Zwar unterliegt der Rettungsdienst ebenso wie Ärzte und Krankenhäuser aufgrund der Verarbeitung von Gesundheitsdaten weitestgehend den strengen Schweigepflichts- und Datenschutzbestimmungen. Aus zahlreichen Gründen genießt deren Beachtung kein besonders hoher Stellenwert. Das Inkrafttreten der Datenschutzgrundverordnung – sowie deren Sanktionen – sollte den Beteiligten allerdings Anlass zum Nachdenken geben. Ein Appell nicht nur an Leitstellen, Durchführende und Hersteller.

Short summery: Due to the processing of health data, rescue services, doctors and hospitals are largely subject to strict confidentiality and data protection regulations. There are many reasons why their observance is not particularly important. However, the entry into force of the european general data protection regulation (EU GDPR) – as well as its sanctions – should give the parties concerned cause for reflection. An appeal not only to control centres, operators and manufacturers.

Thematisiert wird das Thema Datenschutz immer wieder im Hinblick auf die ärztliche Schweigepflicht und die in § 203 StGB kodifizierte Verletzung von Privatgeheimnissen. Einen guten Überblick über Datenschutz und Schweigepflicht bietet der Stuttgarter Oberstaatsanwalt Thomas Hochstein auf seiner Webseite; er führt anschaulich auf, wen § 203 StGB strafrechtlich erfasst. Die Realität ist allerdings nicht von besonders zahlreichen Strafverfahren geprägt. Dies mag seinen Grund darin haben, dass die Verletzung nach § 205 Abs. 1 StGB nur auf Antrag verfolgt wird und dieser nach § 77b Abs. 1 StGB innerhalb von drei Monaten zu stellen wäre. Und auch dem Datenschutz wurde bislang seitens des Gesetzgebers keine besondere Beachtung zuteil.

Warum also jetzt Datenschutz?

Ab dem 25.05.2018 findet die Datenschutzgrundverordnung (DSGVO) europaweit unmittelbare Anwendung, die Neufassung des Bundesdatenschutzgesetzes (BDSG) tritt in Kraft. Damit einher gehen einige Anforderungen einschließlich einer Risikofolgenabschätzung, der Dokumentation in einem Verfahrensverzeichnis sowie der Bestimmung des Datenschutzbeauftragten an diejenigen, die Daten verarbeiten. Sanktionen nach der DSGVO sollen „wirksam, verhältnismäßig und abschreckend sein.“ – so die Konzeption. Und damit sind wir beim Punkt.

Im Rettungsdienst werden zahlreiche Daten erhoben, verarbeitet, gespeichert und übertragen. So alarmiert die Rettungsleitstelle aufgrund eines Notrufs einen Rettungswagen. Teils erhält sie den Notruf von Dritten, beispielsweise der Polizei. Der Standort des nächsten Rettungswagens ist mancherorts bereits zu orten (und zu tracken). Er erhält über einen der verschiedenen Meldewege die Einsatzdaten, jedenfalls enthält dieser den Einsatzort und eine Kategorie des Notrufs. Teils überträgt die Leitstelle die Daten unmittelbar auf ein Display mit angeschlossenem Navigationsgerät, teils werden diese noch über einen abhörbaren Funkkanal übermittelt. Vor Ort erheben die Mitarbeiter des Rettungsdienstes weitere Daten des oder der Betroffenen. Manche verwenden bereits elektronische Notfallprotokolle; auch eine Speicherung in der Cloud ist nicht unüblich. Elektronische Notfalldatensätze werden bereits vorab an Krankenhäuser übertragen, Telenotärzte schalten sich live in das Geschehen ein. Je nach Einsatzgeschehen begehrt die Polizei weitere Auskünfte; im Nachhinein gesellen sich Anfragen der Abrechnungsstellen, der Krankenkassen, des Medizinischen Dienstes der Krankenkassen (MDK), der Patienten und Angehörigen mit der Bitte um Information dazu. Später erheben Ärztliche Leiter, Aufsichts- und Genehmigungsbehörden sowie staatliche und private Forschungsinstitute ihren Anspruch auf Einsatzleitdaten und Betroffenendaten zum Zwecke der Überwachung, zu statistischen Zwecken oder Forschungszwecken. Weitere Auskunftsbegehren sind hier nicht ausgeschlossen.

