Pflegeversicherung

Art und Umfang des Datenverarbeitungsauftrages

Seit einigen Jahren lässt der MDK Hessen personenbezogene Daten im Auftrag durch den MDK Sachsen-Anhalt bzw. dessen Tochterunternehmen MedFlex GmbH verarbeiten. Über die rechtlichen Rahmenbedingungen einer Auftragsdatenverarbeitung sowie die inhaltlichen Aspekte der einzelnen Aufträge habe ich mich ausführlich geäußert (s. 33. Tätigkeitsbericht, Ziff. 5.8.2 und 34. Tätigkeitsbericht, Ziff. 5.8.7). Wohl kaum eine andere öffentliche Stelle des Landes Hessen hat neben dem MDK Hessen in derartigem Umfang Datenverarbeitungsprozesse ausgelagert. Dies beinhaltet die Führung eines Papierarchivs und der elektronischen Aufbereitung von Akten daraus ebenso wie das Schreiben von Briefen und Berichten, die per E-Mail als Sprachdatei von hessischen Geschäftsstellen des MDK nach Sachsen-Anhalt zum dortigen MDK in Magdeburg verschickt werden.

Anfang 2007 kam ein weiterer Auftrag hinzu. Dabei handelt es sich um die fallabschließende Archivierung von Unterlagen der Krankenhausbegutachtungen des MDK Hessen sowie auf Anforderung durch hessische MDK-Geschäftsstellen deren digitale Aufbereitung. Der Umfang des Verarbeitungsauftrages beträgt schätzungsweise 80.000 Akten jährlich.

Transport und Verarbeitung der Akten

Der Datenschutzbeauftragte des MDK war in die Planungsphase des DV-Projekts eingeschaltet. Er wies an, die medizinischen Unterlagen für den Transport, der von einem Paketdienst durchgeführt wird, zu versiegeln. Hierfür wird ein Sicherheitsklebeband benutzt, um etwaige Öffnungsversuche am Paket auf dem Transportweg zu erkennen.

Die Pakete werden direkt in das Archiv des MDK Sachsen-Anhalt geliefert und dort geöffnet. Danach werden die Unterlagen sortiert. Schließlich werden diese, entsprechend dem Verfahren bei dem Auftrag "Pflegebegutachtungen", auf Anforderung digitalisiert und über die vorhandene Standleitung von Magdeburg auf den Server des MDK Hessen in Oberursel weitergeleitet.

Ergebnis der Prüfung

Der Verfahrensablauf dieses Projektes war nach dem damaligen Kenntnisstand datenschutzrechtlich ohne erkennbare Mängel. Allerdings gab es sowohl zu diesem Datenverarbeitungsauftrag wie zu den anderen Projekten keine Verfahrensbeschreibungen bzw. Verfahrensverzeichnisse. Dieses Defizit habe ich ebenso bemängelt wie die Tatsache, dass die Aktenvernichtung aus dem Archivierungsauftrag für die Pflegegutachten zeitlich im Rückstand war. Akten aus dem Papierarchiv des Jahres 2001 waren noch nicht entsprechend der fünfjährigen Aufbewahrungsfrist des § 276 Abs. 2 SGB V vernichtet.

§ 276 Abs. 2 SGB V

Der Medizinische Dienst darf Sozialdaten nur erheben und speichern, soweit dies für die Prüfungen, Beratungen und gutachtlichen Stellungnahmen nach § 275 und für die Modellvorhaben nach § 275a erforderlich ist; haben die Krankenkassen nach § 275 Abs. 1 bis 3 eine gutachtliche Stellungnahme oder Prüfung durch den Medizinischen Dienst veranlasst, sind die Leistungserbringer verpflichtet, Sozialdaten auf Anforderung des Medizinischen Dienstes unmittelbar an diesen zu übermitteln, soweit dies für die gutachtliche Stellungnahme und Prüfung erforderlich ist.... Die Sozialdaten sind nach fünf Jahren zu löschen....

Der kommissarische Geschäftsführer des MDK Hessen hat mir nach Kenntnisnahme des Prüfberichtes zugesichert, die Defizite umgehend beheben zu lassen. Verfahrensverzeichnisse wurden gefertigt und dem Datenschutzbeauftragten des MDK Hessen vorgelegt. Die Vernichtung der vom Fristablauf betroffenen Akten des Papierarchivs wurde zugesagt und ist mittlerweile erfolgt.

Prüfung beim Klinikum Fulda

Eine stichprobenartige Prüfung im Klinikum Fulda hat nur in einigen wenigen Einzelfragen Anlass zur Kritik gegeben. Allerdings sind in dem vom Krankenhaus verwendeten Formulartext des Behandlungsvertrags einige datenschutzrechtliche Aspekte nicht hinreichend beachtet.

Das Klinikum Fulda ist mit fast 1.000 Betten in 29 Kliniken und Instituten das größte Krankenhaus in Osthessen und gehört der höchsten Versorgungsstufe an. In einem Einzugsgebiet von etwa 500.000 Einwohnern versorgen 2.600 Mitarbeiterinnen und Mitarbeiter jährlich ca. 38.000 stationäre Patienten. In diesem Zusammenhang fallen zahlreiche personenbezogene, medizinische Daten an, die vom Krankenhaus vor dem unbefugten Zugriff Dritter angemessen geschützt werden müssen.

