Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.

Häufig gestellte Fragen zum Bereich ambulante Arztpraxen


Rechtliche Grundlagen des Patientengeheimnisses

Das Patientengeheimnis findet seine Grundlage in verschiedenen Rechtsbereichen. So beinhaltet das Standesrecht in den Berufsordnungen der Ärzte- bzw. Zahnärztekammern, der Apothekenkammern und der Psychotherapeutenkammern die Pflicht zur Dokumentation einer Behandlung, das Recht des Patienten auf Akteneinsicht, die Pflicht zur Verschwiegenheit, aber auch bestimmte Befugnisse zur Übermittlung von Patientendaten.

Aus dem Zivilrecht ergeben sich besondere Patientenrechte (siehe Bürgerliches Gesetzbuch – BGB). Die Behandlung des Patienten basiert auf einem von ihm gewünschten Behandlungsvertrag.

Weitere Regelungen finden sich im Datenschutzrecht. Neben den allgemeinen Datenschutzvorschriften des Bundesdatenschutzgesetzes (BDSG) bzw. der Landesdatenschutzgesetze (LDSG) sind die besonderen Datenschutzvorschriften von Bedeutung, die sich aus den Krankenhausgesetzen, den Sozialgesetzbüchern (insbesondere SGB V) und einer Vielzahl weiterer spezifischer Gesetze wie z. B. dem Infektionsschutzgesetz ergeben.

Im Strafrecht stellt § 203 Strafgesetzbuch (StGB) die unbefugte Offenbarung von Patientendaten unter Strafe (Geldstrafe oder sogar bis zu zwei Jahre Gefängnis).

Welche Berufe müssen das Patientengeheimnis wahren bzw. unterliegen der "ärztlichen Schweigepflicht"?

Nicht nur Ärzte und Zahnärzte, Arztpraxen und Kliniken müssen das Patientengeheimnis wahren.

Zu den Berufsgeheimnisträgern gehören auch Apotheker, Tierärzte sowie die Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert (Krankenschwestern und -pfleger, Hebammen, Physiotherapeuten, pharmazeutisch bzw. medizinisch-technische Assistenten, Masseure, medizinische Ba-demeister, Logopäden, Ergotherapeuten, Orthoptisten, Rettungs-assistenten, psychologische Psychotherapeuten, Kinder- und Ju-gendlichenpsychotherapeuten, Podologen, …)

Darf es überhaupt eine Patientenakte geben?

Ja! Das Erheben und Speichern von besonderen Arten von Daten (§ 3 Abs. 9 BDSG), zu denen auch die Gesundheitsangaben gehören, ist zulässig, wenn dies für die Behandlung erforderlich ist (§ 28 BDSG).

Ärzte, Zahnärzte, Hebammen und Psychotherapeuten sind durch ihre standesrechtlichen Vorschriften (Berufsordnungen) sogar verpflichtet, eine vollständige Patientendokumentation zu führen. Diese Aufzeichnungen sind nicht nur eine Gedächtnisstütze; auch sollen sie ausdrücklich dem Interesse des Patienten als Nachweis einer ordnungsgemäßen Behandlung dienen.

Welche Informationen dürfen in meiner Patientenakte gespeichert werden?

Es gibt unterschiedliche und eher allgemeine Vorgaben. So wird z. B. von Ärzten gefordert, dass diese über die in Ausübung ihres Berufs gemachten Feststellungen und getroffenen Maßnahmen Aufzeichnungen machen (§ 10 Abs. 1 Berufsordnung der Ärztekammer Schleswig-Holstein – BOÄK SH). § 12 Abs. 1 der Berufsordnung der Psychotherapeutenkammer Schleswig-Holstein verpflichtet Psychotherapeuten dazu, erforderliche Aufzeichnungen über die psychotherapeutische Tätigkeit zu erstellen. Welche Daten eines Patienten erforderlich sind, muss primär aus fachlicher Sicht festgelegt werden. Die datenverarbeitenden Stellen müssen also stets die Erforderlichkeit der Datenspeicherung prüfen und haben hierbei einen Beurteilungsspielraum.

Darf ich Auskunft über meine Patientendaten verlangen?

