{"id":60598,"date":"2022-03-01T14:25:21","date_gmt":"2022-03-01T12:25:21","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=60598"},"modified":"2022-03-01T07:27:44","modified_gmt":"2022-03-01T05:27:44","slug":"datenschutz-behandlungsvertrag","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/datenschutz-behandlungsvertrag\/","title":{"rendered":"Datenschutzrechtliche Pflichten aus einem Behandlungsvertrag"},"content":{"rendered":"
\"Datenschutz
Marco2811 – stock.adobe.com<\/figcaption><\/figure>\n

Jede \u00e4rztliche Behandlung, sei es im Krankenhaus oder in einer Arztpraxis, ist rechtlich geregelt: Es kommt ein Behandlungsvertrag zustande. Dieser legt Pflichten des Patienten fest, aber auch Rechte. Im Gegenzug enth\u00e4lt der Behandlungsvertrag auch die Rechte und Pflichten des Arztes.<\/em> Doch regelt ein solcher Behandlungsvertrag auch den Umgang durch das Personal mit Patienten- und Behandlungsdaten? <\/em><\/p>\n

Dokumentation personenbezogener Daten<\/h2>\n

Kl\u00e4ger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter des Krankenhauses etwa 150-mal auf seine Patienten- und Behandlungsdaten zu. Nach Wiederaufnahme seiner T\u00e4tigkeit ebenfalls im Jahr 2015 erhielt der Kl\u00e4ger Kenntnis von den Zugriffen. In einem Gespr\u00e4ch mit dem betrieblichen Datenschutzbeauftragten<\/a> des Krankenhauses analysierte der Kl\u00e4ger die erfolgten Zugriffe und identifizierte einige der Zugriffe als datenschutzrechtlich fragw\u00fcrdig. Daraufhin forderte der Chefarzt das Krankenhaus auf, ihm Auskunft \u00fcber unberechtigte Zugriffe und den zuk\u00fcnftigen Schutz seiner Daten zu erteilen. Er wandte sich zudem am 16.03.2018 mit einer Beschwerde an das unabh\u00e4ngige Landeszentrum f\u00fcr Datenschutz Schleswig-Holstein.<\/p>\n

Im Rahmen seiner Recherche stellte der Kl\u00e4ger au\u00dferdem fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses m\u00f6glich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patienten-Namens viele Informationen abzurufen, ohne dass Zugriff und Berechtigung h\u00e4tten nachvollzogen werden k\u00f6nnen.<\/p>\n

Mit anwaltlichem Schreiben vom 15. Januar 2019 forderte der Kl\u00e4ger die Beklagte nochmals und erfolglos auf, zu den ger\u00fcgten Datenschutzverletzungen, zu ergriffenen Ma\u00dfnahmen und dem Vorwurf weiterer unberechtigter Zugriffe Stellung zu nehmen. Sp\u00e4ter begehrte der Kl\u00e4ger Schadensersatz und Schmerzensgeld wegen der unberechtigten Zugriffe auf seine Patientendaten.<\/p>\n

Selbst\u00e4ndige Nebenpflichten des Behandelnden<\/h2>\n

Das Landgericht Flensburg (LG Flensburg, Urteil v. 19.11.2021, Az. 3 O 227\/19<\/a>) h\u00e4lt die Klage jedoch f\u00fcr unbegr\u00fcndet. Demnach habe der Kl\u00e4ger keinen durchsetzbaren Anspruch auf Zahlung eines Schmerzensgeldes und sonstigen Schadensersatzes wegen der ger\u00fcgten Zugriffe auf seine Patientendaten im Mai 2015. Zwar habe zwischen den Parteien ein Behandlungsvertrag im Sinne des \u00a7 630a<\/a> B\u00fcrgerliches Gesetzbuch (BGB) bestanden. Dieser begr\u00fcnde unteranderem selbst\u00e4ndige Nebenpflichten gem\u00e4\u00df \u00a7 241 Abs. 2 BGB<\/a> des Behandelnden, daf\u00fcr Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (\u00a7 630f BGB<\/a>) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zweck verarbeitet werden – sei es durch den Behandelnden selbst, durch ihm unterstellte nat\u00fcrliche Personen oder Erf\u00fcllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Auch liege es nahe, diese behandlungsvertraglichen Nebenpflichten bei einem Krankenhausvertrag \u00e4hnlich zu konkretisieren, wie dies der Gesetzgeber in \u00a7 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) hat. Danach d\u00fcrfen Patientendaten unteranderem verarbeitet werden, soweit dies zur Erf\u00fcllung des Behandlungsvertrags einschlie\u00dflich des \u00e4rztlichen und pflegerischen Dokumentationspflicht erforderlich sei und der Patient nichts anderes bestimmt habe. Letztlich bed\u00fcrfe es in diesem konkreten Fall aber keiner Entscheidung dar\u00fcber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht habe. Denn der Kl\u00e4ger habe weder vorgetragen, dass tats\u00e4chlich auf seine Patientendaten zugegriffen wurde noch sei sicher, ob die blo\u00dfe theoretische M\u00f6glichkeit hierzu \u00fcberhaupt eine Pflichtverletzung im Vertragsverh\u00e4ltnis darstelle.<\/p>\n

