Welche datenschutzrechtlichen Pflichten ergeben sich aus einem Behandlungsvertrag?
LG Flensburg v. 19.11.2021, 3 O 227/19
Der Sachverhalt:
Der Kläger war als Chefarzt der Inneren Abteilung eines Krankenhauses leitender Angestellter bei der Beklagten, einem Krankenhausträger. Wegen eines Herzinfarkts im Jahr 2015 wurde er selbst in der kardiologischen Abteilung der Klinik der Beklagten behandelt. Während des Behandlungsverhältnisses griffen Mitarbeiter der Beklagten etwa 150-mal auf die Patientendaten des Klägers zu. In Streit stehen konkret vier Zugriffe. Nach Wiederaufnahme seiner Tätigkeit erfuhr der Kläger hiervon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten analysierte der Kläger die erfolgten Zugriffe und identifizierte die Berechtigung u.a. der vier oben genannten Zugriffe als fraglich.
Mit anwaltlichem Schreiben vom 27.6.2017 forderte der Kläger die Beklagte auf, Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Eine Neubewertung der Vorgänge lehnte der seit Juni 2016 neue Geschäftsführer der Beklagten durch Schreiben vom 19.2.2018 ab. Mit Schreiben vom 16.3.2018 wandte sich der Kläger an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), u.a. mit der Bitte um Überprüfung des Sachverhalts. Im Rahmen dieses Verfahrens gaben der Kläger und die Beklagte verschiedene Stellungnahmen ab. In der Stellungnahme der Beklagten vom 10.8.2018 hieß es u.a.
"Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. (...)"
Wegen dieser eingeräumten Unzulässigkeit unterließ der ULD eine vertiefende datenschutzrechtliche Prüfung und stellte fest, dass die Zugriffe einen Verstoß gegen Art. 5, 25, 32 DSGVO bzw. des § 22 BDSG darstellten. Der Kläger begehrte daraufhin Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten. Das LG wies die Klage ab.
Die Gründe:
Der Kläger hat keinen durchsetzbaren Anspruch auf Zahlung eines Schmerzensgeldes und sonstigen Schadensersatzes wegen der gerügten Zugriffe auf seine Patientendaten im Mai 2015.
Ein solcher Anspruch folgt zunächst nicht aus Art. 82 Abs. 1 iVm. Art. 32 Abs. 4, 25, 5 Datenschutz-Grundverordnung (DSGVO) i.V.m. § 22 BDSG. Gemäß Art. 99 Abs. 1 und 2 DSGVO tritt diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU, geschehen am 4.5.2016, in Kraft und gilt ab dem 25.5.2018. Zum Zeitpunkt der gerügten Zugriffe auf die Patientendaten des Klägers galt die DSGVO somit noch nicht und ist deshalb auf diesen Sachverhalt nicht anwendbar.
Ein solcher Anspruch folgte auch nicht aus § 280 Abs. 1, § 241 Abs. 2, § 253, § 630 BGB. Zwischen den Parteien bestand ein Behandlungsvertrag i.S.d. § 630a BGB. Ein solcher begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Es liegt nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie dies der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) getan hat. Danach dürfen Patientendaten u.a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich ist, soweit der Patient nichts anderes bestimmt hat. Letztlich bedarf es hier aber keiner Entscheidung darüber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht hat:
Denn ohne Erfolg rügte der Kläger, dass es bis Mai 2019 an mehreren Computern der Beklagten möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können. Es war weder vorgetragen noch sonst ersichtlich, dass hier tatsächlich auf Patientendaten des Klägers zugegriffen worden war. Es war schon zweifelhaft, ob die bloße theoretische Möglichkeit hierzu eine Pflichtverletzung im Vertragsverhältnis zum Kläger darstellte. Jedenfalls fehlte es insoweit an der Darlegung eines Schadens des Klägers.
Ein etwaiger Schadensersatzanspruch des Klägers wäre zudem verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB). Ein solcher Anspruch unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB). Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB). Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen i.S.d. § 203 BGB. Die Anrufung des ULD durch den Kläger mit Schreiben vom 16.3.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Das ULD ist nämlich keine Streitbeilegungsstelle i.S.d. § 204 Abs. 1 Nr. 4 BGB.
Mehr zum Thema:
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge - 4 Wochen gratis nutzen!
Aktionsmodul Zivilrecht
Sie können Tage nicht länger machen, aber effizienter. 6 Module vereint mit führenden Kommentaren, Handbüchern und Zeitschriften für die zivilrechtliche Praxis. Neu: Online-Unterhaltsrechner.
Jetzt zahlreiche, bewährte Formulare mit LAWLIFT bearbeiten! Inklusive Selbststudium nach § 15 FAO - 4 Wochen gratis nutzen!
