Krankenhaus

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats züglichen Patientendokumentationen folgt, weil die ärztlichen Garantien erhalten bleiben. Darüber hinaus aber müssen die Patientenunterlagen des Krankenhauses Moabit, so wie es die Krankengeschichtenverordnung vorsieht, im Einvernehmen mit dem zuständigen Bezirksamt so versorgt werden, dass Unbefugte nicht Einsicht nehmen können (§ 9 Krankengeschichtenverordnung).

Die orwellsche Angst im Operationssaal „Big Brother im Operationssaal!" "Videoüberwachung von OP-Sälen schreckt Ärztekammer auf!" „Kameras im OP-Bereich gehören zum Sicherheitskonzept eines Berliner Privatkrankenhauses - Klinikärzte wollen von den „geschickt getarnten" Kameras im OP lange nichts gewusst haben. Auch Patienten waren ahnungslos - „Schwere Eingriffe in das Vertrauensverhältnis zum Arzt und in die Persönlichkeitsrechte der Patienten" - So lauteten die Schlagzeilen in einigen Zeitungen"1.

Die Überprüfung ergab, dass in dem betroffenen privaten Krankenhaus die angstvollen Erwartungen nicht bestätigt wurden. Es gab zwar einige Mängel, weil die tatsächlich vorhandenen festinstallierten Kameras keine Funktionsanzeige aufwiesen und von Laien schon wegen ihrer Gestalt kaum als Videokamera erkennbar waren, jedoch konnten wir mit den uns zur Verfügung stehenden Überprüfungskompetenzen keine „skandalöse Videoaufzeichnung" erkennen.

Nach § 6 b BDSG ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) für die Aufgabenerfüllung öffentlicher Stellen oder zur Wahrnehmung des Hausrechts prinzipiell zulässig. Sie kann aber auch zur „Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke" erforderlich und zulässig sein, wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Ein Operationssaal ist natürlich kein öffentlicher Raum im Sinne dieser Vorschrift. Die Zulässigkeit der Videoüberwachung im privaten Bereich ist daher mit der Rechtsprechung des Bundesgerichtshofs am Recht des eigenen Bildes zu messen. Die spezialgesetzliche, der Gewährleistung des Rechts am eigenen Bild dienende Regelung des § 22 Kunsturhebergesetz (KUG) gewährt zwar keinen Schutz gegen die Herstellung von Abbildungen, sondern nur gegen deren unzulässige Verbreitung oder öffentliche Zurschaustellung. Der Bundesgerichtshof geht jedoch davon aus, dass das Recht am eigenen Bild eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrecht darstellt. Die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten stellt damit einen unzulässigen Eingriff in dessen nach § 823 Abs. 1 BGB geschütztes allgemeines Persönlichkeitsrecht dar. Dabei wird das allgemeine Persönlichkeitsrecht des Betroffenen nicht nur im Fall einer „Bildniserschleichung" verletzt, in dem etwa

Focus 5/2001, S. 2; Ärztezeitung vom 30. Januar 2001; Berliner Ärzte 3/2001, S. 7

Urteil vom 25. April 1995, Az.: VI ZR 272/94 (KG). In: NJW 1995, S. 1955 ff.

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

Abbildungen einer Person in deren privatem Bereich gefertigt werden in der Absicht, sie der Öffentlichkeit zugänglich zu machen. Vielmehr kann auch die Herstellung von Bildnissen einer Person, insbesondere die Filmaufzeichnung mittels Videogerät, einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen.

Diesem gewichtigen Eingriff in das allgemeine Persönlichkeitsrecht standen auf der anderen Seite keine diesen aufwiegenden Gründe entgegen, die sich aus rechtlich geschützten Belangen der Klinik ergeben könnten. Auch das Eigentumsrecht und die Verfügungsbefugnis am Operationssaal rechtfertigen diesen Eingriff gegenüber dem allgemeinen Persönlichkeitsrecht von Patienten und ärztlichen Mitarbeitern bzw. Belegärzten nicht. Wir haben deshalb auf die Erforderlichkeit einer ausdrücklichen Zustimmung sowohl der Ärzte wie auch der Patienten hingewiesen. Patienten und Ärzte sind über die Existenz solcher Kameras aufzuklären. Die Zugriffsmöglichkeiten aufgezeichneter Daten sind auf Zwecke der ärztlichen Behandlung zu begrenzen.

Externe Schreibdienste

Ein datenschutzrechtliches Risiko stellen gerade im medizinischen Bereich externe Schreibbüros dar. Wir empfehlen, weiterhin auf externe Schreibdienste möglichst zu verzichten und stattdessen die Schreibkräfte in das Krankenhaus hineinzuholen.