Ja! § 34 BDSG sieht vor, dass nicht-öffentliche Stellen den Betroffenen auf Verlangen schriftlich Auskunft zu erteilen haben. Ein Patient darf fragen,

  • welche Daten zu seiner Person gespeichert sind,
  • woher diese Daten stammen,
  • zu welchem Zweck diese Daten gespeichert wurden und
  • an wen welche Daten übermittelt wurden.

§ 27 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) sieht diesen Auskunftsanspruch für den Patienten gegenüber öffentli-chen Stellen vor.

Habe ich das Recht, meine Patientenakte einzusehen?

Ja, grundsätzlich schon!

Das nach § 34 BDSG bzw. § 27 LDSG SH vorgesehene Recht auf Auskunft kann und soll auch in der Form der Akteneinsicht gewährt werden.

Die Berufsordnungen der einzelnen Kammern sehen das Recht auf Akteneinsicht ausdrücklich vor (z. B. § 10 Abs. 2 BOÄK SH).

Auch § 630g BGB fordert, dass einem Patienten auf Verlangen unverzüglich Einsicht in die vollständige ihn betreffende Patientenakte zu gewähren ist.

Wenn aber der Einsichtnahme erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen, darf der Arzt die Einsicht ablehnen. Je nach Einzelfall kann die Einsicht in Form einer Erörterung mit einem Arzt nach Wahl des Patienten erfolgen.

Darf ich eine Kopie bzw. einen Ausdruck meiner Patientenakte verlangen?

Ja! Unter anderem sieht z. B. § 10 Abs. 2 Satz 2 BOÄK SH vor, dass auf Verlangen dem Patienten Kopien (bzw. Ausdrucke) der Patientenunterlagen auszuhändigen sind. Nach § 34 Ab. 6 BDSG können Sie die Auskunft in Textform verlangen.

Aber aufgepasst: Von Ihnen kann die Erstattung der Kosten verlangt werden. Fragen Sie also vorher nach.

Wie kann ich als gesetzlich versicherter Patient erfahren, welche Leistungen mein Arzt bei meiner Krankenkasse abgerechnet hat?

Auf Antrag unterrichten die Krankenkassen die Versicherten über die in einem Zeitraum von mindestens 18 Monaten vor Antragstellung in Anspruch genommenen Leistungen und deren Kosten (§ 305 Abs. 1 Satz 1 SGB V).

Habe ich einen Anspruch auf Berichtigung von (falschen) personenbezogenen Daten?

Auch Patientendaten sind zu berichtigen, wenn sie unrichtig sind (§ 35 Abs. 1 Satz 1 BDSG). Aber aufgepasst: Wird die Richtigkeit der Daten vom Patienten bestritten und lässt sich weder die Richtigkeit noch Unrichtigkeit feststellen, müssen diese Daten nicht berichtigt bzw. gelöscht werden. Gegebenenfalls haben Sie einen Anspruch auf Sperrung der bestrittenen Daten bzw. können verlangen, dass eine Gegendarstellung zur Patientenakte genommen wird.

Wie lange muss bzw. darf meine Patientenakte aufgewahrt werden?

Das Datenschutzrecht fordert, dass Daten nur so lange gespeichert werden, wie diese Daten zur Aufgabenerfüllung erforderlich sind oder gesetzliche Vorschriften die Aufbewahrung fordern (§ 35 Abs. 2 Nr. 3 BDSG, § 28 Abs. 2 Nr. 2 LDSG SH).

Tatsächlich gibt es Vorschriften, die Aufbewahrungsfristen festlegen. So fordern die Berufsordnungen der Kammern, dass Aufzeichnungen für die Dauer von zehn Jahren nach Abschluss der Behandlung aufzubewahren sind (z. B. § 10 Abs. 3 BOÄK SH).

Nach Einschätzung des ULD ist diese Frist ausreichend. Sollen Aufzeichnungen für einen längeren Zeitraum aufbewahrt werden, bedarf es guter Gründe (und entsprechender Vorschriften).

Krankenhäuser, die Aufzeichnungen bis zu 30 Jahre aufbewahren, um sich vor möglichen Regressansprüchen der Patienten zu schüt-zen, sollten kritisch prüfen, ob diese Notwendigkeit wirklich besteht.

Werden Patientendaten aus fachlicher bzw. medizinischer Sicht für einen längeren Zeitraum benötigt, so kann eine Aufbewahrung über zehn Jahre hinaus erfolgen. Der Grund für diese längere Aufbewahrung ist zu dokumentieren.

Habe ich bei einem Arztwechsel Anspruch auf Weiter- oder Herausgabe der Patientenakten?

Einen Anspruch darauf, die Originalakte zu bekommen, bzw. darauf, dass die Originalakte Ihrem neuen Arzt übergeben wird, haben Sie nicht. Allerdings können Sie eine Kopie bzw. einen Ausdruck der Patientendaten verlangen. Nette Ärzte werden diese Kopien auf Ihren Wunsch auch direkt an den neuen Arzt senden.

Muss ich über meine Gesundheit sprechen, wenn andere Patieten zuhören?

Berufsgeheimnisträger sind verpflichtet, ein Mindestmaß an Ver-traulichkeit zu gewährleisten (§ 203 StGB, § 9 BDSG, § 5 LDSG SH).

Durch die bauliche Gestaltung von Praxen und Kliniken und die Organisation der Arbeitsabläufe muss sichergestellt werden, dass Patienten ihre Anliegen geschützt vor neugierigen Ohren und Augen vortragen können. Vertrauliche Patientengespräche sollten daher in separaten Räumen geführt werden.

Besonders der Empfangsbereich einer Arztpraxis bzw. Klinik ist problematisch. Es darf nicht sein, dass Patienten ihre gesundheitlichen Probleme schildern müssen, wenn andere Patienten zuhören.

Telefonate müssen so geführt werden, dass Unbefugte nicht mithören können.

Der Empfangsbereich und der Wartebereich sind zu trennen.

Behandlungsräume müssen eine diskrete Behandlung ermöglichen. Türen sind während der Behandlung geschlossen zu halten.

Mehrbettzimmer im Krankenhaus sind zwar nicht grundsätzlich unzulässig, aber problematisch. Die Eröffnung von Diagnosen muss im vertraulichen Einzelgespräch erfolgen.

Darf ein Foto von mir gemacht werden?

Ja, wenn Sie vorher gefragt werden, ob Sie damit einverstanden sind, und wenn dieses Foto für die Behandlung erforderlich ist.

Ist eine Videoüberwachung in den Räumen einer Praxis oder einer Klinik zulässig?

Die Antwort auf diese Frage ist davon abhängig, in welchen Räumen aus welchen Gründen eine Videoüberwachung erfolgen soll.

Tatsächlich sieht das Datenschutzrecht vor, dass eine Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) erfolgen darf, wenn dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist (§ 6b BDSG). Auch der Eingangs-, Empfangs- und War-tebereich einer Praxis bzw. Klinik gilt als öffentlich zugänglicher Raum. In diesen Bereichen kann eine Videoüberwachung zulässig sein, wenn es (wiederholt) zu Störungen im Betriebsablauf gekommen ist oder andere Sicherheitsgründe dies erfordern.

Eine Videoüberwachung in den Behandlungsbereichen ist hingegen deutlich kritischer zu bewerten. Im Behandlungsbereich ist eine Videoüberwachung – wenn überhaupt – nur in konkreten Einzelfällen zulässig, wenn diese aus medizinischer Sicht erforderlich ist. Oftmals wird es jedoch Alternativen geben, die einer Videoüberwachung vorzuziehen sind.

Eine heimliche Videoüberwachung ist grundsätzlich unzulässig. Vielmehr muss durch geeignete Mittel auf die Videoüberwachung hingewiesen werden (Hinweisschilder!).

Erfolgen Videoaufzeichnungen, sind diese Aufzeichnungen so früh wie möglich zu löschen (regelmäßig nach drei Tagen), es sei denn, die Aufzeichnungen werden für die Aufklärung besonderer Vorfälle benötigt.

