Nachfolgend haben wir einige Informationen zum Umgang mit Gesundheitsdaten für Sie zusammengestellt.

 

Der für AlsterText zuständige Datenschutzbeauftragte ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

 

EU-weit gültige Datenschutzrichtlinie:

Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

 

Datenschutzgesetze in Deutschland:

BDSG (Bundesdatenschutzgesetz)

LDSG (Landesdatenschutzgesetze)

 

Datenschutzgesetz in Österreich:

DSG 2000 (Datenschutzgesetz 2000)

 

Datenschutzgesetz in der Schweiz:

DSG (Bundesgesetz über den Datenschutz)

 

 

Vertraulichkeit der Patientendaten und Datenschutz

 

Der Patient hat einen Anspruch darauf, daß Arzt und Krankenhaus seine Unterlagen vertraulich behandeln. Diese ärztliche Schweigepflicht besteht auch gegenüber anderen Ärzten, die nicht in die Behandlung einbezogen sind. Für Zwecke der Leistungsabrechnung, der Sicherheit und Kontrolle sehen Gesetze einzelne Ausnahmen von der Schweigepflicht vor. Anderen Personen - auch Angehörigen und Seelsorgern - darf der Gesundheitszustand eines Patienten nur dann offenbart werden, wenn es seinem Willen entspricht. Dieser Wille kann ausdrücklich erklärt werden oder den Umständen zu entnehmen sein.
Der Patient hat darüber hinaus weitergehende Datenschutzrechte. Er muß benachrichtigt werden, wenn seine Angaben erstmals in einer Datei gespeichert werden, ohne daß ihm das erkennbar ist. Er kann über alle Informationen Auskunft verlangen, die zu seiner Person in einer Datei gespeichert sind einschließlich der Herkunft, des Speicherungszwecks und regelmäßiger Übermittlungsempfänger dieser Daten. Haben Arztpraxis oder Krankenhaus unrichtige Daten gespeichert, hat der Patient einen gesetzlichen Berichtigungsanspruch. Nach Ablauf der Aufbewahrungsfristen kann der Patient die Löschung seiner Daten verlangen. Der Patient hat schließlich einen datenschutzrechtlichen Anspruch darauf, daß Arzt und Krankenhaus seine gespeicherten Daten technisch und organisatorisch vor Zerstörung, Änderung und unbefugtem Zugriff schützen.

 

Quelle: www.kbv.de

 

Patientenrechte

 

Diese Darstellung befasst sich mit den datenschutzrelevanten Rechten, die Ihnen als Patienten im Verhältnis zu Ihrem Arzt zustehen.

Hierbei ist zwischen ambulanten Arztpraxen und privaten Kliniken auf der einen und kommunalen und Landeskliniken auf der anderen Seite zu unterscheiden. Für ambulante Praxen und private Kliniken findet das Bundesdatenschutzgesetz (BDSG) Anwendung, im öffentlich-rechtlichen Bereich (z.B. für Universitätskliniken und kommunale Krankenhäuser) das Landesdatenschutzgesetz (LDSG). Beide Gesetze finden Sie im Volltext auf der Homepage des Unabhängigen Landeszentrums für Datenschutz (ULD). Weitere gesetzliche Regelungen zum Verhältnis zwischen Arzt und Patient finden sich im Bürgerlichen Gesetzbuch (BGB), im Strafgesetzbuch (StGB) und in der Berufsordnung der Ärztekammer Schleswig Holstein (BO ÄK SH) bzw. in der Musterberufsordnung der Bundesärztekammer.

 

1.) Recht auf Auskunft und Einsicht in die Krankenunterlagen

 

Als Patient haben Sie das Recht, Einsicht in Ihre Krankenunterlagen zu nehmen. Ihr Arzt ist verpflichtet, Ihnen Auskunft über die zu Ihrer Person gespeicherten Daten zu erteilen. Soweit vertragliche Beziehungen zwischen Arzt und Patient bestehen, ergibt sich das Einsichtsrecht als vertragliches Nebenrecht. Anderenfalls folgt es aus § 810 BGB. Danach kann derjenige, der ein rechtliches Interesse daran hat, eine in fremdem Besitz befindliche Urkunde einzusehen, vom Besitzer die Gestattung der Einsichtnahme verlangen, wenn die Urkunde in seinem Interesse errichtet worden ist. Das Einsichtsrecht des Patienten findet sich zudem im ärztlichen Standesrecht (§ 10 Abs. 2 BO ÄK SH). In den Datenschutzgesetzen finden sich die einschlägigen Einsichts- und Auskunftsregelungen in § 34 BDSG bzw. § 27 LDSG.

Sie haben ein Recht auf Einsicht in Ihre Patientendokumentation, ohne dass Sie ein besonderes Interesse erklären oder nachweisen müssen. Damit können Sie die für Sie relevanten Gesundheitsdaten, insbesondere die ärztlichen Befunde erfahren. Das Einsichtsrecht erstreckt sich nach der Rechtsprechung und dem ärztlichen Berufsrecht nicht auf den Teil der Dokumentation, der rein subjektive Eindrücke und Wahrnehmungen des Arztes enthält (zur Akteneinsicht bei Psychiatrie-Unterlagen siehe Extradarstellung).

Sie können Ihr Einsichtsrecht auch wahrnehmen, indem Sie einen Arzt oder eine sonstige Person Ihres Vertrauens mit der Einsicht beauftragen. Sie können Kopien der Dokumentation von dem behandelnden Arzt anfordern. Es besteht grds. kein Anspruch auf Zusendung, wohl aber darauf, dass die Unterlagen bzw. Kopien bereitgehalten werden. In der Regel müssen Sie die anfallenden Kopierkosten tragen. Nach § 28 Abs. 3 Röntgenverordnung ist der untersuchten Person auf Wunsch eine Abschrift oder Ablichtung von Röntgenaufzeichnungen auszuhändigen. Durch die Weitergabe von medizinischen Unterlagen lassen sich bei einem Arztwechsel u.U. Doppeluntersuchungen und damit verbundene Belastungen und Kosten vermeiden. Ein Recht auf ersatzlose Herausgabe von Patientenunterlagen sieht unser Recht nicht vor. Es stünde in Widerspruch zur ärztlichen Dokumentationspflicht. Eine Überlassung der Orginalunterlagen zur Einsicht ist aber u.U. möglich.

Das Einsichtsrecht kann in Ausnahmefällen eingeschränkt sein, unter anderem, wenn Rechte anderer in die Behandlung einbezogener Personen (z.B. Angehörige, Freunde) berührt werden. Diese Einschränkung ist vom Arzt zu begründen.

 

2.) Benachrichtigung

 

Ihr Arzt ist verpflichtet Sie zu informieren, wenn erstmals Ihre personenbezogenen Daten gespeichert werden. Eine gesonderte Benachrichtigung ist nicht erforderlich, wenn Sie auf andere Weise von der Speicherung Kenntnis erhalten. Dies ist insbesondere der Fall, wenn Sie als Patient bei dem Arzt in direkter Behandlung sind. Gesetzlich geregelt ist die Benachrichtigungspflicht in § 33 BDSG bzw. § 26 Abs. 3 LDSG.

Wenn Ihr Arzt Ihre Daten an Dritte übermitteln will, ist er verpflichtet, Sie zu informieren (vgl. § 9 Abs. 2 S. 3 BO ÄK SH) bzw. Ihre Einwilligung einzuholen. Die zu beachtenden Anforderungen an eine Erklärung über die Entbindung von der Schweigepflicht finden Sie auf dieser Website.

Eine Benachrichtung ist nicht zwingend, wenn eine gesetzliche Offenbarungsbefugnis vorliegt (z.B. Abrechnung mit Krankenkassen). Wenn Sie von mehreren Ärzten gleichzeitig oder nacheinander untersucht oder behandelt werden, so ist eine ausdrückliche Information nicht nötig, wenn Ihr Einverständnis anzunehmen ist (vgl. § 9 Abs. 4 BO ÄK SH).

 

3.) Berichtigung

 

Sollten unrichtige personenbezogene Daten über Sie gespeichert sein, so haben Sie gemäß § 35 BDSG/§ 28 LDSG einen Anspruch auf Korrektur der Fehler.

Werden Daten zu Dokumentationszwecken gespeichert, besteht nach § 35 Abs. 6 BDSG kein Anspruch auf Berichtigung, Sperrung oder Löschung der Daten. Dies ist bei Behandlungsunterlagen wegen der Dokumentationspflicht der Arztes zu Beweiszwecken regelmäßig der Fall (§ 10 BO ÄK SH). Sie können jedoch eine Gegendarstellung verfassen, die den Daten beigefügt werden und stets mit übermittelt werden muss.

 

4.) Löschung

 

Patientendaten sind nach § 35 BDSG/§ 28 LDSG zu löschen, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist. In der Regel ist dies bei Patientenunterlagen nach zehn Jahren der Fall (§ 10 Abs. 3 BO ÄK SH). Zivilrechtliche Ansprüche gegen den Arzt verjähren in der Regel nach 30 Jahren. Danach besteht für Beweissicherungszwecke i.d.R. keine Notwendigkeit mehr und damit auch kein Grund mehr für eine Speicherung. Verlangen Sie als Patient nach Ablauf der 10 Jahre die Vernichtung Ihrer Unterlagen, so wird der Arzt i.d.R. diesem Wunsch entsprechen. Dies hat aber für Sie zur Folge, dass die Unterlagen für Beweiszwecke nicht mehr zur Verfügung stehen. Im Einzelfall kann es sinnvoll sein, medizinische Daten länger zu speichern, z.B. um Erbkrankheiten über Generationen hinweg zu dokumentieren und zu behandeln. Hierfür bedarf es aber Ihrer ausdrücklichen Einwilligung.

 

5.) Widerspruch/Einwand

 

Nach § 35 Abs. 5 BDSG bzw. § 29 LDSG haben Sie das Recht, unter (möglichst schriftlichem) Hinweis auf persönliche Gründe gegen die Verarbeitung Ihrer Daten einen Widerspruch bzw. Einwand zu erheben. Voraussetzung ist das Vorliegen eines besonderen schutzwürdigen Interesses, welches das Interesse an der Datenverarbeitung überwiegt. Zu denken ist beispielsweise an den Fall, dass eine amtsärztliche Untersuchung zwar rechtmäßig angeordnet wird, Sie aber als Betroffener einwenden, der Amtsarzt gehöre zu Ihrem persönlichen Bekanntenkreis und eine parteiische Begutachtung sei zu befürchten. In solchen Fällen haben Sie die Möglichkeit, wegen der besonderen persönlichen Gründe gegen die vorgesehene Datenerhebung den Einwand geltend zu machen. Die Stelle, gegenüber der der Einwand erhoben wird, hat darüber zu befinden, ob im Einzelfall Ihr Interesse überwiegt. Im Beispielsfall wird dies in der Regel der Fall sein, da die Möglichkeit besteht, einen anderen Amtsarzt heranzuziehen.

 

6.) Schadensersatz

 

§ 7 BDSG bzw. § 30 LDSG räumen demjenigen, dem durch die unrichtige oder unzulässige Verarbeitung seiner personenbezogenen Daten ein Schaden entsteht, einen Anspruch auf Schadensersatz gegen die verantwortliche Stelle, also den Arzt oder die Klinik, ein, ohne dass ein Verschuldensnachweis nötig wäre. Ist ein Verschulden der Mitarbeiter der Stelle nachweisbar, kommt zusätzlich ein Anspruch nach § 823 BGB in Betracht.

 

7.) Anrufung Kammer/ULD

 

Ihnen steht es frei, sich an das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein (bzw. in einem anderen Bundesland an den jeweiligen Landesbeauftragten für Datenschutz/Datenschutzkontrollinstanz) oder an die Ärztekammer bzw. Zahnärztekammer zu wenden, wenn sich Fragen hinsichtlich des Schutzes Ihrer Daten nicht gemeinsam mit dem behandelnden Arzt bzw. der Einrichtung klären lassen (§ 7 Abs. 1 Heilberufegesetz, § 40 LDSG), z.B. wenn Ihnen die Einsicht in Ihre Patientenakte vorenthalten wird. Diese Stellen können sich vermittelnd einschalten; sie sorgen sich um die Sicherung Ihrer Rechte als Patient.

 

8.) Strafanzeige

 

Nach § 203 Strafgesetzbuch (StGB) droht einem Arzt oder Zahnarzt oder ärztlichem Personal für das unbefugte Offenbaren eines Patientengeheimnisses Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Patientendaten sind naturgemäß sehr sensible Informationen, an deren Geheimhaltung Sie als Patient ein begründetes Interesse haben. Befugt ist eine Offenbarung, wenn eine wirksame Einwilligung in die Offenbarung oder eine gesetzliche Rechtfertigung besteht.

Zu beachten ist, dass es sich bei § 203 StGB gem. § 205 StGB um ein so gen. Antragsdelikt handelt. Das heißt, Polizei und Staatsanwaltschaft werden nur auf Antrag und nicht von sich aus tätig. Ein solcher Antrag ist nach § 77 b StGB innerhalb einer Frist von drei Monaten zu stellen. Dies geschieht in der Regel mit der Anzeige der Tat bei der Polizei oder der Staatsanwaltschaft.

 

Quelle: www.datenschutzzentrum.de

Patientendatenschutz im Krankenhaus

 

Rechtsgrundlagen
1. Allgemeines

Patientendatenschutz bedeutet, dass Patienten vor einer unzulässigen Verarbeitung ihrer personenbezogenen Daten, insbesondere über ihren Gesundheitszustand, geschützt werden. Die Patienten sollen sich vertrauensvoll an einen Arzt bzw. in ein Krankenhaus zum Zweck einer Untersuchung oder Behandlung begeben können ohne fürchten zu müssen, dass die Informationen, die sie zum Zweck der Behandlung über sich offenlegen, zu ihrem Schaden oder Nachteil genutzt werden. Daten über den Gesundheitszustand sind äußerst sensible Daten mit starkem Bezug zur Privat- und Intimsphäre. Sie geben Auskunft über seelische und körperliche Leiden, Eigenschaften und Dispositionen; sie haben über die Persönlichkeit des Menschen eine hohe Aussagekraft.

