Wann kommt der Direktzugriff auf Daten im Ausland?
Cyberangriff auf die elektronische Patientenakte
Vermeintliche Verstöße gegen die Vorgaben der DS-GVO zum Schutz der Gesundheitsdaten sind nicht selten Anlass für Ermittlungen der Datenschutzaufsichtsbehörden. Beispielhaft seien die Versendung der Einladung zu einem Untersuchungstermin in einer Arztpraxis an die falsche Person, offene Türen zu einem Patientenaktenarchiv im Krankenhaus und die Babygalerie auf einer Internetseite eines Krankenhauses erwähnt.
Bei ihren Ermittlungen sind den Datenschutzaufsichtsbehörden weitreichende Untersuchungsbefugnisse eingeräumt. Nach Art. 58 Abs. 1 DS-GVO können sie u.a. den Behandler anweisen, Informationen bereitzustellen (Art. 58 Abs. 1 lit. a) DS-GVO), sowie Zugang zu allen personenbezogenen Daten und Informationen (Art. 58 Abs. 1 lit. e) DS-GVO) und zu den Räumlichkeiten einschließlich aller Datenverarbeitungsmedien des Behandlers verlangen (Art. 58 Abs. 1 lit. f) DS-GVO). Diese Befugnisse kollidieren mitunter mit der ärztlichen Schweigepflicht, die über § 203 Abs. 1 Nr. 1 StGB auch strafrechtlich geschützt ist. Hiernach macht sich ein Arzt strafbar, wenn er Geheimnisse eines Patienten, die ihm im Rahmen der Behandlung anvertraut oder sonst bekannt wurden, unbefugt offenbart. Die an der Behandlung mitwirkenden nichtärztlichen Mitarbeiter sind bei Verstößen gegen die Schweigepflicht nach § 203 Abs. 4 StGB strafbar.
Aber muss (bzw. darf) der Behandler sämtliche Untersuchungsmaßnahmen der Datenschutzaufsichtsbehörde dulden? Nicht unbedingt!
Die Untersuchungsbefugnisse der Datenschutzaufsichtsbehörden werden durch § 29 Abs. 3 Bundesdatenschutzgesetz (BDSG) eingeschränkt. Danach bestehen die Untersuchungsbefugnisse der Datenschutzaufsichtsbehörden nach Art. 58 Abs. 1 lit. e) und f) DS-GVO gegenüber Behandlern und deren Hilfskräften nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflicht dieser Personen führen würde. Wenn also durch den Zugang zu den personenbezogenen Daten und Information oder durch das Betreten der Räumlichkeiten des Behandlers in die ärztliche Schweigepflicht eingegriffen würde, ist diese Untersuchungsmaßnahme nicht hinzunehmen. Dies gilt etwa für den Zugang zu Räumlichkeiten, in denen sich Akten oder IT-Systeme befinden, die der Schweigepflicht unterliegende Daten oder Informationen enthalten. Eine Pflicht des Behandlers, die der Geheimhaltungspflicht unterliegenden Daten von anderen Informationen oder Daten so zu trennen, dass den Datenschutzaufsichtsbehörden der Zugang zu diesen ermöglicht wird, besteht nicht. Ist indessen ein Verstoß gegen die Geheimhaltungspflicht ausgeschlossen, bestehen die Untersuchungsbefugnisse nach Art. 58 Abs. 1 lit. e) und f) DS-GVO uneingeschränkt. Es kommt mithin auf den Einzelfall an.
Für Fragen rund um das Thema ärztliche Schweigepflicht und Datenschutz stehen wir Ihnen gerne zur Verfügung.
Kontaktieren Sie uns:
