≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2018

Gesundheitswesen

Datenschutz im Krankenhaus

Dürfen im Zusammenhang mit der stationären Versorgung Patientenunterlagen beim Hausarzt / behandelnden Arzt auch dann angefordert oder an diesen übermittelt werden, wenn der Patient aufgrund seines Zustandes nicht in der Lage ist, seine Einwilligung hierzu zu erklären?
Für den Datenschutz im Krankenhaus gilt in der Regel Art. 27 des Bayerischen Krankenhausgesetzes (BayKrG). Nach Art. 27 Abs. 2 BayKrG dürfen Patientendaten erhoben und aufbewahrt werden, soweit dies zur Erfüllung der Aufgaben des Krankenhauses (1. Alt.) oder im Rahmen des krankenhausärztlichen Behandlungsverhältnisses (2. Alt.) erforderlich ist oder die betroffenen Personen eingewilligt haben (3. Alt.). Ist die Einwilligung des Patienten aufgrund seines Gesundheitszustandes oder anderer Umstände bei der Aufnahme nicht möglich, bietet Art. 27 Abs. 2 (1. Alt. oder 2. Alt.) BayKrG eine Rechtsgrundlage für die Erhebung der Patientendaten (dies gilt auch für benötigte weitere - ärztliche . Informationen, etwa durch den vorbehandelnden (Haus)arzt), wobei der Erforderlichkeitsprüfung erhebliches Gewicht beizumessen ist. Der Patient sollte so bald als möglich über die Erhebung seiner personenbezogenen Daten informiert werden.

Patientendaten unterliegen der ärztlichen Schweigepflicht. Jede Weitergabe von personenbezogenen Patientendaten stellt eine Durchbrechung der ärztlichen Schweigepflicht dar, die einer Rechtfertigung bedarf.

Die Übermittlung von Patientendaten durch ein Krankenhaus an Dritte ist insbesondere zulässig im Rahmen des Behandlungsverhältnisses oder dessen verwaltungsmäßiger Abwicklung oder wenn eine Rechtsvorschrift die Übermittlung erlaubt; außerdem wiederum im Fall der Einwilligung. Eine Offenbarung von Patientendaten an Vor-, Mit- bzw. Nachbehandelnde (z. B. Hausarzt) ist zulässig, soweit das Einverständnis der Patienten anzunehmen ist (Art. 27 Abs. 5 BayKrG). Dies dürfte regelmäßig der Fall sein, wobei sich im Einzelfall aus besonderen Umständen auch anderes ergeben kann.
Ist es für die Beantwortung der vorhergehenden Frage von Bedeutung, ob es sich um einen gesetzlich versicherten Patienten handelt?
Für gesetzlich versicherte Patienten regelt § 73 Abs. 1 b SGB V für den vertragsärztlichen Bereich, dass ein Hausarzt mit schriftlicher Einwilligung des Versicherten, die widerrufen werden kann, bei Leistungserbringern (u. a. Krankenhäusern), die einen seiner Patienten behandeln, die den Versicherten betreffenden Behandlungsdaten und Befunde zum Zwecke der Dokumentation und der weiteren Behandlung erheben darf. Die behandelnden Leistungserbringer sind wiederum verpflichtet, nach dem gewählten Hausarzt zu fragen und diesem mit schriftlicher Einwilligung des Versicherten die Behandlungsdaten und Befunde zum Zweck der bei diesem durchzuführenden Dokumentation und der weiteren Behandlung zu übermitteln bzw. dürfen sie beim Hausarzt oder anderen Leistungserbringern Behandlungsdaten und Befunde des Versicherten mit dessen schriftlicher Einwilligung erheben und für die Zwecke der von ihnen zu erbringenden Leistungen verarbeiten und nutzen. Korrespondierend dazu wird der Hausarzt berechtigt und verpflichtet, die entsprechenden Daten zu übermitteln. Zu diesem Zweck wird dem gesetzlich versicherten Patienten im Zusammenhang mit der Aufnahme daher in der Regel ein entsprechendes Einwilligungsformular vorgelegt, welches von diesem zu unterzeichnen ist. Da § 73 Abs. 1 b SGB V in erster Linie das Ziel verfolgt, den Datenaustausch zwischen dem Hausarzt und sonstigen Leistungserbringern, aber auch den Umgang mit Patientendaten beim Hausarzt insgesamt in geordnete Bahnen zu lenken und die Dokumentationsbefugnisse des Hausarztes zu fördern, wird die Norm zumindest im Zusammenhang mit der Datenübermittlung zu Behandlungszwecken nicht als abschließende Regelung angesehen. Auch in Bezug auf gesetzlich versicherte Patienten gelten daher die in der vorhergehenden Frage erörterten aus Art. 27 BayKrG abzuleitenden Grundsätze, wenn eine schriftliche Einwilligung zur Datenerhebung oder -übermittlung beim Patienten nicht eingeholt werden kann.
Unter welchen Umständen darf von Seiten des Krankenhauses Angehörigen Auskunft über einen Patienten erteilt werden?
Die Schweigepflicht des Arztes bzw. des Krankenhauspersonals gilt selbstverständlich auch im Verhältnis zu den Angehörigen eines Patienten. Das auch insoweit zu wahrende Patientengeheimnis umfasst alle Informationen, die mit der ärztlichen Behandlung in Zusammenhang stehen. Dazu gehören neben den medizinischen Daten (z. B. Art der Krankheit, Verlauf, Anamnese, Therapie und Prognose, Untersuchungsmaterial und Untersuchungsergebnisse) auch sämtliche im Rahmen der Behandlung bekannt gemachten Angaben über persönliche, familiäre, berufliche, wirtschaftliche und finanzielle Gegebenheiten, auch wenn diese keinen direkten Bezug zu einer Krankheit haben. Schon der Name oder die Tatsache der Behandlung des Patienten in dem betreffenden Krankenhaus stellt ein Patientengeheimnis dar.