Im Krankenhaus werden große Mengen aus Patientendaten verarbeitet. Dadurch, dass ein Krankenhaus ein in starkem Maße arbeitsteiliger Betrieb ist, müssen viele Mitarbeiter Informationen über den Patienten erhalten, um diesen bestmöglich medizinisch versorgen zu können. Schon bei der Untersuchung und dann bei der Therapie, der Pflege und der Nachsorge wird die Behandlung durch elektronische Datenverarbeitung (EDV) unterstützt. Das Massengeschäft der Verwaltung der Patientendaten von der Aufnahme bis zur Abrechnung der Kosten ist ohne EDV gar nicht mehr denkbar. Bei der Verarbeitung der großen Mengen von sensiblen Patientendaten durch eine Vielzahl von Personen ist besondere Sorgfalt nötig.

Patientendatenschutz muss integraler Bestandteil der Aus- und Fortbildung der Krankenhausmitarbeiter sein. Zugleich muss die Organisation des Krankenhauses insgesamt darauf ausgerichtet sein, den Patientendatenschutz zu beachten. Hierfür muss jedes Krankenhaus ein eigenes Krankenhaus-Datenschutzmanagement einrichten. Die Patienten sind im Krankenhaus hilfsbedürftig. In dieser Situation sind sie oft nicht in der Lage, die Einhaltung ihrer Rechte durchzusetzen. Aus Furcht, ihre optimale Behandlung könnte gefährdet werden, werden sie sich bei der Kritik am Umgang mit ihren Daten zurückhalten. Um so wichtiger ist es, dass das Krankenhaus von sich aus die Einhaltung des Datenschutzes als eine zentrale Aufgabe ansieht.

Es gibt keine einheitlichen Rechtsgrundlagen für den Patientendatenschutz. Vielmehr müssen nebeneinander die Regelungen des allgemeinen und speziellen Datenschutzrechts und die Regelungen zum medizinischen Standesrecht mit der Verpflichtung zur ärztlichen Schweigepflicht angewendet werden. Dies macht den Patientendatenschutz unübersichtlich und kompliziert. Da aber sowohl das ärztliche Berufsrecht wie das Datenschutzrecht weitgehend den gleichen Schutzzweck verfolgen, lassen sich die beiden Rechtsgebiete zumeist gut miteinander in Einklang bringen.

2. Ärztliches Berufsrecht

Die ärztliche Schweigepflicht war schon lange vor unserer Zeitrechnung als berufsständischer Kodex in Indien und Ägypten bekannt. Sie ist auch im europäischen Rechtskreis als Hippokratischer Eid von ca. 400 vor Christus Geburt die älteste bekannte Datenschutzregelung, die wir kennen:

Was immer ich sehe und höre bei der Behandlung oder außerhalb der Behandlung im Leben der Menschen, so werde ich von dem, das niemals nach draußen ausgeplaudert werden soll, schweigen, indem ich alles Derartige als solches betrachte, das nicht ausgesprochen werden darf.

Diese standesrechtliche Regel wurde bis heute fortgeschrieben und findet sich nun in den Berufsordnungen der Landes-Ärztekammern in moderner Formulierung wieder. Diese Berufsordnungen basieren als Kammersatzungen auf den Landes-Heilberufegesetzen (z. B. § 31 HeilberufeG SH) und sind inhaltlich auf eine Musterberufsordnung (MBO-Ä) zurückzuführen, die von der Bundesärztekammer 1997 vorgegeben wurde.

    § 9 MBO-Ä regelt die ärztliche Schweigepflicht.

    (1) Der Arzt hat über das, was ihm in seiner Eigenschaft als Arzt anvertraut oder bekannt geworden ist - auch über den Tod des Patienten hinaus - zu schweigen. Dazu gehören auch schriftliche Mitteilungen des Patienten, Aufzeichnungen über Patienten, Röntgenaufnahmen und sonstige Untersuchungsbefunde.

    (2) Der Arzt ist zur Offenbarung befugt, soweit er von der Schweigepflicht entbunden worden ist oder soweit die Offenbarung zum Schutz eines höherrangiges Rechtsgutes erforderlich ist. Gesetzliche Aussage- und Anzeigepflichten bleiben unberührt. Soweit gesetzliche Vorschriften die Schweigepflicht des Arztes einschränken, soll der Arzt den Patienten darüber unterrichten.

    (3) Der Arzt hat seine Mitarbeiter und die Personen, die zur Vorbereitung auf den Beruf an der ärztlichen Tätigkeit teilnehmen, über die gesetzliche Pflicht zur Verschwiegenheit zu belehren und dies schriftlich festzuhalten.

    (4) Wenn mehrere Ärzte gleichzeitig oder nacheinander den selben Patienten untersuchen oder behandeln, so sind sie untereinander von der Schweigepflicht insoweit befreit, als das Einverständnis des Patienten vorliegt oder anzunehmen ist.

    Vgl. § 9 Berufsordnung der Ärztekammer Schleswig-Holstein (BO ÄK SH)

Diese standesrechtliche ärztliche Schweigepflicht wird auch Arztgeheimnis bzw. richtiger Patientengeheimnis genannt. Das Patientengeheimnis ist gemeinsam mit anderen beruflichen Schweigepflichten gesetzlich im Strafgesetzbuch (StGB) festgelegt worden.

    § 203 StGB Verletzung von Privatgeheimnissen

    (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis ... offenbart, das ihm

    1. als Arzt, Zahnarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatliche Ausbildung erfordert, ...

    anvertraut worden oder sonstwie bekannt geworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. ...

    (3) Den in Absatz 1 Genannten stehen ihre berufsmäßig tätigen Gehilfen und die Personen gleich, die bei ihnen zur Vorbereitung auf den Beruf tätig sind. Den in Absatz 1 und den in Satz 1 und 2 Genannten steht nach dem Tod des zur Wahrung des Geheimnisses Verpflichteten ferner gleich, wer das Geheimnis von dem Verstorbenen oder aus dessen Nachlass erlangt hat.

    (4) Die Absätze 1 bis 3 sind auch anzuwenden, wenn der Täter das fremde Geheimnis nach dem Tod des Betroffenen unbefugt offenbart.

    ...

Die Verpflichtung zur Verschwiegenheit sowie weitere Pflichten beim Umgang mit Patientendaten ergeben sich zudem aus dem Krankenhausvertrag. Dieser kommt bei Privatpatienten direkt zwischen dem Träger des Krankenhauses und dem Patienten zustande. Bei Kassenpatienten wird dieser Vertrag zwischen dem Krankenhausträger und der gesetzlichen Krankenversicherung zugunsten des Patienten abgeschlossen (§§ 611, 328 Bürgerliches Gesetzbuch (BGB)).

Der Krankenhausvertrag hat verschiedene selbständige Bestandteile, die auch eigene Zwecke im Sinne des Datenschutzrechtes begründen. Im Vordergrund steht der Behandlungsvertrag und der Vertrag über die Unterbringung und Versorgung (sog. Hotelbetrieb). Unter Umständen werden separat weitere Leistungen erbracht (z. B. Telefonanschluss, soziale Beratung).

Mit einem bewusstlos eingelieferten Notfallpatienten kommt kein Behandlungsvertrag zustande. In diesem Fall gelten die Regeln der berechtigten Geschäftsführung ohne Auftrag (§ 677 ff. BGB).

3. Allgemeines Datenschutzrecht

Neben dem ärztlichen Berufsrecht ist bei der Verarbeitung von Patientendaten das Datenschutzrecht anzuwenden. Welches Datenschutzrecht anzuwenden ist, hängt von der Rechtsform des Trägers des jeweiligen Krankenhausbetriebes ab:

Auf Krankenhäuser in privater Trägerschaft ist das Bundesdatenschutzgesetz (BDSG) anzuwenden, und zwar dort vor allem der erste und der dritte Abschnitt (§§ 1-11, 27-38a BDSG)

Krankenhäuser mit öffentlich-rechtlicher Trägerschaft auf Landesebene unterliegen dem jeweiligen Landesdatenschutzrecht. Dies ist z. B. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH). Hierzu gehören die Krankenhäuser der Gemeinden und Kreise sowie die Universitätskliniken. Krankenhäuser mit öffentlich-rechtlicher Trägerschaft auf Bundesebene unterliegen dem BDSG, und zwar vor allem dem dortigen ersten und zweiten Abschnitt (§§ 1-11, 12-26 BDSG). Dies ist z. B. der Fall bei Bundeswehrkrankenhäusern oder Kliniken von länderübergreifenden Sozialversicherungsträgern.

Für Einrichtungen der öffentlich-rechtlichen Religionsgesellschaften gelten eigene kirchliche Datenschutzbestimmungen. Zum Teil gibt es bei den Religionsgesellschaften krankenhausspezifische Datenschutznormen.

In einigen Bundesländern (Bayern, Berlin, Hamburg, Hessen, Mecklenburg-Vorpommern, Rheinland-Pfalz, Thüringen, Saarland) gibt es ergänzend zum allgemeinen Datenschutzrecht Krankenhausgesetze, in denen die Voraussetzungen und Grenzen des Umgangs mit Patientendaten spezifisch geregelt sind. In Nordrhein-Westfalen gibt es ein Gesundheitsdatenschutzgesetz, das auch auf Krankenhäuser anwendbar ist. Bremen hat sogar ein Krankenhausdatenschutzgesetz, Brandenburg hat eine Krankenhausdatenschutzverordnung. In Schleswig-Holstein gibt es kein Krankenhausgesetz mit Regelungen zur Datenverarbeitung.

In der folgenden Darstellung werden die Regelungen des BDSG für den privaten Bereich zu Grunde gelegt; die für öffentliche Krankenhäuser in Schleswig-Holstein geltenden Regelungen des dortigen Landesdatenschutzgesetzes (LDSG SH) werden ergänzend erwähnt. Die Regelungen in den anderen Datenschutzgesetzen entsprechen weitgehend diesen Vorgaben.

Generell gilt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten (nur dann) zulässig ist, soweit ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Erlaubt ist auch die Datenverarbeitung, wenn der Betroffene einen Vertrag abschließt und die Verarbeitung zur Durchführung dieses Vertrages erforderlich ist. Der Behandlungsvertrag zwischen Patient und Krankenhaus ist so die wesentliche Grundlage für die Patientendatenverarbeitung durch das Krankenhaus (§§ 4 Abs. 1, § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 11 Abs. 1, Abs. 3 S. 1, Abs. 5 S. 2 LDSG SH).

4. Spezielles Datenschutzrecht

Neben dem allgemeinen Datenschutzrecht gibt es eine Vielzahl von bereichsspezifischen Datenschutzgesetzen, die bei der Verarbeitung von Patientendaten in Krankenhäusern zur Anwendung kommen können.

Das insofern wohl wichtigste Gesetz ist das Sozialgesetzbuch V (SGB V), das die Abrechnung und die Abrechnungskontrolle der Krankenhauskosten für gesetzlich Versicherte über die Krankenkassen regelt. Dort ist u. a. geregelt, welche Daten vom Krankenhausträger zu Abrechnungszwecken an die Krankenkassen zu übermitteln sind (§ 301 SGB V). Ebenso ist dort geregelt, welche Daten an den Medizinischen Dienst der Krankenversicherung (MDK) weitergegeben werden dürfen bzw. müssen, damit dieser die Notwendigkeit und Dauer der stationären Behandlung prüfen kann (§§ 275, 276 Abs. 4 SGB V). Ergänzend zu den Regelungen des SGB V sind die allgemeinen Vorschriften zum Sozialgeheimnis sowie zum Sozialdatenschutz heranzuziehen (§ 35 SGB I, §§ 67 - 85a SGB X). Die Auskunftspflicht des Arztes bzw. von Leistungsträgern untereinander ist im Sozialgesetzbuch X (SGB X) geregelt (§§ 96, 100, 101 SGB X).

Daneben gibt es eine Vielzahl von Gesetzen für spezifische medizinische, auch krankenhausrelevante Anwendungsbereiche auf Bundes- und auf Landesebene:

Bundesebene:

    * sonstige Sozialgesetzbücher (z. B. SGB XI - Pflegeversicherung)
    * Krankenhausfinanzierungsgesetz
    * Bundespflegesatzverordnung
    * Krankenhausstatistikverordnung
    * Röntgenverordnung
    * Strahlenschutzverordnung
    * Infektionsschutzgesetz
    * Transfusionsgesetz
    * Transplantationsgesetz

Landesebene:

    * Krebsregistergesetze
    * Psychisch-Kranken-Gesetze (PsychKG)
    * Maßregelvollzugsgesetze (MVollzG)
    * Gesundheitsdienstgesetze (GDG)

II. Verantwortung für den Patientendatenschutz

Etwas verwirrend ist, dass die Verantwortung für die Beachtung des Patientendatenschutzes im ärztlichen Standesrecht und Strafrecht einerseits und im Datenschutzrecht andererseits unterschiedlich geregelt sind.

1. Verantwortlichkeit nach dem Standes- und dem Strafrecht

Nach dem Standesrecht bzw. dem Strafrecht ist der ärztliche Leiter höchstpersönlich für die Wahrung des Patientengeheimnisses verantwortlich. Während dies im ambulanten Behandlungsbereich, relativ einfach geregelt, der behandelnde Arzt ist, ist dies im Krankenhaus letztendlich der Ärztliche Direktor des Krankenhauses. Dieser delegiert seine Aufgaben an die ärztlichen Leiter der jeweiligen Abteilungen des Krankenhauses oder an die ärztlichen Leiter der Stationen.

Sämtliche weiteren Personen, die bei der Untersuchung und Behandlung beteiligt sind, werden als sog. berufsmäßig tätige Gehilfen des jeweiligen ärztlichen Leiters tätig. Diese "Hilfspersonen" unterliegen im Hinblick auf das Patientengeheimnis der Weisung des ärztlichen Leiters. Dabei spielt es keine Rolle, welche Aufgabe sie wahrnehmen. Gehilfen sind z. B. die Mitarbeiter

    * des Pflegedienstes,
    * der Apotheke,
    * der Krankenhausverwaltung,
    * des Krankenhausarchivs,
    * der EDV-Abteilung.

Voraussetzung für die Gehilfentätigkeit ist, dass diese im Rahmen der Krankenhausorganisation gegenüber der ärztlichen Leitung weisungsgebunden sind.

Die Gehilfen sind in ihrem jeweiligen Bereich selbst höchstpersönlich auch strafrechtlich für die Wahrung der Schweigepflicht verantwortlich (203 Abs. 3 S. 2 StGB).

