Schlagwort: Gesundheitsdaten

Schmerzensgeld aufgrund Weitergabe von Gesundheitsdaten

22. Juni 2021

Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.

Sachverhalt

Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.

Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.

Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.

Entscheidung

Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.

Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.

Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.

Datenschutz-Negativpreis für Doctolib

21. Juni 2021

Der Negativpreis “Big Brother Award” in der Kategorie Gesundheit geht 2021 an das Berliner Unternehmen Doctolib. Laut Jury missachtet der Vermittler von Arztterminen auf seiner Internetplattform die Vertraulichkeitspflicht. Zudem soll er die Daten der Nutzer und jene aus Arztpraxen für kommerzielle Marketingzwecke verarbeiten.

Weiteres Datenschutz-Debakel

Der Terminvergabe-Dienstleister Doctolib hat zudem die Suchanfragen von Patienten per URL-Weitergabe mit Facebook und Outbrain geteilt. Über Doctolib können auch Termine bei Ärzten verschiedener Fachrichtungen gebucht werden. Dabei ist es auch möglich, direkt nach dem gewünschten Arzt zu suchen. Wer nicht sicher ist, welcher Arzt am ehesten angesprochen werden soll, kann beliebige Suchbegriffe nutzen. Auf diese Weise kann die Zielgruppe eingegrenzt werden. Für Patienten war jedoch nicht ersichtlich, dass Doctolib die Daten aus der Anfrage in einem Cookie speichert und per Get-URL an seine Marketingpartner Facebook und Outbrain versendet.

Doctolib hat allerdings mittlerweile die Datenübertragung und die schlecht erklärte Einwilligung eingeräumt und am vergangenen Wochenende nachweislich abgeschaltet, berichtet Mobilsicher.de, die sich Doctolib näher angesehen hatten. Zudem habe Doctolib nach eigenen Angaben bei Facebook und bei Outbrain veranlasst, dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden.

Verwaltungsgericht Hamburg – Testpflicht für Schüler im Klassenraum verletzt den Datenschutz

14. Mai 2021

Nach einer Entscheidung des Hamburger Verwaltungsgerichts muss sich ein Grundschüler nicht an seiner Schule auf Corona testen lassen, um am Präsenzunterricht teilnehmen zu dürfen. Laut Beschluss vom 29. April (Az.: 2 E 1710/21) reiche ein negatives Ergebnis aus einem anerkannten Schnelltestzentrum, welches maximal 24 Stunden alt sei.

Die Schulbehörde hat gegen die Eilentscheidung Beschwerde beim Oberverwaltungsgericht eingelegt, wie ein Gerichtssprecher am Mittwoch mitteilte. Der Schüler hatte sich zu Hause testen lassen und der Schule nur das Ergebnis mitteilen wollen. Einen solchen Selbsttest akzeptiere das Verwaltungsgericht nicht. Eine Bescheinigung von einem Testzentrum sei schon erforderlich.

Seit dem 6. April müssen sich Schüler in Hamburg zweimal pro Woche unter Aufsicht an der Schule testen, wenn sie am Präsenzunterricht teilnehmen wollen. Als einzige Alternative ist ein PCR-Test erlaubt, der nicht älter als 48 Stunden sein darf.

Laut Verwaltungsgericht verletzt die Testpflicht an der Schule den Datenschutz, zumindest wenn ein Test positiv ausfällt und das Ergebnis an das Gesundheitsamt weitergeleitet werden muss. „Die derzeitige Ausgestaltung der testabhängigen Zugangsbeschränkung verstößt nach summarischer Prüfung gegen die Vorschriften der Datenschutzgrundverordnung”, so laut Beschluss. Die Datenerhebung setze Freiwilligkeit voraus. Die Alternative Homeschooling bedeute allerdings einen Nachteil für den Schüler, er könne sich darum nicht freiwillig entscheiden. Damit stützt das Gericht die Linie des Thüringer Datenschutzbeauftragten Lutz Hasse. Er sieht durch die Testpflicht im Klassenraum die Rechte der betroffenen Schüler massiv beeinträchtigt und verlangt von Schulen zumindest eine Einverständniserklärung der Eltern für dieses Procedere einzuholen.

Weshalb Fotos vom Impfausweis besser nicht gepostet werden

5. Mai 2021

Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.

Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.

Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.

Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.

Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen

28. April 2021

Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.

Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.

1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten

Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.

2. Vertraulichkeit der Testergebnisse

Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.

