Unzulässiger Arztbriefversand: ULD mahnt Kliniken nach Datenschutzverstoß ab
Fehlende Einwilligung und Systemlücken führen zu Anhörungsverfahren – Mutmaßlicher Wille des Patienten als unzureichende Rechtsgrundlage
Der aktuelle Tätigkeitsbericht 2026 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) beleuchtet einen Fall, der die tägliche Praxis in vielen Krankenhäusern betrifft: die Übermittlung von Arztbriefen an niedergelassene Hausärzte. Eine Klinik in Schleswig-Holstein musste einen meldepflichtigen Datenschutzverstoß nach Artikel 33 DSGVO einräumen, nachdem ein Arztbrief ohne die erforderliche Einwilligung der Patientin versandt worden war. Da die erste Meldung der Klinik lückenhaft blieb, eröffnete das ULD ein formelles Anhörungsverfahren.
Im Zuge der Ermittlungen stellte sich heraus, dass in der Klinik zwar interne Richtlinien existierten, die einen Versand an Drittbehandler ohne explizite Einwilligung untersagten, diese jedoch in der Praxis umgangen wurden. Besonders kritisch bewertete das ULD die technische Infrastruktur des Krankenhauses: Das installierte System wies eine Lücke auf, die den Versand von Berichten trotz fehlender Einwilligungserklärung technisch ermöglichte. Ein Mitarbeiter hatte diese Schwachstelle genutzt, um den Befund an den Hausarzt zu übermitteln – mit der medizinischen Begründung, einen Informationsverlust zu verhindern.
Die Argumentation der Klinik, man habe nach dem „mutmaßlichen Willen“ der Patientin gehandelt, um die medizinische Nachsorge sicherzustellen, wies das ULD als rechtswidrig zurück. Die DSGVO sieht für die Verarbeitung hochsensibler Gesundheitsdaten nach Artikel 9 Abs. 1 eine klare Rechtsgrundlage vor, die im vorliegenden Fall ausschließlich durch eine informierte Einwilligung hätte geschaffen werden können. Ein eigenmächtiges Handeln der Ärzteschaft unter Umgehung des informationellen Selbstbestimmungsrechts der Patienten sei durch keine gesetzliche Ausnahme gedeckt.
Als Konsequenz aus dem Verfahren musste die Klinik ihre IT-Systeme nachbessern. Es wurden technische Sperren im Krankenhausinformationssystem (KIS) implementiert, die einen versehentlichen oder bewussten Versand ohne dokumentierte Einwilligung nun technisch unterbinden. Ergänzend wurden Warnhinweise für die Anwender geschaltet. Das ULD schloss das Verfahren mit einem deutlichen Hinweis ab: Zwar wurde im vorliegenden Einzelfall von einem Bußgeld abgesehen, doch bei einer bewussten Wiederholung drohen Sanktionen nach Artikel 83 DSGVO. Kliniken sind aufgefordert, ihre Mitarbeitenden regelmäßig zu sensibilisieren und sicherzustellen, dass technische und organisatorische Maßnahmen (TOM) der Sensibilität von Patientendaten gerecht werden.
