Читать книгу Datenschutz im Krankenhaus - Andrea Hauser - Страница 42

Um Gesundheitsdaten, genetische und biometrische Daten usw. auf der Grundlage einer Einwilligung im Krankenhausbereich datenschutzkonform verarbeiten zu dürfen, werden an die Erteilung einer Einwilligung unter Maßgabe der DS-GVO / des DSG-EKD / des KDG im Wesentlichen folgende Anforderungen gestellt:

1. Die Einwilligung muss sich explizit auf die Verarbeitung der sensitiven/sensiblen Daten beziehen.

Dies bedeutet, dass die verwendeten Daten konkret zu benennen sind (Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG).

2. Der Verwendungszweck ist / Die Verwendungszwecke sind konkret zu benennen.

Dies bedeutet, dass sich die Einwilligung auf konkrete (»bestimmte«) Verarbeitungszwecke beziehen muss (Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG; allgemeiner Zweckbindungsgrundsatz gemäß Art. 6 Abs. 1 Satz 1a DS-GVO / § 5 Abs. 1 Ziff. 2 DSG-EKD / § 7 Abs. 1 b) KDG, Erwägungsgrund 42).

3. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen (Erwägungsgrund 32).

4. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung abgegeben werden (Erwägungsgrund 32).

Dies kann etwa in Form von Ankreuzfeldern erfolgen, die der Patient aktiv ankreuzen muss, etwa in folgender Form:

Ich willige ein in …

Ich willige ein in …

5. Zu verschiedenen Verarbeitungsvorgängen sollten gesonderte Einwilligungen erteilt werden (Erwägungsgrund 43).

6. Die betroffene Person sollte mindestens wissen, wer der Verantwortliche ist, (Erwägungsgrund 42).

7. Die Einwilligung erfolgt ausdrücklich, Art. 9 Abs. 2 a) DS-GVO / § 13 Abs. 2 Ziff. 1 DSG-EKD / § 11 Abs. 2 a) KDG.

Damit ist nicht »schriftlich« gemeint. (Dies ergibt sich direkt aus der DS-GVO / dem DSG-EKD / dem KDG, die/das auch eine »Einwilligung … durch eine schriftliche Erklärung« kennt, Art. 7 Abs. 2 DS-GVO / § 11 Abs. 2 DSG-EKD / § 8 Abs. 2 KDG.)

Zulässig sind danach

– ausdrückliche mündliche sowie

– elektronisch fixierte Einwilligungen, sowie ferner

– eindeutig bestätigende Handlungen (»Kopfnicken«, »Daumen hoch«, »Hinhalten des Armes zwecks Anlegens eines Patientenarmbandes« usw.).

Während eine ausdrückliche Einwilligung grundsätzlich formlos erteilt werden kann, ordnen unterschiedliche Gesetze teilweise die Schriftform an. Hinsichtlich der einzelnen Regelungen, die die Schriftform verlangen, wird auf die Ausführungen unter III.8. verwiesen. Durch diese Form der Einwilligung wird die eindeutigste Rechtfertigungslage erreicht.

In diesen Fällen der angeordneten Schriftform sollte unbedingt von einer pauschalen Einholung im Behandlungsvertrag oder gar einem »Verstecken« in den Allgemeinen Vertragsbedingungen (AVB) des Krankenhauses abgesehen werden. Es empfiehlt sich die Verwendung eines separaten Formulars in Form einer gesonderten und auf den konkreten Zweck der Datenübermittlung bezogenen Einwilligungserklärung, die zwingend die Unterschrift des Patienten enthalten muss. Falls unbedingt eine Integration in den Behandlungsvertrag gewünscht sein sollte, sind eine optische Hervorhebung der Einwilligung³⁹ sowie eine gesonderte Unterschrift notwendig.