Hemmt die Anrufung der Datenschutzbeh\u00f6rde die Verj\u00e4hrung?<\/h2>\n

Das Gericht stellt ferner fest, dass es auch keiner Feststellung dahingehend bed\u00fcrfe, ob die Beklagte diese Nebenpflicht durch das Unterlassen organisatorischer Vorkehrungen gegen die Zugriffe auf die Patientendaten des Kl\u00e4gers selbst verletze oder ob es sich bei diesen Zugriffen durch Personal der Beklagten um Verletzungen der Nebenpflichten handele, welche die Beklagte gem\u00e4\u00df \u00a7 278 BGB<\/a> zu vertreten h\u00e4tte. Grunds\u00e4tzlich sei es aber unerheblich, ob die Ursache in dem Unterlassen entsprechender organisatorischer Ma\u00dfnahme liege oder in dem Fehlverhalten eines Mitarbeiters zu suchen sei. Denn f\u00fcr beides sei die Beklagte verantwortlich. Darauf komme es hier aber nach Auffassung der Richter schon gar nicht mehr an.<\/p>\n

Das aus dem Grund, dass ein etwaiger, hieraus folgender Schadensersatzanspruch bereits verj\u00e4hrt und deshalb nicht durchsetzbar sei. Das LG Flensburg hat diesbez\u00fcglich entschieden, dass die Anrufung der Datenschutzbeh\u00f6rde die Verj\u00e4hrung etwaiger Anspr\u00fcche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle im Sinne von \u00a7 204 Abs. 1 Nr. 4 BGB<\/a> handele. Das Verwaltungsverfahren sei vielmehr auf die \u00dcberpr\u00fcfung etwaiger Datenschutzverst\u00f6\u00dfe<\/a>, deren Sanktionierung und zuk\u00fcnftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien \u00fcber einen erhobenen, individuellen Anspruch. Davon abgesehen sei f\u00fcr einen wirksam hemmenden Streitbeilegungsantrag – wie bei allen in \u00a7 204 Abs. 1 BGB<\/a> genannten Rechtsverfolgungshandlungen und Verfahren – ein bestimmter Anspruch zu bezeichnen, den der Kl\u00e4ger bei Anrufung des ULD weder geltend gemacht habe noch sei ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Das Gericht weist darauf hin, dass auch dieser Umstand zeige, dass ein solches Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien \u00fcber einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren sei.<\/p>\n

Fahrl\u00e4ssige Umgang mit Zugriffsrechten kein Einzelfall<\/h2>\n

Dass der fahrl\u00e4ssige Umgang mit den Zugriffsrechten des Krankenhauspersonals auf Patienten- und Behandlungsdaten kein Einzelfall ist, zeigt auch der Umstand, dass sich bereits andere Gerichte mit \u00e4hnlichen F\u00e4llen auseinandersetzen mussten.<\/p>\n

Fest steht: Grunds\u00e4tzlich ist ein Datenschutzversto\u00df gegeben. Das ergibt sich daraus, dass ein Behandlungsvertrag unter anderem die selbst\u00e4ndige Nebenpflicht des Behandelnden begr\u00fcndet, daf\u00fcr Sorge zu tragen, dass die personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden. Dies ist jedoch nicht anzunehmen, wenn allen Mitarbeitern ein ungehinderter Zugriff gew\u00e4hrleistet wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

Jede \u00e4rztliche Behandlung, sei es im Krankenhaus oder in einer Arztpraxis, ist rechtlich geregelt: Es kommt ein Behandlungsvertrag zustande. Dieser legt Pflichten des Patienten fest, aber auch Rechte. Im Gegenzug enth\u00e4lt der Behandlungsvertrag auch die Rechte und Pflichten des Arztes. Doch regelt ein solcher Behandlungsvertrag auch den Umgang durch das Personal mit Patienten- und Behandlungsdaten? […]<\/p>\n","protected":false},"author":85,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[17284,8],"tags":[142,19321],"class_list":["post-60598","post","type-post","status-publish","format-standard","hentry","category-verhandlungsstrategie-prozesstaktik","category-datenschutzrecht","tag-datenschutz","tag-behandlungsvertrag","topic_category-verhandlungstrategie-prozesstaktik","topic_category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60598","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/85"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=60598"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/60598\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=60598"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=60598"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=60598"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}