In diesem Zusammenhang stellen sich zahlreiche Fragen; einige Beispiele:

  • Welche Daten darf die Leitstelle überhaupt erheben und speichern?
  • Darf sie die Daten an Dritte (Angehörige) herausgeben und auf welchem Weg?
  • Ist die Datenspeicherung in der Cloud zulässig?
  • Hat der Patient Anspruch auf Einsicht in seine Notfalldaten?
  • Dürfen Daten elektronisch an das Krankenhaus übermittelt werden?
  • Hat der MDK einen Anspruch auf Einsicht?
  • Wie sicher sind die Daten in Medizinprodukten?
  • Ist ein Tracking der Fahrzeuge überhaupt zulässig?
  • Können Mitarbeiter oder Betriebsart die Standortbestimmung des Rettungswagens untersagen?

Wenn man sich überlegt, dass einige Rettungsdienstbereiche heute noch im analogen Funknetz Einsatzdaten übermitteln, digitale Notfallprotokolle zuweilen „abstürzen“ oder nicht übermitteln lassen, so kann man den Fragekatalog in Hinblick auf die Datensicherheit beliebig fortsetzen.

  • Welche Anforderungen bestehen an die Datensicherheit
  • Welche Anforderungen stellt die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)?

Doch Datenschutzkonzepte und Risikobewusstsein fehlen häufig ebenso wie die hierzu erforderlichen Mitarbeiterschulungen. Der Funk ist für Außenstehende im Einsatzgeschehen wahrnehmbar und verständlich, Einsatznotizen werden nicht geschreddert, Patientendaten liegen offen hinter der Windschutzscheibe, Einsätze werden in sozialen Netzen veröffentlicht. Selbst wenn sich ein Mitarbeiter oder ein Dozent für den Datenschutz engagiert:

Verfahrensverzeichnisse sind nicht erstellt, Datenschutzbeauftragte nicht bestimmt. Nicht selten erleben wir, dass diese Überlegungen selbst bei der Ausschreibung neuer Geräte ebenso wie in sonstigen Telemetrie- und IT-Projekten nur geringe Beachtung finden. Vertragliche Bestimmungen zum Datenschutz einschließlich Verträgen zur Auftragsdatenverarbeitung (ADV) existieren – mangels Kenntnis der Notwendigkeit – selten.

Was ist zu tun?

Wichtig ist ein Datenschutzkonzept. Dies sollte unter anderem Angaben über die erhobenen Daten, deren Kategorien und Empfänger sowie die Rechtsgrundlagen der Datenverarbeitung enthalten. Daten dürfen grundsätzlich nur mit Einwilligung des Betroffenen verarbeitet werden oder wenn ein Gesetz dies vorsieht. Die gesetzlichen Regelungen sind vielfältig und besonders im Gesundheitswesen in zahlreichen Spezialgesetzen – einschließlich den Landesrettungsdienstgesetzen und speziellen Bundesgesetzen – verstreut. Hier fällt es selbst Juristen in der Regel spätestens bei den Sozialgesetzbüchern schwer, den Überblick zu wahren.

Träger des Rettungsdienstes, Kostenträger sowie Durchführende müssen sich angesichts der zunehmenden Bedeutung des Datenschutzes zukünftig mit dem Thema beschäftigen, sich beraten lassen, Konzepte erstellen und diese dokumentieren. Nicht zu vergessen ist die Sensibilisierung der Mitarbeiter und deren Schulung auf den Datenschutz. Das Thema ist letztlich zu komplex, um es von einem unerfahrenen Mitarbeiter nebenbei abarbeiten zu lassen. Geschäftsführer und Vorstände müssen sich ihrer Risiken und gesetzlichen Pflichten bewusst sein, haften sie doch ohne vertragliche Bestimmungen selbst für einfachste Fahrlässigkeit unbegrenzt.


Wir beschäftigen uns seit Jahren mit dem Recht im Rettungsdienst. Als Dozent sowie Fachanwalt für Medizinrecht und Fachanwalt für Informationstechnologierecht habe ich einen Schwerpunkt im medizinischen Datenschutz. Hier berate ich Behörden wie Unternehmen unter anderem bei der Umsetzung datenschutzrechtlicher Vorgaben.