8. Gleichwohl empfiehlt sich in der Regel aus Gründen des Nachweises und der möglichen Beweisführung eine saubere Dokumentation der ausdrücklich eingeholten Einwilligung in der Patientenakte oder deren schriftliche Fixierung.

9. Einwilligung durch »konkludentes«/»schlüssiges«Handeln

Bereits die Formulierung »ausdrückliche« Einwilligung dürfte datenschutzrechtliche Einwilligungen in Form von konkludentem/schlüssigem Handeln dem Wortlaut nach ausschließen.

Für den Krankenhausbereich bedeutet dies jedoch nicht, dass der Patient nunmehr in jede Verarbeitung (Behandlung im Team, Zuziehung weiterer Experten usw.) ausdrücklich einwilligen muss. Vielmehr dürfte über die Neuregelungen kaum mehr Raum für »konkludente«/»schlüssige« Einwilligungen bleiben. Dies folgt daraus, dass gesetzliche Regelungen bzw. die DS-GVO existieren, die Verarbeitungen in und um den Krankenhausbereich in einem weitgehenden Sinne erlauben: Art. 9 Abs. 2 h) und Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, 9 DSG-EKD / § 11 Abs. 2 h), i) KDG regeln die grundsätzliche datenschutzrechtliche Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten hinsichtlich der Versorgung und Behandlung im Gesundheitswesen. Erfasst werden danach sämtliche Formen gesundheitsbezogener Handlungen und zwar in präventiver, diagnostischer, kurativer und nachsorgender Art.⁴⁰ Des Weiteren hat auch der deutsche Gesetzgeber (auf der Grundlage der in Art. 9 Abs. 4 DS-GVO enthaltenen Öffnungsklausel) in § 22 Abs. 1 Nr. 1 b) und c) BDSG entsprechende weitreichende Erlaubnistatbestände geschaffen. Hinsichtlich der Frage, in welchen Fällen im Krankenhausalltag Datenverarbeitungen ohnehin – unter Maßgabe o. g. Regelungen sowie Würdigung des Zwecks des Behandlungsvertrages – datenschutzrechtlich zulässig sind, wird auf die Ausführungen unter III.4 sowie III.8 verwiesen. Danach sind z. B. folgende Verarbeitungen ohnehin datenschutzrechtlich zulässig, ohne dass es hierfür einer – wie auch immer gearteten – Einwilligung bedürfte:

– Datenübermittlung an »Externe« im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z. B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG),

– Anwesenheit eines Medizinprodukteberaters im OP, sofern dieser quasi konsiliarisch aufgrund besonderer Expertise tätig wird (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, 9, Abs. 3 DSG-EKD / § 11 Abs. 2 h), i), Abs. 3, 4 KDG),

– Beschriftung des Krankenbettes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG),

– Anlegen eines Patientenarmbandes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h i. V. m. Art. 9 Abs. 3 DS-GVO / § 13 Abs. 2 Ziff. 8, Abs. 3 DSG-EKD / § 11 Abs. 2 h), Abs. 3, 4 KDG).

Maßgeblich ist diesbezüglich lediglich, dass der Patient die Umstände kennt.

Dies bedeutet etwa im Beispiel des Anlegens eines Patientenarmbandes, dass dem Patienten mitgeteilt wird, dass dies ausschließlich zu seiner eigenen Sicherheit erforderlich ist, etwa um einen gehfähigen Patienten, dessen Zustand sich auf einem Krankenhausgang verschlechtert, sofort der entsprechenden Abteilung zuordnen zu können o.ä.

10. Mutmaßliche Einwilligungen

Diese Form der Einwilligung ist insbesondere dann von Bedeutung, wenn die Einwilligung eines Patienten nicht eingeholt werden kann, z. B. weil er schwer verunfallt oder bewusstlos in ein Krankenhaus eingeliefert wird und nicht ansprechbar ist.