Vorbildliche Praxen und Kliniken regeln die Videoüberwachung gemeinsam mit den Betriebs- bzw. Personalräten in einer Dienstvereinbarung. Weitere Informationen finden Sie in der Informationsbroschüre "Videoüberwachung und Webkameras" des ULD.

Welchen Personen oder Stellen dürfen Patientendaten übermittelt werden?

"Übermitteln" ist das Bekanntgeben bzw. Weitergeben von Daten an einen Dritten (§ 3 Abs. 4 Nr. 3 BDSG, § 2 Abs. 2 Nr. 3 LDSG SH). Der Begriff der „Offenbarung“ ist weitergehend. Ein Offenbaren von Patientendaten kann schon vorliegen, wenn Dritte die Möglichkeit erhalten, Patientendaten zur Kenntnis zu nehmen.

Ein Übermitteln bzw. Offenbaren von Patientendaten ist nur zulässig, wenn hierfür eine ausreichende Befugnis vorliegt, die sich aus einer gesetzlichen Vorschrift oder der Einwilligung ("Schweigepflichtentbindungserklärung") des Patienten ergeben kann.

Tatsächlich gibt es eine Vielzahl von gesetzlichen Vorschriften, die eine Übermittlung von insbesondere gesetzlich versicherten Patientendaten erlauben oder sogar fordern.

So dürfen Arztpraxen Patientendaten für die Abrechnung ihrer Leistungen an die Kassenärztliche bzw. Kassenzahnärztliche Vereinigung übermitteln (§ 285 SGB V i. V. m. § 100 SGB X). Eine Übermittlung von Patientendaten an die gesetzlichen Krankenkassen ist hingegen nur sehr begrenzt vorgesehen.

Krankenhäuser müssen hingegen für die Abrechnung ihrer Leistungen Patientendaten direkt an die Krankenkassen übermitteln (§ 301 SGB V).

Auch Apotheker übermitteln Daten über die Abgabe von Arzneimitteln an die Krankenkassen. Sie dürfen hiermit Apothekenrechenzentren beauftragen (§ 300 SGB V).

Hebammen sind nach § 301a SGB V, andere Leistungserbringer nach § 302 SGB V verpflichtet, die für die Abrechnung erforderlichen Patientendaten an die Krankenkassen zu übermitteln.

Hat eine gesetzliche Krankenkasse Zweifel an der Zulässigkeit einer Arztrechnung, muss sie den Medizinischen Dienst der Krankenkassen (MDK) um Prüfung bitten (§ 275 SGB V). Der MDK darf weitere Patientendaten bei den Praxen und Kliniken erheben.

Auch das Infektionsschutzgesetz sieht für bestimmte meldepflich-tige Krankheiten für Ärzte die Verpflichtung vor, Patientendaten dem zuständigen Gesundheitsamt zu melden (§§ 6, 8 Infektions-schutzgesetz).

Das Landeskrebsregistergesetz SH (LKRG SH) sieht vor, dass Ärzte Angaben zum Behandlungsverlauf einer Krebserkrankung an das Krebsregister Schleswig-Holstein übermitteln. Dort werden die Daten in einem mit dem ULD abgestimmten Verfahren für Forschungszwecke pseudonymisiert vorgehalten.

Wenn der Gesetzgeber keine verbindlichen Regelungen getroffen hat, bedarf es für die Zulässigkeit der Übermittlung von Patientendaten der wirksamen Einwilligung.

Bei Privatpatienten gilt, dass grundsätzlich der Patient die Rech-nung vom Arzt erhält. Soll eine externe Firma die Abrechnung übernehmen (z. B. "PVS"), dann muss der betroffene Patient zuvor schriftlich seine Einwilligung erklärt haben. Auch die Abtretung einer Forderung oder eine Bonitätsprüfung ist nur mit Einwilligung des Patienten zulässig.

Die private Krankenversicherung (PKV) darf Patientendaten bei einem Arzt nur erfragen, wenn der Patient hierüber unterrichtet wurde und seine Einwilligung erklärt hat.

Eine namentliche Übermittlung von Patientendaten an ein externes Labor darf ebenfalls nur mit der Einwilligung des Patienten erfolgen.