Landesrechtsprechung Schleswig-Holstein
Der Kläger war als Chefarzt der Inneren Abteilung eines Krankenhauses leitender Angestellter bei der Beklagten, einem Krankenhausträger. Wegen eines Herzinfarkts im Jahr 2015 wurde er selbst in der kardiologischen Abteilung der Klinik der Beklagten behandelt. Während des Behandlungsverhältnisses griffen Mitarbeiter der Beklagten etwa 150-mal auf die Patientendaten des Klägers zu. In Streit stehen konkret vier Zugriffe. Nach Wiederaufnahme seiner Tätigkeit erfuhr der Kläger hiervon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten analysierte der Kläger die erfolgten Zugriffe und identifizierte die Berechtigung u.a. der vier oben genannten Zugriffe als fraglich.
Mit anwaltlichem Schreiben vom 27.6.2017 forderte der Kläger die Beklagte auf, Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Eine Neubewertung der Vorgänge lehnte der seit Juni 2016 neue Geschäftsführer der Beklagten durch Schreiben vom 19.2.2018 ab. Mit Schreiben vom 16.3.2018 wandte sich der Kläger an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), u.a. mit der Bitte um Überprüfung des Sachverhalts. Im Rahmen dieses Verfahrens gaben der Kläger und die Beklagte verschiedene Stellungnahmen ab. In der Stellungnahme der Beklagten vom 10.8.2018 hieß es u.a.
"Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. (...)"
Wegen dieser eingeräumten Unzulässigkeit unterließ der ULD eine vertiefende datenschutzrechtliche Prüfung und stellte fest, dass die Zugriffe einen Verstoß gegen Art. 5, 25, 32 DSGVO bzw. des § 22 BDSG darstellten. Der Kläger begehrte daraufhin Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten. Das LG wies die Klage ab.
Die Gründe:
Der Kläger hat keinen durchsetzbaren Anspruch auf Zahlung eines Schmerzensgeldes und sonstigen Schadensersatzes wegen der gerügten Zugriffe auf seine Patientendaten im Mai 2015.
Ein solcher Anspruch folgt zunächst nicht aus Art. 82 Abs. 1 iVm. Art. 32 Abs. 4, 25, 5 Datenschutz-Grundverordnung (DSGVO) i.V.m. § 22 BDSG. Gemäß Art. 99 Abs. 1 und 2 DSGVO tritt diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der EU, geschehen am 4.5.2016, in Kraft und gilt ab dem 25.5.2018. Zum Zeitpunkt der gerügten Zugriffe auf die Patientendaten des Klägers galt die DSGVO somit noch nicht und ist deshalb auf diesen Sachverhalt nicht anwendbar.
Ein solcher Anspruch folgte auch nicht aus § 280 Abs. 1, § 241 Abs. 2, § 253, § 630 BGB. Zwischen den Parteien bestand ein Behandlungsvertrag i.S.d. § 630a BGB. Ein solcher begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Es liegt nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie dies der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) getan hat. Danach dürfen Patientendaten u.a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich ist, soweit der Patient nichts anderes bestimmt hat. Letztlich bedarf es hier aber keiner Entscheidung darüber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht hat:
Denn ohne Erfolg rügte der Kläger, dass es bis Mai 2019 an mehreren Computern der Beklagten möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können. Es war weder vorgetragen noch sonst ersichtlich, dass hier tatsächlich auf Patientendaten des Klägers zugegriffen worden war. Es war schon zweifelhaft, ob die bloße theoretische Möglichkeit hierzu eine Pflichtverletzung im Vertragsverhältnis zum Kläger darstellte. Jedenfalls fehlte es insoweit an der Darlegung eines Schadens des Klägers.
Ein etwaiger Schadensersatzanspruch des Klägers wäre zudem verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB). Ein solcher Anspruch unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB). Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB). Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen i.S.d. § 203 BGB. Die Anrufung des ULD durch den Kläger mit Schreiben vom 16.3.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Das ULD ist nämlich keine Streitbeilegungsstelle i.S.d. § 204 Abs. 1 Nr. 4 BGB.
Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG). Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge - 4 Wochen gratis nutzen!
Aktionsmodul Zivilrecht
Sie können Tage nicht länger machen, aber effizienter. 6 Module vereint mit führenden Kommentaren, Handbüchern und Zeitschriften für die zivilrechtliche Praxis. Neu: Online-Unterhaltsrechner.
Jetzt zahlreiche, bewährte Formulare mit LAWLIFT bearbeiten! Inklusive Selbststudium nach § 15 FAO - 4 Wochen gratis nutzen!