Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 13.3.2020 Informationen für Arbeitgeber und Dienstherren zum Umgang mit dem Datenschutz im Zusammenhang mit der Corona-Pandemie veröffentlicht1. Diese lassen sich aber auch auf den Umgang mit Patientendaten in Arztpraxen übertragen.
Die Datenschutzkonferenz hält insbesondere die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie für datenschutzrechtlich legitim:
Für die genannten Maßnahmen existieren Rechtsgrundlagen in den einschlägigen Datenschutzgesetzen, sodass eine Einwilligung der betroffenen Personen nicht eingeholt werden muss. Insbesondere aus dem Arbeitsschutzgesetz ergibt sich die Pflicht des Arbeitgebers dafür zu sorgen, dass die anderen Beschäftigten vor einer Infektion durch eine erkrankte Person geschützt werden.
Bei allen genannten Maßnahmen ist stets der Grundsatz der Verhältnismäßigkeit zu wahren. Die Daten müssen insbesondere vertraulich behandelt und ausschließlich zweckgebunden verwendet werden. Nach Wegfall des jeweiligen Verarbeitungszwecks (regelmäßig also spätestens mit dem Ende der Pandemie) müssen die erhobenen Daten unverzüglich gelöscht werden, soweit keine weitere gesetzliche Verpflichtung zur Aufbewahrung besteht.
Neben den Pflichten des Arbeitgebers zum Schutz seiner Beschäftigten bestehen aber auch Pflichten der Praxismitarbeiter im Falle einer Infektion oder eines Infektionsverdachts. Nach Ansicht der Datenschutzkonferenz besteht eine Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus, sofern sich ein Mitarbeiter infiziert hat. Da dies dem Schutz hochrangiger Interessen Dritte dient, findet sich für die Offenlegung dieser Daten in der DSGVO ebenfalls eine Rechtsgrundlage, sodass es keiner Einwilligung bedarf. Aber auch im Falle eines bloßen Verdachts dürfte eine Pflicht des Mitarbeiters bestehen, durch Angaben über Aufenthaltsorte oder Kontaktpersonen dem Arbeitgeber eine Einschätzung zu ermöglichen, ob Gesundheitsrisiken für den Betroffenen, andere Beschäftigte oder Patienten bestehen.
Direkte Eingriffsbefugnisse stehen dem Arbeitgeber laut den FAQs zu Corona des Datenschutzbeauftragten Baden-Württemberg2 in der Regel nicht zu, sondern nur den staatlichen Gesundheitsbehörden. Arztpraxen sind daher aufgefordert, im Zweifel den Kontakt zu den Gesundheitsbehörden zu suchen und nicht „auf eigene Faust“, schon gar nicht gegen den Willen der Beschäftigten oder Patienten Gesundheitsdaten zu erheben. Eine Auskunftspflicht oder die Pflicht, sich einer ärztlichen Untersuchung zu unterziehen, kann nur gegenüber den Gesundheitsbehörden bestehen.
Es stellt sich die Frage, wie Arztpraxen sich zu verhalten haben, wenn sie Kenntnis von einer Infektion erlangen. Es bestehen nach dem Infektionsschutzgesetz (IfSG) sowie der Verordnung zum Corona Virus des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV) umfassende Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, sofern sie Informationen über Erkrankte vorliegen haben.
Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:
Ärzte sind allerdings aus datenschutzrechtlicher Sicht nicht verpflichtet, die ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Die Befugnis zur Datenerhebung bei den oben genannten Maßnahmen ist in der DSGVO und den jeweiligen Landesdatenschutzgesetzen verankert.
Da grundsätzlich bei jeder Datenverarbeitung durch die Arztpraxis eine Informationspflicht nach Art. 13 und 14 DSGVO gegenüber den betroffenen Personen besteht, empfiehlt es sich im Fall eines Corona Verdachts in das Informationsblatt die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufzunehmen. Die Patienten, bzw. Mitarbeiter der Praxis, sollten also darüber informiert werden, dass ihre Daten ggf. an die Gesundheitsbehörden weitergegeben werden.