täglich eine Vielzahl sensibler Informationen, wobei die Datenschutz-Grundverordnung (DSGVO) hohe Anforderungen an den Schutz dieser Daten stellt. Die DSGVO gilt hierbei für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Der Zentralbegriff des Datenschutzrechtes – die „personenbezogenen Daten“ – wird definiert als jede Information, die sich auf eine bestimmte oder bestimmbare natürliche Person bezieht.
Gemäß Art. 9 DSGVO zählen Gesundheitsdaten zu den besonders schutzwürdigen Kategorien personenbezogener Daten. Hierunter fallen beispielsweise Informationen über die körperliche und geistige Gesundheit der Patienten, Diagnosen, Behandlungen, Laborergebnisse und vieles mehr. Die Verarbeitung dieser Daten ist nur unter strengen Voraussetzungen zulässig, wobei sich in Arztpraxen eine entsprechende Rechtfertigung der Verarbeitung in der Regel aus der Einwilligung des Patienten ergibt bzw. dies z.B. im Rahmen der Versorgung oder Behandlung erforderlich oder zum Schutz lebenswichtiger Interessen der betroffenen Person notwendig ist.
„Verarbeitung“ meint „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
B. Auswirkungen
Was bedeuten die obigen Ausführungen nun für das Eingangs dargestellte Telefonat?
I. Personenbezogene Daten
Bei den im Rahmen des Gesprächs den weiteren in der Praxis befindlichen Personen bekanntgewordenen Informationen handelt es sich neben „normalen“ personenbezogene Daten (Name, Adresse und Geburtsdatum) auch um solche, welche einem besonderen Schutz unterliegen. Hierbei handelt es sich zum einen um Gesundheitsdaten, zum anderen aber auch um Daten zur sexuellen Orientierung aufgrund der Frage nach dem „werten Gatten“.
II. Verarbeitungsvorgang
Vorliegend kommt eine Verarbeitung der zuvor genannten personenbezogenen Daten durch Offenlegung in Betracht. „Offenlegung“ bezeichnet den Vorgang, Dritten Kenntnis oder die Möglichkeit der Kenntnisnahme zu verschaffen, wodurch sich die Zahl derjenigen Stellen, die Kenntnis von den Daten haben, ggf. vervielfacht, worin auch die spezifische Gefahr der Offenlegung liegt.[1] Eine Offenlegung kann mittels Übermittlung, Verbreitung oder einer anderen Form der Bereitstellung geschehen und es kommt nicht darauf an, ob die Daten mündlich weitergegeben werden oder ob dies beispielsweise in Form eines Briefes, einer E-Mail oder einer Veröffentlichung in einem Internet-Forum erfolgt.[2] Unerheblich ist zudem, ob der Adressat oder jemand anders tatsächlich Kenntnis genommen hat.[3]
1. Eröffnung des Anwendungsbereichs der DSGVO
Zu beachten ist jedoch, dass die Offenlegung an ein Dateisystem gebunden sein muss, damit der Anwendungsbereich der DSGVO eröffnet ist.[4]
Die vorliegend zur Offenlegung genutzte Form der mündlichen Übermittlung ist eine nicht automatisierte Verarbeitung von Daten, da Sie nicht unmittelbar mittels eines Dateisystems, also einer „strukturierte[n] Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist […]“ (Art. 4 Nr. 6 DSGVO) durchgeführt wird, sondern sich in Form von Denk- und Sprechprozessen bei den beteiligten Parteien abspielt. Diese Form der Verarbeitung fällt lediglich dann unter die Normen der DSGVO, soweit die offengelegten Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.[5]
Insofern muss bei den, den Personen im Warteraum bekanntgewordenen, Informationen hinsichtlich der Herkunft der Daten unterschieden werden.
a. Name
Wenngleich der Name der Patientin Frau Meier in der Patientenakte vermerkt sein dürfte, entstammte dieser zum Zeitpunkt der Offenlegung unmittelbar dem Gespräch und eben nicht einem Dateisystem, sodass dessen Preisgabe nicht dem Anwendungsbereich der DSGVO unterliegt.
b. Gesundheitsdaten
Die Angaben zur Diagnose der Frau Müller wurde von der MFA der Patientenakten entnommen. Mithin ist hinsichtlich dieses Datums der Anwendungsbereich der DSGVO eröffnet.