Hinsichtlich der Frage der Erteilung der Einwilligung in eine dringende medizinische Maßnahme/Behandlung stellt der Krankenhausträger hier auf den hypothetischen Willen eines verständigen Patienten ab und wird die Behandlung auf der Grundlage des Instituts der »Geschäftsführung ohne Auftrag« gemäß der §§ 677 ff. BGB durchführen. Damit einher gehen auch die dafür erforderlichen Datenverarbeitungen (Art. 9 Abs. 2c, Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO / § 13 Abs. 2 Ziff. 3, 8, Abs. 3 -DSG-EKD / § 11 Abs. 2 c), h), Abs. 3, 4 KDG i. V. m. §§ 677 ff. BGB (Geschäftsführung ohne Auftrag) auf der Grundlage des mutmaßlichen Willens).

Fraglich ist jedoch, welche darüber hinausgehenden Datenverarbeitungen davon abgedeckt sind. Als bekanntes Beispiel sei hier die aktive Benachrichtigung von nächsten Angehörigen der nicht ansprechbaren / bewusstlosen Patienten genannt (sofern keine gesetzliche Grundlage dazu im einem Landeskrankenhausgesetz o.ä. existiert) sowie die Beantwortung von Nachfragen Angehöriger, ob sich ein bestimmter Patient im Krankenhaus befindet.

Hinsichtlich der sich häufig stellenden Frage, wer alles als » nächster Angehöriger « eines Patienten zu qualifizieren ist, seien hier z. B. Folgende genannt: Ehegatten, Lebenspartner, Kinder, Eltern, Geschwister und Enkel.⁴¹

Auch diesbezüglich dürfte auf den mutmaßlichen Willen des Patienten abgestellt werden, der die Benachrichtigung der Angehörigen »wohl wollen würde«, da diese als rational und üblich zu betrachten ist. Sofern dem Krankenhausträger keine Anhaltspunkte dafür vorliegen, dass der Patient sich gegen die Weitergabe seiner vertraulichen Daten entschieden hätte, dürften die Angehörigen auf der Grundlage einer »Geschäftsführung ohne Auftrag« entsprechend informiert werden (Art. 9 Abs. 2c DS-GVO / § 13 Abs. 2 Ziff. 3 DSG-EKD / § 11 Abs. 2 c) KDG i. V. m. §§ 677 ff. BGB (Geschäftsführung ohne Auftrag) auf der Grundlage des mutmaßlichen Willens).

Einige Landesgesetzgeber haben dieses Anliegen bereits seit Jahren aufgegriffen. In diesen Bundesländern bedarf es keines Rückgriffs auf den mutmaßlichen Willen des Patienten, sondern eine Auskunft/Information ist ohnehin unter Maßgabe der jeweiligen Landesregelung legitimiert. Entsprechende Regelungen finden sich in folgenden Landeskrankenhausgesetzen (LKHG):

– Baden-Württemberg (§ 47 Abs. 3 LKHG Baden-Württemberg),

– Berlin (§ 24 Abs. 5 Ziff. 6 LKHG Berlin),

– Brandenburg (§ 29 S. 1 Ziff. 3 BbgKHEG),

– Bremen (§ 4 Abs. 1 Ziff. 4 BremKHDSG),

– Hamburg (§ 11 Abs. 1 Ziff. 6 HmbKHG),

– Hessen (§ 12 Abs. 2 Ziff. 4 HKHG),

– Mecklenburg-Vorpommern (§ 33 Abs. 3 LKHG M-V),

– Rheinland-Pfalz (§ 36 Abs. 3 Ziff. 8 LKG R-P),

– Saarland (§ 13 Abs. 4 Ziff. 7 SKHG) und

– Sachsen (§ 31 Abs. 2 SächsKHG).

11. Die Einwilligung muss freiwillig erteilt werden.

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob u. a. die Erfüllung eines Vertrags von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind (Art. 7 Abs. 4 DS-GVO / § 11 Abs. 4 DSG-EKD / § 8 Abs. 7 KDG). Es sollte nur dann davon ausgegangen werden, dass eine Person ihre Einwilligung freiwillig erteilt hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (Erwägungsgrund 42).