Wir haben uns mit der Berliner Krankenhausgesellschaft darauf verständigt, dass dann, wenn externe Schreibdienste gleichwohl eingeschaltet werden sollen, die Patientendaten beim Schreibdienst anonymisiert werden sollten, so dass eine Zuordnung der sensiblen Patientendaten ausschließlich dem Krankenhaus, nicht aber dem Schreibbüro möglich ist. Ferner sollten bei der Vergabe von Schreibarbeiten an externe Schreibdienste folgende datenschutzrechtliche Optionen gewährleistet werden:

- Kontrollmöglichkeit und Kontrollpflicht über das Schreibbüro durch das Krankenhaus,

- Festlegung der Datensicherheitsmaßnahmen durch das Krankenhaus (z. B. Zugang zu den Daten nur mit einem Passwort, Löschung der Daten, Transport in verschlossenen Koffern) und schriftliche Bestätigung der Durchführung dieser Maßnahmen durch das Schreibbüro,

- Kündigungsrecht bei einem Verstoß gegen datenschutzrechtliche Bestimmungen.

Ergänzend hierzu sollte eine Einwilligungserklärung der Patienten eingeholt werden. Diese Erklärung sollte insbesondere folgende Punkte berücksichtigen:

- Dem Patienten muss eine echte Wahlmöglichkeit gegeben sein.

- Hat der Patient nicht eingewilligt, muss sichergestellt werden, dass die ihn betreffenden Schreibarbeiten im Krankenhaus selbst durchgeführt werden.

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

- Der Patient muss darüber aufgeklärt werden, dass seine Daten u. U. bei einem externen Schreibbüro nicht denselben Schutz genießen wie im Krankenhaus (Wegfall des Beschlagnahmeverbotes).

- Den Patienten sollten Name und Anschrift des Schreibdienstes bekannt gegeben werden.

- Auch bei Vorliegen einer Einwilligung dürfen Unterlagen nur im unbedingt erforderlichen Umfang an den externen Schreibdienst weitergegeben werden.

Kontrolle eines Krankenhauses der Vivantes GmbH

Die bezirklichen Krankenhäuser, die nicht geschlossen worden sind, wurden zu Beginn des Berichtsjahres privatisiert und unter dem Dach des Unternehmens Vivantes GmbH zusammengefasst. Für diese Krankenhäuser galt bis Ende 2000 das Berliner Datenschutzgesetz, danach das Bundesdatenschutzgesetz, das überdies im Laufe des Jahres wesentlich geändert worden ist. Wir haben eines dieser Krankenhäuser einer kursorischen datenschutzrechtlichen Kontrolle unterzogen.

Wir können nur hoffen, dass das Kontrollergebnis nicht für die privatisierten Krankenhäuser repräsentativ ist.

Wir haben nämlich schwerwiegende organisatorische und technische Mängel festgestellt, z. B.:

- Die Struktur der Informationstechnik erwies sich als nicht prüffähig. Übersichten, die bis 2000 nach dem Berliner Datenschutzgesetz erstellt werden mussten, existierten ebenso wenig wie Übersichten, die nach den danach anzuwendenden Bundesdatenschutzgesetzen zu fertigen waren. Auf unsere Anforderung zur Vorbereitung der Kontrollmaßnahme wurde eilig eine Übersicht über existierende IT-Systeme erstellt, aus der jedoch relevante Informationen über die in den Netzen fließenden Daten nicht entnommen werden konnten. Der Versuch, vor Ort zu genaueren Erkenntnissen zu gelangen, scheiterte an widersprüchlichen Aussagen über Art und Umfang der Vernetzung und möglicher Datenzugriffe. Angebliche Einzelrechner und angeblich isolierte lokale Netze erwiesen sich bei genauerem Hinsehen als vernetzt. Aus diesem Grunde konnten in dem Krankenhaus ITSicherheits- und Datenschutzrisiken nicht erfasst, damit schon gar nicht beherrscht werden. Die innerbetriebliche Organisation des Krankenhauses wurde den besonderen Anforderungen in keiner Weise gerecht, ein bedeutender Verstoß gegen Satz 1 der Anlage zu § 9 BDSG.

- Die unterirdischen Gewölbe und Gänge des Krankenhauses waren für Außenstehende ohne weiteres unbemerkt und schon gar nicht kontrolliert zu betreten. Damit gelangte man zu lebenswichtigen Infrastrukturen einschließlich der Glasfaserleitungen des Krankenhausnetzes. Durch diese Gänge gelangte man auch ungehindert in einen ansonsten zugangsgeschützten Raum mit IT-Infrastruktureinrichtungen (Wiring Center) einer Abteilung. Damit lagen erhebliche Risiken für die Zutrittskontrolle nach Nr. 1 der Anlage zu § 9 BDSG vor.