Auskünfte an Angehörige müssen von einer entsprechenden Einwilligung zur Weitergabe des Patientengeheimnisses abgedeckt sein. Die zur Wahrung des Patientengeheimnisses Verpflichteten sind zur Offenbarung nur dann befugt, wenn der Patient mit der Weitergabe der Informationen ausdrücklich oder zumindest den Umständen nach erkennbar einverstanden ist. Minderjährige, die die notwendige Urteils- und Einsichtsfähigkeit besitzen (jedenfalls ab 16 Jahren), müssen selbst eine Erklärung über die Entbindung von der ärztlichen Schweigepflicht abgeben. Liegt beim Minderjährigen noch keine Einsichtsfähigkeit vor, können seine gesetzlichen Vertreter von der Schweigepflicht entbinden. Kann der Patient sein Einverständnis nicht geben, etwa weil er ohne Bewusstsein ist, kann der Arzt oder sonst Verpflichtete aber auf Grund von Indizien davon ausgehen, dass der Patient dieses Einverständnis, wenn er es erteilten könnte, abgeben würde, so kann er Angehörige informieren (Fall der mutmaßlichen Einwilligung).
Kann die Frage der Einwilligung in Auskünfte an Angehörige schon umfassend im Aufnahmegespräch geklärt werden?
Die Frage der Einwilligung in Auskünfte an Anfragende sollte nach Möglichkeit bereits im Aufnahmegespräch besprochen werden. Geklärt werden sollte insbesondere, ob am Empfang bzw. der Pforte Auskunft über den Krankenhausaufenthalt gegeben werden darf bzw. ob dieses Auskunftsrecht auf bestimmte Personen beschränkt sein soll. Zum anderen empfiehlt es sich, den Patienten zu fragen, welche Personen (Angehörige) über die Aufnahme oder über besondere Vorkommnisse durch das Krankenhaus benachrichtigt werden sollen. Nachdem zum Zeitpunkt der Aufnahme der Verlauf des Krankenhausaufenthaltes (u. a. im Hinblick auf Diagnose und Therapie) nicht vorhersehbar ist und sich auch bzgl. der Willensbildung des Patienten neue Umstände ergeben können, ist durch das betreffende Personal in jedem Fall vor der jeweiligen Auskunftserteilung einzelfallbezogen zu prüfen, ob und in welchem Umfang von einer Entbindung von der Schweigepflicht ausgegangen werden kann.
Welche Anforderungen sind aus datenschutzrechtlicher Sicht an die Feststellung der Identität des Auskunftsersuchenden zu stellen?
Besteht im Einzelfall eine Offenbarungsbefugnis gegenüber bestimmten Personen, stellt sich die Frage der Feststellung der Identität des Anfragenden. Sowohl für telefonische wie auch für persönliche Anfragen gilt, dass Informationen erst dann übermittelt werden dürfen, wenn festgestellt werden konnte, dass es sich bei dem Betreffenden um eine Person handelt, der Auskunft gewährt werden darf. Wie diese Feststellung zu treffen ist, ist eine Frage des Einzelfalls und hängt u. a. davon ab, ob der Patient bei der Identitätsfeststellung behilflich sein kann. Aufgrund der eingeschränkten Überprüfungsmöglichkeiten bei telefonischen Anfragen ist größtmögliche Zurückhaltung zu wahren. Bei persönlich Vorsprechenden kann es angezeigt sein, den Anfragenden zu bitten, sich auszuweisen.
Dürfen Ärzte und Pflegekräfte auf Daten aller Patienten im gesamten Krankenhaus zugreifen?
Nein, Ärzte und Pflegekräfte dürfen nur auf die Daten der von ihnen behandelten Patienten zugreifen, d.h. beispielsweise auf die eigene Fachabteilung.
Genügen organisatorische Maßnahmen wie Dienstanweisungen und Verbote zur Durchsetzung der Erforderlichkeit von Zugriffen?
Nein, über technische Berechtigungskonzepte muss verhindert werden, dass das Personal auf Daten nicht selbst behandelter Patienten zugreifen kann.
Wie können Vertretungen und Notfallzugriffe realisiert werden?
Hierfür können beispielsweise eigene Kennungen eingerichtet werden, die im Notfall genutzt werden oder Möglichkeiten zur dynamischen Rechteverwaltung genutzt werden.
Genügt eine Protokollierung und Kontrolle von Zugriffen?
Dies ist nur ein ergänzendes Mittel um z.B. die Nutzung von Notfallkennungen zu überwachen.
Wie lange dürfen Protokolldaten aufbewahrt werden?
In der Regel sind drei Monate ausreichend, um Verstöße gegen den Datenschutz oder Sicherheitsprobleme feststellen zu können. Eine Nutzung zur Verhaltens- und Leistungskontrolle ist nicht zulässig.
Weitere Informationen hierzu finden Sie in der Orientierungshilfe: Technisch-organisatorische Forderungen an ein benutzer- und datenschutzfreundliches Patientenverwaltungssystem bzw. Krankenhausinformationssystem (KIS)