Скачать книгу

eigentlichen Sinne auf der Grundlage einer gesetzlichen Befugnisnorm, allerdings gilt die Auftragsverarbeitung nach wie vor als privilegiert, weshalb eine Offenbarung von Gesundheitsdaten auf der Grundlage von Art. 28 DS-GVO rechtlich zulässig ist.

      IV Einwilligungen

Die Verarbeitung sensibler Patientendaten (genetischer, biometrischer Daten, Gesundheitsdaten usw.²⁷) im Krankenhausbereich erfolgt häufig auf der Grundlage von Einwilligungen durch Patienten.

Da durch die DS-GVO²⁸ Änderungen eingetreten sind, werden nachfolgend die seit dem 25.05.2018 insgesamt an Einwilligungen zu stellenden Anforderungen dargestellt.

      1 Einsichtsfähigkeit

Bei der Erteilung von Einwilligungen wird keine Geschäftsfähigkeit im Sinne des BGB vorausgesetzt.²⁹ Dies ist die Fähigkeit, Rechtsgeschäfte selbständig vollwirksam vorzunehmen.³⁰

Vielmehr wird es als ausreichend erachtet, dass der Patient die natürliche Einsichtsfähigkeit in die Bedeutung und Tragweite seiner Einwilligung besitzt. Diese Einsichtsfähigkeit kann – z. B. bei Patienten in psychiatrischer Behandlung – mitunter fehlen.³¹ Bei fehlender Einsichtsfähigkeit kann eine Einwilligung nur von dem gesetzlichen Vertreter erteilt werden. Der nicht einsichtsfähige Patient kann zudem den Arzt nicht von der Schweigepflicht entbinden. Die Befugnis zur Entbindung von der Schweigepflicht geht bei nichteinsichtsfähigen Patienten auf die gesetzlichen Vertreter über.

Teilweise werden für die Annahme der Einsichtsfähigkeit auch bestimmte Altersgrenzen diskutiert. Jedoch liefern diese stets nur eine erste Orientierung und ändern nichts an dem Grundsatz, dass die Frage der Einsichtsfähigkeit eines Minderjährigen stets einzelfallbezogen zu beurteilen ist.³²

Abweichend von diesen bisherigen Grundsätzen normiert nunmehr Art. 8 DS-GVO für bestimmte Konstellationen eine Altersgrenze, die für die Annahme der Einsichtsfähigkeit eines Minderjährigen ausschlaggebend sein soll. In den Fällen, in denen einem Minderjährigen sog. Dienste der Informationsgesellschaft angeboten werden, geht Art. 8 Abs. 1 DS-GVO von einer Einsichtsfähigkeit des Minderjährigen ab Vollendung des 16. Lebensjahres aus.³³

In Konstellationen, die nicht unter Art. 8 DS-GVO fallen, bleibt es auch unter Maßgabe der DS-GVO bei dem Grundsatz, dass die Wirksamkeit einer Einwilligung eine entsprechende Einsichtsfähigkeit der betroffenen Person voraussetzt und diese Frage jeweils einzelfallbezogen zu beurteilen ist.³⁴ Letzteres ist insofern im Krankenhausbereich maßgeblich, da die Leistungen der Krankenhäuser nicht im Kontext von Diensten der Informationsgesellschaft zu sehen sind.

      2 Kirchliche Krankenhausträger

      Hinsichtlich der Krankenhausträger in kirchlicher Trägerschaft ist zu beachten, dass sowohl die evangelische als auch die katholische Kirche entsprechende Regelungen erlassen haben, um den Einklang mit der DS-GVO herzustellen.

      Die 12. Synode der Evangelischen Kirche in Deutschland hat auf ihrer 4. Tagung zum 15.11.2017 ein Kirchengesetz beschlossen (Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD), das die durch die DS-GVO bedingten Änderungen weitestgehend umsetzt.

      Ebenso sind für den katholischen Bereich in der Fassung des einstimmigen Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20.11.2017 Neuregelungen des kirchlichen Datenschutzgesetzes (Gesetz über den kirchlichen Datenschutz (KDG) erfolgt.

