Die Zugriffsrechte der Beschäftigten auf die Patientendaten waren zu weit bestimmt

Datenschutzprüfung im Krankenhaus

Die Prüfung in einem Krankenhaus, dessen privatrechtlich organisierter Träger im wesentlichen von der öffentlichen Hand beherrscht wird, habe ich insbesondere auf den Umgang mit Patientendaten bezogen. Dabei habe ich Datenschutzmängel angetroffenen, wie sie in ähnlicher Form auch in anderen Kliniken festzustellen sind, obwohl das Saarländische Krankenhausgesetz (SKHG) bereits im Jahre 1987 spezielle Regelungen hierfür getroffen hat.

Die Zugriffsrechte der Beschäftigten auf die Patientendaten waren zu weit bestimmt. Wie häufig wurden wir mit dem Einwand konfrontiert, alle im Krankenhaus Beschäftigten seien doch zur Geheimhaltung verpflichtet, interne Abschottungsmaßnahmen seien deshalb überflüssig, sie würden den Arbeitsablauf beeinträchtigen und unter Umständen sogar die Behandlung eines Patienten verzögern.

Das Krankenhaus ist jedoch keine informationelle Einheit, in der jeder Mitarbeiter in die Daten aller Patienten Einsicht nehmen darf. § 29 Abs. 3 Satz 2 SKHG legt fest, dass die im Krankenhaus Beschäftigten Patientendaten nur für den zur jeweiligen Aufgabenerfüllung gehörenden Behandlungszweck einsehen oder sonst nutzen dürfen. Medizinische Behandlungsdaten einer Abteilung dürfen grundsätzlich nicht dem Personal einer anderen Abteilung zugänglich sein. Mitarbeiter in der Verwaltung dürfen von medizinischen Daten nur insoweit Kenntnis erhalten, als dies für ihre Aufgaben, insbesondere für die Abrechnung des Behandlungsfalles, erforderlich ist. Funktionsstellen dürfen nur Zugriff auf die Daten erhalten, die sie für ihre Arbeit benötigen.

Durch technische und organisatorische Maßnahmen ist sicherzustellen, dass das Patientengeheimnis gewahrt bleibt. Auch in dem geprüften Krankenhaus wurden diese Regeln nicht strikt eingehalten. Alle Einzelkliniken hatten Zugriff auf die Daten aller Patienten, die seit Einsatzbeginn des Patienteninformationssystems behandelt wurden. Eine Beschränkung der Zugriffsrechte auf die einzelnen Fachbereiche war in dem System zum damaligen Zeitpunkt noch nicht vorgesehen. Ein besonderes Auskunftsmodul enthielt nicht nur Grunddaten über den Patienten (Namen, Adresse, Geburtsdatum, Aufnahme- und Entlassungsdatum, Fachabteilung, Station), wie es etwa für den Empfangsbereich/Pförtner und das Krankenblattarchiv ausreichend gewesen wäre, sondern auch Angaben über Kostenträger, erbrachte Leistungen (z.B. Wahlleistung), Angehörige, Hausarzt und Aufnahmeart (z.B. Notfall, Selbstmordversuch).

Bei der Patientenaufnahme wurden die vorrangig für Verwaltungs- und Abrechnungszwecke erhobenen Daten unmittelbar am Terminal erfasst. Die in der Krankenversichertenkarte gespeicherten Daten wurden automatisiert eingelesen. Ein Aufnahmeformular, das von den Patienten zunächst auszufüllen ist, wurde nicht verwendet. Dieses Verfahren ist zwar praktisch, aber aus datenschutzrechtlicher Sicht insoweit problematisch, als nicht sichergestellt ist, dass die Patienten oder ihre Angehörigen informiert sind, zu welchen Angaben sie verpflichtet sind und welche Daten auf freiwilliger Grundlage erhoben werden. Dabei bestand auch bei dem aufnehmenden Personal Unsicherheit, welche Daten freiwillig angegeben werden können und welche zur Abwicklung des Behandlungsvertrages unerlässlich sind.

Ich habe vorgeschlagen, den Patienten vor der Datenerfassung ein InfoBlatt auszuhändigen, in dem sie aufgeklärt werden, welche Daten aus welchen Gründen auf freiwilliger Basis erhoben werden und in dem sie ihre Einwilligung zur Verarbeitung dieser Daten erklären können. Zusätzlich sollte in der Erfassungsmaske bei den betreffenden Datenfeldern ein Hinweis auf die Freiwilligkeit oder die Voraussetzungen der Erhebung aufgenommen werden (z. B. Arbeitgeber nur, wenn die Versicherungsverhältnisse unklar sind).