In diesem Zusammenhang ist zu beachten, dass im medizinischen Bereich einerseits Sachverhalte existieren, in denen dem Patienten durchaus ein Nachteil bei Nicht-Erteilung seiner Einwilligung entstehen kann, z. B. im Rahmen der Einwilligung zur Durchführung eines Entlassmanagements. Darauf sollte der Patient entsprechend hingewiesen werden, um seine Entscheidung vollinformiert treffen zu können.

Andererseits existieren Sachverhalte, in denen dem Patienten kein denkbarer Nachteil entstehen kann, sofern er seine Einwilligung nicht erteilt. Zu denken wäre beispielsweise an die Nicht-Erteilung der Einwilligung in die Einschaltung einer externen Abrechnungsstelle durch den Krankenhausträger zum Zwecke der Abrechnung wahlärztlicher Leistungen. In diesen Fällen empfiehlt sich eine ergänzende Formulierung auf den entsprechenden Einwilligungsformularen, dass dem Patienten, der seine Einwilligung nicht erteilen will, keine Nachteile erwachsen, etwa wie folgt:

»Ihre Einwilligung in … ist freiwillig. Sofern Sie keine Einwilligung erteilen, entstehen Ihnen hieraus keine Nachteile.«

In Umsetzung des Vorgenannten wird in dem Formular »Einwilligung in die Datenübermittlung an ein Unternehmen der privaten Krankenversicherung«, die unter VIII.4 abgedruckt ist, ein entsprechender Passus aufgenommen.

Aufgetretene Probleme

Hinsichtlich des Formulars »Einwilligung zur Datenübermittlung an eine externe Abrechnungsstelle« stößt die Einfügung dieser »Freiwilligkeits-Regelung« in der Praxis vereinzelt auf Bedenken. Die Krankenhäuser befürchten, im Falle der Nicht-Unterzeichnung durch den Patienten die Abrechnung der wahlärztlichen Leistungen vereinzelt selbst vornehmen zu müssen, wofür weder Kenntnisse noch entsprechend geschultes Personal vorhanden seien.

Daran schließt sich die Frage an, ob die Erbringung wahlärztlicher Leistungen unter den gegebenen Umständen sodann versagt werden könnte.

Frage der Freiwilligkeit? – Bestehen eines Kopplungsverbotes?

Auch wenn diese Frage eher rechtstheoretischer Natur sein dürfte, bedarf es der Klärung, ob diesbezüglich ein sog. Kopplungsverbot besteht, das den Krankenhausträger daran hindert, die Erbringung wahlärztlicher Leistungen bei Nicht-Einwilligung zu versagen.

Generell sind datenschutzrechtliche Kopplungsverbote dadurch gekennzeichnet, dass sie verbieten, eine Leistung von einer datenschutzrechtlichen Einwilligung abhängig zu machen.⁴² Das Kopplungsverbot erfasst gegenständlich nicht nur die notorischen Fälle im Hinblick auf Adresshandel oder Werbung, sondern potenziell alle über den Vertragszweck hinausgehende Einwilligungserklärungen, insbesondere auch solche, die im Hinblick auf Big-Data-Anwendungen eingeholt werden.⁴³

Art. 7 Abs. 4 DS-GVO normiert hinsichtlich der Frage der Freiwilligkeit einen Beurteilungsmaßstab, der im Wesentlichen den aus dem deutschen Datenschutzrecht bekannten Grundsatz des Kopplungsverbots fortschreibt. Dieser fand sich in der bis zum 24.05.2018 geltenden Fassung von § 28 Abs. 3b BDSG sowie in § 95 Abs. 5 TKG. Art. 7 Abs. 4 DS-GVO knüpft an die Definitionsnorm von Art. 4 Nr. 11 DS-GVO an, welche die Einwilligung als eine Erklärung definiert, die »freiwillig« abgegeben werden muss. Dieses Anforderungsprofil kann unter dem Blickwinkel

