Im Gesundheits- und Sozialwesen werden so viele persönliche und hochsensible Daten über Menschen erhoben, gespeichert, verarbeitet und übermittelt, wie in kaum einem anderen Sektor unserer Gesellschaft. Sowohl im Rahmen der Behandlung an sich, als auch im Abrechnungsprozess ist es notwendig, unzählige individuelle Lebensdaten zu erfassen und zu dokumentieren. Inhaltlich handelt es sich um geheimhaltungsbedürftige Informationen höchster Schutzstufe – darunter fallen Gesundheitszustand, Beschwerden, Leiden, Ängste, Krankheiten und das religiöse Bekenntnis.
Ursprung des Datenschutzes: Recht auf informationelle Selbstbestimmung
Das Recht auf informationelle Selbstbestimmung ist eine Schöpfung des Bundesverfassungsgerichts (Volkszählungs-Urteil vom 15.12.1983) und wurde auf Grundlage der in der Verfassung verankerten Freiheits- und Grundrechte – insbesondere im Grundsatz der Wahrung der Menschenwürde und im Freiheitsgrundsatz – in besonderer Ausprägung definiert. Ausgangspunkt ist das allgemeine Persönlichkeitsrecht. Inhaltlich besagt das Recht auf informationelle Selbstbestimmung, dass alle Menschen in Deutschland das Recht haben, über die Preisgabe und Verwendung ihrer Daten grundsätzlich selbst zu entscheiden, sofern nicht gesetzliche Regelungen (beispielsweise Übermittlungsvorschriften, denkbar im Abrechnungswesen mit gesetzlichen Krankenkassen) dem entgegenstehen. Aus dieser Definition resultiert denklogisch, dass auch eine Verletzung dieses Persönlichkeitsrechts in Betracht kommen kann. Dies wirkt sich rechtlich auf verschiedene Bereiche aus – mitunter auch auf das Zivilrecht, das nur zwischen Privatpersonen Anwendung findet. Hier sind mit der vom Bundesverfassungsgericht geschaffenen Rechtsgrundlage auch Schadensersatzansprüche von in ihren Rechten verletzten Betroffenen gegen den Schädiger denkbar.
Zwei Gerichtsentscheidungen haben das Risikopotenzial bei Missachtung datenschutzrechtlicher Bestimmungen deutlich verändert. Im Jahr 2009 hat der Bundesgerichtshof festgestellt, dass ein sogenannter Compliance Officer – ein Mitarbeiter im Unternehmen, welcher damit betraut ist die Einhaltung von Gesetzen zu gewährleisten – unmittelbar persönlich haften kann, wenn es innerhalb des Unternehmens zu Verstößen kommt. Aufgrund seiner Garantenstellung würde er sich wegen Unterlassens haftbar machen. Folglich kann das bloße Nichtstun innerhalb entsprechender Verantwortungsebenen dazu führen, dass Vorstandsmitglieder durch staatliche Behörden persönlich zur Verantwortung gezogen und sogar strafrechtlich sanktioniert werden. Besagte Gerichtsentscheidung ist direkt auf das Datenschutzrecht übertragbar. Sowohl im Bundesdatenschutzgesetz, als auch in den Landesdatenschutzgesetzen für den Bereich Gesundheitswesen und damit auch in der Pflege ist vorgesehen, dass bestimmte Vorgaben aufgrund eben dieses Gesetzes einzuhalten sind (gleiches gilt u.a. für kirchliche Datenschutzbestimmungen). Gerade weil der Verstoß auch in den unteren Handlungsebenen strafrechtliche Konsequenzen nach sich ziehen kann, sieht das Bundesdatenschutzgesetz die Bestellung eines Datenschutzbeauftragten vor, der als Manager von Datenschutzpflichten zu fungieren hat und folglich die Garantenstellung beim Datenschutz bekleidet. Die Nichtbestellung eines Datenschutzbeauftragten, bzw. das Nichtbefolgen von dessen Empfehlungen kann für die Leitung der Einrichtung mittelbar zu einer Haftung führen. Ebenso macht sich der Datenschutzbeauftragte bei Pflichtverletzung oder Untätigkeit haftbar. Inwieweit die Haftung durch die Bestellung eines Datenschutzbeauftragten und die Implementierung eines Datenschutzmanagementsystems auch auf tieferliegende Führungsebenen übertragen werden kann, bzw. auf diese persönlich durchschlägt, ist höchstrichterlich bislang noch nicht abschließend geklärt. Eine diesbezügliche Verantwortung wäre aber durchaus denkbar und rechtsdogmatisch gut zu begründen.