c. Geburtsdatum und Anschrift
Auch die Angaben zum Geburtsdatum und der Anschrift der Frau Müller wurden dem Dateisystem entnommen, sodass auch hier der Anwendungsbereich der DSGVO eröffnet ist.
d. Sexuelle Orientierung
Die Angaben zur sexuellen Orientierung der Frau Müller entstammen höchstwahrscheinlich nicht der Patientenakte, sondern dem Gedächtnis der MFA, sodass diesbezüglich der Anwendungsbereich der DSGVO nicht eröffnet ist.
2. Verarbeitung
Sowohl die Gesundheitsdaten also auch das Geburtsdatum und die Anschrift wurden gegenüber Dritten, den wartenden Patienten, offenbart, sodass eine Verarbeitung im Sinne der DSGVO vorliegt.
3. Rechtfertigung
Gründe, welche diese Verarbeitung rechtfertigen könnten, sind nicht ersichtlich. Insbesondere dürfte keine Einwilligung (Art. 6 I a DSGVO bzw. Art. 9 II a DSGVO) der betroffenen Personen hinsichtlich der Offenlegung Ihrer Daten gegenüber anderen Patienten vorliegen.
4. Ergebnis
Somit erfolgt im Falle des Geburtsdatums und der Anschrift die Verarbeitung durch die MFA nicht rechtmäßig und im Falle der Gesundheitsdaten eine Missachtung des Verbots der Verarbeitung, sodass ein Verstoße
III. Folgen
Die unrechtmäßige Verarbeitung von personenbezogenen Daten (Art. 6 DSGVO) oder ein Verstoß gegen die Pflichten bei Verarbeitung von besonderen personenbezogenen Daten (Art. 9 DSGVO), mithin auch die unberechtigte Offenlegung wie zuvor geschildert, kann ein Bußgeld von bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr nach sich ziehen (Art. 83 V DSGVO).
Die genaue Höhe der Geldbuße hängt von verschiedenen Faktoren ab, wie z.B. der Art und Schwere des Verstoßes, der Anzahl der betroffenen Personen, dem Grad des Verschuldens und den getroffenen Maßnahmen zur Schadensbegrenzung.
Es ist jedoch wichtig zu beachten, dass die in Artikel 83 genannten Beträge Höchstgrenzen darstellen.
So wurde beispielsweise gegen ein Krankenhaus ein Bußgeld in Höhe von EUR 400.000,00 verhängt, da insbesondere zu viele Mitarbeiter/innen Zugriff auf zu viele Patientendaten hatten und das Berechtigungskonzept mangelhaft war.
In einem anderen Fall wurde ein Bußgeld in Höhe von EUR 20.000,00 gegen einen Arzt verhängt, welcher im Zuge der Corona-Pandemie Rezepte in einem Behälter an der Außenwand seiner Praxis hinterlassen hatte, sodass diese vollkommen ungeschützt für jedermann zugänglich waren.
IV. Maßnahmen
Anhang dieses kleinen Beispiels lässt sich erkennen, dass bereits ein einfaches Telefonat unangenehme finanzielle Folgen für Arztpraxen haben und auch deren Reputation nachhaltig schädigen kann. Aus diesem Grund ist ein durchdachtes Datenschutzkonzept und auch die Schulung der Mitarbeiter unabdingbar, um den Anforderungen der DSGVO gerecht zu werden.
PRO-Tipp: Praxisgemeinschaft oder MVZ? Dann muss ggf. ein Datenschutzbeauftragter bestellt werden. Infos hierzu -> https://dsgvo-anwalt.eu/dsvgo-guide-fuer-arztpraxen-und-praxisgemeinschaften/
[1] Reimer in Sydow/Marsch, DS-GVO, 3. Aufl., Art. 4 Rn. 68.
[2] Ernst in Paal/Pauly, DS-GVO, 3. Aufl., Art. 4 Rn. 30.
[3] Ebd.
[4] 13. Tätigkeitsbericht des BayLDA 2023, S. 39.
[5] Gola in Gola/Heckmann, DS-GVO, 3. Aufl., Art. 2 Rn. 11.