Grundsätzliche datenschutzrechtliche Probleme

Grundsätzliche datenschutzrechtliche Probleme bereitete die Ausdifferenzierung der „UKE-Gruppe" in rechtlich selbstständige und unselbstständige Teil-Organisationen bei gleichzeitigem Anspruch, medizinisch eine Einheit mit integrierter Informations- und Kommunikationsstruktur zu bilden.

Das im Mai und Juni 2008 geprüfte Ambulanzzentrum des UKE ist eine rechtlich eigenständige GmbH. Mangels stationärer Patientenaufnahme gilt das Hamburgische Krankenhausgesetz mit seinen gesetzlichen Datenverarbeitungsberechtigungen nicht; mangels rechtlicher Zugehörigkeit zur öffentlich-rechtlichen Körperschaft UKE gilt auch das Hamburgische Datenschutzgesetz nicht, sondern nur das Bundesdatenschutzgesetz (BDSG) mit seinen Generalklauseln für den nichtöffentlichen Bereich. Diese Rechtsstellung des Ambulanzzentrums hat zur Folge, dass die Patientendatenverwaltung einschließlich der Archivierung der Behandlungsakten grundsätzlich nur Ambulanz-intern erfolgen darf. Übermittlungen von Patientendaten an UKE-Kliniken bedürfen ebenso einer gesonderten Einwilligung des Patienten wie der Zugriff auf Daten eines Ambulanzpatienten aus früheren Behandlungen in einer UKE-(Kern-)Klinik. Dasselbe gilt für die Auftragsdatenverarbeitung, die z. B. darin liegt, dass das Ambulanzzentrum die technische und personalwirtschaftliche UKE-Infrastruktur nutzt. Personalidentitäten zwischen UKE- und Ambulanz-Ärzten (jeweils Teilzeit-Beschäftigung oder Doppelfunktion) führen zu Schwierigkeiten etwa bei den Zugriffsberechtigungen.

Bei unserer Prüfung wurde offenbar, dass bei der Ausgründung von selbstständigen Tochterunternehmen kaum oder gar nicht an die datenschutzrechtlichen Konsequenzen gedacht wurde. Die Lösung über entsprechende Einwilligungen ist kein „Allheilmittel": Nach §4 a BDSG muss eine Einwilligung auf der freien Entscheidung des Betroffenen beruhen, und sie ist jederzeit widerruflich. In vielen Fällen dürfte die Freiwilligkeit der Einwilligung zweifelhaft sein und die praktische Auswirkung einer abgelehnten, unwirksamen oder widerrufenen Einwilligung völlig unklar. (Nicht zuletzt aus diesem Grunde gilt im Sozialrecht eine strenge Gesetzesbindung, welche Einwilligungen als Ergänzung zu abschließend geregelten Datenverarbeitungen weitgehend ausschließt.) Unsere Forderungen an das Ambulanzzentrum im Anschluss an die Prüfung richteten sich vor allem darauf, die datenschutzrechtlich notwendigen Konsequenzen aus der eigenen Rechtspersönlichkeit im Verhältnis zum Kern-UKE zu ziehen. Die grundsätzlichen Probleme der gesetzlich vorgesehenen Einwilligung konnten wir dabei nicht lösen (vgl. dazu 21. TB, 1).

Neben diesen strukturellen Datenschutzproblemen hatten wir Defizite bei der Administration des Datenverarbeitungssystems, bei der Aufbewahrung von Patientenakten einer zugekauften Arztpraxis und bei der Formulierung von Verfahrensbeschreibungen (SOPs) zu kritisieren.

Durch die zwischenzeitliche Übernahme des SOARIAN-Systems auch im Ambulanzzentrum wurde eine Reihe unserer Forderungen obsolet bzw. in die Prüfung dieses neuen Systems verlagert (s.u.). Im Übrigen trugen verschiedene Verbesserungen und Verfahrensänderungen unserer Kritik Rechnung. Mit einer erfolgreichen Nachschau im Juni 2009 konnten wir die Prüfung des Ambulanzzentrums abschließen.

Bei der 2008 begonnenen Prüfung des Universitären Cancer Center Hamburg (UCCH) ­ nun „Hubertus-Wald Tumorzentrum" ­ stellte sich das Problem der eigenen Rechtspersönlichkeit nicht. Das UCCH ist unselbständiger Teil des Kern-UKE.

