Überblick über die europäische Gesetzgebung:

• Datenschutz-Recht

In Deutschland relevante Gesetze:

• Bundesdatenschutzgesetz (BDSG).
• Landesdatenschutzgesetze.
• Bundesstatistikgesetz (§11).
• Landesstatistikgesetze.
• Hochschulstatistikgesetze.
• Meldegesetz.
• Verwaltungsverfahrensgesetz (§4, §5, §30, §84).
• Bundesverpflichtungsgesetz.
• Sozialgesetzbuch (§35: Sozialgeheimnis).
• Fernmeldeanlagengesetz.
• Urheberrechtsgesetz.
• Strafgesetzbuch (§202a, §263a, §269, §303a, §303b).
• Landeskrankenhausgesetze.
• Heilberufegesetz.
• Gesundheitsstrukturgesetz bzw. Gesundheitsreformgesetz.
• Bundeskrebsregistergesetz.
• Landeskrebsregistergesetze.
• Grundsätze ordnungsgemäßer Speicherbuchführung.
• Warenzeichengesetz.
• Gesetz über den unlauteren Wettbewerb.
• TELEKOM-Datenschutz-Verordnung.
• Teledienste-Datenschutzgesetz
• Datenschutz-Richtlinie der EU von 1995.
• Signaturgesetz.
• Signaturverordnung.
• Begründung zur Verordnung zur digitalen Signatur.
• Informations- und Kommunikationsdienste-Gesetz
• Bundesverfassungsgerichts-Urteil vom 14. Juli 1999 zum Verbrechensbekämpfungsgesetz/G10
• ...

Die Datenschutzgesetze stehen in dieser Liste zwar an erster Stelle, sie haben aber dennoch nur subsidiären Charakter: Gibt es in einem anderen Gesetz eine spezifische Regelung, so hat diese Vorrang. Beispiel: Die Übermittlung von Patientendaten durch den Arzt an Krankenkassen gemäß Sozialgesetzbuch V, §301.

Datenschutzgesetzgebung

• BVG-Urteil zur Volkszählung (15.12.83): Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechts
• Bundesdatenschutzgesetz (1977, Neufassung 1992)
• Landesdatenschutzgesetze
• Landeskrankenhausgesetze (LKG)
• Gesundheitsstrukturgesetz (GSG)
• §203 StGB: Verletzung von Privatgeheimnissen. Auch andere §§ des StGB relevant.
• u. v. a. Spezialgesetze und Gerichtsurteile

Geltungsbereiche

BDSG:

• Bundesbehörden
• sonstige öffentliche Stellen, Körperschaften, Anstalten, Stiftungen öffentlichen Rechts,
• nicht-öffentliche Stellen, Einzelpersonen (natürliche und juristische), Arztpraxen, Gesellschaften des privaten Rechts.

LDSG:

• Landesbehörden,
• sonstige öffentliche Stellen des Landes, z. B. kommunale Gebietskörperschaften, der Landesaufsicht unterstehende juristische Personen, kommunale Krankenhäuser, Unikliniken.

BDSG - Inhalt

• Allgemeine Vorschriften, z. B. Begriffsbestimmungen, Zulässigkeit der personenbezogenen Datenverarbeitung, Rechte des Betroffenen, Pflichten der Betreiber und Anwender, z. B. Anmeldepflicht für Dateien, Datengeheimnis, technische und organisatorische Maßnahmen (»10 Gebote«)
• Datenverarbeitung der Behörden und sonstigen öffentlichen Stellen, z. B. Auskunft an den Betroffenen, Datenübermittlung, Bestellung eines Bundesbeauftragten,
• Datenverarbeitung nicht-öffentlicher Stellen für eigene Zwecke (z. B. niedergelassene Ärzte), auch geschäftsmäßige Datenverarbeitung nicht-öffentlicher Stellen für fremde Zwecke.

Wichtige Begriffe des Datenschutzrechts

• »Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).«
• Erheben
• Verarbeiten (speichern, verändern, übermitteln, sperren, löschen)
• Nutzen
• »Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.«
• Speichernde Stelle
• Datengeheimnis: »Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit hierauf zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.«

Zulässigkeit der Datenverarbeitung

• Grundlage: Gesetze oder Rechtsvorschriften (z. B. Alkoholtest, Bundesseuchengesetz) oder Einwilligung des Betroffenen - in der Regel schriftlich, keine Nachteile durch Verweigerung, widerrufbar.
• Für Forschungszwecke also Einwilligung erforderlich, bei gesetzlicher Grundlage reicht Information.
• Zweck: im Rahmen der Zweckbestimmung eines Vertragsverhältnisses, [Arztpraxis: Einwilligung gilt durch Abschluß des Behandlungsvertrags als erteilt. (Mit Übernahme der Behandlung wird stillschweigend, auch ohne schriftliche Form, ein Vertrag abgeschlossen.)] oder zur Wahrung berechtigter Interessen der speichernden Stelle.
• Wissenschaftsklausel (BDSG, LDSG): gewisse Abschwächungen der Einwilligungspflicht, möglichst frühe Anonymisierung.