Soll bei einem Krankenhausaufenthalt der Seelsorger unterrichtet werden, bedarf auch dies der Einwilligung des Patienten.

Sogar eine Auskunft an Ehegatten und Angehörige setzt grundsätzlich die Einwilligung des Patienten voraus.

Die Übermittlung von Patientendaten an ein Forschungsinstitut darf grundsätzlich nur mit der Einwilligung des Patienten erfolgen.

Dürfen sich Ärzte und andere Leistungserbringer über Patienten austauschen?

Auch zwischen Ärzten gilt die ärztliche Schweigepflicht. Wenn Ärzte untereinander Daten von Patienten austauschen wollen, bedarf es hierfür einer spezifischen Befugnis. Da es diesbezüglich eigentlich keine gesetzlichen Vorschriften gibt, benötigen Ärzte daher grundsätzlich die Einwilligung des Patienten.

Aber aufgepasst: Wenn mehrere Ärzte gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln, so sind sie untereinander von der Schweigepflicht insoweit befreit, als das Einverständnis des Patienten vorliegt oder anzunehmen ist (so § 9 Abs. 4 BOÄK SH). Patienten sollten über einen beabsichtigten Da-tenaustausch vorab unterrichtet werden.

Auch eine Kooperation bzw. der Datenaustausch mit anderen Leistungserbringern des Gesundheitswesens, z. B. zwischen Hautarztpraxis und einem Kosmetikinstitut, erfordert die Kenntnis und die Einwilligung der betroffenen Patienten.

Wie muss eine Schweigepflichtentbindungserklärung aussehen?

Eine wirksame Einwilligung im Sinne von § 203 Abs. 1 Nr. 1 StGB setzt voraus, dass der Einwilligende eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt, und die Bedeutung und Tragweite seiner Entscheidung zu überblicken vermag. Er muss deshalb wissen, aus welchem Anlass und mit welcher Zielsetzung er welche Personen von der Schweigepflicht entbindet, und über Art und Umfang der Einschaltung Dritter unterrichtet sein (BGH, Az. VIII ZR 240/91 vom 20. Mai 1992).

Folgende "5 + 2" Punkte muss die Erklärung beinhalten:

  • Wer übermittelt? (Name, Anschrift Sender)
  • Wessen Daten? (Name des Betroffenen)
  • Wem? (Name, Anschrift Empfänger)
  • Welche Daten? (Datenumfang)
  • Wofür? (Zu welchem Zweck)
  • Hinweis auf Freiwilligkeit
  • Hinweis auf Möglichkeit des Widerrufes ("mit Wirkung für die Zukunft, ohne Angabe von Gründen")

Fehlt einer oder fehlen sogar mehrere dieser 5 + 2 Punkte oder sind einzelne Punkte nicht hinreichend präzise, so kann dies dazu führen, dass der Erklärende nicht ausreichend informiert wurde und die Einwilligung daher – trotz Unterschrift – unwirksam ist. Die detaillierten Informationen dürfen auf einem separaten Informati-onsblatt überreicht werden, so dass das eigentliche Erklärungsformular nicht überfrachtet wird. Näheres finden Sie auf der Webseite des ULD.

Eine Schweigepflichtentbindungserklärung muss grundsätzlich schriftlich erfolgen (§ 4a Abs. 1 Satz 3 BDSG, § 12 Abs. 1 Satz 1 LDSG SH).

Dürfen Praxen und Kliniken Aufgabenan andere Firmen outsourcen?

Systemadministration, Aktenvernichtung, Mikroverfilmung, Schreibdienste, Catering, Archivierung, Druck, Versand, ... – Bedient sich eine Praxis/Klinik der Hilfe eines externen Unternehmens und hat der Dienstleister die Möglichkeit, Patientendaten zur Kenntnis zu nehmen, bedarf es hierfür eines detaillierten schriftlichen Vertrags (§ 11 BDSG, § 17 LDSG SH) und der (schriftlichen) Einwilligung der Patienten zur Offenbarung der Daten.

Darf mit meiner Patientenakte geforscht werden?

Eine Forschung mit Patientendaten kann sehr sinnvoll sein.

