Krankenhaus

Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit weisen häufig leider auch auf strukturelle Mängel in der gesamten Datenschutzorganisation eines Unternehmens hin, die es zu beseitigen gilt.

Outsourcing in der Charite

Im letzten Jahr berichteten wir darüber, dass die Charite Aufgaben, die nicht oder nur mittelbar mit medizinischen Behandlungen verbunden sind, auf die Charite CFM Facility Management GmbH ausgelagert hat. Nun haben wir geprüft, wie dies mit dem Datenschutz und der ärztlichen Schweigepflicht zu vereinbaren ist.

Einige der dabei aufgeworfenen Fragen können nicht mit einfachen Empfehlungen zu technischen und organisatorischen Maßnahmen beantwortet werden, da man gleichzeitig der Effizienz und der Sicherheit der Patientinnen und Patienten bei den Abläufen in einem großen Klinikum hohen Stellenwert einräumen muss.

Aus diesem Grunde waren wir uns mit dem Vorstand der Charite bald einig, dass die Kontrolle dazu dient, gemeinsam Lösungen zu finden, die einerseits die Auslagerung von Dienstleistungen im Krankenhaus ermöglichen und andererseits nicht im Widerspruch zu den Vertraulichkeitsregeln stehen, die zur Grundlage des besonderen Vertrauensverhältnisses zwischen medizinischem Personal und Patientinnen und Patienten gehören. Die Kontrolle soll also zu Prinzipien führen, die auch für andere Krankenhausunternehmen an Bedeutung gewinnen sollen.

Dazu haben wir die verschiedenen dem Outsourcing unterliegenden Dienstleistungen unterteilt, um eine Abschichtung der Fallgruppen und eine Fokussierung auf die schwierigen Fälle zu ermöglichen. Wir gehen von sechs Kategorien aus:

Dienstleistungen, bei denen der Umgang mit personenbezogenen Daten grundsätzlich entfällt,

Dienstleistungen, bei denen nicht die ärztliche Schweigepflicht, sondern andere datenschutzrechtliche Aspekte zu beachten sind,

Dienstleistungen, bei denen durch eine andere Arbeitsorganisation oder verbesserte Hilfsmittel (z. B. Software) die Kenntnisnahme von patientenbezogenen Daten unterbunden werden kann,

Dienstleistungen, bei denen die Kenntnisnahme von patientenbezogenen Daten nicht erforderlich ist, aber nicht ausgeschlossen werden kann, 66 JB 2007, 7.3.3

Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit

Dienstleistungen, bei denen die Kenntnisnahme der patientenbezogenen Daten erforderlich bzw. unvermeidlich ist,

Dienstleistungen, bei denen die Kenntnisnahme der patientenbezogenen Daten unvermeidlich ist, die aber nicht von eigenem Personal des Krankenhauses erbracht werden können, jedoch zwingend erforderlich sind.

Die Dienstleistungen der Kategorie A) haben keine datenschutzrechtliche Relevanz. Zu den Dienstleistungen der Kategorie B) gehören alle Arbeiten, die den Umgang mit Personaldaten erforderlich machen.

Die Charite hat angekündigt, für diese Leistungsbereiche einen Rahmenvertrag zur Auftragsverarbeitung zu schließen.

Bei Dienstleistungen der Kategorie C) können durch entsprechend organisierte Geschäftsabläufe Verletzungen der ärztlichen Schweigepflicht unterbunden werden. Im Bereich der internen Postdienste nehmen Beschäftigte der CFM Patientendaten im Rahmen der Vorsortierung in Patienten-, Mitarbeiter- oder nicht eindeutig zuzuordnende Post zur Kenntnis. Dies berührt jedoch nicht die ärztliche Schweigepflicht, weil die Offenbarung durch die Patientinnen und Patienten selbst (bei ausgehender Post) oder durch Dritte, nicht jedoch durch das Krankenhaus erfolgt. Hier würde das Postgeheimnis zur Geltung kommen, weil die CFM in diesem Fall als geschäftsmäßiges Postdienstleistungsunternehmen angesehen werden kann. Eingehende Post, die nicht eindeutig zugeordnet werden kann, soll verschlossen an eine bestimmte Stelle der Charite weitergeleitet werden, die die Post öffnet und damit die Adressaten ermittelt. Eine Offenbarung von Briefinhalten an die CFM erfolgt so nicht. Wir sehen in dieser Lösung einen gangbaren Weg. Offen ist noch, ob die Patientenverpflegung in diese Kategorie C) fällt und auf Basis pseudonymisierter Daten ermöglicht werden kann. Dies wird seitens der Charite noch als problematisch angesehen. Die Telefongebührenabrechnung für die Patientinnen und Patienten kommt ohne Offenbarung personenbezogener Daten aus, wenn vorausbezahlte Telefonkarten eingesetzt werden. Dies ist in der Charite bereits der Regelfall. Ausnahmen wären auszuschließen. Generell gilt, das bei der Vergabe von Dienstleistungen geprüft werden sollte, ob sie nicht der Kategorie C) unterfallen können, d. h., es ist zu prüfen, ob die Arbeitsorganisation so gestaltet werden kann, dass es nicht zur Offenbarung von Patientendaten durch das Krankenhaus kommt.

