Das Oberlandesgericht (OLG) Karlsruhe hat am 28.6.2017 durch Beschluss (Az. 1 Rb 8 Ss 540/16) entschieden, dass die Einwilligung zur Weitergabe von Patientendaten durch einen Arzt gemäß § 4a Abs. 1 S. 3, Abs. 3 BDSG zu ihrer Wirksamkeit zwingend der Schriftform bedarf.
Hintergrund des Urteils
Zu beschäftigen hatte sich das OLG Karlsruhe mit der Weitergabe von personenbezogenen Daten eines Patienten durch seinen Arzt. Auf Veranlassung des Arbeitgebers des Patienten führte der Arzt ein Drogenscreening durch und leitete das Ergebnis der Untersuchung an den Arbeitgeber weiter, ohne dass zuvor schriftlich in die Weitergabe der Daten eingewilligt worden war. Das OLG Karlsruhe sah darin einen vorsätzlichen Verstoß gegen das Bundesdatenschutzgesetz in zwei Fällen und damit ein ordnungswidriges Handeln gemäß § 43 Abs. 2 Nr. 1 BDSG und verurteilte den Arzt zu einer Geldbuße in Höhe von insgesamt 1000 Euro.
Wann ist ein ordnungswidriges Handeln nach § 43 Abs. 2 Nr. 1 BDSG gegeben?
Gemäß § 43 Abs. 2 Nr. 1 BDSG (Art. 83 Abs. 5 DS-GVO) handelt ordnungswidrig, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet.
Was ist ein personenbezogenes Datum?
§ 3 Abs. 1 BDSG (Art. 4 Nr. 1 DS-GVO) definiert das personenbezogene Datum als jede Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Von den allgemeinen personenbezogenen Daten sind die besonderen Arten personenbezogenen Daten zu unterscheiden (auch oft „sensible Daten“ genannt). Solche besonderen Arten personenbezogenen Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben (§ 3 Abs. 9 BDSG). Art. 9 Abs. 1 DS-GVO wird diesen Katalog noch um biometrische Daten zur eindeutigen Identifizierung erweitern.
Wann ergibt sich die datenschutzrechtliche Relevanz?
Datenschutzrechtlich relevant wird der Umgang mit personenbezogenen Daten dann, wenn sie erhoben (§ 3 Abs. 3 BDSG), verarbeitet (§ 3 Abs. 4 BDSG) oder genutzt (§ 3 Abs. 5 BDSG) werden (Aufgabe der „Dreiteilung“ in Art. 4 Nr. 2 DS-GVO, der nur noch von Verarbeiten spricht und dann Beispiele benennt).
Erhebung von Daten meint dabei das Beschaffen der Daten vom Betroffenen. Verarbeitet werden die Daten, wenn sie gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Eine Nutzung liegt in jeder Verwendung, die keine Verarbeitung ist. Verantwortliche Stelle ist dabei derjenige, der die Daten selbst erhebt, verarbeitet oder nutzt oder dies durch einen anderen im Auftrag tun lässt (§ 3 Abs. 7 BDSG – Art. 4 Nr. 7 DS-GVO).
Das OLG Karlsruhe stellte fest, dass der betroffene Arzt durch die Auswertung des Drogenscreenings, die Erfassung der Daten und die anschließende Weitergabe der Daten an den Arbeitgeber seines Patienten besondere personenbezogene Daten in Form von Gesundheitsdaten erhoben und verarbeitet hat.
Das Datenschutzrecht als Verbot mit Erlaubnisvorbehalt
Das Datenschutzrecht ist als ein sog. Verbot mit Erlaubnisvorbehalt ausgestaltet. Vereinfacht gesprochen: Jedes Erheben, Verarbeiten oder Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Im Einzelfall kann die jeweilige Handlung jedoch erlaubt sein, wenn das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift die Erlaubnis statuiert oder eine datenschutzrechtlich relevante Zustimmung des Betroffenen vorliegt (siehe § 4 Abs. 1 BDSG).
Einwilligungsmöglichkeit des § 4a Abs. 1 BDSG
Das OLG Karlsruhe hatte sich insbesondere mit der möglichen Einwilligung des Betroffenen gemäß § 4a Abs. 1 und 3 BDSG (Art. 6 Abs. 1 lit. a, Art. 7 DS-GVO) zu beschäftigen. Eine Einwilligung ist wirksam, wenn sie zum einen freiwillig erfolgt und der Betroffene zum anderen auf den Zweck der Erhebung, Verarbeitung und Nutzung seiner Daten und auf die Folgen der Verweigerung der Einwilligung hingewiesen wurde.