Die im Klinikum durchgeführte Prüfung war zeitlich und inhaltlich begrenzt; oft musste der erste Augenschein genügen.

Dies vorausgeschickt, brachte die Prüfung die nachfolgend erläuterten Ergebnisse.

Rechtliche Aspekte 5.8.6.1.1 Formulartext des Behandlungsvertrags

Im Formulartext des Behandlungsvertrags sind einige datenschutzrechtliche Aspekte nicht hinreichend beachtet. Die Erhebung von sog. Pflichtangaben, die zur Durchführung der Behandlung erforderlich sind, und von freiwilligen Angaben, die nach Information über den Zweck der Datenerhebung und die Weiterverarbeitung der Daten zusätzlich vom Patienten erhoben werden können, ist nicht klar getrennt. Dadurch werden die rechtliche Grundlage und der Zweck der Datenerhebungen nicht ausreichend für die Patienten klar. Freiwillige Angaben sind insbesondere Angaben zum Familienstand, der Konfession, dem Beruf, dem Hausarzt und evtl. zu benachrichtigenden Angehörigen.

In dem Formular werden die freiwilligen Angaben zum Teil nicht als solche gekennzeichnet. Bei dem Datum Konfession steht die Erläuterung des Zwecks der Erhebung an einer anderen, späteren Stelle als das Datenfeld. Unklar ist insbesondere auch der Punkt Auskunft über den Aufenthalt: Im Formular ist der Satz enthalten "Darüber hinaus bin ich damit einverstanden, dass Privatpersonen, die mit mir in Verbindung treten wollen, Auskunft über meinen Aufenthalt im Klinikum Fulda erhalten". Diese Formulierung erweckt den Eindruck, dass eine Einwilligung eingeholt wird, in dem Formular wird aber keine Möglichkeit gegeben, eine Auskunftserteilung abzulehnen. Der Patient muss den Behandlungsvertrag insgesamt einschließlich dieser Formulierung unterschreiben. Ein separates zusätzliches Formular zur Einrichtung einer Auskunftssperre wurde später offenbar entwickelt und wird den Patienten ausgehändigt. Damit liegen dann aber zwei sich widersprechende Erklärungen des Patienten vor.

5.8.6.1.2 Hinweise zur Datenverarbeitung im Behandlungsvertrag

Das Formular enthält einen Hinweis auf die Datenverarbeitung. Dieser Hinweis ist allerdings sehr pauschal formuliert und für Patienten schwer verständlich. Hinzu kommt, dass die Rechtslage bei den erwähnten Konstellationen sehr unterschiedlich ist und zum Teil eine Einwilligung des Patienten eingeholt werden muss. Für die Krankenhäuser in Hessen gilt gemäß § 12 HKHG ergänzend zur Regelung des § 12 das HDSG. Gemäß § 12 Abs. 4 HDSG ist der Patient in geeigneter Weise über den Zweck der Datenverarbeitung aufzuklären. Die Aufklärungspflicht umfasst bei beabsichtigten Übermittlungen auch den Empfänger der Daten. Die Information sollte daher überarbeitet werden, wobei uns der Wunsch, den Patienten nicht mit zu vielen Informationen zu überfordern, durchaus nachvollziehbar ist. Ergänzend kann und sollte daher für Einzelfragen zum Datenschutz ein Ansprechpartner im Klinikum genannt werden.

5.8.6.1.3 Medizinisches Versorgungszentrum

Im Klinikum befindet sich als rechtlich selbständige Organisationseinheit ein Medizinisches Versorgungszentrum. Dies versorgt u.a. Patienten des Klinikums ambulant. Das Medizinische Versorgungszentrum und das Klinikum Fulda sind aus datenschutzrechtlicher Sicht zwei zu unterscheidende Daten verarbeitende Stellen. Hinsichtlich der wechselseitigen Nutzung der Datenbestände der beiden Stellen haben sich datenschutzrechtliche Fragen ergeben, die im nächsten Berichtszeitraum einer Klärung unterzogen werden müssen.

Technische und organisatorische Aspekte

Meine Prüfung hat hinsichtlich der Datensicherheit keinen Anlass zur Beanstandung gegeben. Die Aktenaufbewahrung garantierte in den geprüften Bereichen - dies waren einige Ambulanzen sowie eine Krankenstation - den Schutz vor unbefugter Kenntnisnahme bzw. Zugriff. Die Standorte der Telefaxgeräte waren sorgsam ausgewählt.

5.8.6.2.1 Pforte und Telefonzentrale

Ein Klinikum ist keine informationelle Einheit. Jeder Mitarbeiter darf nur die Patientendaten zur Kenntnis erhalten, die tatsächlich für die Aufgabenerfüllung benötigt werden. Der Datensatz, den die Pforte bzw. Telefonzentrale vom Patienten erhält, ist in seinen einzelnen Merkmalen hinreichend begrenzt.

