Was müssen Arztpraxen datenschutzrechtlich in Zeiten von Corona beachten?
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, handelt es sich höchstwahrscheinlich um besonders schützenswerte Gesundheitsdaten.
Zum Umgang mit besonders schützenswerten Gesundheitsdaten
Werden im Zusammenhang mit der Corona-Pandemie personenbezogene Daten erhoben, handelt es sich höchstwahrscheinlich um besonders schützenswerte Gesundheitsdaten.
Eine Datenverarbeitung im Zusammenhang einer Pandemie kann insbesondere dann notwendig werden, wenn dies erforderlich ist, um die Ausbreitung des Virus bestmöglich zu verhindern. Hierbei können in Arztpraxen neben Patientendaten auch die Daten der dort Beschäftigten betroffen sein.
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 13.3.2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht1. Diese lassen sich aber auch auf den Umgang mit Patientendaten in Arztpraxen übertragen.
Die Datenschutzkonferenz hält insbesondere die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie für datenschutzrechtlich legitim:
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:
- in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
- in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.
- Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob diese
- selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
- sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben (bspw. Urlaubsrückkehrer).
- Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.
Für die genannten Maßnahmen existieren Rechtsgrundlagen in den einschlägigen Datenschutzgesetzen, sodass eine Einwilligung der betroffenen Personen nicht eingeholt werden muss. Insbesondere aus dem Arbeitsschutzgesetz ergibt sich die Pflicht des Arbeitgebers dafür zu sorgen, dass die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden.
Bei allen genannten Maßnahmen ist stets der Grundsatz der Verhältnismäßigkeit zu wahren. Die Daten müssen insbesondere vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens mit dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden, soweit keine weitere gesetzliche Verpflichtung zur Aufbewahrung besteht.
Neben den Pflichten des Arbeitgebers zum Schutz seiner Beschäftigten bestehen aber auch Pflichten der Praxismitarbeiter im Falle einer Infektion oder eines Infektionsverdachts. Nach Ansicht der Datenschutzkonferenz besteht eine Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus, sofern sich ein Mitarbeiter infiziert hat. Da dies dem Schutz hochrangiger Interessen Dritte dient, findet sich für die Offenlegung dieser Daten in der DSGVO ebenfalls eine Rechtsgrundlage, sodass es keiner Einwilligung bedarf. Aber auch im Falle eines bloßen Verdachts dürfte eine Pflicht des Mitarbeiters bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen, andere Beschäftigte oder Patienten bestehen.
Direkte Eingriffsbefugnisse stehen dem Arbeitgeber laut den FAQs zu Corona des Datenschutzbeauftragten Baden-Württemberg2 in der Regel nicht zu, sondern nur den staatlichen Gesundheitsbehörden. Arztpraxen sind daher aufgefordert, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen der Beschäftigten oder Patienten Gesundheitsdaten zu erheben. Eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann nur gegenüber den Gesundheitsbehörden bestehen.
Es stellt sich die Frage, wie Arztpraxen sich zu verhalten haben, wenn sie Kenntnis von einer Infektion erlangen. Es bestehen nach dem Infektionsschutzgesetz (IfSG) sowie der Verordnung zum Corona Virus des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV) umfassende Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, sofern sie Informationen über Erkrankte vorliegen haben.
Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:
- Name und Vorname,
- Geschlecht,
- Geburtsdatum,
- Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,
- weitere Kontaktdaten,
- Diagnose oder Verdachtsdiagnose,
- Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,
- wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.
Ärzte sind allerdings aus datenschutzrechtlicher Sicht nicht verpflichtet, die ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Die Befugnis zur Datenerhebung bei den oben genannten Maßnahmen ist in der DSGVO und den jeweiligen Landesdatenschutzgesetzen verankert.
Da grundsätzlich bei jeder Datenverarbeitung durch die Arztpraxis eine Informationspflicht nach Art. 13 und 14 DSGVO gegenüber den betroffenen Personen besteht, empfiehlt es sich im Fall eines Corona Verdachts in das Informationsblatt die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufzunehmen. Die Patienten, bzw. Mitarbeiter der Praxis, sollten also darüber informiert werden, dass ihre Daten ggf. an die Gesundheitsbehörden weitergegeben werden.
Referenzen: 1. https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html
2. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf
Autorin: Jennifer Schuld, Rechtsanwältin bei KINAST Rechtsanwälte, Externe Datenschutzbeauftragte