Bei der Aufnahme wurde der Patient auch mündlich nach seiner Religionszugehörigkeit gefragt und die Angabe am Terminal erfasst. Patienten, die ihre Religionszugehörigkeit angaben, wurden in die „Pfarrerliste" aufgenommen, die vom System ausgedruckt und beim Pförtner zur Einsicht für die beiden Krankenhausseelsorger und den Besuchsdienst der Kirchenbzw. Pfarrgemeinden bereitlag. Oftmals waren Patienten überrascht, dass ihre Gemeinde Kenntnis von der Krankenhausaufnahme hat und dass sie von Helfern aus der Gemeinde besucht werden. Damit die Rechte der Patienten gewahrt werden, ist die Einwilligung entsprechend der Regelung in § 29 Abs. 2 SKHG schriftlich einzuholen. Dabei sollte den Patienten auch das Wahlrecht eingeräumt werden, ob ihre Daten nur dem Krankenhausseelsorger oder auch dem gemeindlichen Besuchsdienst zugeleitet werden sollen. Die „Pfarrerliste" darf nur dem jeweils zuständigen Krankenhausseelsorger zur Verfügung gestellt werden. Für den gemeindlichen Besuchsdienst sollten - je nach Heimatort - separate Listen angefertigt werden, die nur die Patienten enthält, die hierfür ihre Einwilligung erteilt haben. Das Krankenhaus hat meine Anregungen - auch den Formulierungsvorschlag für einen Passus im Informationsblatt - übernommen.

Auch in dem geprüften Krankenhaus wurden wieder Warnmeldungen der Deutschen Krankenhausgesellschaft über Krankenhauswanderer vorgefunden. Es handelt sich um Personen, die sich in anderen Krankenhäusern durch Vorspiegelung falscher Tatsachen einen stationären Aufenthalt erschwindelt haben. Die Meldungen, in denen die Ereignisse unter Nennung des Namens und weiterer personenbezogener Daten detailliert geschildert sind, wurden im Bereich der Krankenhausaufnahme für einige Jahre gesammelt und anschließend im Archiv aufbewahrt. Bisher hatte noch keine dieser Personen um stationäre Aufnahme nachgesucht. Die Meldung solcher Fälle durch ein Krankenhaus ist, weil eine gesetzliche Befugnis zur Datenübermittlung fehlt, unzulässig. Überdies halte ich die Warnmeldungen für kein geeignetes Mittel, Missbräuche zu verhindern, weil eventuelle frühere Betrügereien keine Ablehnung der Krankenhausbehandlung rechtfertigen, wenn später tatsächlich einmal akute Behandlungsbedürftigkeit besteht.

Nach § 29 Abs. 5 Satz 1 SKHG sind Patientendaten zu löschen, wenn sie zur Erfüllung der Aufgaben nach Abs. 2 und 3 - also zur Abwicklung des Behandlungsfalles - nicht mehr erforderlich und die durch Rechtsvorschriften oder die ärztliche Berufsordnung vorgeschriebenen Aufbewahrungsfristen abgelaufen sind. Satz 2 schreibt darüber hinaus vor, dass Patientendaten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, unmittelbar nach Abschluss der Behandlung zu löschen sind.

Es darf nur ein Restdatensatz gespeichert bleiben, der für das Auffinden der Krankenakte erforderlich ist.

Die Umsetzung dieser Vorschrift bereitet in der Praxis zunehmend Schwierigkeiten. Ihr liegt die Annahme zugrunde, dass ein automatisierter Datenbestand, auf den jederzeit zugegriffen werden kann, höhere Gefahren für das Patientengeheimnis mit sich bringt als die manuelle Sammlung konventioneller Krankenunterlagen oder auf externen Datenträgern (d.h. nicht direkt abrufbare) elektronisch gespeicherte Informationen. Seit Inkrafttreten des Krankenhausgesetzes sind die technischen Möglichkeiten weiter fortgeschritten; es stehen leistungsfähige Patientenverwaltungssysteme zur Verfügung, die differenzierte Zugriffsbeschränkungen erlauben. Dem gegenüber lässt sich die unzulässige Verarbeitung bei Nutzung externer Datenträger möglicherweise schwerer ausschließen. Daher erscheint fraglich, ob die Vorschrift des § 29 Abs. 5 Satz 2 SKHG noch angemessen ist.

Datenübermittlung für die Krankenhausplanung

Zur Vorbereitung des am 1. Januar 2001 in Kraft tretenden Krankenhausplanes hatte das Ministerium für Frauen, Arbeit, Gesundheit und Soziales ein privates Institut mit der Erstellung eines Gutachtens beauftragt. Für die Krankenhausplanung sollte dabei nach dem Konzept des Gutachters anders als in der Vergangenheit an konkrete Belegungs- und Behandlungsdaten der Patienten in den einzelnen Einrichtungen angeknüpft werden. Damit stellte sich die Frage, ob und inwieweit hierbei besonders geschützte personenbezogene Daten von Stellen außerhalb des Krankenhauses verarbeitet werden müssen.