– der Kriterien des Ungleichgewichts,

– der Erforderlichkeit,

– der vertragscharakteristischen Leistung und

– der zumutbaren Alternative

ausdifferenziert werden.⁴⁴ Hierzu im Einzelnen wie folgt:

»Kriterium des Ungleichgewichts «

Bezüglich dieses Kriteriums wird es als zu weit erachtet, für bestimmte Beteiligtenkonstellationen (»klares Ungleichgewicht« / »Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung«) pauschal von einem klaren Ungleichgewicht und infolge dessen von einer Unwirksamkeit der Einwilligung auszugehen. Nicht vertretbar sei es etwa, im Verhältnis zwischen Verbraucher und Unternehmen »stets« ein Ungleichgewicht anzunehmen und mit dieser Argumentation dann die Relevanz der Einwilligung als Erlaubnistatbestand insgesamt in Zweifel ziehen zu wollen. Gegen eine solche pauschale Sichtweise spreche bereits, dass in der endgültigen Fassung der Verordnung selbst für das Paradebeispiel eines Über-/Unterordnungsverhältnisses, das Verhältnis zwischen Arbeitgeber und Arbeitnehmer, die Einwilligung als möglicher Erlaubnistatbestand angeführt werde. Erwägungsgrund 43 verweise zudem für die Frage der Freiwilligkeit einer Einwilligung ausdrücklich auf die konkreten Umstände des jeweiligen Einzelfalles. Es reiche also gerade nicht aus, allein auf die abstrakten Größen- oder Machtverhältnisse zwischen den Beteiligten abzustellen. Daher möge zwar auch im Verhältnis zwischen Verbraucher und Unternehmen ein klares Ungleichgewicht anzunehmen sein. Beurteilungsgrundlage hierfür seien aber dann stets die konkreten Umstände des Einzelfalls, etwa ob der Einzelne im konkreten Fall auf die Dienstleistungen oder Produkte eines bestimmten Unternehmens angewiesen sei oder ob letzteres insoweit eine Monopolstellung am Markt habe.⁴⁵

Zu berücksichtigen sei in diesem Zusammenhang überdies auch die konkrete Ausgestaltung der abverlangten Einwilligung. Ein Indiz für die Freiwilligkeit oder Unfreiwilligkeit einer Einwilligung sei nicht zuletzt auch deren Umfang. Je allgemeiner eine Einwilligungsklausel ausfalle, desto mehr spreche dafür, dass diese nicht mehr »freiwillig« erteilt worden sei, wenn sich die Beteiligten im konkreten Fall nicht auf Augenhöhe gegenüberstünden. Umgekehrt müsse in Anlehnung an die Rechtsprechung des Bundesverfassungsgerichts vom 23.10.2006 zu Schweigepflichtentbindungsklauseln⁴⁶ selbst in Konstellationen, in denen zwischen den Beteiligten zunächst einmal ein Ungleichgewicht anzunehmen sei, nicht unbedingt von einer Unwirksamkeit der Einwilligung ausgegangen werden. Maßgeblich sei vielmehr auch, ob und inwieweit sich dieses Ungleichgewicht an einer missbräuchlichen Instrumentalisierung der Einwilligung niederschlage, insbesondere dahingehend, dass diese zu pauschal ausfalle und eine Datenverarbeitung über das im konkreten (Vertrags-)Verhältnis erforderliche Maß hinaus erlauben solle.⁴⁷

