Chefarzt als Patient im eigenen Klinikum: Wie weit geht der Datenschutz im Behandlungsvertrag?

Ein Chefarzt und leitender Angestellter eines Krankenhauses wurde im Mai 2015 wegen eines Herzinfarkts in der kardiologischen Abteilung der Klinik seines Arbeitgebers behandelt. Während des Behandlungsverhältnisses griffen Beschäftigte der Klinik etwa 150-mal auf die Patientendaten des Chefarztes zu.

Nachdem der Chefarzt hiervon erfuhr, analysierte er die erfolgten Zugriffe und ordnete zumindest vier davon als fraglich ein. In der nachfolgenden Auseinandersetzung machte er – u. a. anwaltlich vertreten – einen Auskunftsanspruch über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten und schließlich Schadenersatz gegenüber dem Krankenhausträger geltend. Er wandte sich darüber hinaus im März 2018 mit einer Beschwerde an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Im Rahmen dieses Beschwerdeverfahrens räumte die zwischenzeitlich gewechselte Geschäftsführung ein, dass die vier genannten Zugriffe vom Datenschutzbeauftragten als unzulässig bewertet worden seien und auch aus heutiger Sicht der Geschäftsführung als unzulässig eingeordnet würden. Das ULD stellte anschließend fest, dass die Zugriffe gegen Vorschriften der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) verstießen.

Da der Krankenhausträger den Schadenersatzforderungen auch im April 2019 noch nicht nachgekommen war, sah sich der Chefarzt veranlasst, zu klagen. In Bezug auf die streitgegenständlichen vier Zugriffe machte der Kläger Schadenersatz für außergerichtliche Anwaltskosten i. H. v. 2.897,53 Euro und Schmerzensgeld i. H. v. mindestens 20.000,00 Euro wegen unberechtigter Zugriffe auf seine Patientendaten geltend. Das Gericht wies die Klage ab.

Das Gericht verneinte einen Anspruch des Klägers aus der DSGVO. Diese habe zum Zeitpunkt der gerügten Zugriffe auf die Patientendaten des Klägers (Mai 2015) noch nicht gegolten und sei entsprechend nicht auf den Sachverhalt anwendbar.

Ein solcher Anspruch folge auch nicht aus § 280 Abs. 1, § 241 Abs. 2, § 253, § 630a BGB. Inhaltlich scheitere der Anspruch im Ergebnis an der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB). Der Kläger habe im Jahr 2015 von den Zugriffen auf seine Daten Kenntnis erlangt. Die Verjährungsfrist habe daher mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Auch die Anrufung des ULD habe nicht zu einer Hemmung der Verjährung geführt, da es sich beim ULD nicht um eine staatliche oder staatlich anerkannte Streitbeilegungsstelle handle. Das Verfahren vor dem ULD sei auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung und nicht auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch (Anm. d. Red.: Schadenersatz und Schmerzensgeldforderung des Chefarztes, s. o.) gerichtet.

Das Gericht stellte allerdings klar, dass der zwischen den Parteien abgeschlossene Behandlungsvertrag u. a. die selbstständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden begründe, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten hätten. Es liege mit Blick auf § 36 Landeskrankenhausgesetz Schleswig-Holstein (LKHG) nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag dahin gehend zu konkretisieren, dass Patientendaten u. a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich sei, soweit der Patient nichts anderes bestimmt habe.