Behandlungsvertrag verpflichtet zu Datenschutz

Die ärztliche Behandlung unterliegt den Bestimmungen über den Behandlungsvertrag (§§ 630a ff. BGB). Dies gilt sowohl in den Fällen einer Behandlung im Krankenhaus, als auch beim Besuch einer Arztpraxis. Was die ärztliche Seite betrifft, so treffen den Behandler bekanntermaßen vertragliche Pflichten wie etwa die Patientenaufklärung und das Einholen der Einwilligung des Patienten in die medizinische Maßnahme (§ 630d BGB). Doch erschöpft sich das Arzt-Patienten-Verhältnis nicht in der Durchführung er medizinischen Maßnahme. Der Patient hinterlässt auch immer eine Reihe persönlicher Daten, die z.B. in die Patientenakte Eingang finden müssen, wie etwa Untersuchungsergebnisse, Befunde, Einwilligungen und Aufklärungen (§ 630f BGB).

Werden vertragliche Pflichten verletzt, ganz gleich von welcher Vertragspartei, stehen schnell Schadensersatzansprüche im Raum. Kommt es nun zu unberechtigten Zugriffen auf personenbezogene Daten, stellt sich folglich die Frage, ob eine Verletzung des Behandlungsvertrages vorliegt, auf die ein Schadensersatzanspruch gestützt werden kann – eine Thematik, mit der sich das Landgericht Flensburg vor wenigen Monaten befassen musste (Urteil vom 19.11.2021, Az. 3 O 227/19).

Der Fall

Vor dem LG Flensburg geklagt hatte der Chefarzt der Abteilung für Innere Medizin eines Krankenhauses, der wegen eines Herzinfarktes im Jahr 2015 in der kardiologischen Abteilung der Klinik der Beklagten behandelt worden war. Während des Behandlungsverhältnisses griffen Mitarbeiter der Klinik etwa 150 mal auf die Patientendaten des Klägers zu. 4 dieser Zugriffe waren Gegenstand der gerichtlichen Auseinandersetzung zwischen Kläger und Beklagter vor dem LG Flensburg. Sie erfolgten durch eine Assistenzärztin, 2 Chefärzte und einen Pfleger. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) war nach Überprüfung des Sachverhalts zu dem Ergebnis gelangt, dass die 4 Zugriffe zum Zwecke der Behandlung des Klägers nicht erforderlich und aus datenschutzrechtlicher Sicht nicht zulässig waren. Festgestellt wurde ein Verstoß gegen Art. 5, 25, 32 Datenschutz-Grundverordnung (DSGVO) bzw. § 22 Bundesdatenschutzgesetz (BDSG). Des Weiteren war es an mehreren Computern der Klinik möglich, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort nach bloßer Eingabe des Namens des Klägers dessen Koronarfilm sowie die durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung nachvollzogen werden konnten. Der Kläger begehrte mit einer im Jahr 2019 eingereichten Klage Schadensersatz in Höhe von knapp 3000 € und Schmerzensgeld in Höhe von mindestens 20.000 € wegen unberechtigter Zugriffe auf seine Patientendaten. Die Beklagte trat dem entgegen und berief sich zusätzlich auf den Eintritt der Verjährung.

Die Entscheidung

Das LG Flensburg wies die Klage als unbegründet zurück. Zunächst wies das Gericht darauf hin, dass die DSGVO zum Zeitpunkt der vom Kläger gerügten Zugriffe auf die Patientendaten noch nicht in Kraft getreten war, so dass die Vorschriften auf den vorliegenden Sachverhalt nicht anwendbar seien. Als Anspruchsgrundlage komme allerdings der Behandlungsvertrag in Betracht. Dieser Vertrag begründe u.a. die selbstständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personen­bezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden. Dies gelte für den Behandelnden selbst und ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Dabei läge es nahe, diese Nebenpflicht bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie es der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) getan habe. Danach dürfen Patientendaten u.a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich ist, soweit der Patient nichts anderes bestimmt hat.

Welchen konkreten Inhalt und welchen Umfang diese Nebenpflicht hat und ob die Beklagte diese Nebenpflicht durch das Unterlassen organisatorischer Vorkehrungen gegen die 4 gerügten Zugriffe auf die Patientendaten des Klägers selbst verletzt hat oder sie die Zugriffe durch ihr Personal zu vertreten hatte, musste das Landgericht Flensburg nicht entscheiden, da ein hieraus folgender Schadensersatzanspruch des Klägers bereits verjährt war.

Fazit

Das Urteil zeigt einmal mehr, dass beim Datenschutz mit höchster Sorgfalt gearbeitet werden muss. Dies gilt erst recht seit Geltung der DSGVO und mit Blick auf die fortschreitende Digitalisierung, wie z.B. in Form der elektronischen Patientenakte. Kommt es hier zu Verstößen, kommt auch immer eine Vertragsverletzung in Betracht, auf die Schadensersatzansprüche gestützt werden können.