»Kriterium der Erforderlichkeit«

Das Kriterium der Erforderlichkeit einer Datenverarbeitung sei gem. Art. 7 Abs. 4 DS-GVO für die Frage der Freiwilligkeit von ganz zentraler Bedeutung. Nach Art. 7 Abs. 4 DS-GVO sei bei der Beurteilung, ob eine Einwilligung freiwillig erteilt werde, insbesondere auch zu berücksichtigen, ob die Erfüllung eines Vertrags von der Einwilligung in eine Verarbeitung von personenbezogenen Daten abhängig gemacht werde, »die für die Erfüllung des Vertrags nicht erforderlich sei«. Untersagt sei damit also nicht generell, dass Anbieter ihre Leistung im Sinne eines »take it or leave it« davon abhängig machten, dass die betroffene Person auch in die Verarbeitung ihrer personenbezogenen Daten einwillige. Als unfreiwillig und damit unwirksam sei eine solchermaßen eingeholte Einwilligung vielmehr tendenziell nur dann einzuordnen, wenn sie eine Datenverarbeitung legitimieren solle, die über das hinausgehe, was für eine Vertragserfüllung erforderlich sei. Zwingend sei allerdings auch dies keinesfalls, da dieser Erforderlichkeitszusammenhang lediglich maßgeblich zu berücksichtigen sei, nicht aber – wie noch im Entwurf des Parlaments – zwingend zum Ausschluss der Freiwilligkeit führe. Zulässig sei es daher insbesondere, die Leistungserbringung von der Erteilung einer Einwilligung in die Datenverarbeitung abhängig zu machen, wenn erst diese Datenverarbeitung die notwendige Entscheidungs- und Kalkulationsgrundlage für das konkrete Rechtsgeschäft biete. Daher dürften etwa Versicherer das »Ob« und »Wie« einer Kranken- oder Lebensversicherung von der Preisgabe entsprechender Daten über das Risikoprofil eines Versicherungsinteressenten abhängig machen – ebenso wie Arbeitgeber dies hinsichtlich der Qualifikationen eines Bewerbers dürften oder vorleistungspflichtige Unternehmen hinsichtlich der Bonität ihrer Kunden.⁴⁸

»Kriterium einer zumutbaren Alternative«

Ferner sei zu berücksichtigen, dass die früher nach deutschem Datenschutzrecht geltenden Kopplungsverbote des § 28 Abs. 3b BDSG sowie § 95 Abs. 5 TKG eine Verknüpfung von Leistungserbringung und Einwilligung nur dann verböten, wenn den Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen nicht oder nicht in zumutbarer Weise möglich sei. Zwar finde sich eine solche Einschränkung in der DS-GVO nicht ausdrücklich normiert, jedoch könne und sollte auch dieser Aspekt in die – stets vorzunehmende – Gesamtbetrachtung der konkreten Umstände des Einzelfalls einfließen. Sinn und Zweck des Freiwilligkeitsgebots sei es, den Einzelnen davor zu schützen, dass er allein deshalb in eine Datenverarbeitung einwilligen müsse, weil er ansonsten ein bestimmtes Leistungsangebot nicht in Anspruch nehmen könne. Damit greife der Schutzzweck des Freiwilligkeitsgebotes aber gerade nicht, wenn der Einzelne auch auf andere gleichwertige Angebote am Markt zurückgreifen könne und sich unter diesen Angeboten auch solche fänden, die eine Einwilligung in die Datenverarbeitung nicht zur Bedingung einer Leistungserbringung machten. Als »gleichwertig« seien dabei all diejenigen Angebote einzuordnen, die zumindest in ihrem Kern dieselbe Leistung umfassten; eine absolute Identität der verschiedenen Angebote sei demgegenüber nicht erforderlich – weder was Qualität oder Ausstattung noch was Preis oder sonstige Zahlungsmodalitäten angehe.⁴⁹

Die frühere Regelung von § 28 Abs. 3b BDSG wurde als »begrenztes Kopplungsverbot für marktbeherrschende Unternehmen« durch das »Gesetz zur Regelung des Datenschutzaudits und zur Änderung datenschutzrechtlicher Vorschriften« 2009 eingeführt. Gemäß der Gesetzesbegründung⁵⁰ darf die verantwortliche Stelle sich die Einwilligung des Betroffenen in eine Verwendung seiner personenbezogenen Daten nicht auf dem Wege verschaffen, dass sie hiervon den Abschluss eines Vertrages abhängig macht. Dieses Kopplungsverbot von Vertragsabschluss und Einwilligung ist aufgrund seiner Einschränkung der Vertragsgestaltungfreiheit auf die Fälle begrenzt, in denen dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Gegenleistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.