Zu den Dienstleistungen der Kategorie D) gehören z.

B. dezentrale Reinigungs-, Desinfektions- und Stationsdienste, die in den Krankenzimmern oder BehandBericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit

lungsräumen erfolgen. In diesem Fall will die Charite neben Kontrolle, Weisung und Durchsetzung eines sorgsamen Umgangs mit Patientenunterlagen geeignete organisatorische Maßnahmen treffen. Dazu gehören z. B. die Verpflichtung der in der Charite Beschäftigten, sorgsam mit personenbezogenen Unterlagen umzugehen, der Verzicht auf die Angabe von Patientennamen an den Türen und in den Krankenräumen sowie die Gesprächsdisziplin bei Anwesenheit von Servicepersonal im Kranken- oder Behandlungszimmer, etwa Reinigungskräften. Bei Dienstleistungen der Kategorie D) besteht weiter Gesprächsbedarf über eine datenschutz- und schweigepflichtkonforme Lösung.

Alle Dienstleistungen, für deren Erfüllung der Umgang mit Patientendaten erforderlich ist (Kategorie E), sollen unter der uneingeschränkten Kontrolle und Wei sung der in der Charite Beschäftigten durchgeführt werden, die damit „berufsmäßig tätige Gehilfen" im Sinne von § 203 Abs. 3 Strafgesetzbuch (StGB) sind.

Der eng auszulegende Gehilfenbegriff verlangt jedoch eine gewisse organisatorische Einbindung und damit die Zugehörigkeit zum Krankenhausbetrieb und muss demzufolge von Beschäftigten der Charite ausgefüllt werden. Erfasst werden dabei die Dienstleistungen in den Archiven und der Internen Postdienste, soweit die Patientendaten berührt sind (und nicht nur Mitarbeiterdaten), sowie viele Aufgaben des Betriebs der Informations-, Kommunikations- und Sicherheitstechnik (Wartungs- und Störungsdienste, die auch in den Krankenzimmern vorkommen können). Inwieweit auch Dienste des internen Krankentransports in diese Kategorie oder eher in die Kategorie D) fallen, bedarf noch der abschließenden Klärung. Dienstleistungen dieser Kategorie können also nicht auf einen Dienstleister wie die CFM übertragen werden, sondern müssen von Beschäftigten der Charite ausgeführt werden.

Zu klären wäre jedoch, ob das bei den Archivdiensten angewandte Modell der Arbeitnehmerüberlassung bei uneingeschränkten Weisungsrechten der ärztlichen Leitung auch für andere Dienstleistungen in Frage kommt.

In die Kategorie F) fallen Wartungs- und Administrationstätigkeiten bei medizintechnischen Geräten, mit denen auch personenbezogene Daten verarbeitet werden. Tatsächlich dürfte es keinem Krankenhaus, auch nicht der großen Charite, möglich sein, eigenes Wartungspersonal für die komplexen medizinischen Geräte wie z. B. Computertomografie und MRt vorzuhalten und zu qualifizieren. Andererseits dürfte es vor allem im Störungsfall nicht immer möglich sein, personenbezogene Daten der aktuell behandelten Patientinnen und Patienten so zu entfernen, dass das fremde Wartungspersonal sie nicht zur Kenntnis nehmen kann.