      Von der grundsätzlichen Ausrichtung her ist festzustellen, dass die kirchlichen Vorschriften stark an die Regelungen der DS-GVO angelehnt sind, weshalb die Ausführungen für die kirchlichen Träger im Wesentlichen entsprechend gelten. Weitere Einzelheiten bzw. Besonderheiten finden sich direkt im Text bzw. in der Checkliste.

      3 Hintergrund – »besonders sensible Daten«

      Die DS-GVO / Das DSG-EKD / Das KDG erkennt »besondere Kategorien personenbezogener Daten« als besonders schutzwürdig (»sensibel«/»sensitiv«) an, da ihre Verarbeitung erhebliche Risiken für die betroffenen Personen bergen können. Die Einordnung als sensible Daten ist dabei unabhängig vom jeweiligen Verarbeitungskontext und den konkreten Umständen des Einzelfalles. Sie erfolgt allein aufgrund der Zugehörigkeit zu einer der besonderen Datenkategorien.

      4 Gesetzliche Grundlagen

Die Verarbeitung dieser sensiblen Daten ist grundsätzlich an Art. 9 DS-GVO / § 13 DSG-EKD / § 11 KDG zu messen, der gegenüber den allgemeinen Erlaubnistatbeständen strengere und speziellere Vorgaben für die Datenverarbeitung vorsieht.³⁵ Sowohl inhaltlich als auch von der Regelungsstruktur her entspricht Art. 9 DS-GVO / § 13 DSG-EKD / § 11 KDG allerdings zu großen Teilen der früheren Regelung in Art. 8 Datenschutzrichtlinie 1995³⁶, weshalb viele der bekannten Anforderungen weiterhin gelten.

      Hinsichtlich der an Einwilligungen zu stellenden Anforderungen finden sich diese in den Art. 6 Abs. 1 a), Art. 7 sowie Art. 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 11, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 8, 11 Abs. 2 a) KDG.

      Art. 6 Abs. 1 DS-GVO / § 6 Ziff. 2 DSG-EKD / § 6 Abs. 1 b) KDG regelt, dass eine Verarbeitung u. a. rechtmäßig ist, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke abgegeben hat.

      Art. 7 DS-GVO / § 11 DSG-EKD / § 8 KDG definiert Bedingungen für die Einwilligung, die insbesondere durch die Erwägungsgründe 32, 42 sowie 43 näher beschrieben werden.

      Art. 9 Abs. 2a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG erlaubt die Verarbeitung der sensiblen Daten, z. B. Gesundheitsdaten, unter der Voraussetzung, dass die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat.

      Ferner findet sich in Art. 4 Ziff. 11 DS-GVO / § 4 Ziff. 13 DSG-EKD / § 4 Ziff. 13 KDG eine Legaldefinition, wonach eine »Einwilligung« der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung ist, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

      Ähnliche Regelungen beinhalten sowohl § 13 Abs. 2 Ziff. 8 und 9 DSG-EKD als auch § 11 Abs. 2 h) und i) KDG ohnehin.

      5 Verbot mit Erlaubnisvorbehalt, Art. 9 DS-GVO

      Als Grundregel verbietet Art. 9 Abs. 1 DS-GVO / § 13 Abs. 1 DSG-EKD / § 11 Abs. 1 KDG die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten usw. Es wird also ein allgemeines Verbot der Verarbeitung aufgestellt.

      Zu diesem Verbot existieren Ausnahmen. Eine solche Ausnahme stellt zum Beispiel die Einwilligung der betroffenen Person in die Verarbeitung z. B. der Gesundheitsdaten für einen oder mehrere festgelegte Zwecke dar (sog. besonderer Erlaubnistatbestand, Art. 6 Abs. 1 a), 9 Abs. 2 a) DS-GVO / §§ 6 Ziff. 2, 13 Abs. 2 Ziff. 1 DSG-EKD / §§ 6 Abs. 1 b), 11 Abs. 2 a) KDG).

Скачать книгу