Vorangekreuzte Datenschutzformulare in einem Krankenhaus
Eine Beschwerde bei der Datenschutzbehörde betraf den Einsatz vorangekreuzter datenschutzrechtlicher Einwilligungsformulare durch ein bayerisches Universitätsklinikum. Der Beschwerdeführer hatte frühmorgens das Universitätsklinikum aufgesucht. In der Patientenaufnahme fügte die diensthabende Pflegekraft dem Behandlungsvertrag ein ausgedrucktes Datenschutzformular bei, in dem zu allen aufgeführten Fragen das jeweilige Antwortfeld mit „Ja“ vorbelegt war. Auf Nachfrage erklärte sie dem Patienten, das System ermögliche nur einen Ausdruck mit „Ja“. Er könne entsprechende Antworten manuell streichen.
In der Folge wandte sich der Beschwerdeführer an die Datenschutzaufsicht. Diese ersuchte das Klinikum um Stellungnahme; dabei wollte sie insbesondere in Erfahrung bringen, ob das eingesetzte IT-System nur dann einen Ausdruck des Formulars ermöglichte, wenn bei allen datenschutzrechtlich relevanten Einwilligungsfeldern die voreingestellte Antwort „Ja“ lautete.
Das Klinikum führte aus, es treffe zwar zu, dass die Auswahlfelder systemseitig mit „Ja“ vorbelegt gewesen seien, da dies den „in der überwiegenden Zahl der Rückmeldungen erwarteten Antworten“ entsprochen habe. Allerdings sei das Personal gehalten, diese Vorbelegung der Auswahlfelder auf Wunsch der betroffenen Person komplett zu entfernen. Dass ein Ausdruck des Formulars nur bei Vorbelegung aller Felder mit „Ja“ möglich gewesen wäre, bestätigte das Klinikum jedoch nicht. Im Fall des Beschwerdeführers sei es trotz entsprechender Schulungen zu einem Fehler gekommen. Ursächlich sei möglicherweise, dass die Pflegekräfte in der Nacht neben den pflegerischen Tätigkeiten auch die administrative Aufnahme der Patienten abwickeln müssten.
Das Verwenden vorangekreuzter Einwilligungsformulare im Rahmen der Patientenaufnahme im Krankenhaus verstößt gegen den Grundsatz der Verarbeitung auf rechtmäßige Weise und nach Treu und Glauben gemäß Art. 5 Abs. 1 Buchst. a DSGVO.
In der Vorbelegung mit „Ja“ kommt die Erwartung zum Ausdruck, dass die betroffene Person der Verarbeitung zu verschiedenen, im Formular beschriebenen Zwecken zustimmt; sie wirkt somit suggestiv und hemmt letztlich die freie Willensausübung der betroffenen Person. In Anbetracht des Kräfteungleichgewichts zwischen einem Klinikum einerseits und den auf Hilfe angewiesenen Patientinnen und Patienten andererseits ist ein solches Prozedere im Ergebnis als unfair und treuwidrig zu bewerten. Zudem erscheint die Freiwilligkeit einer unter solchen Umständen erteilten Einwilligung als sehr zweifelhaft.
Offenbar war auch dem Normgeber das Problem der vorbelegten Auswahlfelder in Einwilligungsformularen bereits bekannt, wie EG 32 Satz 3 DSGVO zeigt:
„Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.“
Das Klinikum korrigierte aus Anlass der Beschwerde seine datenschutzwidrige Praxis und versicherte, in seinem Verantwortungsbereich systemseitig keine Einwilligungsmuster mit vorbelegten Feldern mehr zuzulassen. Auch unter Berücksichtigung der weiteren Einlassungen des Universitätsklinikums war aus Sicht der Datenschutzbehörde nicht mit weiteren Vorfällen dieser Art zu rechnen. Wenngleich daher von einer förmlichen Beanstandung abgesehen wurde, war der festgestellte Verstoß doch als gravierend zu bewerten. Aus diesem Grund wurde das Bayerische Staatsministerium für Wissenschaft und Kunst als zuständige Rechtsaufsichtsbehörde über die datenschutzrechtliche Problematik in Kenntnis gesetzt. Die Datenschutzbehörde bat darum, auch den anderen bayerischen Universitätskliniken gegenüber auf die Vermeidung vergleichbarer Defizite hinzuwirken.
Das Wissenschaftsministerium hat daraufhin zeitnah alle bayerischen Universitätskliniken mit ministeriellem Schreiben über die Problematik informiert, auf Maßnahmen im Falle weiterer Verstöße hingewiesen und so einen wesentlichen Beitrag zur Sensibilisierung der Universitätskliniken geleistet.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Sind Sie sicher, ob Ihre Einrichtung oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks
Sie möchten über neue Beiträge automatisch informiert werden? Dann jetzt anmelden!