Das Landegericht Flensburg hat sich jüngst mit der Frage auseinandergesetzt, inwiefern datenschutzrechtliche Bestimmungen behandlungsvertragliche Nebenpflichten im Sinne des § 241 Abs. 1 BGB begründen können (LG Flensburg, Urt. v. 19.11.2021 – 3 O 227/19).
Sachverhalt
Geklagt hatte der damalige Chefarzt der Inneren Abteilung eines Krankenhauses, dessen Trägerin die Beklagte ist. Der Kläger war im Jahr 2015 in der kardiologischen Abteilung des Hauses der Beklagten selbst in Behandlung gewesen. Während des Behandlungszeitraums hatten Mitarbeiter der Beklagten circa 150-mal auf die Patientendaten des Klägers zugegriffen. Hiervon erfuhr der Kläger nach Wiederaufnahme seiner Tätigkeit noch im selben Jahr. Bei mindestens vier der in Rede stehenden Zugriffe zweifelte der Kläger an der Berechtigung der jeweiligen Mitarbeiter hierzu. Der zuständige Leiter des Geschäftsbereichs Personal holte nach einem Gespräch mit dem Kläger Stellungnahmen der betreffenden Mitarbeiter ein. Sowohl die Stellungnahmen als auch die Zugriffsprotokolle für den Zeitraum vom 23.6.2015 bis zum 15.12.2015 wurden dem Kläger zugeleitet.
Im Jahr 2017 begehrte der Kläger eine Neubewertung des Vorganges. Dies wurde von der Beklagten jedoch abgelehnt. Im Anschluss wandte der Kläger sich an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit der Bitte um Überprüfung des zuvor geschilderten Sachverhalts. Im Rahmen dieses Verfahrens räumte die Beklagte ein, dass die monierten Zugriffe für die Behandlung des Klägers nicht notwendig gewesen seien. Eine weitergehende datenschutzrechtliche Überprüfung wurde in der Folge unterlassen. Im Jahr 2019 forderte der Kläger – anwaltlich vertreten – eine Stellungnahme der Beklagten sowohl zu den bereits gerügten datenschutzrechtlichen Verletzungen als auch zu weiteren Vorwürfen des Klägers. Wenige Monate später forderte der Kläger sodann erfolglos Schadensersatz von der Beklagten.
Mit der im Anschluss vor dem LG Flensburg erhobenen Klage rügte der Kläger eine Verletzung seiner Rechte aus den § 823 Abs. 1 BGB, Art. 5, 25, 32 DSGVO bzw. § 22 BDSG i.V.m. Art. 82 Abs. 1 DSGVO. Durch die unzulässigen Zugriffe und das hierausfolgende Bekanntwerden seines gesundheitlichen Zustandes sei seine Intim- und Individualsphäre schwerwiegend verletzt worden.
Die Beklagte vertrat den Standpunkt, dass die Zugriffe zwar zur Behandlung des Klägers nicht notwendig gewesen wären, jedoch in gerechtfertigter Weise erfolgt seien. Einer der beanstandeten Zugriffe sei durch einen Bedienungsfehler erfolgt. Bei einem weiteren Zugriff aus freundschaftlicher Motivation eines Kollegen, der dem Kläger einen Besuch habe abstatten wollen, sei von einer mutmaßlichen Einwilligung auszugehen. Der dritte Zugriff sei durch den DRG-Beauftragten der Beklagten im Rahmen seiner dienstlichen Tätigkeit erfolgt. Der letzte Zugriff sei durch einen Pfleger vorgenommen worden, der den Mitarbeitern die Abläufe der Notfallversorgung habe veranschaulichen wollen. Die Beklagte bestritt außerdem das Vorliegen einer schwerwiegenden Persönlichkeitsverletzung bei dem Kläger. Die Gesundheitsdaten des Klägers seien lediglich intern eingesehen worden, eine Weitergabe außerhalb des Unternehmens sei nicht erfolgt. Zudem vertrat die Beklagte den Standpunkt etwaig entstandene Ansprüche seien verjährt.
So entschied das Gericht
Das Gericht hat die Klage abgewiesen. Hierzu führte es im Einzelnen aus, dass schon kein durchsetzbarer Anspruch bestehe. Die DSGVO sei erst 2016 in Kraft getreten und somit auf den Sachverhalt im Jahre 2015 nicht anwendbar. Gleichwohl betonte das Gericht, dass die personenbezogenen Daten, die im Rahmen eines Behandlungsverhältnisses zu Behandlungs- und Dokumentationszwecken vom Patienten erhoben werden, nur zu erlaubten Zwecken verarbeitet werden dürfen. Dies habe der Behandelnde für sich und auch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen im Rahmen seiner behandlungsvertraglichen Nebenpflichten gemäß §§ 630a, 241 Abs. 1 BGB sicherzustellen. Eine Übertragung dieser Konkretisierung behandlungsvertraglicher Pflichten auf den Krankenhausvertrag sah das Gericht als möglich an. Weitergehende Feststellungen zum Bestehen einer Verletzung traf das Gericht hier nicht unter Hinweis auf die bereits eingetretene Verjährung.
Bedeutung für die Praxis
Das LG Flensburg hat deutlich gemacht, dass es den Krankenhausträger in der Verantwortung sieht, spezielle Maßnahmen zu ergreifen, um eine ausschließlich an spezifische Zwecke gebundene Verarbeitung von Gesundheitsdaten – auch im Rahmen eines Krankenhausvertrages – zu gewährleisten. Krankenhausträger sollten also, soweit noch nicht geschehen, ausreichend Vorsorge treffen, um die Zugriffsmöglichkeiten auf sensible Patientendaten streng zu regulieren.
RA Jan Ippach, LL.M.