2. Verantwortlichkeit nach dem Datenschutzrecht

Adressat des Datenschutzrechtes ist nicht der Arzt bzw. der Angehörige des Heilberufs persönlich, sondern die Daten verarbeitende Stelle bzw. gemäß der Terminologie des BDSG die verantwortliche Stelle (§§ 2 Abs. 3 LDSG SH, § 3 Abs. 7 BDSG). Verantwortliche Stelle ist der jeweilige juristische Träger des Krankenhauses. Dies kann im privaten Bereich eine Einzelperson sein. In der Regel ist es aber eine Gesellschaft (GmbH, AG, KG, Genossenschaft). Im öffentlichen Bereich kann die Trägerschaft bei einem Kreis, einer Kommune, einer Universität, einer Anstalt des öffentlichen Rechts, einer Verwaltungsgemeinschaft oder beim Land liegen.

3. Sonderfall: Chefarzt und Belegarzt

Eine Besonderheit besteht bei Belegärzten sowie im Fall einer Chefarztbehandlung. Beleg- und Chefärzte nehmen die Dienstleistungen und die Infrastruktur des Krankenhauses in Anspruch, ohne dass damit die Verantwortlichkeit auf das Krankenhaus überginge. Hier liegt die standes- bzw. strafrechtliche Verantwortlichkeit nicht beim ärztlichen Direktor des Krankenhauses, sondern beim Belegarzt bzw. Chefarzt selbst. Der ärztliche Direktor ist insofern nicht weisungsberechtigt. Auch datenschutzrechtlich liegt die Verantwortung nicht beim Krankenhausträger, sondern beim Beleg- bzw. Chefarzt.

Werden Bedienstete des Krankenhauses im Rahmen einer Belegarzt- bzw. Chefarztbehandlung tätig, so unterliegen sie sowohl standes- wie auch datenschutzrechtlich ausschließlich als Gehilfen des jeweiligen Belegarztes bzw. Chefarztes dessen Weisungen.

Wegen der unterschiedlichen Verantwortlichkeit von Chef- und Belegärzten muss deren Datenverarbeitung von der des Krankenhauses grundsätzlich getrennt erfolgen.

4. Sonderfall: Gemeinschaftsklinik

Eine weitere Besonderheit liegt dann vor, wenn mehrere Ärzte gemeinsam und gleichberechtigt eine Klinik betreiben und diese als Gemeinschaftsklinik organisiert haben. Diese Besonderheit muss nach Außen, also insbesondere gegenüber den Patientinnen und Patienten eindeutig erkennbar sein. Ähnlich einer ambulanten Gemeinschaftspraxis werden in diesem Fall sämtliche Ärzte als Teil eines Behandlungsteams angesehen. Die datenschutzrechtliche Verantwortlichkeit liegt bei der Gesellschaft, die die Ärzte miteinander eingegangen sind.

III. Datenerhebung, -speicherung und -nutzung

Patientendaten unterliegen traditionell dem besonderen Schutz des Patientengeheimnisses. Nach der Anpassung des allgemeinen Datenschutzrechtes an die Europäische Datenschutzrichtlinie (EU-DSRL) wurden auch in das allgemeine Datenschutzrecht Regelungen aufgenommen, die Patientendaten einem besonderen Schutz unterwerfen (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. EG Nr. L 281/31 vom 23.11.1995 (Art. 8 EU-DSRL)).

Im BDSG wurde 2001 die neue Kategorie der besonderen Arten personenbezogener Daten eingeführt. Dies sind "Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben" (Art. 8 Abs. 1 EU-DSRL, § 3 Abs. 9 BDSG, § 11 Abs. 3 LDSG SH).

1. Datenerhebung bei der Aufnahme

Personenbezogene Daten sind generell beim Betroffenen zu erheben. Dabei ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle zu unterrichten über

    * die Identität der verantwortlichen Stelle
    * die Zweckbestimmung der Verarbeitung
    * die Kategorien der Datenempfänger.

Der Betroffene ist bei der Datenerhebung auf die zugrunde liegende Rechtsvorschrift, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Sofern erforderlich, ist er über die Folgen der Verweigerung aufzuklären (§ 4 Abs. 2 S. 1, Abs. 3 BDSG, § 13 Abs. 1 S. 1, 26 Abs. 1 LDSG SH).

Bei der Aufnahme in das Krankenhaus werden zahlreiche personenbezogene Daten erhoben. Zulässig sind nur die Daten, die für die Behandlung und Abrechnung erforderlich sind. Hierzu gehören Angaben zur Identifizierung (Name, Geburtsdatum), zur Erreichbarkeit (Adresse) und zur Krankenversicherung. Nicht erforderlich sind in der Regel folgende in Aufnahmeformularen oft routinemäßig abgefragten Daten: Geburtsort, Nationalität, Religionszugehörigkeit, Familienstand, Kinderzahl, Beruf, Arbeitgeber, Personalausweis- und Passnummer. Angaben zu Telefon, Konfession oder Angehörigen sind nicht erforderlich, aber unter Umständen nützlich. Diese Angaben sollten im Aufnahmeformular als "freiwillig" gekennzeichnet werden.

Erfolgt eine Krankenhausaufnahme zwangsweise auf Grund einer gesetzlichen Regelung, so richtet sich auch hier der Umfang der zulässig erhobenen Daten an der Erforderlichkeit:

    * Unterbringung in einem psychiatrischen Krankenhaus bzw. in einer Entziehungsanstalt durch Strafgericht wegen fehlender bzw. verminderter Schuldfähigkeit (§ 63, 64 StGB, 126a StPO, § 7 PsychKG SH)
    * Unterbringung eines Betreuten zu dessen eigenem Wohl (§ 1906 BGB i.V.m. §§ 70 ff. FGG)
    * Unterbringung nach Landesverwaltungsgesetz (§§ 178 ff LVwG)

2. Umfang des Patientengeheimnisses

Mit dem Patientengeheimnis werden verschiedene Schutzzwecke verfolgt. Vorrangig geht es um den Schutz der Vertrauensbeziehung zwischen Arzt und Patient. Das Patientengeheimnis dient damit auch dazu, die effektive Berufsausübung des Arztes zu schützen. Mit ihm wird das Recht auf informationelle und medizinische Selbstbestimmung des Patienten gewahrt. Das Bundesverfassungsgericht hat aber auch zum Ausdruck gebracht, dass das Patientengeheimnis generell Voraussetzung für die Aufrechterhaltung einer leistungsfähigen Gesundheitsfürsorge ist (BVerfGE 32, 379 f.= NJW 1972, 1123 f., Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, Art. 12 GG).

Geheimnisse sind Tatsachen, die nur einem beschränkten Personenkreis bekannt sind und an deren Geheimhaltung derjenige, den sie betreffen, ein begründetes Interesse hat. Voraussetzung ist nicht, dass der Patient das Geheimnis kennt. Auch eine diesem gegenüber verschwiegene Krankheit ist ein solches Geheimnis. Erst wenn eine Tatsache einer nicht mehr überschaubaren Zahl von Personen bekannt ist, kann man nicht mehr von einem Geheimnis sprechen.

Das Patientengeheimnis umfasst alle Informationen, die mit der ärztlichen Behandlung in Zusammenhang stehen. Dazu gehört die Art der Krankheit, deren Verlauf, Anamnese, Diagnose, Therapie und Prognose, körperliche und geistige Feststellungen, gehören Patientendaten in Akten und auf elektronischen Datenträgern, Untersuchungsmaterial und Untersuchungsergebnisse. Dazu gehören aber auch sämtliche im Rahmen der Behandlung bekannt gemachten Angaben über persönliche, familiäre, berufliche, wirtschaftliche und finanzielle Gegebenheiten, auch wenn diese keinen direkten Bezug zu einer Krankheit haben. Schon der Name oder die Tatsache der Behandlung des Patienten stellt ein Patientengeheimnis dar. Geschützt werden auch Informationen über Dritte, die der Patient dem Arzt anvertraut.

Erfasst werden nur die Informationen, die dem Arzt in dessen Eigenschaft und Funktion anvertraut oder sonst bekannt geworden sind. Dabei spielt es keine Rolle, ob die Kenntniserlangung mündlich, schriftlich, durch Augenschein oder auf sonstige Weise erfolgte. Es genügt, wenn durch die ärztliche Berufsausübung die Möglichkeit der Kenntnisnahme entstanden ist, etwa durch beiläufige Bemerkungen des Patienten. Erfasst werden auch schon Kenntnisse, die bei der Anbahnung des Behandlungsverhältnisses erlangt wurden.

Offenbaren ist jede Mitteilung des Geheimnisses an einen Dritten. Dies erfolgt bei einer mündlichen Mitteilung durch Kenntnisnahme des Dritten. Schon das Einräumen der Kenntnisnahme für einen Dritten genügt, wenn dem Dritten auch nur zeitweilig die Verfügungsmöglichkeit eingeräumt wird, z. B. durch Liegenlassen einer Akte oder durch Ermöglichung des elektronischen Zugriffs auf eine Speicherung. Offenbaren kann auch durch Unterlassen erfolgen, wenn der Arzt seine Patientendaten unbeaufsichtigt lässt.

3. Datenspeicherung im Behandlungsbereich

Dem Arzt obliegt nach Standesrecht die vollständige Dokumentation des Behandlungsgeschehens:

    § 10 Abs. 1 BO ÄK SH/MBO-Ä
    Dokumentationspflicht:

    Der Arzt hat über die in Ausübung seiner Berufs gemachten Feststellungen und getroffenen Maßnahmen die erforderlichen Aufzeichnungen zu machen. Diese sind nicht nur Gedächtnisstützen für den Arzt, sie dienen auch dem Interesse des Patienten an einer ordnungsgemäßen Dokumentation.

Der Arzt ist also nicht nur berechtigt personenbezogene Behandlungsdaten zu speichern, sondern hierzu verpflichtet. Diese Obliegenheit ergibt sich auch aus dem Behandlungsvertrag und ist Bestandteil einer fachgerechten Behandlung.

Das Patientengeheimnis hat zur Folge, dass nur die Personen Kenntnis von Behandlungsdaten erhalten dürfen, die diese im Rahmen des Behandlungsvorganges benötigen. Das Patientengeheimnis ist allumfassend; es gilt auch gegenüber in § 203 StGB genannten Personen und deren berufsmäßig tätigen Gehilfen.

    Die Schweigepflicht gilt auch gegenüber anderen Schweigepflichtigen. Die nicht erforderliche Weitergabe bzw. Offenbarung von Patientengeheimnissen an andere Ärzte oder Angehörige eines Heilberufes ist unzulässig.

Krankenhauspatienten nehmen ein umfassendes Leistungspaket in Anspruch, das aus ärztlichen und pflegerischen Leistungen sowie der Unterbringung und Versorgung besteht. Sie wissen, dass sie von einem ärztlich geleiteten Team mit vielen Hilfspersonen betreut werden. Im Interesse ihrer Gesundung vertrauen sie sich nicht nur dem Arzt, sondern auch dessen Team an. Erforderliche Informationsweitergaben innerhalb dieses Teams tangieren nicht den geschützten Lebens- und Geheimnisbereich des Patienten. Der Patient vertraut sich allen dem Krankenhaus angehörigen Personen an, deren Einschaltung im Interesse einer ordnungsgemäßen, umfassenden und effektiven Behandlung erforderlich ist. Er rechnet damit, dass alle diejenigen Hilfskräfte des Arztes, die typischerweise in den Behandlungsablauf integriert sind, im Rahmen des Erforderlichen Kenntnis von seinen Daten erhalten.

Der Patient muss aber nicht damit rechnen, dass darüber hinausgehend Beschäftigte des Krankenhauses seine Patientengeheimnisse zur Kenntnis bekommen. Die Speicherung der Behandlungsdaten hat daher so zu erfolgen, dass der Zugriff auf die Behandlungsdaten nur Personen erlaubt ist, die diese Daten für die Behandlung benötigen.

4. Datenweitergaben im Rahmen der Behandlung

    *
      an Gehilfen

Die Mitteilung von Patientendaten innerhalb des Krankenhauses im Rahmen der Behandlung, zur Abwicklung des Behandlungsvertrages sowie zur Patientendokumentation stellt keine unbefugte Offenbarung von Patientengeheimnissen und keine unzulässige Datenweitergabe dar. Voraussetzung ist, dass die Krankenhausmitarbeiter hinsichtlich der Datenverarbeitung den Weisungen des ärztlichen Direktors bzw. des leitenden Arztes unterliegen und die Mitteilung der Daten im Rahmen des Behandlungsverhältnisses erforderlich ist. Diese Datennutzung durch berufsmäßig tätige Gehilfen bewegt sich im Rahmen der datenschutzrechtlichen Zweckbindung.

    * an die Krankenhausverwaltung und den eigenen

Zur Behandlung gehört nicht nur die engere medizinische Betreuung. Dazu gehören auch alle Maßnahmen zur Vorbereitung und zur Abwicklung des Behandlungsvertrages. Insofern werden die Pförtner, die Pflegekräfte, die EDV-Schreibkräfte, die Mitarbeiter der hauseigenen Apotheke, des Labors, des Patientenaktenarchives, der elektronischen Datenverarbeitung und der Verwaltung, die die Abrechnung mit den Krankenkassen bzw. die Erstellung und Abwicklung der Rechnungsstellung vornehmen, als Gehilfen des behandelnden Arztes angesehen, denen im Rahmen der Erforderlichkeit Patientendaten mitgeteilt werden dürfen. Kann bei deren Einschaltung auf die Nennung des Identifizierungsdaten verzichtet werden, indem z. B. mit Pseudonymen (Barcodes, Laborlisten) gearbeitet wird, so ist ein solches Verfahren im Sinne der Datensparsamkeit gegenüber dem direkten Personenbezug vorzuziehen (§ 3a BDSG, § 4 Abs. 1 LDSG SH).

    * an mitbehandelnde Ärzte

Grundsätzlich ist die Mitteilung von Patientendaten von einem Arzt an einen nicht zum Behandlungsteam gehörenden Arzt eine Durchbrechung des Patientengeheimnisses. Bei mitbehandelnden Ärzten unterstellt aber das Standesrecht eine stillschweigende Einwilligung des Patienten. Er stellt sich darauf ein, dass eine ressortübergreifende Behandlung durch mehrere Fachärzte und dass ein Informationsaustausch im Interesse eines arbeitsteiligen Zusammenwirkens erfolgt. Nur wenn vom Patienten ein Widerspruch erklärt wird, kann von dieser stillschweigenden Einwilligung nicht ausgegangen werden.

