LG Flensburg: Datenschutzrechtliche Pflichten bei einem ärztlichen Behandlungsvertrag

Wird ein Patient in einem Krankenhaus behandelt, hat das betreffende Unternehmen entsprechende organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass nur solche Angestellte auf die Krankendaten Zugriff nehmen können, deren Mitarbeit notwendig ist (LG Flensburg, Urt. v. 19.11.2021 - Az. 3 O 227/19).

Der Kläger war selbst Chefarzt der Inneren Abteilung des verklagten Krankenhauses. Wegen eines Herzinfarkts wurde er im Jahr 2015 selbst in der kardiologischen Abteilung der Klinik behandelt.

Im Nachhinein stellte sich heraus, dass während seiner Behandlung mehrere Mitarbeiter auf seine Krankheitsdaten Zugriff nahmen, die hierzu nicht berechtigt waren.

Dies stufte das Gericht als Datenschutzverstoß ein. Denn es bestünde eine entsprechende Nebenpflicht:

"Zwischen den Parteien bestand ein Behandlungsvertrag (...).

Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben.

Es liegt nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie dies der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) getan hat. Danach dürfen Patientendaten u.a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich ist, soweit der Patient nichts anderes bestimmt hat. Letztlich bedarf es hier aber keiner Entscheidung darüber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht hat:"

Dabei sei es unerheblich, ob die Ursache in dem Unterlassen entsprechender organisatorischen Maßnahmen liege oder in dem Fehlverhalten eines Mitarbeiters zu suchen sei. Denn für beides sei die Beklagte verantwortlich:

"Es bedarf aber auch keiner Feststellungen dazu, ob die Beklagte diese Nebenpflicht durch das Unterlassen organisatorischer Vorkehrungen gegen die vier gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 selbst verletzte oder ob es sich bei diesen Zugriffen durch Personal der Beklagten um Verletzungen dieser Nebenpflicht handelte, welche die Beklagte gemäß § 278 BGB zu vertreten hätte."

Der Kläger verlor am Ende gleichwohl die Klage, da der Anspruch inzwischen verjährt war, da die Verletzungen bereits 2015 stattgefunden hatten.