Würdigung und Fazit

Unter Würdigung der vorgenannten Kriterien dürfte zunächst feststehen, dass ein Patient nicht auf die Erbringung wahlärztlicher Leistungen angewiesen ist, dass diesbezüglich kein Kontrahierungszwang besteht, sondern vielmehr das Prinzip der Vertragsfreiheit gilt und dass das einzelne Krankenhaus diesbezüglich auch keine Monopolstellung am Markt innehat. Davon eindeutig zu unterscheiden sind Fälle, in denen ein akut die Behandlung des Krankenhauses benötigender Patient zunächst einmal Einwilligungserklärungen vorgelegt bekommt.⁵¹

Hinzu kommt, dass sogar in Arbeitsverhältnissen mit einer strukturellen Unterlegenheit des Arbeitnehmers Konstellationen anzuerkennen sind, in denen die Freiwilligkeit einer Einwilligung nicht in Zweifel gezogen werden kann, wie im Falle der Gewährung eines Firmenrabattes oder bei Zugangskontrollen für einen Mitarbeiterparkplatz.⁵²

Ferner ist in diesem Zusammenhang zu bedenken, dass dem Patienten hinsichtlich der wahlärztlichen Leistungen sehr wohl ein anderer Zugang zu gleichwertigen vertraglichen Leistungen in zumutbarer Weise möglich ist. Auch hier gilt, dass der Krankenhausträger gegenüber dem Patienten sämtliche medizinisch notwendigen Leistungen in Form allgemeiner Krankenhausleistungen erbringt/anbietet. Damit greift ein Kopplungsverbot jedenfalls nicht, wenn der Verarbeitungsverantwortliche selbst gleichwertige Leistungen auch – gegebenenfalls im Alternativangebot dann kostenpflichtig – ohne Einwilligung zur Verfügung stellet.⁵³

Als Fazit ist damit im Krankenhausbereich hinsichtlich der Einschaltung einer externen Stelle zur Abrechnung wahlärztlichen Leistungen die Möglichkeit gegeben, dem Patienten in dem Falle der Verweigerung der Einwilligung das Angebot wahlärztlicher Leistungen zu versagen.

12. Eine vom Verantwortlichen vorformulierte Einwilligungserklärung sollte in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden und darf keine missbräuchlichen Klauseln beinhalten (Erwägungsgrund 42; Richtlinie 93/13/EWG des Rates vom 05.04.1993 über missbräuchliche Klauseln in Verbraucherverträgen).

13. Es muss die jederzeitige Möglichkeit eines Widerrufs bestehen.

Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen. Ferner muss der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein (Art. 7 Abs. 3 DS-GVO / § 11 Abs. 3 DSG-EKD / § 8 Abs. 6 KDG). Beispielhaft könnte folgende Formulierung verwendet werden:

»Sie haben jederzeit die Möglichkeit, Ihre Einwilligung ohne Angabe von Gründen zu widerrufen. Diese Widerrufserklärung ist an den Krankenhausträger zu richten. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem dieser dem Krankenhausträger zugeht. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.«

14. Der Verantwortliche sollte nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat (Art. 7 Abs. 1 DS-GVO / § 11 Abs. 1 DSG-EKD / § 8 Abs. 5 KDG; Erwägungsgrund 42; dies folgt auch aus der allgemeinen Rechenschaftspflicht, die Art. 5 Abs. 2 DS-GVO / § 5 Abs. 2 DSG-EKD / § 7 Abs. 2 KDG statuiert).

