Datenschutz versus Corona-Schutz in Kliniken?

© Thieme & Frohberg GmbH

Sind die derzeit praktizierten Pandemie-Schutzmaßnahmen in Krankenhäusern eigentlich konform mit dem Datenschutz? Worauf müssen Kliniken achten, um datenschutzrechtlich auf der sicheren Seite zu sein? Antworten darauf gibt Rechtsanwalt Tim Schneider aus der Kanzlei Schürmann, Rosenthal, Dreyer, der sich auf Datenschutz- und IT-Recht im Gesundheitswesen spezialisiert hat.

In deutschen Kliniken werden auch symptomfreie Mitarbeiter regelmäßig auf das Corona-Virus getestet. Ist das konform mit den Datenschutz-Vorschriften?

Aus datenschutzrechtlicher Sicht geht es bei der Testung um die Erhebung und Speicherung von Gesundheitsdaten des Mitarbeiters. Solche Gesundheitsdaten sind von der europäischen Datenschutz-Grundverordnung (DSGVO) besonders geschützt und dürfen nicht ohne speziellen Rechtsgrund verarbeitet werden.

Möglich ist eine Datenerhebung z.B. dann, wenn der betreffende Mitarbeiter in diese eingewilligt hat. Da der Mitarbeiter im Falle der Einwilligung aber auch die Möglichkeit zur Ablehnung haben muss, ist diese Rechtsgrundlage wenig geeignet, wenn man seine Mitarbeiter umfassend und verpflichtend testen will.

Allerdings hat die Klinik als Arbeitgeber hier nicht nur das Datenschutzrecht des zu testenden Mitarbeiters zu berücksichtigen, sondern auch die bestehende Fürsorgepflicht für alle anderen Mitarbeiter und die Patienten. Daraus kann sich ein Recht des Arbeitgebers ergeben, vom Mitarbeiter einen Covid-19- Test zu verlangen bzw. eine Verpflichtung des Mitarbeiters, einen Positivbefund an das Krankenhaus bzw. dessen Rechtsträger als seinen Arbeitgeber zu melden.

Hier ist immer eine Abwägung zu treffen, welches Recht im Einzelfall überwiegt. Je mehr Indizien für eine Gefährdung durch den zu testenden Mitarbeiter bestehen, desto eher ist eine Testung als Voraussetzung für die Arbeitsaufnahme zulässig. Ausschlaggebende Gründe hierfür können z.B. der Kontakt mit an Covid-19 erkrankten Personen (egal ob beruflich oder privat) oder andere Verdachtsmomente für eine mögliche Infektion sein. Auch ein mögliches  Zusammentreffen mit Patienten einer besonderen Risikogruppe zählt dazu.

Achtung: Dieser datenschutzrechtlichen Erlaubnis können noch arbeitsrechtliche Hindernisse gegenüberstehen. Dies ist im Einzelfall zu prüfen.

Welche Maßnahmen zum Covid-19-Schutz sind im Falle einer Mitarbeiterinfektion erforderlich bzw. erlaubt?

Wird festgestellt, dass ein Mitarbeiter infiziert ist, muss das Krankenhaus die entsprechenden Maßnahmen treffen, um die Ansteckung von anderen Mitarbeitern oder Patienten zu verhindern bzw. eine Kontaktnachverfolgung zu ermöglichen. Dazu gehört die Information potenziell gefährdeter Kollegen.

Auch hier muss aber abgewogen werden, ob und wie weit Informationen über den Infektionsfall gegenüber anderen Mitarbeitern bekanntgemacht werden. Es ist zu bedenken, dass die Bekanntgabe einer Covid-19-Infektion für die betroffene Person drastische soziale Folgen haben kann. Deswegen sollten immer nur so viele Informationen wie erforderlich an die Mitarbeiter weitergegeben werden.

In den wenigsten Fällen wird es erforderlich sein, dass alle Mitarbeiter den Namen des erkrankten Kollegen kennen. Vielmehr kann eine Information über die betroffene Station oder das betroffene Gebäude ausreichen – oder schlicht der Hinweis darauf, dass es möglicherweise Kontakt zu einer infizierten Person gegeben hat.

Welche Daten dürfen Kliniken von Besuchern aufnehmen, um ggf. eine Kontaktnachverfolgung zu ermöglichen?

Sobald die Kliniken wieder für den Besuchsverkehr geöffnet werden, kann es ratsam sein, von allen Besuchern entsprechende Kontaktdaten aufzunehmen, um im Falle einer möglichen Infektion die notwendigen Benachrichtigungen durchführen zu können.

Teilweise hat der Gesetzgeber dazu schon verpflichtende Regelungen erlassen, so z.B. in Baden-Württemberg. Hier wird auch vorgegeben, dass Name und Adressdaten, Zeitpunkt des Besuchs und Angaben über den besuchten Patient gespeichert werden.

Liegen noch keine speziellen gesetzlichen Regelungen für diesen Fall vor, dann gelten die allgemeinen Regeln der DSGVO. Eine Speicherung wäre in jedem Fall zulässig, wenn die Besucher in diese einwilligen.

Wie lange sollten und dürfen diese Daten gespeichert werden?

Eine Speicherung wird mindestens für die Inkubationszeit einer möglichen Infektion zu vertreten sein. Sofern wie in Baden-Württemberg eine gesetzliche Vorgabe besteht, ist diese zwingend einzuhalten. Für Baden-Württemberg beträgt diese beispielsweise 4 Wochen.

Wie ist zu verfahren, wenn Besucher in der Klinik möglicherweise Kontakt mit einem Covid-19-Infizierten hatten?

Hier besteht für Krankenhäuser eine Pflicht, die zuständigen Behörden bei ihren Maßnahmen der Infektionsbekämpfung zu unterstützen. Dazu kann auch die Herausgabe der gespeicherten Daten an die Ämter erforderlich sein. Darüber hinaus kann das Krankenhaus auch selbst den Besucher informieren, wenn dieser im Vorfeld seine Einwilligung dazu erteilt hat.

Achtung: Daten dürfen auch hier nur dann übermittelt und verwendet werden, wenn dazu eine Rechtsgrundlage besteht.

ep/kwm

 

Tim Schneider ist Rechtsanwalt in der Kanzlei Schürmann Rosenthal Dreyer in Berlin und dabei unter anderem spezialisiert auf die Beratung im Datenschutzrecht. Ein Fokus seiner Beratung stellen Mandanten aus dem Gesundheitssystem dar. Außerdem ist Tim Schneider als externer Datenschutzbeauftragter bei verschiedenen Unternehmen bestellt.

Hinterlassen Sie einen Kommentar