    * an externe Labor- und Konsiliarärzte

Anders ist die Rechtslage bei externen Labor- und Konsiliarärzten zu beurteilen. Konsiliarärzte werden hinzugezogen, um eine medizinische Beurteilung durch die Hinzuziehung eines Experten abzusichern und zu kontrollieren. Diese gehören nicht zum Krankenhaus und damit zum Behandlungsteam. Deren Einschaltung ist nicht selbstverständlich; mit ihr muss der Patient nicht rechnen. Anders als vor- und nachbehandelnde Ärzte hat der Patient von deren Einschaltung nicht zwangsläufig Kenntnis. Daher bedarf es für deren Einschaltung der Einwilligung des Patienten (http.//www.datenschutzzentrum.de/material/themen/gesund/dslabor.htm).

    * an vor- und nachbehandelnde Ärzte

Ebenso wie bei mitbehandelnden Ärzten wird hinsichtlich der Übersendung des Entlassungsbefundes, aus dem sich die für die Nachbehandlung notwendigen therapeutischen Konsequenzen ergeben, vom Standesrecht die Einwilligung des Patienten unterstellt. Hat der Patient nicht direkt oder indirekt zum Ausdruck gebracht, dass er vom überweisenden Arzt weiterbehandelt werden will, so muss der Patient über die geplante Übermittlung und die Möglichkeit, dem zu widersprechen, informiert werden. Eine Abklärung ist vor allem dann geboten, wenn der einweisende Arzt und der Hausarzt nicht identisch sind. Allein der Umstand, dass ein Patient bei der Aufnahme ins Krankenhaus Name und Anschrift des Hausarztes angibt, muss nicht bedeuten, dass der Patient mit der Information an den Hausarzt einverstanden ist, zumal zu diesem Zeitpunkt noch gar nicht klar ist, welchen Inhalt der Entlassungsbericht haben wird und welche Notwendigkeiten sich für die weitere Behandlung hieraus ergeben.

 
IV. Datenübermittlung

Im Rahmen einer Krankenhaus-Behandlung besteht in vielen Fällen die Möglichkeit und oft die Notwendigkeit der Unterrichtung externer Personen und Stellen über bestimmte Angaben über den Patienten. Generell gilt, dass solche Datenübermittlungen nur zulässig sind,

    * wenn der betroffene Patient hierin wirksam eingewilligt hat oder
    * wenn für diese Übermittlung eine explizite gesetzliche Grundlage besteht.

Eine wirksame Einwilligung setzt voraus, dass der Patient weiß, wem erlaubt wird, welche Daten zu welchem Zweck zu verarbeiten ("informed consent"). Die Erklärung muss freiwillig erfolgen; über etwaige Folgen der Nichteinwilligung ist zu informieren. Die Einwilligung ist grundsätzlich mit Wirkung für die Zukunft widerrufbar (§ 4a BDSG, § 12 LDSG SH, Erklärung zur Entbindung von der Schweigepflicht, www.datenschutzzentrum.de/medizin/Arztprax/entbind.htm). Krankenkassen

1

Zum Zweck der Abrechnung der Krankenhauskosten darf und muss das Krankenhaus einen gesetzlich genau definierten Katalog von Daten über die Behandlung von gesetzlich Krankenversicherten an die zuständige Krankenkasse in maschienenlesbarer Form übermitteln. Darüber hinausgehend besteht grundsätzlich kein Anspruch der Krankenkasse auf Patientendaten. Wegen des abschließenden Charakters der Abrechnungsregelungen im SGB V darf die Krankenkasse grundsätzlich auch keine weitergehende Datenbeschaffung durch Einholung von Patienteneinwilligungen vornehmen. Insbesondere ist es den Kassen verwehrt, zur Vorprüfung der Frage, ob der Medizinische Dienst der Krankenversicherung eingeschaltet werden soll, sich Krankenhausentlassungsberichte oder sonstige ärztliche Berichte zusenden zu lassen (§ 301 SGB V, s. u. VII. 1.1).

Die Befugnis der GKV-Vertragspartner, das Nähere untereinander festzulegen, beinhaltet nicht das Recht, den Katalog der zu übermittelnden Daten zu erweitern (§ 112 SGB V). Prüfen die Kostenträger die Wirtschaftlichkeit, Leistungsfähigkeit und Qualität der Krankenhausbehandlung, so ist das Krankenhaus verpflichtet, dem Prüfer und seinen Beauftragten auf Verlagen die für die Wahrnehmung dieser Aufgaben nötigen Unterlagen vorzulegen und Auskünfte zu erteilen (§§ 113, 137 SGB V).

2. Medizinischer Dienst der Krankenversicherung (MDK)

Die Krankenkassen können eine gutachterliche Stellungnahme des MDK bewirken, wenn es nach Art, Schwere oder Häufigkeit der Erkrankung oder nach dem Krankheitsverlauf erforderlich ist

    * bei der Leistungserbringung zur Abrechnungskontrolle
    * zur Einleitung von Rehabilitationsmaßnahmen
    * bei Arbeitsunfähigkeit zur Sicherung des Behandlungserfolges oder zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit.

In diesen Fällen muss das Krankenhaus aussagefähige ärztliche Berichte direkt an den MDK leiten (§ 275 SGB V).

Zu den Aufgaben des MDK gehört es auch, nach Einschaltung durch die Krankenkassen auf die Vermeidung und den Abbau von Fehlbelegungen hinzuwirken. Zu diesem Zweck darf der MDK Einsicht in Krankenunterlagen nehmen und dann ein Ergebnisgutachten der Krankenkasse mitzuteilen. Vor der Kenntnisnahme von Patientenakten muss aber geprüft werden, ob im Interesse der Wahrung der Datensparsamkeit und des Verhältnismäßigkeitsgrundsatzes nicht eine anonymisierte bzw. pseudonymisierte Datenauswertung durch den MDK genügt. Voraussetzung für die Einschaltung des MDK ist, dass Anhaltspunkte für Fehlbelegungen bestehen. Die Kontrolle muss sich auf gesetzlich versicherte Patienten beschränken (§ 17a Abs. 2 Krankenhausfinanzierungsgesetz (KHG)).

3. Antrag auf Kostenübernahme beim Sozialamt

Das Krankenhaus kann bei nicht zahlenden "Selbstzahlern" einen Antrag auf Kostenübernahme beim zuständigen Sozialamt stellen. Dies muss in "angemessener Frist" geschehen. Dies sind gemäß der Rechtsprechung zwei Monate seit Beginn der Behandlung bzw. den Aufnahmetag im Krankenhaus (§ 121 Bundessozialhilfegesetz (BSHG)).

Dies darf nicht dazu führen, dass Selbstzahler "routinemäßig" an das Sozialamt gemeldet werden, ohne dass sie die Gelegenheit hatten, die Rechnung in angemessener Frist zu begleichen.

4. Finanzierung über Sozialleistungsträger

In vielen Fällen handelt es sich bei Krankenhausleistungen um medizinische Dienste, deren Finanzierung auf Antrag des Patienten von unseren Sozialsystemen erbracht werden. Dies hat jedoch in der Regel nicht zur Folge, dass sich die Krankenhäuser zum Zweck der Abrechnung direkt mit den Sozialleistungsträgern über den Patienten austauschen dürften. Vielmehr obliegt es dem Patienten als Antragsteller im Rahmen seiner Mitwirkungspflicht, die Zustimmung zu der Datenübermittlung vom Krankenhaus an den Sozialleistungsträger zu geben. Wird eine erforderliche Mitwirkung verweigert, so hat dies zur Folge, dass die soziale Leistung verweigert werden kann. Erlaubt ein Betroffener durch seine Einwilligung die Datenübermittlung an den Sozialleistungsträger, so ist das Krankenhaus hierzu im Rahmen der Erforderlichkeit für die Leistungsgewährung auch verpflichtet (§§ 60, 66 SGB I, § 100 SGB X).

Diese Zustimmung bzw. Einwilligung muss den inhaltlichen und formellen Anforderungen einer Entbindung vom Patientengeheimnis genügen (§ 4a BDSG, § 12 LDSG SH).

5. Prüfung durch den Rechnungshof

Der verfassungsrechtlich verankerte Untersuchungsauftrag eines Rechnungshofes und das grundrechtlich verbürgte Patientengeheimnis stehen sich grundsätzlich gleichrangig gegenüber. Ihr Verhältnis ist je nach den Umständen des Einzelfalles im Wege der Abwägung festzustellen. Eine stichprobenhafte Vollprüfung von Patientenakten eines öffentlichen Krankenhauses durch einen Rechnungshof ist zulässig, sofern ein hinreichender Schutz gegen eine zweckwidrige Weitergabe des Akteninhaltes gewährleistet ist und der Rechnungshof ansonsten nicht (z. B. durch die Auswertung pseudonymisierter Unterlagen) seinen Prüfaufgaben nachkommen könnte (§ 95 Landeshaushaltsordnung (LHO) SH; BVerfG B.v. 29.4.1996, 1 BvR 1226/89; RDV 1996, 184; NJW 1997, 1633 f.).

6. Einsichtnahme für Aufsichtsbehörden

Die Schweigepflicht besteht auch gegenüber Aufsichtsinstanzen. Nur im Einzelfall, soweit es zu Kontrollzwecken erforderlich ist, darf die Vorlage von Patientenakten verlangt werden.

7. Kontrolle durch die Datenschutzbehörde

Die für das jeweilige Krankenhaus zuständige Datenschutzbehörde darf ohne das Erfordernis einer Patienteneinwilligung zur reinen Datenschutzkontrollzwecken Auskunft aus bzw. Einsicht in Patientenunterlagen verlangen und auch erhalten. Für öffentliche Krankenhäuser zuständig sind der Bundesbeauftragte bzw. die Landesbeauftragten für den Datenschutz. Für private Krankenhäuser sind die Datenschutzaufsichtsbehörden nach dem dritten Abschnitt des BDSG zuständig (§ 41 Abs. 1 S. 2 Nr. 1 LDSG SH, §§ 24 Abs. 2 S. 1 Nr. 2, 38 BDSG).

8. Auskunftsersuchen durch Strafverfolgungsbehörden

Als Sicherung des Patientengeheimnisses hat der Arzt vor Gericht wie auch gegenüber der Staatsanwaltschaft und der Polizei im Bereich der Strafverfolgung ein Zeugnisverweigerungsrecht. Anfragen dürfen nur nach Einwilligung des Patienten beantwortet werden. Für Zwecke der Strafverfolgung bei Ermittlung gegen Patienten dürfen Krankenakten auch nicht beschlagnahmt werden. Kein Beschlagnahmeverbot besteht, wenn sich der strafrechtliche Vorwurf gegen den Arzt selbst richtet (§§ 53 Abs. 1 Nr. 3, 53a, 97 Abs. 1, 2 Strafprozessordnung (StPO)).

Ergeben sich für einen Arzt Anhaltspunkte für einen unnatürlichen Tod, so hat dieser die Pflicht, der Polizei Auskunft über die Todesumstände und die Erkrankung zu erteilen (§ 11 Abs. 4 Bestattungsgesetz).

9. Auskunft zum Zweck der Gefahrenabwehr

Eine generelle Offenbarungsbefugnis zum Zweck der Gefahrenabwehr, z. B. gegenüber der Polizei, ist gesetzlich nicht vorgesehen. Eine Offenbarungspflicht besteht lediglich, wenn der Arzt von einer geplanten Straftat nach § 138 Strafgesetzbuch (StGB) Kenntnis hat. In allen anderen Fällen muss der Arzt eine Abwägung der widerstreitenden Interessen vornehmen. Bagatellen erlauben eine Verletzung des Patientengeheimnisses nicht. Vor einer Information gegenüber der Polizei muss er versuchen, z. B. durch Einwirken auf den Patienten, die Gefahr auf andere Weise abzuwenden. Genügt eine weniger einschneidende Benachrichtigung (z. B. gegenüber dem Ehepartner), so ist diese vorzuziehen. In jedem Fall darf eine Auskunft nur in dem Umfang erfolgen, wie dies zur Gefahrenabwehr erforderlich ist (§§ 34, 138, 139 Abs. 2 S. 2 Strafgesetzbuch (StGB)).

Der Arzt hat das Gesundheitsamt zu benachrichtigen, wenn ein Personensorgeberechtigter trotz wiederholter Aufforderung die zur Eingliederung eines seiner Personensorge anvertrauten Behinderten erforderlichen Maßnahmen nicht durchführen lässt oder sie vernachlässigt (§ 125 Abs. 3 Bundessozialhilfegesetz (BSHG)).

10. Meldedaten für Polizei und Staatsanwaltschaft

Das Melderecht verpflichtet die Krankenhäuser, Heime und ähnliche Einrichtungen, die aufgenommenen Personen unverzüglich in ein Verzeichnis einzutragen und Polizei- und Ordnungsbehörden sowie den Staatsanwaltschaften Auskunft zu erteilen, wenn dies zur Gefahrenabwehr oder zur Strafverfolgung erforderlich ist (§ 16 Abs. 3 Melderechtsrahmengesetz (MRRG), § 22 Landesmeldegesetz (LMG) SH).

11. Auskunft an das Finanzamt

Ärzte können die Auskunft gegenüber dem Finanzamt über Sachverhalte verweigern, die ihnen in ihrer beruflichen Eigenschaft anvertraut worden oder bekannt geworden sind (§ 102 Abs. 1 Nr. 3, Abs. 2 Abgabenordnung (AO)).

12. Meldung nach dem Infektionsschutzgesetz

Das Bundesseuchengesetz und das Gesetz zur Bekämpfung von Geschlechtskrankheiten wurden durch das Bundesinfektionsschutzgesetz (BIfSG) abgelöst. Dieses verpflichtet Ärzte bei Vorliegen bestimmter übertragbarer Krankheiten zu einer Meldung gegenüber dem Gesundheitsamt. Aids bzw. HIV gehören nicht zu den namentlich zu meldenden Krankheiten (§§ 6 ff. BIfSG).

13. Meldung gegenüber dem Landeskrebsregister

Das schleswig-holsteinische Landeskrebsregistergesetz (LKRG) sieht eine Meldepflicht für bösartige Neubildungen vor, die bei Personen diagnostiziert werden, die ihren gewöhnlichen Aufenthalt in Schleswig-Holstein haben. Eine namentliche Meldung erfolgt aber nur mit Einwilligung der erkrankten Person. Wird diese nicht erteilt, so erfolgt eine pseudonyme Meldung an das Krebsregister (§ 4 LKRG SH).