5.8.6.2.2 Videoüberwachung Bestimmte Zonen des Klinikums werden videoüberwacht. Allerdings gab es nur einen allgemein gehaltenen Hinweis hierzu im Eingangsbereich. Eine konkrete Benennung eines hiervon betroffenen Bereiches fehlte.

5.8.6.2.3 Betriebsvereinbarung zur Nutzung von Internet und E-Mail

Die Regelungen in der Betriebsvereinbarung entsprechen den Anforderungen hinsichtlich der erforderlichen Transparenz gegenüber den Nutzern, wenn diese Nutzung für private Zwecke erfolgt.

5.8.6.2.4 Unzureichende Zugangskontrolle zum Technikraum

Zur EDV-Abteilung muss der Besucher einen davor gelagerten Raum passieren, in dem wesentliche Teile der Haustechnik untergebracht sind. Die Tür hierzu war offen und zudem ohne Schloss. Unbefugte hatten so die Möglichkeit, den Raum unbeobachtet zu betreten und möglichen Schaden anzurichten.

Fazit Gravierende datenschutzrechtliche Defizite waren bei dieser stichprobenhaften Prüfung im Klinikum Fulda nicht festzustellen. Einzelne Unzulänglichkeiten hinsichtlich der Videoüberwachung oder des Zutritts in der Technik-/DV-Bereich sind abgestellt worden. Verbesserungswürdig ist das Patientenaufnahmeformular. Diesbezüglich gibt es weitere Kontakte mit dem Klinikum. Auch besteht noch weiterer Klärungsbedarf beim Medizinischen Versorgungszentrum.

Unzulässiges Einwilligungsformular der AOK Hessen

Bei Anträgen auf Pflegeleistungen kann im Einzelfall eine Einsichtnahme in bereits vorhandene Pflegedokumentationen zur Entscheidung über die Leistungsberechtigung erforderlich sein. Hierfür muss eine rechtswirksame Einwilligung der Betroffenen eingeholt werden. Ein von mir bereits vor längerer Zeit beanstandetes unklares Einwilligungsformular wurde auch 2007 noch von verschiedenen AOK-Geschäftsstellen verwendet.

Ebenso wie 2006 habe ich auch 2007 Beschwerden bezüglich eines von der AOK Hessen im Zusammenhang mit Anträgen auf Pflegeleistungen nach dem SGB XI (Soziale Pflegeversicherung) verwendetes Einwilligungsformular erhalten. Dieses Formular habe ich bereits vor längerer Zeit gegenüber der AOK Hessen beanstandet. Die AOK Hessen hat meine Rechtsauffassung geteilt und zugesagt, dass dieses Formular nicht mehr verwendet wird. Dessen ungeachtet ist das Formular in verschiedenen Geschäftsstellen der AOK weiterhin verwendet worden.

Die hier erhobenen Daten unterliegen den Bestimmungen des Sozialgesetzbuches (§ 35 SGB I). Sie werden nur im Rahmen der gesetzlichen Aufgabenerfüllung der AOK Hessen/AOK Hessen Pflegekasse verwendet (§ 37 SGB V, §§ 36, 80 SGB XI).

Die Entbindung von der Schweigepflicht ist zweckgebunden und beruht auf Freiwilligkeit. Sofern die Einwilligung nicht erteilt wird, hat dies keine Auswirkung auf die Leistungserbringung.

Diese Einverständniserklärung kann jederzeit widerrufen werden.

Datenschutzrechtliche Vorgaben

Eine Erhebung und Weiterverarbeitung personenbezogener Daten durch die AOK ist nur zulässig, wenn sie zur Aufgabenerfüllung erforderlich ist und die Datenerhebung aufgrund einer Rechtsvorschrift oder einer Einwilligung der Betroffenen erfolgt (§§ 67a ff. SGB X). Konkret bedeutet dies, dass bei einer Antragsprüfung nur die für die Bearbeitung des Antrags tatsächlich erforderlichen Daten erhoben werden dürfen. Insbesondere darf nicht routinemäßig Einblick in Pflegedokumentationen genommen werden. Soweit im Einzelfall ein Einblick in die Pflegedokumentation zur abschließenden Klärung des Leistungsanspruchs tatsächlich erforderlich ist, ist eine Einwilligung des Betroffenen einzuholen, denn Pflegedokumentationen enthalten besonders sensitive persönliche Daten und sie werden grundsätzlich nur für die Durchführung der Pflege erstellt. In der Einwilligungserklärung sind der Zweck der Einsichtnahme und die weitere Verfahrensweise mit den Daten sowie die rechtlichen Rahmenbedingungen (Mitwirkungspflicht des Antragsstellers nach §§ 60 Abs. 1, 65 SGB I) für die Betroffenen klar darzulegen.

Defizite der Verfahrensweise der AOK

Diese rechtlichen Vorgaben werden mit der Verwendung dieses Formulars nicht eingehalten:

- Das Formular wird offensichtlich routinemäßig bei jeder Antragstellung vorgelegt.