15. Für die Wirksamkeit der Einwilligung ist eine Erfüllung der Anforderungen an die » Informiertheit des Patienten« gem. Art. 12 ff. DS-GVO / §§ 16 ff. DSG-EKD / §§ 14 ff. KDG nicht notwendig (»Informationspflicht«) (Erwägungsgrund 32 und 42).

Soweit vertreten wird, die in den Artikeln 13 und 14 DS-GVO / §§ 17 und 18 DSG-EKD / §§ 15 und 16 KDG genannten Informationen stellten Mindestanforderungen dar, weshalb es im jeweiligen Einzelfall notwendig sei, den Betroffenen weitere für die wirksame Einwilligung notwendige Informationen zur Verfügung zu stellen, kann dem nicht gefolgt werden. Beispielhaft seien hier nachfolgende genannt:

– die Kontaktdaten des Datenschutzbeauftragten,

– die Rechtsgrundlage, auf welcher die Datenverarbeitung erfolgen darf,

– die Speicherdauer der personenbezogenen Daten

– usw.

Hinsichtlich der Information der Patienten gem. Art. 12 ff., insbesondere Art. 13 DS-GVO / §§ 16 ff., insbesondere § 17 DSG-EKD / § 14 ff., insbesondere § 15 KDG bewegt sich das Informationsbedürfnis auf einer anderen Ebene. Der Patient erhält ohnehin sämtliche der in den Art. 12 ff. DS-GVO / §§ 16 ff. DSG-EKD / §§ 14 ff. KDG genannten Informationen in Form von speziellen datenschutzrechtlichen Hinweisen von der Krankenhausverwaltung. Diesbezüglich wird auf die ausführlichen Hinweise unter VI.1 verwiesen. Dem Patienten diese Informationen »doppelt« zukommen zu lassen, erscheint aus keinem Grunde angezeigt.

27 Hinsichtlich der genauen Definitionen vgl. die Ausführungen unter III.2.4.

28 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

29 Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 67.

30 Ellenberger, in: Palandt, Einf. v. § 104, Rz. 2.

31 Vgl. hierzu Kamps, MedR 1985, 200 ff.

32 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 67, 68.

33 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 67, 68.

34 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 70.

35 Kampert, in: Sydow, Europäische DS-GVO, Handkommentar, Aufl. 2017, Art. 9, Rz. 1.

36 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

37 Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 13./14. September 2016).

38 BayLDA, EU-Datenschutz-Grundverordnung (DS-GVO), Das BayLDA auf dem Weg zur Umsetzung der Verordnung, IX. Einwilligung nach der DS-GVO, 26.10.2016.

39 Vgl. hierzu etwa § 4a Abs. 1 S. 4 BDSG a.F.

40 Schulz, in: Gola, DS-GVO, Kommentar 2017, Art. 9, Rz. 29.

41 BT-Drs. 17/10488, Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten, 15.08.2012, S. 27.

42 Ingold, in: Sydow, Art. 7 Rz. 30.

43 Ingold, in: Sydow, Art. 7 Rz. 32.

44 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 41.

45 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7, Rz. 42–45.

46 Beschluss vom 23.10.2006, Az.: 1 BvR 2027/02.

47 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7, Rz. 42–45.

48 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 46, 47.

49 Vgl. zu Vorstehendem: Buchner/Kühling, in: Kühling/Buchner, Art. 7 Rz. 52, 53.

50 BT-Drs. 16/12011 vom 18.02.2009, S. 33, Zu Nummer 5 (§ 28).

51 Schulz, in: Gola, DS-GVO, Kommentar, 2017, Art. 7 Rz. 21.

52 Ingold, in: Sydow, EU-DS-GVO Kommentar, 2017, Art. 7 Rz. 28.

53 Ingold, in: Sydow, Art. 7 Rz. 33.