14. Meldung an die Berufsgenossenschaft

Besteht bei einem Patienten der Verdacht auf eine Berufskrankheit, so muss der Arzt umgehend eine Anzeige an die Berufsgenossenschaft des Patienten vornehmen (§§ 33, 34, 201-203 SGB VII).

15. Meldung an das Standesamt

Geburten und Todesfälle müssen gegenüber dem Standesamt angezeigt werden (§ 17, 33 Personenstandsgesetz (PStG)).

16. Krankenhausseelsorge

Die Übermittlung von Patientendaten für Zwecke der Krankenhausseelsorge setzt die Einwilligung des Patienten voraus. Aus der Angabe der Konfession im Krankenhausaufnahmevertrag kann nicht geschlossen werden, dass der Patient mit der Übermittlung an einen Seelsorger einverstanden ist und einen Besuch wünscht. Es empfiehlt sich, im Krankenhausaufnahmevertrag eine explizite Wahlmöglichkeit einer solcher Information aufzunehmen.

17. Auskunft

Die Benachrichtigung von Angehörigen über die Tatsache der Einlieferung in ein Krankenhaus kommt dann in Betracht, wenn der Patienten auf Grund seines Zustandes dazu nicht in der Lage ist. Es kann davon ausgegangen werden, dass der Patient in der Regel eine Benachrichtigung nächster Angehöriger wünscht, es sei denn, der entgegenstehende Wille des Patienten ist bekannt oder auf Grund der Umstände erkennbar.

18. Akteneinsicht und Auskunft an Beauftragte und Betreuer

Das Recht auf Auskunft und auf Akteneinsicht kann durch bevollmächtigte Dritte, z. B. durch einen Rechtsanwalt wahrgenommen werden. Es kann auch von den gesetzlichen Vertretern wahrgenommen werden, soweit dem nicht der entgegenstehende Wille des insofern einsichtsfähigen Patienten erkennbar ist.

Für das Betreuungsrecht gilt, dass der Betreuer im Rahmen des jeweiligen Aufgabenbereiches gesetzlicher Vertreter ist. Dem Betreuer, dem die Gesundheitssorge für den Betreuten obliegt, steht ein umfassendes Akteneinsichts- und Auskunftsrecht zu (§ 1896 Bürgerliches Gesetzbuch (BGB)).

19. Übermittlung an Arbeitgeber des Patienten

Übermittlungen an den Arbeitgeber bedürfen der Einwilligung des Patienten. Nach einer zwischen der Deutschen Krankenhausgesellschaft und den Spitzenverbänden der Krankenkassen geschlossenen Bundesrahmenempfehlung verpflichten sich die Krankenhäuser, dem Patienten auf dessen Verlangen eine Bescheinigung über die voraussichtliche Dauer der Krankenhausbehandlung auszustellen, damit diese beim Arbeitgeber vorgelegt werden kann.

20. Datenweitergabe im Rahmen eines gerichtlichen Verfahrens

Der Arzt bzw. das Krankenhaus ist befugt, in erforderlichem Umfang Patientendaten in ein gerichtliches Verfahren einzubringen, wenn z. B. die Richtigkeit einer Abrechnung bestritten wird oder Rechtsansprüche gegen das Krankenhaus, z. B. Haftungsansprüche wegen eines Kunstfehlers, geltend gemacht werden.

21. Meldung an "Krankenhauswanderern"

Als Krankenhauswanderer werden Personen bezeichnet, die sich mit vermeintlichen Leiden in Krankenhäuser stationär aufnehmen und versorgen lassen, ohne die daraus entstandenen Kosten zu begleichen. Warnmeldungen an andere Krankenhäuser über solche Personen sind nicht zulässig.

22. Auskünfte an private Versicherungen

Zur Regulierung von Schadensfällen und Krankheitskosten benötigen Versicherungen oft Patientendaten aus Krankenhäusern. Diese fordern sie oft unter Verweis auf Schweigepflicht-Entbindungserklärungen ab, die der Versicherte bei Vertragsabschluss - teilweise vor mehreren Jahren oder gar Jahrzehnten - unterzeichnet hat. Hierbei ist Vorsicht geboten: Diese Erklärungen sind oft wegen Unbestimmtheit unwirksam. Im Zweifel sollten die geforderten Unterlagen dem Versicherten zur Verfügung gestellt werden, der sie an die Versicherung weiterleiten kann.

 
V. Datenlöschung

Patientendaten sind zu löschen, wenn ihre Speicherung unzulässig ist. Die Unzulässigkeit kann darauf beruhen, dass die Erhebung bei den Betroffenen oder die Übermittlung von einem Dritten mit dem Datenschutzrecht nicht vereinbar war (z. B. es lag keine wirksame Einwilligungserklärung vor).

Eine Löschung muss auch erfolgen, sobald deren Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist. Die fehlende Erforderlichkeit der weiteren Datenspeicherung ergibt sich nicht schon nach Abschluss einer Behandlung bzw. Untersuchung (§ 35 Abs. 2 BDSG, § 28 Abs. 2 LDSG SH)

Bei ärztlichen Unterlagen gilt, dass diese aus Dokumentationsgründen in jedem Fall 10 Jahre lang aufbewahrt werden müssen. Aufzeichnungen über die Behandlung mit radioaktiven Stoffen sowie über Röntgenbehandlungen sind 30 Jahre (bei Untersuchung nur 10 Jahre) nach der letzten Behandlung aufzubewahren (§ 10 Abs. 3 MBO-Ä, § 41 Abs. 7, vgl. § 42 Abs. 1 StrahlenSchutzVO, § 28 Abs. 4 Nr. 1 RöntgVO).

Wegen eventuell erst später (erst nach 30 Jahren) verjährender zivilrechtlicher Ansprüche kann vom Arzt die Notwendigkeit einer Aufbewahrung medizinischer Unterlagen zu Beweiszwecken sogar für diesen langen Zeitraum geltend gemacht werden. Zweck der Aufbewahrung ist dann in der Regel nur noch, die Art von Untersuchung und Behandlung nachzuweisen. Verzichtet der Patient wirksam (in schriftlicher Form) auf die Geltendmachung von vermögensrechtlichen Forderungen, so hat das Krankenhaus in der Regel keinen Grund mehr, über die 10 Jahre Dokumentationspflicht hinaus die medizinischen Unterlagen aufzubewahren.

Die Erforderlichkeit einer über 10 oder gar 30 Jahre hinaus gehenden Speicherung von medizinischen Daten kann sich aus Behandlungsgründen ergeben. Dies gilt generell für alle Krankheiten, die über Jahrzehnte hinweg fortdauern, etwa bei Erbkrankheiten, vielen psychischen Störungen oder bei Implantaten. Die Erforderlichkeit kann in diesen Fällen nicht pauschal angenommen werden; vielmehr bedarf es bei einer über 30 Jahre hinaus gehenden Archivierung einer Begründung und Legitimation im Einzelfall.

Die Löschung von Patientendaten in der Verwaltungsabteilung, die dort zu Organisations- und Abrechungszwecken gespeichert werden, hat zu einem früheren Zeitpunkt zu erfolgen. Die Aufbewahrungsfristen werden in diesem Fall von den Aufbewahrungsfristen des SGB V, des Steuerrechts bzw. des Handelsgesetzbuches (HGB) bestimmt.

Die Aufbewahrungsfristen betragen - im Wesentlichen übereinstimmend - für Bücher 5 bis 10 Jahre und für Belege bis zu 6 Jahre (§ 257 HGB, Landeshaushaltsordnung, § 36 Abs. 2 Gemeindekassenverordnung, Datenschutzgerechte Entsorgung von Patientenunterlagen: www.datenschutzzentrum.de/material/themen/gesund/entsorg.htm) öffentlichen Krankenhäusern (Bund, Länder, Kommunen) muss vor der Löschung bzw. Vernichtung von Patientendaten geprüft werden, ob diese nicht von historischer Bedeutung sind und daher langfristig archiviert werden sollen. Zu diesem Zweck sind die Daten dem zuständigen Archiv anzubieten (§ 6 LArchivG SH; vgl. www.datenschutzzentrum.de/material/themen/divers/archivg.htm) empfiehlt sich, dass das zuständige Archiv und das Krankenhaus eine generelle Vereinbarung treffen, welche Unterlagen

Bei

Es

    * ungefragt vernichtet werden können,
    * grundsätzlich als archivwürdig anzusehen sind,
    * zum Zweck der Prüfung der Archivwürdigkeit dem Archiv angeboten werden.

VI. Organisation der Datenverarbeitung in einzelnen Bereichen des Krankenhauses

1. Aufnahme

Bei der Aufnahme ist durch Schaffung einer Diskretionszone sicherzustellen, dass Dritte, insbesondere andere wartende Patientinnen und Patienten, das Aufnahmegespräch nicht mithören können.

Im Aufnahmevertrag sollte der Patient im Interesse der Rechtssicherheit darüber informiert werden, welche Art der Datenverarbeitung im Krankenhaus regelmäßig erfolgt. Sinnvoll ist ein kurzer allgemein verständlicher Hinweis auf die Datenschutzrechte des Patienten (vor allem auf das Akteneinsichtsrecht). Weiterhin sollte der Patient u. a. befragt werden,

    * ob er mit einer Datenweitergabe an den zuständigen Krankenhausgeistlichen einverstanden ist,
    * ob er der Auskunftserteilung an Anfragende durch die Pforte, z. B. durch Besucher, widerspricht,
    * welche Personen (Verwandte, Freunde) über besondere Vorkommnisse bzw.

2. Klinikambulanz

Bezüglich der Erhebung und Verarbeitung von Patientendaten durch die Klinikambulanz gelten im Grunde die gleichen Grundsätze, die auch von ambulanten Ärzten beachtet werden müssen: Diese Anforderungen sind ausführlich im Grundlagenpapier der Aktion "Datenschutz in meiner Arztpraxis" festgehalten (www.datenschutzzentrum.de/medizin/arztprax/arztgrund.htm). namentliche Aufruf kann durch die Vergabe von Wartemarken unterbunden werden. Durch Diskretionszonen wird das vertrauliche Vorbringen des Patienten erleichtert. Bei den Untersuchungs- und Behandlungsgesprächen ist darauf zu achten, dass andere Patienten diese nicht mitverfolgen können.

Der

In Krankenhäuser weit verbreitet sind offene Untersuchungskabinen, die von anderen Patienten unter Umständen nur durch einen Vorhang getrennt sind. Derartige Räumlichkeiten müssen umgestaltet werden.

3. Pforte

Die Mitarbeiter der Pforte müssen wie alle Krankenhausmitarbeiter das Patientengeheimnis beachten. Oft ist es aber im Interesse des Patienten, dass Anfragenden und Besuchenden der Aufenthaltsort im Krankenhaus mitgeteilt wird. Hat sich ein Patient bei der Aufnahme generell gegen eine Auskunftserteilung entschieden, so ist dies durch die Pforte zu beachten. Anderenfalls kann von einer konkludenten Einwilligung des Patienten in die Mitteilung von Station und Zimmer angenommen werden, wenn erkennbar ist, dass der Besucher kein "unerwünschter Dritter" ist und kein entgegenstehender Wille des Patienten bekannt ist.

4. Station

Die Mitarbeiter der Pforte müssen wie alle Krankenhausmitarbeiter das Patientengeheimnis beachten. Oft ist es aber im Interesse des Patienten, dass Anfragenden und Besuchenden der Aufenthaltsort im Krankenhaus mitgeteilt wird. Hat sich ein Patient bei der Aufnahme generell gegen eine Auskunftserteilung entschieden, so ist dies durch die Pforte zu beachten. Anderenfalls kann von einer konkludenten Einwilligung des Patienten in die Mitteilung von Station und Zimmer angenommen werden, wenn erkennbar ist, dass der Besucher kein "unerwünschter Dritter" ist und kein entgegenstehender Wille des Patienten bekannt ist.

An den Zimmertüren und an den Betten sollten keine individuellen Angaben zum Patienten angebracht werden (Namensschilder, Fieberkurven). Bei einer Unterbringung in Mehrbettzimmern lässt es sich nicht vermeiden, dass die Mitpatienten von Details der Behandlung Kenntnis erlangen. Diese unvermeidliche Kenntnismöglichkeit ist aber auf das Unerlässliche zu begrenzen. Bei Untersuchungen in Mehrbettzimmern können Sichtblenden eine Kenntnisnahme durch Dritte einschränken und die Diskretion etwas verbessern. Die Eröffnung von sensiblen Befunden oder sonstigen Informationen sollte nicht in Gegenwart von Mitpatienten erfolgen. In jedem Fall ist dem Patienten anzubieten, das ärztliche Gespräch vertraulich führen zu können.

Die Patientenunterlagen im Stationszimmer dürfen nicht offen herumliegen. In jeder Station muss es sichere Aufbewahrungsmöglichkeiten (verschließbare Schränke) geben. Telefaxgeräte sind so aufzustellen, dass ankommende Faxschreiben nicht von Unbefugten zur Kenntnis genommen werden können. Erfolgt die Versorgung der Patienten, z. B. mit Essen, durch ein externes Unternehmen, so sollten Bestellung und Abrechnung pseudonymisiert abgewickelt werden. Ist dies nicht möglich, so bedarf es für die Weitergabe der Patientendaten der Einwilligung der Betroffenen.

Krankenhäuser bieten ihren Patienten in der Regel an, direkt vom Bett aus mit einer eigenen Nummer zu telefonieren. Unter Umständen werden sogar darüber hinausgehende Telekommunikationsdienste angeboten. Insofern betätigt sich das Krankenhaus als Telekommunikationsdiensteanbieter mit der Folge, dass es die Regelungen des Telekommunikationsgesetzes (TKG) und der damit zusammenhängenden Regelungen beachten muss (§ 85-93 TKG, Telekommunikationsdatenschutzverordnung (TDSV), Telekommunikations-Kundenschutzverordnung (TKV)).