3. Dokumentation der Testergebnisse

Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.

Gesundheitskarte kann nicht durch Papieralternative ersetzt werden

25. Januar 2021

Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.

Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.

Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.

Leichter Zugriff auf Millionen von Patientendaten

18. Februar 2020

Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.

Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.

Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.

Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.

Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.

Datenschutzrechtliche Verantwortung von Apotheken bei Kassenbons

17. Januar 2020

Seit dem 1. Januar gilt die Bonpflicht in Deutschland, das heißt auch für Apotheken, dass sie für ihre Kunden nach dem Erwerb von Medikamenten zwingend ein Kassenbon erstellen und mitgeben müssen.

Problematisch bei Apotheken im Gegensatz zu Bäckereien und Supermärkten ist, dass ihre Kassenbons personenbezogene Daten, wie den Namen, das Geburtsdatum, die Anschrift sowie das erworbene Produkt, enthalten. Es handelt sich hier um sensible Gesundheitsdaten, die einen besonderen Schutz genießen. Damit könnte es zu einem Problem werden, wenn die Kunden ihre Kassenbons vergessen oder verlieren. Die Frage ist, wie weit die datenschutzrechtliche Verantwortung von Apotheken in dieser Hinsicht geht.

Die Bundesvereinigung Deutscher Apothekerverbände e. V. wies darauf hin, dass in der Apotheke bewusst verbliebene personalisierte Bons von der Apotheke datenschutzkonform zu vernichten, also möglichst zu schreddern, sind.

Die Apothekenkammer Berlin erklärt zudem: “Verliert der Kunde einen personalisierten Kassenbon in der Apotheke oder lässt er den Bon bewusst oder versehentlich in der Apotheke liegen, verbleiben diese sensiblen Daten im Hoheitsbereich der Apotheke als datenschutzrechtlich verantwortliche Stelle. Liegt in der Offizin ein solcher personalisierter Bon und wird dies moniert – beispielsweise durch eine Beschwerde bei der zuständigen Berliner Landesdatenschutzbeauftragten –, trifft den Apothekeninhaber oder die Apothekeninhaberin die Beweislast, dass ihn oder sie daran kein Verschulden trifft.“

Die datenschutzrechtliche Verantwortung der Apotheke endet laut Kammer-Info, wenn der Kunde die Apotheke mit dem Bon verlassen hat. Dann sei es Angelegenheit des Kunden, wie er mit dem Bon umgeht: ob er ihn verwahrt, vernichtet oder ob er ihn einfach wegwirft.

Empfehlenswert ist es, überhaupt keine personenbezogene Daten auf die Kassenbons mehr zu drucken.

Mahnung darf nicht über den Arbeitgeber erfolgen

19. Dezember 2019

Versendet ein Arzt eine Rechnung über die Behandlung mit Botox-Spritzen über den Arbeitgeber der Behandelten, rechtfertigt dieser Verstoß gegen die ärztliche Schweigepflicht ein Schmerzensgeld. So entschied kürzlich das Oberlandesgericht Frankfurt am Main (OLG, Beschl. v. 5.12.2019, Az. 8 U 164/19).

Die Klägerin hat ein Kosmetikstudio, in der ihr Mann als Arzt arbeitet und die Beklagte mit zwei Botoxspritzen behandelte. Die Beklagte bezahlte jedoch nicht die Rechnungen, da die Behandlung keinen anhaltenden Effekt aufzeigte. Daraufhin erhielt die Beklagte zwei Mahnungen. Die dritte Mahnung sandte die Klägerin schließlich an die Arbeitgeberin der Beklagte. Sodann klagte die Kosmetikstudioinhaberin auf Zahlung. Die Beklagte verlangte widerklagend Schmerzensgeld i.H.v. 15.000 Euro.

Das Landgericht Wiesbaden (Urt. v. 11.7.2019, Az. O 247/18) hatte der Frau Schmerzensgeld in Höhe von 1.200 Euro zugesprochen. Der Patientin stehe Schmerzensgeld für die Versendung der Mahnung an ihre Arbeitgeberin zu für die dadurch geschaffene “abstrakte Gefährlichkeit, dass die zu schützenden Daten einem weiteren Personenkreis zugänglich waren”.  Weitere Aspekte seien dagegen nicht in die Bemessung des Schmerzensgeldes zu berücksichtigen. Das OLG schloss sich dieser Auffassung an.

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

1 2 3