Es zeigten sich aber zwei andere Problemkomplexe:

Die stark interdisziplinäre Ausrichtung der „Tumorkonferenzen" ist medizinisch beispielhaft und für Studenten wie Assistenzärzte sehr lehrreich. Dies führt aber auch dazu, dass der Kreis der Personen, die die Gesundheitsdaten der in den Konferenzen vorgestellten Patienten zur Kenntnis nehmen, sehr groß ist. Hier vereinbarten wir mit dem UKE eine entsprechend aussagekräftige Aufklärung der Patienten, eine Einschränkung der Datenzugriffsberechtigung auf Fachärzte der teilnehmenden Fachrichtungen sowie die Möglichkeit einer pseudonymen Vorstellung externer Patienten durch den behandelnden Arzt. Offen sind noch Umfang und Dauer der Zugriffsberechtigungen aller an der Tumorkonferenz beteiligten Ärzte bzw. Fachrichtungen. Hier konkretisiert sich das strukturelle Datenschutzdefizit der elektronischen Patientenakte, s.u.

Der zweite Problemkomplex ist das Klinische Krebsregister des UCCH, das ursprünglich sowohl die Funktion der Behandlungsdokumentation als auch die Aufgabe einer Forschungsdatenbank erfüllen sollte. Das Hamburgische Krankenhausgesetz fordert jedoch eine klare Trennung zwischen Behandlungs- und Forschungsbereich. Wir machten deutlich, dass ein Klinisches Register zu Forschungszwecken nicht namensbezogen geführt werden darf, sondern allenfalls mit Pseudonymen, die nur die Behandelnden entschlüsseln können. Dies ist etwa erforderlich, wenn Daten aus anderen als UKE-Quellen in die Datenbank aufgenommen werden sollen. Über die genaue Ausgestaltung der Behandlungsdokumentation einerseits und des Klinischen Krebsregisters als Forschungsdatenbank andererseits sind wir mit dem UKE im Gespräch.

Besonders aufwändig gestaltete sich die Prüfung des neuen Klinik-Informationssystems SOARIAN, auch bezeichnet als KAS (Klinisches Arbeitsplatzsystem). Anlass war ein Missbrauchsfall, bei dem ein/e Krankenhausmitarbeiter/in auf Daten einer prominenten Patientin zugegriffen und Informationen an eine Zeitung weitergegeben hatte. Wir prüften jedoch nicht diesen Einzelfall, sondern die Sicherheit des Zugriffsberechtigungssystems insgesamt. Dazu werteten wir verschiedene Unterlagen aus, insbesondere das „Berechtigungskonzept für das Klinische Arbeitsplatzsystem (KAS)", und vollzogen in mehreren Treffen vor Ort die Zuordnung und technische Umsetzung der Zugriffsberechtigungen im System nach.

Unser Prüfbericht von Ende August 2009 machte deutlich, dass wesentlich mehr Krankenhausmitarbeiter/innen auf die elektronische Akte eines Patienten zugreifen können, als mit der Behandlung dieses Patienten befasst waren. Dies ergibt sich durch die Zuordnung des Patienten zu mehr oder weniger großen Abteilungen, den sog. Fachrichtungen. Alle in dieser Fachrichtung tätigen Mediziner können auf die Daten dieses Patienten zugreifen, unabhängig davon, ob der Arzt oder die Ärztin im Einzelfall an der Behandlung beteiligt ist. Gerade im UKE wird großer Wert auf die Interdisziplinarität der Behandlung gelegt ­ mit der Folge, dass viele Mediziner in mehreren Fachrichtungen tätig sind und die Daten der Patienten in allen seinen Arbeitsbereichen einsehen können, ohne dass es auf den Behandlungsbezug ankäme.

Bei Leistungs- oder Konsilanforderungen an andere Fachrichtungen, denen der Patient nicht zugeordnet ist, wird automatisch ebenfalls allen Mitgliedern dieser Fachrichtungen der Zugriff auf alle Daten dieses Patienten eingeräumt. Tatsächlich übernimmt meist aber nur eine Person die gewünschte Mitbehandlung. Dasselbe gilt für zentrale Einheiten und Funktionen wie Physiotherapeuten, Sozial- und Schreibdienste.