Insbesondere ist zu beachten, dass eine solche Einwilligung zu ihrer Wirksamkeit, wie § 4a Abs. 1 S. 3 BDSG hervorhebt, der Schriftform bedarf. Die Schriftform erfüllt den besonderen Zweck einer Schutz- und Warnfunktion für den jeweils Betroffenen. Der Betroffene soll nicht in die Bedrängnis kommen, übereilt zustimmen zu müssen, sondern eine bewusste Entscheidung über das Vorgehen mit seinen personenbezogenen Daten treffen können.
Ausnahmecharakter des § 4a Abs. 1 S. 3 BDSG
Das OLG Karlsruhe hob deutlich hervor, dass der Vorschrift des § 4a Abs. 1 S. 3 BDSG ein Ausnahmecharakter zukommt. Die Vorschrift bedarf daher der restriktiven Auslegung und nur besondere Umstände können im Einzelfall zur Umgehung des besonderen Formerfordernisses führen. Solche besonderen Umstände sind nur dann anzunehmen, wenn die Schriftform im Einzelfall nicht praktikabel wäre und insbesondere dann, wenn sie zu einem Wechsel des Kommunikationsmediums führen würde (besonders relevant daher bei Einwilligung im Internet und am Telefon, vgl. dazu auch § 13 Abs. 2 TMG).
Das OLG Karlsruhe stellte fest, dass keine Einwilligung des Patienten, die diesen Anforderungen gerecht werden konnte, vorlag und somit das Erheben und Verarbeiten seiner personenbezogenen Daten unbefugt und der Tatbestand des § 43 Abs. 2 Nr. 1 BDSG erfüllt war.
Welche Änderungen bringt die DS-GVO mit sich?
Die am 24.5.2016 in Kraft getretene und ab dem 25.5.2018 wirksame Datenschutzgrundverordnung (DS-GVO) sieht in Art. 6 Abs. 1 lit. a DS-GVO ebenfalls die Möglichkeit vor, das grundsätzliche Verbot der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch die Einwilligung des Betroffenen abzuwenden. Die Anforderungen, die an eine zulässige Einwilligung geknüpft sind, finden sich in Art. 7 DS-GVO. Dabei ist erkennbar, dass sich im Vergleich zu § 4a Abs. 1 BDSG wichtige Änderungen in der DS-GVO feststellen lassen: Art. 7 DS-GVO schreibt im Gegensatz zu § 4a Abs. 1 S. 3 BDSG kein besonderes Formerfordernis für die Einwilligung vor. Bedurfte die Einwilligung bislang zwingend der Schriftform, so kann sie nun in jeder beliebigen Form erteilt werden.
Lediglich Art. 7 Abs. 2 DS-GVO stellt besondere Anforderungen auf, sollte die Einwilligung „schriftlich“ erteilt werden. Mit „schriftlich“ i.S.d. Vorschrift ist allerdings weder die deutsche Schrift- noch Textform gemeint und bedeutet, dass die Erklärung schriftlich oder elektronisch erfolgen kann. In diesem Fall muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen, sodass es von anderen Sachverhalten klar unterschieden werden kann.
Achtung: Neben der datenschutzrechtlichen Einwilligung ist ggf. auch noch die Berechtigung erforderlich, eine berufsrechtliche Verschwiegenheitspflicht durchbrechen zu dürfen. Das gilt insbesondere für Ärzte, Rechtsanwälte, Steuerberater und Wirtschaftsprüfer nach deren Berufsordnungen. Aus einer solchen Einwilligung muss deshalb deutlich werden, dass nicht nur die Verarbeitung der personenbezogenen Daten zulässig ist, sondern auch das Durchbrechen der berufsrechtlichen Verschwiegenheitspflicht.
Was ist zu empfehlen?
Art. 7 Abs. 1 DS-GVO weist die Beweislast für das Vorliegen einer wirksamen Einwilligung dem Verantwortlichen zu. Dies bedeutet, dass derjenige, der Daten erhebt, verarbeitet oder nutzt, auch die Einwilligung des Betroffenen hierzu nachweisen können muss. Kann er das nicht, handelt der Verantwortliche datenschutzrechtswidrig. Das gilt auch schon nach § 4a BDSG.
Um das Vorliegen der Einwilligung nachweisen zu können, ist zu empfehlen, entweder die Einwilligung weiterhin schriftlich oder in einer anderen gut zu dokumentierenden Form einzuholen. Obwohl die DS-GVO keine Vorschriften zu einer angemessenen Protokollierung trifft, ist aufgrund der Beweislastverteilung auf den Verantwortlichen eine rechtssichere Protokollierung unerlässlich (z.B. technischer Nachweis der im Einzelfall eingeholten Einwilligung, zusätzlich Beschreibung des dahinter liegenden Prozesses und der zur Abwehr von Manipulation und Missbrauch getroffenen Schutzmaßnahmen i.S.d. Art. 32 DSGVO).
Haben Sie Fragen? Möchten auch Sie die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten in Einklang mit der DS-GVO bringen? Gerne unterstützen wir Sie! Hier finden Sie unsere Ansprechpartner.