5. Poststelle

Ärztliche Briefe sind zu verschließen, bevor sie zur Poststelle gelangen und weitergesendet werden. Als Arztsache gekennzeichnete oder erkennbare Post darf von der Poststelle nicht geöffnet werden, sondern ist an den Adressaten ungeöffnet weiterzuleiten. Durch organisatorische Regelungen muss sichergestellt werden, dass keine behandlungsrelevanten Faxe oder Emails direkt an die zentrale Poststelle gesendet werden. Stellt die Poststelle fest, dass Faxe oder Emails mit Patientendaten eingehen, so sind diese umgehend an die zuständige Abteilung weiterzuleiten.

6. Sozialdienst

In vielen Krankenhäusern werden soziale Betreuungsleistungen durch einen Krankenhaus-Sozialdienst erbracht (z. B. zur Unterstützung bei der Beantragung von Sozialhilfe, Leistungen aus der Pflegeversicherung). Die hierbei eingesetzten Sozialarbeiter sind nicht Teil des Behandlungsteams und unterliegen einer eigenständigen beruflichen Schweigepflicht (§ 203 Abs. 1 Nr. 5 StGB).

7. Patientenaktenarchiv

Im Patientenaktenarchiv (Archiv) werden die konventionell geführten Patientenakten geführt. Die Archivierung dient der Dokumentation der Behandlung. Die Daten sollen für spätere Behandlungen, zur Auskunftserteilung insbesondere gegenüber dem Patienten sowie für Beweiszwecke im Fall von rechtlichen Auseinandersetzungen zur Verfügung stehen. Diese Dokumentationsaufgabe obliegt der ärztlichen Leitung des Krankenhauses, nicht der Verwaltung.

Voraussetzung für eine ordnungsmäßige Dokumentation ist, dass

    * diese nur den Krankenhausmitarbeitern in dem Maße zugänglich ist, wie dies zur jeweiligen Aufgabenerfüllung erforderlich ist,
    * die Unterlagen vollständig und unverfälscht sind,
    * jederzeit nachvollzogen werden kann, wer welche Eintragungen gemacht hat,
    * jederzeit nachvollzogen werden kann, wo sich die Unterlagen gerade befinden,
    * jederzeit nachvollzogen werden kann, wer auf die Akten zugegriffen hat.

Zu diesem Zweck sind folgende Maßnahmen zu ergreifen:

      Der Zugang zum Archiv ist generell zu unterbinden. Personen die allgemein bzw. zeitlich begrenzt Zugang erhalten, sind hierfür ausdrücklich zu autorisieren.

      Die Einführung von Unterlagen sowie deren Entnahme sind bezüglich handelnder und verantwortlicher Person sowie Zeit sowohl in der Akte wie auch in einem Archivregister zu dokumentieren.

Die Herausgabe von Archivakten an nicht behandelnde Krankenhausärzte ohne ausdrückliche Rechtsgrundlage bzw. Einwilligung ist eine Verletzung des Patientengeheimnisses und unzulässig.

Der Umgang mit archivierten Patientenunterlagen sollte in einer Krankenhaus-Archivordnung eindeutig geregelt werden (Vorschlag des ULD für eine Krankenhaus-Archivordnung).
VII. Datenverarbeitung in der Krankenhausverwaltung

Zwischen der medizinischen Versorgung und der Krankenhausverwaltung verläuft eine sachliche und damit auch eine datenschutzrechtliche Trennungslinie. Die Nutzung der Patientendaten durch die Krankenhausverwaltung ist auf die für die Organisation des Krankenhausbetriebes und die Abwicklung der Abrechnung notwendigen personenbezogenen Daten beschränkt. Rechtlich ist die Mitarbeiter der Verwaltung als Gehilfen des behandelnden Arztes anzusehen. Die Kenntnisnahme von Patientendaten ist (nur) in dem Umfang zulässig, wie die konkreten Unterlagen für die Aufgabenerfüllung der Krankenhausverwaltung erforderlich sind.

1. Leistungsabrechnung

Die Krankenhausverwaltung darf Patientendaten für Abrechnungszwecke verarbeiten. Dabei wird unterschieden zwischen einer Abrechnung mit der gesetzlichen Krankenversicherung (GKV) nach dem SGB V und mit Privatpatienten, die ihre Kosten in der Regel von einer privaten Krankenversicherung (pKV) erstatten lassen können.

1.1 Abrechnung mit gesetzlichen Krankenkassen

Nach § 301 SGB V sind die Krankenhäuser befugt und verpflichtet, bei stationärer Behandlung u. a. folgende Angaben den Krankenkassen maschinenlesbar zu übermitteln (die sog. 301er Daten):

    * die Angaben, die auf der Krankenversichertenkarte enthalten sind (§ 291 Abs. 2 Nr. 1 bis 8 SGB V),
    * das krankenhausinterne Kennzeichen des Versicherten,
    * das Institutskennzeichen des Krankenhauses und der Krankenkasse,
    * Tag, Uhrzeit und Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, unter Umständen die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung,
    * bei ärztlicher Verordnung der Krankenhausbehandlung die Arztnummer des einweisenden Arztes,
    * Datum und Art der durchgeführten Operationen,
    * Tag, Uhrzeit und Grund der Entlassung oder der externen Verlegung sowie Entlassungs- oder Verlegungsdiagnose,
    * die nach der Bundespflegesatzverordnung berechneten Entgelte.

§ 301 SGB V spezifiziert bezüglich der Datenübermittlung von den Krankenhäusern an die Krankenkassen die allgemeine Regelung des § 100 SGB X. Über den Datensatz nach § 301 SGB V hinausgehend ist eine Datenübermittlung grundsätzlich nicht zulässig. Die Krankenhausverwaltung übernimmt auch Kraft Gesetzes die Abrechnung ambulanter Chefarztleistungen im vertragsärztlichen Bereich. Die Abrechnung wahlärztlicher Leistungen des Chefarztes darf, muss aber nicht über die Krankenhausverwaltung erfolgen (§ 120 Abs. 1 SGB V, § 22 Abs. 3 Bundespflegesatzverordnung (BPflV)).

1.2 Abrechnung mit Privatpatienten

Bei Privatpatienten besteht grundsätzlich nur ein Rechtsverhältnis zwischen Krankenhaus und Patient, nicht zur privaten Krankenversicherung (pKV). Eine Rechtsbeziehung zwischen Krankenhaus und pKV kommt im Fall einer Kostenübernahmeerklärung der pKV zustande. Zwar stehen auch dann allein dem Patienten dessen Auskunftsansprüche zu; er kann aber die pKV ermächtigen, diese Rechte für ihn wahrzunehmen.

Ob die derzeit von privaten Versicherungen formularmäßig genutzten Schweigepflichtentbindungen den rechtlichen Anforderungen genügen, kann bezweifelt werden. Wenn der Patient aber die direkte Abrechnung zwischen Krankenhaus und seiner Krankenversicherung wünscht und im Einzelnen über den Zweck der Schweigepflichtentbindung aufgeklärt wurde, bestehen gegen die Weitergabe von zur Beurteilung der Leistungspflicht erforderlichen Behandlungsdaten an die pKV keine Bedenken (Sind ärztliche Auskünfte an private Versicherungsunternehmen ... zulässig?: www.datenschutzzentrum.de/material/themen/gesund/versentb.htm) Einschaltung einer privaten Verrechnungsstelle durch das Krankenhaus oder durch einen Chef- oder Belegarzt st nach der Rechtsprechung des Bundesgerichtshofes nur zulässig, wenn das ausdrückliche Einverständnis des Patienten vorliegt (www.datenschutzzentrum.de/material/themen/gesund/patient.htm).. Innerorganisatorische Aufgaben der Verwaltung

Die

2

Die Verwaltung erfüllt nicht nur Aufgaben bei der Abrechnung. Ihr obliegt vielmehr die gesamte Organisation des Krankenhauses, beginnend mit der Bettenplanung bis hin zu der Aufstellung von Geschäftsverteilungsplänen, der Festlegung von Organisationsabläufen, der Beschaffung und der Bezahlung der eigenen Bediensteten und Ärzte. Auch für diese Aufgaben benötigt die Verwaltung unter Umständen Patientendaten. Dies ist z. B. der Fall bei

    * der Bewertung und Abrechnung von Bereitschaftsdiensten und anderen besonderen medizinischen bzw. ärztlichen Aktivitäten,
    * der Durchführung von Organisationskontrollen,
    * der rechtlichen Betreuung von Konflikten mit Patienten (z. B. bei Haftungsprozessen),
    * der Durchführung des Postverkehrs.

VIII. Elektronische Datenverarbeitung

Bezüglich der elektronischen Datenverarbeitung (EDV) im Krankenhaus gilt generell, dass all das erlaubt ist, was auch an konventioneller Datenverarbeitung und ?nutzung zulässig ist. Dies bedeutet, dass bei der Organisation der EDV alle die Dokumentations- und Abschottungspflichten berücksichtigt werden müssen, die auch im nicht automatisierten Bereich gelten.

Beim EDV-Einsatz ergeben sich jedoch dadurch Besonderheiten, dass die technischen Möglichkeiten der Speicherung, Übermittlung aus Auswertung gegenüber einer konventionellen Datenverarbeitung umfangreicher sind. Andererseits bestehen über technische Schutzmöglichkeiten aber auch effektivere Instrumente zur Wahrung des Patientengeheimnisses (z. B. durch Verschlüsselung von Daten oder durch differenzierte Zugriffskonzepte). Diese Besonderheiten finden im Standesrecht ihren Ausdruck:

    § 10 Abs. 5 BO ÄK SH bzw. MBO-Ä:

    Aufzeichnungen auf elektronischen Datenträgern oder anderen Speichermedien bedürfen besonderer Sicherungs- und Schutzmaßnahmen, um deren Veränderung, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Der Arzt hat hierbei die Empfehlungen der Ärztekammer zu beachten.

    Empfehlungen zu ärztlicher Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, abgedruckt in: Deutsches Ärzteblatt, 25.10.1996, A-2809 ff = www.bundesaerztekammer.de/30/Richtlinien/Empfidx/Schweigepfl/

1. Dienstvorschriften

Eine wichtige Funktion im Rahmen eines Krankenhaus-Datenschutzmangements spielen allgemeine und besondere EDV-Dienstanweisungen. Dienstanweisungen sollten sich auf alle Bereiche der Klinik erstrecken, also den ärztlichen und den pflegerischen Bereich ebenso wie auf die Verwaltung. Für spezielle Anwendungen bedarf es unter Umständen auch besonderer Anweisungen. Hierin sind aufzunehmen

    * Vorgaben und Verfahrensregeln für die Entwicklung und Auswahl von Hard- und Softwarekomponenten, deren Test, Freigabe und Dokumentation,
    * Vorgaben für die ordnungsgemäße Nutzung der EDV durch die Anwendenden.

2. Datensicherheit

Angesichts des Umstands, dass nahezu alle verarbeiteten personenbezogenen Daten in einem Krankenhaus einem besonderen Berufsgeheimnis unterliegen und diesen Daten eine hohe Sensitivität zukommt, bedarf es äußerst wirksamer Datensicherungsvorkehrungen im Bereich der EDV (siehe "Datenschutzrechtliche und sicherheitstechnische Anforderungen an IT-Systeme im medizinischen Bereich")

3. Verfahrensverzeichnis

Für jedes vom Krankenhaus betriebene Verfahren ist ein Verfahrensverzeichnis zu erstellen, in dem folgende Angaben enthalten sein müssen bzw. sollten:

    * Name und Anschrift der Stelle bzw. der Abteilung
    * Zweckbestimmung und Rechtsgrundlage des Verfahrens,
    * Kreis der Betroffenen,
    * Kategorien der verarbeiteten Daten,
    * Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
    * Personen und Stellen, die Daten erhalten oder erhalten dürfen, einschließlich der Auftragnehmenden
    * die datenschutzrechtliche Beurteilung der oder des betrieblichen/behördlichen Datenschutzbeauftragten,
    * eine allgemeine Beschreibung der zur Einhaltung der Datensicherheit getroffenen Maßnahmen (§ 7 Abs. 1 LDSG SH, § 4e BDSG).

4. Vorabkontrolle

Vor der Einführung automatisierter Verfahren, in denen medizinische Daten verarbeitet werden, ist eine Vorabkontrolle durchzuführen. Dies ist eine Prüfung, ob die Datenverarbeitung mit den gesetzlichen Regelungen in Einklang steht und ob die erforderlichen technischen und organisatorischen Maßnahmen ausreichend sind. Diese Prüfung erfolgt durch den betrieblichen bzw. behördlichen Datenschutzbeauftragten oder, wenn ein solcher nicht bestellt ist, durch die zuständige Datenschutzkontrollstelle (Art. 20 EU-DSRL, § 9 LDSG SH, § 4d Abs. 5, 6 BDSG).

5. Sicherheitskonzept, Test, Freigabe

Für neu entwickelte bzw. zu installierende Verfahren ist jeweils ein Sicherheitskonzept zu erarbeiten. Vor dem Einsatz ist das Verfahren zu testen. Erst danach kann eine förmliche Freigabe erfolgen. Diese Anforderungen sind zwingendes Recht für öffentliche Stellen des Landes Schleswig-Holstein. Doch insbesondere bei sensiblen medizinischen Anwendungen ist eine solche Vorgehensweise schon allein aus Vernunftgründen geboten (Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Verfahren (Datenschutzverordnung - DSVO) Schleswig-Holstein).
6. Befugniskonzept

Es ist eindeutig festzulegen, welche Anwender welche Rechte eingeräumt erhalten, d. h. es ist zu bestimmen bezüglich welcher Datensätze und Verarbeitungsverfahren welchen Mitarbeitern Lese- und Schreiberechte eingeräumt werden. Der Zugriff auf Stammdaten kann stationsübergreifend zugelassen werden. Der Zugriff auf medizinische Daten ist in der Regel auf die jeweilige Abteilung zu beschränken (nicht bei gemeinsamer Behandlung). Der Zugriff für die Verwaltung hat sich auf die dort benötigten Daten (Abrechnung, Organisation) zu beschränken. Bei der Rechtevergabe ist es sinnvoll, nach bestimmten Anwendergruppen zu differenzieren, z. B. Leitung, Systemadministration, Gruppenleitung, einfache Anwender. Grundsätzlich darf der Angehörige einer Gruppe nicht mehr Befugnisse eingeräumt erhalten als zu seiner Aufgabenerfüllung notwendig ist (Deutsche Gesellschaft für medizinische Informatik, Biometrie und Epidemiologie, Grundsätze für den Zugriff auf Patientendaten im Krankenhaus, http://info.imsd.uni-mainz.de/AGDatenschutz/Empfehlungen/Zugriff.html).
7. Löschung bzw. Sperrung nach Abschluss der Behandlung

Nach Abschluss der konkreten Behandlung sind elektronisch gespeicherte Patientendaten unter Umständen zu löschen oder zumindest für den Zugriff bzw. die Nutzung zu sperren. Erfolgt die standesrechtlich gebotene Dokumentation in konventionellen Akten, so ist die unterstützende elektronische Speicherung nicht mehr nötig. Erfolgt die Dokumentation in elektronischer Form, so sind die Zugriffsbeschränkungen entsprechend den Archivregelungen vorzusehen.
8. Besondere Formen der elektronischen Datenverarbeitung

    * Telearbeit

Eine besondere Form der Datenverarbeitung in einem Krankenhaus kann darin liegen, dass bestimmte Aufgaben, z. B. Schreibtätigkeiten nicht im Krankenhaus, sondern durch die Mitarbeiter zu Hause erledigt werden. Telearbeit ist dann möglich, wenn sowohl beim Datentransport zwischen Heimarbeitsplätzen und Krankenhaus wie auch am Heimarbeitsplatz selbst durch technisch-organisatorische Maßnahmen ausgeschlossen wird, dass Dritte von Patientengeheimnissen Kenntnis erlangen. Dies kann durch die Verschlüsselung auf dem Übermittlungsweg sowie auf dem Rechner des Telearbeiters erfolgen sowie durch einen besonderen Verschluss von Akten in Schränken, wenn diese nicht gerade genutzt werden.