Da §8 Abs.2 HmbKHG die Kenntnis der Patientendaten an die Erforderlichkeit zur konkreten Aufgabenerfüllung bindet, haben wir dem UKE aufgegeben, Vorschläge zur Eingrenzung der zu weit gehenden Zugriffsberechtigungen zu machen, und Hinweise dazu gegeben.

Unabhängig von der eigenen Fachrichtung wird darüber hinaus jedem Arzt, jeder Ärztin des UKE über den sog. „user contact" ein Not-Zugriff auf alle elektronischen Patientenakten eingeräumt ­ allerdings mit Warnhinweisen, Begründungsabfragen und einer Protokollierung. Wir baten hier um einen Erfahrungsbericht und ein Konzept zur Auswertung der Protokolle.

Weitere Kritikpunkte unseres Prüfberichts waren z. B. der Zugriff der Aufnahmekräfte auf die Abteilung früherer Behandlungen des aufzunehmenden Patienten, die Datenzugriffsorganisation nach Entlassung der Patienten, das Zusammenspiel der fachspezifischen Teilsysteme mit SOARIAN, die technische Umsetzung der Zugriffsrechteerteilung, die Passwortgestaltung, die Vergabe der Administrationsrechte sowie die Fernwartung.

In einer ersten Reaktion im Herbst 2009 stellte das UKE fest, dass es einzelne unserer Anregungen bereits umgesetzt habe, aber z. B. auf den „user contact" nicht verzichten könne. Hinsichtlich unserer anderen Forderungen, Prüfbitten und Vorschläge wird der Dialog fortgesetzt. Dabei gehen wir davon aus, dass die angestoßene bundesweite Diskussion um die Probleme der elektronischen Patientenakte (s.o. 9.1) auch für die Verbesserung von SOARIAN genutzt werden kann. Wir werden auf die Nutzung bestehender technischer Optionen zur Verbesserung des Datenschutzes drängen, uns aber auch darüber hinaus bemühen, im Kontakt zu Software-Herstellern diese Optionen zu erweitern.

Prüfung des Datenzugriffskonzepts in den Asklepios-Kliniken

Auch in den Kliniken der Asklepios Hamburg GmbH stellten wir Defizite bei der Zuordnung von Datenzugriffsberechtigungen fest. Im Rahmen der technischen Möglichkeiten wurden Verbesserungen erreicht und werden weitere angestrebt.

Im Anschluss an die Prüfung der Asklepios-Klinik Barmbek (21.TB 14.6) befassten wir uns mit dem „Ärztlichen Berechtigungskonzept SAP", das ­ mit Modifikationen in Details ­ in allen Asklepios-Kliniken eingesetzt wird. Ziel der Prüfung war es, technische Möglichkeiten herauszufinden, um die weiten Zugriffsrechte auf das vom Hamburgischen Krankenhausgesetz geforderte und medizinisch verantwortbare Maß zu reduzieren. Dabei ging es ­ ähnlich wie im UKE ­ um die Rollendefinitionen, über die das SAP-System die Berechtigung zum Zugriff auf Patientendaten steuert. Auch hier offenbarten sich die aus der Logik der elektronischen Patientenakte (s.o.) entstehenden Probleme: Statt der konkreten Aufgabe ­ wie gesetzlich gefordert -, folgt die Berechtigung zum Patientendatenzugriff der Zugehörigkeit zu einer bestimmten Organisationseinheit (Zentrum, Abteilung). Besonders weitgehende Rechte haben dabei z. B. Anästhesisten und Oberärzte.

Intensiv diskutiert wurde die Organisation der Zugriffsrechte bei Patienten, die nur kurzfristig in der Zentralen Notaufnahme ZNA behandelt werden. Dabei spielten die Einsatzorganisation für die ZNA, Konsilanforderungen an andere Fachabteilungen und die oft nur vorläufige Zuordnung des Patienten zu einer medizinischen Fachrichtung eine wesentliche Rolle.

In konstruktiver Kooperation mit dem betrieblichen Datenschutzbeauftragten der Asklepios Hamburg GmbH wurden verschiedene Varianten zur Eingrenzung der Zugriffsrechte geprüft.