Rechte des Betroffenen

• Primärinformation über Speicherung, egal, auf welcher rechtlichen Grundlage erhoben und gespeichert wird.
• Auskunft.
• Berichtigung.
• Sperrung (zur Einschränkung der weiteren Nutzung).
• Löschung.
• Anrufung des Datenschutzbeauftragten.
• Schadensersatz.

Strafgesetzbuch

• §202a: »Wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.« Auch ein trivialer Passwortschutz gilt hier schon als besondere Sicherung.
• Ausspähen von Daten (§202a StGB) beinhaltet: Softwarediebstahl, Ausspähen von Daten, Wirtschaftsverrat, Verschaffen von Unternehmensgeheimnissen.
• Computerbetrug (§263a StGB): Jeder Eingriff in einen Datenverarbeitungsvorgang, der Vermögensschäden verursacht, z. B. Kontenmanipulationen in Bankcomputern oder Erschwindeln von Sozialleistungen.
• Fälschung beweiserheblicher Daten (§269 StGB): Veränderung von Urkunden, die in Rechenanlagen gespeichert sind (»elektronische Urkundenfälschung«), z. B. bei elektronischer Buchhaltung.
• Datenveränderung (§ 303a StGB): Veränderung oder Vernichtung von Daten, auch durch Viren.
• Computersabotage (§ 303b StGB): Anschläge auf die Datenverarbeitung durch Veränderung oder Vernichtung von Computerdaten, Datenträgern oder Anlagen.

Bundesstatistikgesetz (BStatG)

Die Weitergabe von statistischen Daten wird vomBStatG geregelt.

• §11: Vorschriften nach Grad der Anonymisierung unterschieden.
  • §11, Absatz 5: »Einzelangaben, die so anonymisiert werden, daß sie Auskunftspflichtigen oder Betroffenen nicht mehr zuzuordnen sind, dürfen vom Statistischen Bundesamt oder von den Statistischen Landesämtern übermittelt werden.«

Sozialgesetzbuch (SGB)

• §35: Sozialgeheimnis.

Verwaltungsverfahrensgesetz (VwVfG)

• §4: Amtshilfepflicht.
• §5: Voraussetzungen und Grenzen der Amtshilfe
• §30: Geheimhaltung.
• §84: Verschwiegenheitspflicht.

Schweigepflicht und Datenschutz

Exemplarisch für Ärzte dargestellt:

• Ärztliche Schweigepflicht (§2 der Berufsordnung für Ärzte, § 203 StGB) gilt auch für »berufsmäßig tätige Gehilfen« (nicht aber Hausmeister, Reinigungspersonal, ..., externe Schreibdienste), gilt gegenüber jedermann (auch Angehörigen des Patienten).
• Im Gegensatz dazu: Offenbarungszwang aufgrund gesetzlicher Bestimmungen (Meldepflichten), z. B. Seuchen und übertragbare Krankheiten (Bundesseuchengesetz), Geschlechtskrankheiten, wenn der Patient sich der Behandlung entzieht, Berufskrankheiten und -unfällen, bei drohendem Tötungsdelikt, u. U. bei der Leichenschau.
• Offenbarungsrecht bei Rechtsgüterkollision, z. B. Uneinsichtigkeit in Fahruntüchtigkeit, Kindesmisshandlung.
• Datenschutzanforderungen nicht abgedeckt: Die ärztliche Schweigepflicht betrifft nur die Weitergabe, nicht die Speicherung und Verarbeitung.
• Dokumentationspflicht für Befunde (Arztkartei, Krankengeschichte) aufgrund des Behandlungsvertrags.
• Die Aufzeichnungen sind Eigentum des Arztes (bzw. der Klinik bei Krankenhausbehandlung), der Patient hat ein Recht auf Einblick (s. u.).
• Aufklärungspflicht über Befunde, Diagnosen, geplante Eingriffe, Risiken.
• Fürsorgepflicht.
• Forschung grundsätzlich einwilligungspflichtig (BDSG, LDSG), nicht einwilligungspflichtig bei eigenen Patienten einer Fachabteilung (Landeskrankenhausgesetz).
• Patientendaten sind auch Angaben zu Angehörigen usw. Bereits die Aufzeichnung des Aufenthalts in einem Krankenhaus ist schutzpflichtig.
• Aufbewahrungspflicht ca. 10 Jahre für ärztliche Aufzeichnungen, 30 Jahre für Aufzeichnungen der Behandlung mit radioaktiven Stoffen und Röntgenbehandlungen.
• Beschlagnahme möglich, wenn Verdacht wegen einer strafbaren Handlung gegen den Arzt besteht, ferner wenn der Arzt Unterlagen trotz Befreiung von der Schweigepflicht nicht herausgibt.

Zusammenfassung

• Die Datenschutzgesetzgebung versucht, die Folgen des technischen Fortschritts sozialverträglich zu gestalten.
• Es gibt eine Flut von einschlägigen Gesetzen, aber eine Ebbe bei den Kontrollen.
• Wirksamer Datenschutz erfordert
  • rechtliche Handhaben,
  • Kontrollmöglichkeiten,
  • Datenschutzbewusstsein,
  • technische Sicherheit: Verhindern ist besser als (nur) verbieten.
• Datenschutzanforderungen sind bereits bei der Konzeption von informationstechnischen Systemen zu berücksichtigen. Dies ist eine Aufgabe für Informatiker.