    * Telemedizin

Die Telemedizin ermöglicht über den schnellen Austausch von Patientendaten eine qualitativ verbesserte Behandlung, indem zusätzliche Informationen bzw. externer Rat und externe informationelle Unterstützung herangezogen werden können. Voraussetzung für die Anwendung personenbezogener Telemedizin-Anwendungen ist, dass die Übermittlung an die unterstützenden Ärzte zulässig ist:

    * Erforderlichkeit im Rahmen des Behandlungsvertrages oder des sonstigen Rechtsverhältnisses
    * Durch- bzw. Überschaubarkeit für den Betroffenen (Einwilligung nach Information)
    * Übermittlung nur an berechtigte Empfänger
    * Gewährleistung der Datensicherheit

Über eine Verschlüsselung auf dem Übertragungsweg kann verhindert werden, dass unbefugte Dritte während des Datentransportes die Daten inhaltlich zur Kenntnis nehmen können.

    * Klinikregister

Mit personenbezogenen Klinikregistern werden in der Regel Zwecke verfolgt, die über die reine Behandlung hinausgehen. Gibt es hierfür keine gesetzliche Grundlage, so bedürfen diese der schriftlichen Einwilligung der betroffenen Patienten.
IX. Datenverarbeitung im Auftrag

Auf Grund von Wirtschaftlichkeitserwägungen bzw. zwecks Inanspruchnahme fremder Dienstleistungen werden externe Firmen in den organisatorischen Auflauf in einem Krankenhaus einbezogen. Diese Einbeziehung externer Firmen wird auch Outsourcing genannt. Die dabei in Anspruch genommene Unterstützung kann sich auch auf Maßnahmen beziehen, bei denen Patientendaten verarbeitet werden.

      Beispiel:
      Im Rahmen des Outsourcing ist die Einschaltung eines Inkassounternehmens, eines Essenslieferanten, einer Archivierungs- oder Mikroverfilmungsfirma, eines selbständigen Schreibdienstes oder einer Firma zur Datenvernichtung denkbar.

Soweit Patientendaten durch solche externen Firmen verarbeitet werden, muss darauf geachtet werden, dass keine unbefugte Offenbarung von Patientengeheimnissen erfolgt. Während im allgemeinen Datenschutzrecht die Auftragsdatenverarbeitung als Hilfstätigkeit nach Weisung generell zulässig ist, kann damit zugleich eine unzulässige Offenbarung eines beruflichen Geheimnisses liegen (§ 11 BDSG, § 17 LDSG SH, § 203 StGB).

Der Grund für diese unterschiedliche Behandlung liegt darin, dass durch die Datenweitergabe an externe Stellen in der Regel nicht mehr der besondere Schutz der Daten besteht, den das Patientengeheimnis gewährleistet, weil es sich bei diesen Externen weder um Gehilfen des behandelnden Arztes handelt noch oft um Stellen, die selbst der Geheimnisverpflichtung des § 203 StGB unterliegen. Hinzu kommt, dass der strafprozessuale Beschlagnahmeschutz des § 97 StPO entfällt, da dieser voraussetzt, dass sich die Krankenunterlagen "im Gewahrsam einer Krankenanstalt" befinden.

Kein unbefugtes Outsourcing liegt vor, wenn die betroffenen Patientinnen und Patienten der Offenbarung in einer Einwilligungserklärung ausdrücklich zugestimmt haben. Dies setzt aber voraus, dass die Patienten hinreichend bestimmt über den Umfang der Daten sowie über den Auftragnehmer informiert werden, was z. B. einen Wechsel der Auftragnehmerfirma in der Regel ausschließt. Außerdem muss bezüglich der die Einwilligung verweigernden Patienten eine Offenbarung ausgeschlossen werden. Daher kommt die Einholung von Einwilligungen in eine Auslagerung nur in wenigen Fällen in Betracht.

Ein "Outsourcing" ist dann möglich, wenn durch wirksame Schutzmaßnahmen sichergestellt wird, dass das Hilfsunternehmen keine Kenntnis von den personenbezogenen Patientendaten nehmen kann. Dies kann dadurch erreicht werden, dass die identifizierenden Daten oder gar der Gesamt-Patientendatensatz verschlüsselt wird, ohne dass die externe Firma eine Möglichkeit zur Entschlüsselung hat. Möglich ist auch, dass die Zuordnung zu konkreten Patienten durch die externe Firma durch eine wirksame Pseudonymisierung der Patientenstammdaten ausgeschlossen wird. Auch durch sonstige technische und organisatorische Maßnahmen kann bei einer Aufgabenauslagerung eine unbefugte Kenntnisnahme ausgeschlossen werden

Keine unzulässige Offenbarung besteht, wenn die Hilfstätigkeit von Personen vorgenommen wird, die in einem arbeitsrechtlichen Verhältnis zum Krankenhaus stehen, d. h. die auf Grund eines Arbeitsvertrages von dem Auftrag gebenden Arzt weisungsabhängig sind, sodass sie als Hilfspersonen angesehen werden können. Dabei ist nicht ausgeschlossen, dass die Tätigkeit in Heimarbeit, d. h. außerhalb der Räumlichkeiten des Krankenhauses erfolgt, wenn die erforderliche Datensicherheit gewährleistet werden kann.

Folgende Beispiele können gegeben werden:

    * Externe Schreibkräfte

Krankenberichte und Arztbriefe dürfen nicht von externen Aushilfskräften geschrieben werden. Zulässig ist nur das Schreiben durch Hilfspersonen, d. h. durch Angestellte des Krankenhauses. Lässt sich durch eine Ausblendung der Patientennamen eine ausreichende Pseudonymisierung erreichen, so steht aber einer Auslagerung der Schreibarbeiten nichts im Wege.

    * Fremd-Systemadministration

Wird die Krankenhaus-EDV nicht durch Mitarbeiter des Krankenhauses gewartet bzw. administriert, so besteht die große Gefahr, dass sich die externen Mitarbeiter Kenntnis von Patientengeheimnissen verschaffen oder diese gar manipulieren. Eine externe Systemadministration ist daher grundsätzlich ausgeschlossen. Ausnahmsweise kann diese zugelassen werden, wenn technisch, z. B. durch Verschlüsselung der Daten, ausgeschlossen ist, dass die Systembetreuer auf Patientendaten lesenden Zugriff nehmen können, oder wenn dies dadurch verhindert wird, dass die gesondert freigeschalteten Aktivitäten des Systemadministrators von einem Krankenhausmitarbeiter - z. B. an einem Schattenterminal - daraufhin überwacht werden, dass solche Zugriffe tatsächlich nicht erfolgen.

    * Miniaturisierung zum Zweck der Archivierung

Zum Zweck einer platzsparenden und kostengünstigen Lagerung von Krankenakten wurden diese in der Vergangenheit oft mikroverfilmt. Heute wird zunehmend von des Möglichkeit der elektronischen Speicherung nach Einscannen der Unterlagen Gebrauch gemacht. Hierzu fehlen den Krankenhäusern oft die technischen oder personellen Voraussetzungen. Eine solche Miniaturisierung des Archivmaterials außerhalb des Hauses bzw. durch externes Personal kann aber zur einer unzulässigen Offenbarung von Patientengeheimnissen führen, wenn keine gesetzliche Grundlage vorhanden ist bzw. wenn nicht durch entsprechende Aufsicht von Krankenhausmitarbeitern und durch technische Maßnahmen eine Einsicht in die Unterlagen verhindert wird.

    * Außerhäusige Archivierung

Die externe Archivierung konventioneller Krankenunterlagen kann erfolgen, wenn diese Unterlagen so versiegelt sind, dass ein externer gezielter Zugriff auf die Akten nicht möglich ist. Dabei genügt es nicht, dass die Akten in verschlossenen Umschlägen deponiert werden. Zusätzlich ist Voraussetzung, dass auch die Umschläge nicht, z. B. im Rahmen einer staatsanwaltlichen Beschlagnahme, zugeordnet werden können. Dies ist nur dadurch möglich, dass die Umschläge pseudonymisiert werden und weder das Archivierungsunternehmen noch sonstige Dritte, also auch nicht die Staatsanwaltschaft, Kenntnis von der Zuordnungsfunktion erlangen können.

    * Professionelle Vernichtung von Krankenunterlagen

Da bei der Aktenvernichtung eine Kenntnisnahme der Patientendaten nicht erforderlich ist, können hierfür externe Firmen herangezogen werden, wenn die Sammlung der Unterlagen, deren Transport bis hin zur Vernichtung so organisiert sind, dass eine unbefugte Kenntnisnahme durch Dritte, also insbesondere durch die Mitarbeiter der Entsorgungsfirma nicht stattfindet. Dies kann durch die Begleitung und Aufsicht eines zuverlässigen Krankenhausmitarbeiters sowie durch verschließbare Transportbehälter und einen geschlossenen Vernichtungsablauf erreicht werden (Patientendatenverarbeitung im Auftrag : www.datenschutzzentrum.de/material/themen/gesund/patdvia.htm)
X. Datenschutzmanagement

Grundlegend für eine geordnete Datenverarbeitung in einem Krankenhaus ist das Bestehen eines Datenschutzmanagement-Systems, in dem die Pflichten und Rechte sämtlicher Beteiligter, insbesondere der Krankenhausleitung, der Abteilungsleitungen, des betrieblichen/behördlichen Datenschutzbeauftragten, eventueller Datenschutzansprechpartner und der EDV-Systemadministratoren beschrieben wird.
1. Dienstanweisungen, Datenschutzhandbuch

Dabei ist festzulegen, wer die Befugnis und die Pflicht hat, automatisierte Verfahren bzw. Hard- und Softwarekomponenten bzw. allgemein Anwendungen freizugeben und Dienstanweisungen zu geben, und nach welchem Verfahren dies erfolgen soll. Es empfiehlt sich, zumindest in mittleren und großen Kliniken ein Datenschutzhandbuch zu erstellen, in dem in verständlicher Weise die Rechte und Pflichten sowie die vorgesehenen Verfahren festgehalten und nachgeschlagen werden können.

2. Behördlicher bzw. betrieblicher Datenschutzbeauftragter

Eine zentrale Funktion innerhalb des Datenschutzmanagements kommt dem betrieblichen bzw. behördlichen Datenschutzbeauftragten (bDSB) zu. Kliniken sind sowohl aus faktischen Gründen wie auch in der Regel rechtlich gezwungen, derartige bDSB zu bestellen (Art. 18 Abs. 2 Sp. EU-DSRL, § 10 LDSG SH, §§ 4f, 4g BDSG).

Voraussetzung für die Bestellung ist, dass die Person die erforderliche Sachkunde und Zuverlässigkeit besitzt. Sie darf durch die Bestellung keinem Konflikt mit anderen dienstlichen Aufgaben ausgesetzt sein. Dies wäre z. B. der Fall bei einem Einsatz als EDV-Leiter, ärztlicher Leiter, Leiter der Verwaltung oder der Personalabteilung. Der bDSB ist direkt der Krankenhausleitung zu unterstellen und in der Ausübung seiner Tätigkeit weisungsfrei. Es ist mit den für seine Aufgabenerfüllung notwendigen personellen, finanziellen und technischen Mitteln auszustatten.

Die Aufgabe des bDSB ist es, die Einhaltung der datenschutzrechtlichen Vorschriften im Krankenhaus zu unterstützen und zu überwachen. Dies erfolgt insbesondere dadurch, dass er

    * die Vorabkontrolle durchführt,
    * die Beschäftigten mit den Datenschutzvorschriften und den technischen Möglichkeiten zur Wahrung des Datenschutzes vertraut macht,
    * bei dem Erlass von Dienstvorschriften und der Gestaltung und Auswahl von neuen Verfahren beteiligt wird,
    * das Verfahrensverzeichnis führt,
    * regelmäßig die Einhaltung der Datenschutzvorschriften kontrolliert (siehe Datenschutzbeauftragte in der Arztpraxis)

Das ULD stellt besondere Hinweise zur Bestellung von externen Personen als bDSB zur Verfügung.
3. Fortbildung

Eine wichtige Aufgabe zur nachhaltigen Sicherung eines hohen Datenschutzstandards in einem Krankenhaus ist eine dauernde Information der Mitarbeiterinnen und Mitarbeiter über die geltenden Vorschriften, über relevante technische und organisatorische Änderungen sowie über zu beachtende Verfahren. Dies kann erfolgen durch

    * Mitarbeiterrundbriefe,
    * ein dauernd zu aktualisierendes Datenschutzhandbuch, das unter Umständen online zur Verfügung gestellt wird,
    * durch Erörterung von Datenschutzfragen in Dienstbesprechungen,
    * Weiterbildungsveranstaltungen.