Die zweite Ebene, der bislang erst wenig Aufmerksamkeit zuteil wurde, ist die zivilrechtliche Haftung. Das Landgericht München hat in einer – nicht zuletzt aufgrund des Bekanntheitsgrades der Prozessparteien (Siemens/Neubürger) – viel beachteten Entscheidung festgestellt, dass der Finanzvorstand eines Konzerns zivilrechtlich (also mit dem eigenen Vermögen) für Schäden haftet, die dadurch entstehen, dass er seinen Compliance- und Kontrollpflichten nicht in ausreichendem Maße nachkommt. Die Verteidigungsstrategie des Finanzvorstandes im Fall Siemens/Neubürger stützte sich u.a. auf die Behauptung des Vorstandes, mit der Abteilung, innerhalb welcher der Compliance-Verstoß geschehen war, operativ nichts zu tun gehabt und nichts von deren Agieren gewusst zu haben. Diese Verteidigungsstrategie stellte sich im Nachhinein als rechtlich nicht tragbar heraus. Das Gericht ging davon aus, dass es die ausgewiesene Pflicht des Finanzvorstandes gewesen sei, sämtliche Abteilungen des Unternehmens im Blick zu behalten bzw. ein entsprechendes Managementsystem zu implementieren, sodass es nicht zu Verstößen kommen könne.
Bedeutung der Compliance-Rechtsprechung
Freilich handelt es sich bei besagten Beispielen um Extremfälle und medienwirksame Beispiele, welche nicht unmittelbar auf die Situation in Pflegeheimen und andere Einrichtungen des Gesundheits- und Sozialwesens übertragen werden können. So sprechen wir im Bereich der Pflege u.a. von wesentlich kleineren Schadenssummen, weniger medialem Interesse und einer langen Vergangenheit von sanktionsloser Nichtbeachtung des Datenschutzrechts. Gleichwohl gilt es zu berücksichtigen, dass neben den Strafvorschriften im Bundesdatenschutzgesetz auch das Strafgesetzbuch mit § 203 eine Vorschrift beinhaltet, wonach die Verletzung von Privatgeheimnissen – und zu diesen gehören Gesundheitsdaten ohne jeden Zweifel – unter Strafe steht. Die Entwicklungen in der Rechtsprechung aus den Fällen des Bundesgerichtshofs von 2009 und des Landgerichts München von 2013 lassen keinen Zweifel daran, dass Verantwortliche in Gesundheitseinrichtungen und Pflegeheimen gut beraten sind, den Schutz von Daten ernst zu nehmen und ein System einzurichten, welches Gesetzesverstöße (insbesondere im strafrechtlich relevanten Bereich) letztlich unmöglich macht. Würde dies auf Dauer unterlassen und ignoriert, so wäre aufgrund der besagten Garantenstellung und der daraus folgenden möglichen Haftung für Unterlassen in straf- und zivilrechtlicher Hinsicht auch mit einem unmittelbaren und persönlichen Haftungsrisiko auf Leitungs- und Vorstandsebene zu rechnen (ggf. auch auf innerhalb der darunterliegenden Führungsebenen bei entsprechender Delegation von Pflichten) – ganz zu schweigen vom potenziellen Schaden für die Einrichtung durch schlechte Presse.
Gesteigertes Datenschutzbewusstsein und Gesetzesfortbildung
Bereits in den vergangenen Jahrzehnten galten im Bereich der Pflege Datenschutzgesetze. Der Umgang mit diesen hat inzwischen jedoch eine neue Qualität erreicht. Hierzu haben nicht zuletzt der Fall „Edward Snowden“ und die generelle mediale Präsenz datenschutzrechtlicher Themen beigetragen. Parallel sind auch Reaktionen auf gesetzgeberischer Ebene vorstellbar: So hat beispielsweise die Evangelische Kirche mit einer Novellierung des DSG-EKD im Jahre 2013 reagiert. Seither ist für Evangelische Gesundheitseinrichtungen die Bestellung eines Datenschutzbeauftragten obligatorisch.
Weiterleitung
Sie werden umgeleitet in das Datenschutzportal, dem neuen Kundenbereich in dem Sie alle bisherigen sowie neuen Informationen und Funktionen finden.
