Datenschutzrechtliche Pflichten aus einem Behandlungsvertrag

Jede ärztliche Behandlung, sei es im Krankenhaus oder in einer Arztpraxis, ist rechtlich geregelt: Es kommt ein Behandlungsvertrag zustande. Dieser legt Pflichten des Patienten fest, aber auch Rechte. Im Gegenzug enthält der Behandlungsvertrag auch die Rechte und Pflichten des Arztes. Doch regelt ein solcher Behandlungsvertrag auch den Umgang durch das Personal mit Patienten- und Behandlungsdaten?

Dokumentation personenbezogener Daten

Kläger war der Chefarzt der Inneren Abteilung eines Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 in der kardiologischen Abteilung des gleichen Krankenhauses behandelt. Im Zeitraum seiner Behandlung griffen Mitarbeiter des Krankenhauses etwa 150-mal auf seine Patienten- und Behandlungsdaten zu. Nach Wiederaufnahme seiner Tätigkeit ebenfalls im Jahr 2015 erhielt der Kläger Kenntnis von den Zugriffen. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten des Krankenhauses analysierte der Kläger die erfolgten Zugriffe und identifizierte einige der Zugriffe als datenschutzrechtlich fragwürdig. Daraufhin forderte der Chefarzt das Krankenhaus auf, ihm Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Er wandte sich zudem am 16.03.2018 mit einer Beschwerde an das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Im Rahmen seiner Recherche stellte der Kläger außerdem fest, dass es bis Mai 2019 an mehreren Computern des Krankenhauses möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe eines Patienten-Namens viele Informationen abzurufen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.

Mit anwaltlichem Schreiben vom 15. Januar 2019 forderte der Kläger die Beklagte nochmals und erfolglos auf, zu den gerügten Datenschutzverletzungen, zu ergriffenen Maßnahmen und dem Vorwurf weiterer unberechtigter Zugriffe Stellung zu nehmen. Später begehrte der Kläger Schadensersatz und Schmerzensgeld wegen der unberechtigten Zugriffe auf seine Patientendaten.

Selbständige Nebenpflichten des Behandelnden

Das Landgericht Flensburg (LG Flensburg, Urteil v. 19.11.2021, Az. 3 O 227/19) hält die Klage jedoch für unbegründet. Demnach habe der Kläger keinen durchsetzbaren Anspruch auf Zahlung eines Schmerzensgeldes und sonstigen Schadensersatzes wegen der gerügten Zugriffe auf seine Patientendaten im Mai 2015. Zwar habe zwischen den Parteien ein Behandlungsvertrag im Sinne des § 630a Bürgerliches Gesetzbuch (BGB) bestanden. Dieser begründe unteranderem selbständige Nebenpflichten gemäß § 241 Abs. 2 BGB des Behandelnden, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zweck verarbeitet werden – sei es durch den Behandelnden selbst, durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Auch liege es nahe, diese behandlungsvertraglichen Nebenpflichten bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie dies der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) hat. Danach dürfen Patientendaten unteranderem verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich des ärztlichen und pflegerischen Dokumentationspflicht erforderlich sei und der Patient nichts anderes bestimmt habe. Letztlich bedürfe es in diesem konkreten Fall aber keiner Entscheidung darüber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht habe. Denn der Kläger habe weder vorgetragen, dass tatsächlich auf seine Patientendaten zugegriffen wurde noch sei sicher, ob die bloße theoretische Möglichkeit hierzu überhaupt eine Pflichtverletzung im Vertragsverhältnis darstelle.

Hemmt die Anrufung der Datenschutzbehörde die Verjährung?

Das Gericht stellt ferner fest, dass es auch keiner Feststellung dahingehend bedürfe, ob die Beklagte diese Nebenpflicht durch das Unterlassen organisatorischer Vorkehrungen gegen die Zugriffe auf die Patientendaten des Klägers selbst verletze oder ob es sich bei diesen Zugriffen durch Personal der Beklagten um Verletzungen der Nebenpflichten handele, welche die Beklagte gemäß § 278 BGB zu vertreten hätte. Grundsätzlich sei es aber unerheblich, ob die Ursache in dem Unterlassen entsprechender organisatorischer Maßnahme liege oder in dem Fehlverhalten eines Mitarbeiters zu suchen sei. Denn für beides sei die Beklagte verantwortlich. Darauf komme es hier aber nach Auffassung der Richter schon gar nicht mehr an.

Das aus dem Grund, dass ein etwaiger, hieraus folgender Schadensersatzanspruch bereits verjährt und deshalb nicht durchsetzbar sei. Das LG Flensburg hat diesbezüglich entschieden, dass die Anrufung der Datenschutzbehörde die Verjährung etwaiger Ansprüche gegen die verarbeitende Stelle nicht hemmt, da es sich dabei nicht um eine Streitbeilegungsstelle im Sinne von § 204 Abs. 1 Nr. 4 BGB handele. Das Verwaltungsverfahren sei vielmehr auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Davon abgesehen sei für einen wirksam hemmenden Streitbeilegungsantrag – wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren – ein bestimmter Anspruch zu bezeichnen, den der Kläger bei Anrufung des ULD weder geltend gemacht habe noch sei ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Das Gericht weist darauf hin, dass auch dieser Umstand zeige, dass ein solches Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren sei.

Fahrlässige Umgang mit Zugriffsrechten kein Einzelfall

Dass der fahrlässige Umgang mit den Zugriffsrechten des Krankenhauspersonals auf Patienten- und Behandlungsdaten kein Einzelfall ist, zeigt auch der Umstand, dass sich bereits andere Gerichte mit ähnlichen Fällen auseinandersetzen mussten.

Fest steht: Grundsätzlich ist ein Datenschutzverstoß gegeben. Das ergibt sich daraus, dass ein Behandlungsvertrag unter anderem die selbständige Nebenpflicht des Behandelnden begründet, dafür Sorge zu tragen, dass die personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden. Dies ist jedoch nicht anzunehmen, wenn allen Mitarbeitern ein ungehinderter Zugriff gewährleistet wird.