 
4. Audit, Gütesiegel

Eine bedeutende Rolle zwecks qualifizierter Beachtung des Datenschutzes in Krankenhäusern mit sehr umfangreichen und sensiblen personenbezogenen Verarbeitungsverfahren können Audit und Gütesiegel erfüllen. Hierbei wird in einem förmlich festgelegten Verfahren ein eingesetztes Produkt, ein Verfahren, ein Teil des Krankenhauses oder gar eine ganze Klinik von einer externen Stelle daraufhin überprüft, ob Datensparsamkeit, Rechtmäßigkeit der Datenverarbeitung sowie technische und organisatorische Sicherheitsmaßnahmen realisiert sind. Die Durchführung solcher Audit- bzw. Gütesiegelverfahren ist freiwillig. Damit kann ein Krankenhaus bei seinen Partnern, insbesondere den Patientinnen und Patienten, hinsichtlich eines vertraulichen Umgangs mit deren Daten offensiv werben. Während auf Bundesebene Audits noch nicht nach einem förmlichen Verfahren durchgeführt werden können, gibt es in Schleswig-Holstein gesetzliche Verfahren zur Verleihung von Gütesiegeln an datenschutzkonforme informationstechnische Produkte sowie von Audits für die Beurteilung der Datenschutzkonzepte von öffentlichen Stellen oder Teilen hiervon (§§ 4 Abs. 2, 43 Abs. 2 LDSG, § 9a BDSG, www.datenschutzzentrum.de/audit/, www.datenschutzzentrum.de/guetesiegel/)
XI. Nutzung von Patientendaten für Forschungszwecke

Die Durchführung von wissenschaftlichen Forschungsvorhaben mit Patientendaten ist im Interesse der Weiterentwicklung der Diagnose-, Behandlungs- und Präventionsmöglichkeiten in einem modernen Gesundheitswesen von großer Bedeutung. Zugleich erfolgt aber durch die Weitergabe der Patientendaten an den Wissenschaftler eine Offenbarung gegenüber einer Person oder einer Gruppe, die nicht zum Behandlungsteam gehört. Der Wissenschaftler bzw. das Forschungsteam unterliegen unter Umständen selbst nicht einer beruflichen Schweigepflicht bzw. dem strafprozessualen Beschlagnahmeverbot.

In einigen Ländern gibt es spezielle Forschungsklauseln in Gesundheits- oder in Krankenhausgesetzen. Dies ist in Schleswig-Holstein nicht der Fall. Daher beurteilt sich die Zulässigkeit der Forschung mit Patientendaten nach dem allgemeinen Datenschutzrecht und nach dem Standesrecht (§ 28 Abs. 6 Nr. 4 BDSG, § 22 LDSG SH, § 15 BO ÄK SH bzw. MBO Ä).

Generell gilt, dass die Forschung mit Patientendaten zulässig ist, wenn sie unter einer der folgenden Voraussetzungen erfolgt, nämlich

    * als Eigenforschung durch die Angehörigen des Behandlungsteams,
    * unter ausschließlicher Nutzung von anonymisierten bzw. pseudonymisierten Daten,
    * nach Einholen von wirksamen Einwilligungen bei sämtlichen betroffenen Patienten.

Keine spezifischen Probleme aus Sicht des Patientengeheimnisses bestehen, wenn der behandelnde Arzt sowie Angehörige des Behandlungsteams selbst die Forschung durchführen (Eigenforschung). Dabei ist aber zu beachten, dass zum Behandlungsteam nicht sämtliche Personen gehören, die in einem Krankenhaus tätig sind, sondern nur diejenigen, die selbst aktiv in die Behandlung eingebunden sind. Dies gilt auch für Universitätskliniken. Diese haben zwar einen gesetzlichen Forschungsauftrag. Dieser entbindet sie aber nicht von der Beachtung der für alle anderen Kliniken ebenso geltenden Datenschutzvorschriften. Nicht zum Behandlungsteam gehören Doktoranden, auch wenn sie mit Daten ihres Professors forschen wollen.

Die Forschung mit anonymisierten Daten unterliegt keinerlei Restriktionen. Oft wird jedoch ignoriert, dass dies nur gilt, wenn eine vollständige Anonymisierung erfolgt ist. Dies setzt voraus, dass von den Einzelangaben nicht mehr oder nur mit einem unverhältnismäßigen Aufwand auf bestimmte oder bestimmbare Personen geschlossen werden kann (§ 3 Abs. 6 BDSG, § 2 Abs. 2 Nr. 6 LDSG SH).

Die Anonymisierung muss durch die Hilfspersonen des Arztes erfolgen. Eine Anonymisierung durch externe Mitarbeiter des Forschungsteams ist nicht möglich, da beim Anonymisieren der Unterlagen schon eine (unbefugte) Offenbarung von Patientengeheimnissen erfolgt. Diese Problematik lässt sich bei Stellen, auf die das BDSG anzuwenden ist, auch nicht durch Personalüberlassungsverträge lösen, in denen kurzfristig die Forschenden zu Hilfspersonen des behandelnden Arztes deklariert werden. Etwas anderes gilt für Krankenhäuser und Stellen, auf die das LDSG SH anwendbar ist. Hier ist eine Anonymisierung (oder Pseudonymisierung) durch die Forschenden zulässig, wenn diese zuvor gemäß dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet worden sind (§ 22 Abs. 2 LDSG SH).

Keine ausreichende Anonymisierung ist gegeben, wenn lediglich eine Pseudonymisierung erfolgt, d. h. dass die Identifizierungsdaten über ein Pseudonym verschleiert werden, bei Kenntnis der Zuordnungsfunktion aber problemlos eine Reidentifizierung möglich ist (§ 3 Abs. 6a BDSG, § 2 Abs. 2 Nr. 7 LDSG SH). Stellen, die dem BDSG unterliegen, müssen pseudonymisierte Daten grundsätzlich ebenso behandeln wie personenbezogene Daten. Etwas anderes gilt für Krankenhäuser oder sonstige Stellen, auf die das LDSG SH anwendbar ist. Hier ist die pseudonymisierte Datenverarbeitung ebenso zulässig wie die Nutzung anonymisierter Daten, wenn die Zuordnungsfunktion im alleinigen Zugriff der verarbeitenden Stelle (d. h. des behandelnden Arztes) verbleibt (§§ 22 Abs. 1 S. 2, 3; 11 Abs. 6 LDSG SH).

Zulässig ist eine Forschungsprojekt nach erteilter Einwilligung der Patienten. Bei Abgabe der Einwilligungserklärung müssen diese sachgerecht über die Zielsetzung des Forschungsprojektes, die beteiligten Stellen und Personen sowie über die Art der Datenverarbeitung informiert werden. Die Erklärung muss freiwillig und mit Wirkung für die Zukunft widerrufbar sein. Die ärztliche Behandlung darf nicht von der Abgabe einer Einwilligungserklärung abhängig gemacht werden.

Anders als in Stellen, die dem BDSG unterliegen, können Patientendaten in Stellen des Landes Schleswig-Holstein ausnahmsweise auch ohne Einwilligung der Patienten für Forschungszwecke genutzt werden, "wenn das öffentliche Interesse an der Durchführung des jeweiligen Forschungsvorhabens die schutzwürdigen Belange der oder des Betroffenen erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann". Außerdem bedarf diese Nutzung nach Interessenabwägung der Genehmigung der für das jeweilige Krankenhaus zuständigen obersten Aufsichtsbehörde. Dies ist für kommunale Krankenhäuser in der Regel das Innenministerium; für Universitätskliniken ist das Bildungsministerium oberste Aufsichtsbehörde (§ 22 Abs. 3 LDSG SH i.V.m. §§ 11 Abs. 3 Nr. 2, 22 Abs. 3 Nr. 3 LDSG SH).

Für Forschungszwecke genutzte Daten dürfen ausschließlich für Forschungszwecke genutzt werden. Es gilt insofern also ein absolutes Zweckänderungsverbot (§ 40 Abs. 1 BDSG, § 22 Abs. 5 S. 2 LDSG SH). Sobald der Forschungszweck dies erlaubt, sind die personenbezogenen Daten zu anonymisieren, hilfsweise zu pseudonymisieren (§ 40 Abs. 2 BDSG, § 22 Abs. 5 LDSG SH). Eine personenbezogene Veröffentlichung von medizinischen Forschungsergebnissen ist praktisch nur nach Einwilligung des Patienten denkbar (§ 40 Abs. 3 BDSG, § 22 Abs. 6 LDSG SH, Berliner Beauftragter für Datenschutz und das Recht auf Akteneinsicht/Der Hessische Datenschutzbeauftragte, Datenschutz in Wissenschaft und Forschung, 1. Aufl. 2000: www.datenschutz-berlin.de/informat/heft28/dswi_f_c.htm) zum Thema Ausbildung:
Patientendaten dürfen für Aus- und Fortbildungszwecke genutzt werden, soweit dies nicht in vertretbarer Weise mit anonymisierten oder pseudonymisierten Daten möglich ist (§ 203 Abs. 3 S. 2 StGB, § 14 Abs. 3 S. 2 BDSG, § 13 Abs. 5 S. 2 LDSG SH).
XII. Patientenrechte

Hinweis

Patientinnen und Patienten dürfen im Krankenhaus ebenso wenig wie bei der ambulanten Behandlung als reine Objekte behandelt werden. Sie sind grundsätzlich aktiv in die Behandlung einzubeziehen und haben eine Vielzahl von allgemeinen subjektiven Rechten, etwa das Recht auf freie Arztwahl, auf Bestimmung der Behandlung oder im Fall der Falschbehandlung auf Schadensersatz (Bundesministerien der Justiz und für Gesundheit, Patientenrechte - Ein Leitfaden: www.g-k-v.com/media/GKV/Download/Broschuere_Patientenrechte_in_Deutschland.pdf) stehen den Patienten informationelle Datenschutzrechte zu. Dieses sind

Daneben

    * Recht auf Auskunft
    * Recht auf Einsicht in die Patientenakte
    * Recht auf Benachrichtigung
    * Anspruch auf Datenkorrektur (Berichtigung, Gegendarstellung)
    * Anspruch auf Datensperrung
    * Anspruch auf Datenlöschung bzw. Aktenvernichtung
    * Recht auf Widerspruch/Einwand
    * Anspruch auf Schadensersatz bei unzulässiger Datenverarbeitung
    * Recht auf Inanspruchnahme fremder Hilfe
    * Recht auf Strafanzeige

Literatur: Weichert, Datenschutzrechte der Patienten, www.datenschutzzentrum.de/medizin/arztprax/dsrdpat1.htm sowie Überblick unter www.datenschutzzentrum.de/medizin
XIII. Besonderheiten bei der Behandlung psychisch Kranker

Bei der psychiatrischen Behandlungen gelten teilweise abweichende Regelungen gegenüber der Behandlung somatischer Krankheiten. Dies ist insbesondere bei der zwangsweisen Behandlung von psychisch Kranken der Fall. Diese erfolgt durch Anordnung eines Gerichts. Dieses hat in regelmäßigen Abständen zu prüfen, ob die Unterbringung aufrecht zu halten ist. Hat jemand eine Straftat im Zustand fehlender oder verminderter Schuldunfähigkeit begangen, so kann ein Strafgericht eine Unterbringung in ein psychiatrisches Krankenhaus anordnen. Wurde eine Straftat im Rausch begangen, so kann eine gerichtliche Anordnung die Unterbringung in einer Entziehungsanstalt vorsehen (§§ 63, 64 StGB, § 126a StPO).

Bei der Vollstreckung dieser Maßregeln der Besserung und Sicherung gelten die Vorschriften über die Strafvollstreckung sinngemäß, soweit nichts anderes bestimmt ist. In Schleswig-Holstein gilt das Maßregelvollzugsgesetz, das die Gestaltung des Maßregelvollzugs, insbesondere auch die Rechtsstellung und Behandlung der Untergebrachten sowie den Datenschutz regelt (§ 463 StPO; Maßregelvollzugsgesetz).

Bei einer gerichtlichen Überprüfung der Aussetzung einer Vollstreckung einer Unterbringung auf Bewährung ist die Fachklinik als psychiatrisches Krankenhaus oder eine Entziehungsanstalt anzuhören. Die Stellungnahme gibt der leitende Arzt ab. Dieser lässt dabei die Berichte der behandelnden Ärzte sowie des Pflegepersonals einfließen. Der leitende Arzt hat hier die Stellung, die der des Vollzugsleiters in einer Justizvollzugsanstalt entspricht. Die Stellungnahme beinhaltet ein Votum zur Entlassung des Untergebrachten. Sie muss begründet und nachvollziehbar sein. Um diese Anforderungen zu erfüllen, müssen zahlreiche unter Umständen höchst intime Informationen über den Untergebrachten offenbart werden (67e StGB, § 454 Abs. 1 Satz 2 StPO).

Entsprechendes gilt für die Entscheidung über die Unterbringung nach dem Psychisch-Kranken-Gesetz (PsychKG) oder nach dem Betreuungsrecht des Bürgerlichen Gesetzbuches (BGB). Hier ist dem Antrag auf Unterbringung ein ärztliches Gutachten eines in der Psychiatrie erfahrenen Arztes beizufügen, der insoweit vom Patientengeheimnis entbunden ist (§§ 6 ff. PsychKG SH, § 1906 BGB). Diese Ausnahmen vom Patientengeheimnis gelten nur gegenüber der Staatsanwaltschaft als Vollstreckungsbehörde, den erkennenden Gerichten und dem Vormund. Im Übrigen gilt das Patientengeheimnis uneingeschränkt.
Literatur

    * Barta, Thomas, Datenschutz im Krankenhaus, 1990, 160 S.
    * Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen, 2002, 163 S.
    * Klöcker, Irene/Meister, Jörg, Datenschutz im Krankenhaus, 2001, 207 S.
    * Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern, Datenschutz im Krankenhaus, Januar 2003 = www.datenschutz.mvnet.de/informat/dsimkh/dsimkh.html Externer Link
    * Landesbeauftragter für den Datenschutz Rheinland-Pfalz, Datenschutz im Krankenhaus, Informationen zum Datenschutz Heft 4, 2. Aufl. 1999, 44 S. und 6 Anlagen.

 

Quellen: www.datenschutzzentrum.de, www.datenschutz-berlin.de

Reduzieren Sie

Ihre Kosten:

Transkription
20 % günstiger

Digitale Signatur

Digitale Vidierung
80 % günstiger

Digitale Diktiertechnik
90 % günstiger

Professionell überwachter,
punktueller Einsatz von
Spracherkennungs-Technologie
100 % inklusive!

 

Mehr Infos