Untersuchung bei Berufsgeheimnisträger

Polizeiliche und sonstige behördliche Untersuchungen bei Berufsgeheimnisträgern

Im Berichtszeitraum haben die Datenschutzbehörde Anzeigen von Berufsgeheimnisträgern, darunter von einem psychiatrischen Krankenhaus, erreicht, dass Polizei und andere zur Kontrolle befugte Behörden im Rahmen von Durchsuchungen oder Begehungen gegen Datenschutzrecht verstoßen haben sollen, indem diese etwa Patientendaten zur Kenntnis genommen hätten. Bei diesen Verfahren handelte es sich nicht ausschließlich um strafrechtliche Ermittlungsverfahren gegen tatverdächtige Patienten, sondern in einem Fall auch um die Überprüfung einer Einrichtung. Zudem wurden sogenannte Datenpannen durch Krankenhäuser im Zusammenhang mit der Herausgabe von Patientenunterlagen an Polizeibehörden gemeldet. So wurde in einem Fall versehentlich die Akte eines anderen Patienten und nicht des eigentlich Tatverdächtigen an die Polizei herausgegeben.

Patientendaten sind in Deutschland besonders geschützt. Bis auf wenige gesetzlich geregelte Ausnahmefälle im Interesse der betroffenen Person selbst, haben Berufsgeheimnisträger und die an ihrer Berufsausübung mitwirkenden Personen weitreichende Zeugnisverweigerungsrechte. Zudem regelt die Strafprozessordnung auch ein Beschlagnahmeverbot für Patientenakten. Berufsgeheimnisträger müssen stets prüfen, ob sie sich in der aktuellen Situation aktiv darauf berufen müssen oder ausnahmsweise doch eine Offenbarung in Betracht kommt, etwa wenn eine drohende Gefahr für Leib und Leben damit noch abgewendet werden kann oder ausnahmsweise eine gesetzliche Pflicht zur Herausgabe der Akten besteht. Tun sie dies nicht und geben freiwillig Auskunft oder gar Patientenakten heraus, ist in der Regel nicht die anfragende Behörde, sondern der Berufsgeheimnisträger selbst für den Datenschutzverstoß und gegebenenfalls auch den strafrechtlich relevanten Verstoß gegen das Berufsgeheimnis verantwortlich. Natürlich müssen sich Berufsgeheimnisträger keiner körperlichen Auseinandersetzung ausliefern. Sie müssen ihre Prozessrechte aber geltend machen und zu Protokoll geben.

Erhalten Patienten Kenntnis von derartigen Sachverhalten und beschweren sich bei der Datenschutzbehörde, verweist sie zunächst auf die Möglichkeit, wegen einer möglichen Verletzung des Berufsgeheimnisses einen Strafantrag zu stellen. Diese mögliche Straftat ist gegenüber einer etwaigen datenschutzrechtlichen Ordnungswidrigkeit vorrangig zu verfolgen. Zuständig für die Verfolgung sind Polizei und Staatsanwaltschaft. Möchte die betroffene Person keinen Strafantrag stellen, werden wir die Aufsichtsbehörde tätig und prüft Maßnahmen gegen die Berufsgeheimnisträger, die die Patientendaten herausgegeben haben.

Beschweren sich jedoch Berufsgeheimnisträger selbst über Behörden, denen sie freiwillig, wenn auch nicht selten „völlig überrumpelt“, Patientendaten offenbart haben, sind diese nicht zu einer förmlichen Beschwerde nach Art. 77 DSGVO befugt, da sie selbst nicht die betroffene Person sind, deren Daten offenbart wurden. Gleichwohl werden diese Anzeigen ernst genommen – sie führen aber in der Regel dazu, dass ein Datenschutzverstoß durch den anzeigenden Berufsgeheimnisträger selbst festgestellt wird. Gibt dieser freiwillig Patientendaten heraus, obgleich er nicht dazu verpflichtet ist, fehlt es regelmäßig an einer Befugnis, diese Daten zu offenbaren. Bisher wurden in diesen Fällen jedoch keine Bußgelder verhängt. Einerseits, weil die betroffenen Berufsgeheimnisträger den Sachverhalt selbst angezeigt haben und die Datenschutzaufsicht in diesen speziellen Fällen keine Beschwerden der eigentlich betroffenen Personen erreicht haben. Andererseits wurde bisher die besondere Situation berücksichtigt, in der es zu einer Offenbarung der Patientendaten gekommen ist.

Für die Zukunft wird Berufsgeheimnisträgern und insbesondere Krankenhäusern sowie vergleichbaren Einrichtungen dringend empfohlen, einen Handlungsleitfaden für das Verhalten bei Kontrollen oder dem Herausgabeverlangen von Patientenakten durch Behörden zu erstellen. Insbesondere müssen auch Beschäftigte als mitwirkende Personen regelmäßig und wiederholt über Zeugnisverweigerungsrechte und Beschlagnahmeverbote unterrichtet werden. Vor der Zutrittsgewährung oder gar der Herausgabe von personenbezogenen Daten sollten sich Berufsgeheimnisträger immer von der jeweiligen Behörde die Rechtsgrundlage für das jeweilige Begehren nennen lassen und ausdrücklich danach fragen, ob eine gesetzliche Pflicht zur Duldung oder Herausgabe besteht. Auch sollte darauf geachtet werden, dass über die jeweilige Maßnahme durch die Behörde ein Protokoll geführt wird und dort beispielsweise Widersprüche des Berufsgeheimnisträgers gegen die Sicherstellung von Patientenakten dokumentiert werden.

Quelle: LfDI M-V

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks