Manchmal kommt es vor, dass eine Arztpraxis, eine Apotheke oder eine andere Gesundheitseinrichtung in die Ermittlung von Straftaten durch Patienten verwickelt wird. Grund hierfür könnte ein Patient sein, der eine Straftat innerhalb der Einrichtung ausübt (z.B. Diebstahl) oder nachdem er erkennbar die Einrichtung verlassen hat und außerhalb der Einrichtung etwa mit Videokameras beobachtet wird, wie er eine Straftat begeht (z.B. Fahrerflucht). Ersuchen Ermittlungsbehörden daraufhin Auskunft über die Identität des Täters, muss und darf der Verantwortliche nicht in jedem Fall der behördlichen Anfrage Folge leisten. Andernfalls könnten empfindliche Geldbußen drohen.
In diesem Beitrag werden wir Ihnen die datenschutzrechtlich zu berücksichtigenden Aspekte bei ermittlungsbehördlichen Auskunftsersuchen erläutern. Dies wird in Abgrenzung zum Strafrecht erfolgen, das sich dieses mit dem Datenschutzrecht überschneiden könnte und separat berücksichtigt werden sollte. Es werden sich im Folgenden daher unvermeidbar Berührungspunkte mit dem Strafrecht ergeben.
Anwendungsbereich des Datenschutzes
Erfolgt beispielsweise ein Diebstahl in einer Arztpraxis (Verantwortlicher) und die Polizei stellt daraufhin aufgrund einer Strafanzeige eine Anfrage zur Herausgabe der Identität des Täters, sollte zuallererst gewährleistet werden, dass sich die ermittelnden Beamten als solche identifizieren lassen, um eine versehentliche Weitergabe an Dritte auszuschließen. Im nächsten Schritt kann dann festgestellt werden, dass eine Datenweitergabe der Arztpraxis als nicht-öffentliche Gesundheitseinrichtung zugleich
- a) eine Verarbeitung personenbezogener Daten darstellen würde (Art. 4 Zif. 1 & 2 DS-GVO i.V.m. § 24 Abs. 1 BDSG) und
- b) in den Anwendungsbereich der Datenschutz-Grundverordnung (Art. 2 Abs. 1 & Art. 3 Abs. 1 DS-GVO) und des Bundesdatenschutzgesetztes (§ 1 Abs. 1 & § 2 Abs. 4 BDSG) fällt.
Rechtmäßigkeit einer Datenweitergabe
Die DS-GVO kennt sechs legitimierende Rechtsgrundlagen, wovon bei einer vorliegenden Straftat in einer Arztpraxis, insbesondere zwei in Betracht kommen würden:
- eine Weitergabe ist erforderlich, um rechtliche Pflichten zu erfüllen (Art. 6 Abs. 1 lit. c DS-GVO) oder
- um das berechtigte Interesse des Verantwortlichen oder eines Dritten im Rahmen einer Interessenabwägung zu wahren (Art. 6 Abs. 1 lit. f DS-GVO).
Es sollte dabei herausgestellt werden, dass eine Interessenabwägung immer einzelfallabhängig ist und daher keine pauschalen Aussagen getroffen werden können. Daher ist es unbedingt ratsam, dass Sie Ihren Datenschutzbeauftragten in diesen Prüfungsprozess immer mit einbeziehen.
Auskunftsersuchen durch Gericht oder Staatsanwaltschaft
Das Vorliegen eines richterlichen Beschlusses oder eines staatsanwaltschaftlichen Auskunftsersuchens, die den Verantwortlichen (unter Angabe einer strafrechtlichen Rechtsgrundlage) zur Aussage verpflichtet, würde genügen, um als rechtliche Verpflichtung gewertet werden zu können. Eine Herausgabe der angefragten Daten wäre dann in Übereinstimmung mit dem Datenschutz zulässig.
Auskunftsersuchen durch Polizei
Bei Vorliegen eines polizeilichen Auskunftsersuchens, sprich im eigenen hoheitlichen Auftrag und nicht im Auftrag von Gericht oder Staatsanwaltschaft, kommt es hingegen darauf an, ob die ermittelnden Beamten eine Gefahr im Verzug plausibel und nachweislich darlegen können, um eine Auskunft zu verlangen. In der Regel wird dies jedoch nicht der Fall sein, sodass eine Auskunft gegenüber der Polizei freiwillig wäre und ein Grundrisiko bestünde, bei der Weitergabe die Rechte und Freiheiten von Betroffenen zu verletzen. Daher sollte das Vorliegen eines berechtigten Interesses geprüft werden, welches darin bestehen könnte, durch die Datenweitergabe an die Ermittlungsbehörde Straftaten oder Bedrohungen abzuwenden, um die öffentliche Sicherheit zu wahren.
Lässt sich eine legitimierende Rechtsgrundlage also begründen, würde eine Herausgabe der angefragten Daten dann in Übereinstimmung mit dem Datenschutz zulässig werden. Allerdings könnte dem Arzt seine Verschwiegenheit sowie sein Zeugnisverweigerungsrecht als Berufsgeheimnisträger der Herausgabe immer noch im Wege stehen, womit wir aber den Bereich des Datenschutzrechts verlassen würden.
Lässt sich hingegen keine legitimierende Rechtsgrundlage begründen, sollte das Auskunftsersuchen verweigert werden, um keine Sachverhalte zu schaffen, aus denen im Nachhinein datenschutzrechtlich abgeleitete Bußgelder verhängt werden könnten.
Zweckbindung einer Datenweitergabe
Neben dem Grundsatz der Rechtmäßigkeit sollte eine Verarbeitung zudem stets dem Grundsatz der Zweckbindung folgen. Mit der Datenweitergabe an eine Ermittlungsbehörde würde der Zweck, zu dem die Daten erhoben wurden, diesem Grundsatz widersprechen. Jedoch erlaubt das BDSG nicht-öffentlichen Stellen eine Weitergabe unter anderem zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten, sofern nicht die Interessen eines Betroffenen gegen eine Weitergabe bzw. Verarbeitung überwiegen (§ 24 Abs. 1 BDSG). Selbstredend kann dabei das Interesse des Täters an ein unbestraftes Davonkommen nicht als schutzwürdiges Interesse gewertet werden, weshalb eine Herausgabe der Identität des Täters legitim wäre.
Abgrenzung: personenbezogene Daten und Gesundheitsdaten
Da es sich grundlegend um eine Datenweitergabe durch eine Gesundheitseinrichtung handeln würde, stellt sich zudem die Frage, ob die Identität des Täters bereits als Gesundheitsdatum zu interpretieren ist bzw. ob mit einer Herausgabe der Identität zugleich auch eine besondere Kategorie personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) offenbart werden würde, für die aufgrund ihrer höheren Schutzwürdigkeit strengere Anforderungen für eine Weitergabe erfüllt werden müssen.
Die DS-GVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen […]“ (Art. 4. Zif. 1 DS-GVO). Gesundheitsdaten definiert die DS-GVO als „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“ (Art. 4 Zif. 15 DS-GVO). Berücksichtigt man beide Definitionen, stellt eine Herausgabe des Täternamens als identifizierendes Merkmal in jedem Fall ein personenbezogenes Datum dar, zugleich dürfte dies allerdings kein Gesundheitsdatum darstellen. Schließlich bezieht sich der bloße Name nicht auf die körperliche oder geistige Gesundheit oder auf eine Erbringung von Gesundheitsleistungen und es gehen aus dem Namen auch keine Informationen aus dem Gesundheitszustand hervor.
Auskunftsersuchen bei Gesundheitsdaten
Sollten Auskunftsersuchen von Ermittlungsbehörden die Herausgabe von tatsächlichen Gesundheitsdaten umfassen, müssten dafür weitere Bedingungen erfüllt werden, da sie im Datenschutzrecht, wie oben festgestellt, einem besonderen Schutz unterliegen. Art. 9 DS-GVO i.V.m. § 22 BDSG regelt die Verarbeitung besonderer Kategorien personenbezogener Daten, unter anderem von Gesundheitsdaten, und bestimmt Ausnahmezwecke für ihre Verarbeitung. Als Ausnahmen für eine Datenweitergabe an Ermittlungsbehörden kämen Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit infrage (Art. 9 Abs. 2 lit. f DS-GVO) sowie die Begründung eines erheblichen öffentlichen Interesses (Art. 9 Abs. 2 lit. g DS-GVO). Ein erhebliches öffentliches Interesse könnte dabei erst durch die Staatsanwaltschaft begründet werden, jedoch nicht durch die Polizei in ihrem eigenen hoheitlichen Auftrag. Insbesondere bei Gesundheitsdaten sollte nicht vergessen werden, dass Ärzte als Berufsgeheimnisträger der Verschwiegenheit unterliegen und ein Zeugnisverweigerungsrecht besitzen, was parallel zum Datenschutzrecht für Fälle dieser Art in strafrechtlicher Hinsicht berücksichtigt werden müsste.
Fazit
Dieser Beitrag hat gezeigt, dass Straftaten im Gesundheitswesen sich als komplexe Sachverhalte erweisen können und Auskunftsersuchen durch Ermittlungsbehörden nicht sprunghaft befolgt werden müssen und dürfen. Datenschutzrechtlich steht dabei der Schutz personenbezogener Daten von Betroffenen im Vordergrund, der durch den Verantwortlichen stets sicherzustellen ist, was jedoch nicht heißt, dass dadurch ein Täterschutz begründet werden kann. Um auf Auskunftsersuchen vorbereitet zu sein, sollte jede Gesundheitseinrichtung daher einen Ablaufplan einrichten, der die Prüfung eines solchen Ersuchens vorsieht und der die Sensibilisierung der Mitarbeiter einschließt, um ein angemessenes Vorgehen im Ernstfall zu gewährleisten.