Grundsätzlich sind Patientendaten vor der Übermittlung an die forschende Stelle zu pseudonymisieren bzw. zu anonymisieren.

Können die Patientendaten nicht pseudonymisiert oder anonymisiert werden, bedarf es der Einwilligung/Schweigepflichtentbindungserklärung der betroffenen Patienten, bevor deren Daten an die forschende Stelle übermittelt werden.

Die Übermittlung von Patientendaten, die nicht zuvor pseudonymisiert oder anonymisiert wurden, ist nur in wenigen Fällen und nur unter besonderen Bedingungen zulässig.

Für öffentliche Stellen finden sich im § 22 LDSG SH weitergehende Regelungen.

Praxisübergabe oder -aufgabe

Wenn eine Praxis z. B. aus Altersgründen aufgegeben wird, dürfen die Patientenakten nicht ohne Weiteres an den Nachfolger übergeben werden.

Ein Überlassen der Patientenakten ist grundsätzlich eine Übermittlung/Offenbarung von Patientendaten, für die es einer ausreichenden Befugnis bedarf. Da gesetzliche Regeln nicht bestehen, ist der erklärte Wille der Patienten entscheidend.

Optimal wäre es, wenn jeder Patient befragt wird, ob er damit einverstanden ist, dass seine Patientendaten dem Praxisnachfolger übergeben werden.

Aber nicht jeder Patient kann gefragt werden. Die Ärztekammern haben hierfür das "2-Schrank-Modell" entwickelt. Vereinfacht lässt sich dieses Verfahren wie folgt beschreiben: Der ehemalige Praxisinhaber verschließt die Patientendaten in einem Schrank. Denkbar ist, dass er den Schlüssel für diesen Schrank einer Mitarbeiterin übergibt, die auch für den Praxisnachfolger arbeiten wird. Kommt ein Patient nach Praxisübergabe in die Praxis und erklärt sich damit einverstanden, dass der Praxisnachfolger die bisherige Betreuung fortführt, dürfen dessen Patientendaten dem Schrank des ehemaligen Praxisinhabers entnommen und in einen (zweiten) Schrank des Praxisnachfolgers überführt werden. Daten jener Patienten, die nicht mehr vorsprechen oder die nicht von dem Praxisnachfolger betreut werden wollen, bleiben unter Verschluss in dem Schrank des ehemaligen Praxisinhabers. Die datenschutzrechtliche Verantwortung für diesen ersten Schrank verbleibt bei dem ehemaligen Praxisinhaber. So ist sichergestellt, dass der Praxisnachfolger nur Kenntnis von den Daten der Patienten erhält, die auch tatsächlich von diesem betreut werden wollen. Bei einer elektronischen Aktenführung ist durch geeignete Maßnahmen die Zweiteilung des Aktenbestands nachzubilden.

Wird eine Praxis aufgegeben und gibt es keinen Nachfolger, verbleiben die Patientendaten bis zur ordnungsgemäßen Vernichtung (Aufbewahrungsfristen sind zu beachten!) beim ehemaligen Praxisinhaber. Verstirbt der Praxisinhaber, übernehmen seine Erben diese Verantwortung.

Ärzte finden weitere Hinweise auf der Webseite des ULD.

Welche Daten darf meine gesetzliche Krankenkasse erheben und speichern?

§ 284 SGB V enthält eine abschließende Aufstellung, welche Daten eine gesetzliche Krankenkasse erheben und speichern darf. Versi-cherte haben nach § 83 SGB X eine Anspruch auf Auskunft über diese Daten und nach § 25 SGB X sogar das Recht auf Einsicht.

Mein Arzt hat mich krankgeschrieben - darf meine Krankenkasse meine Arbeitsunfähigkeit prüfen?

Bei Zweifeln an der Arbeitsunfähigkeit eines Versicherten sind Krankenkassen verpflichtet, eine Stellungnahme des Medizinischen Dienstes der Krankenkassen (MDK) einzuholen (§ 275 Abs. 1 SGB V). Der MDK ist berechtigt, mit Ihren Ärzten zu sprechen, und kann Sie sogar zu einer amtsärztlichen Untersuchung einladen. Der Gesetzgeber hat aber nicht vorgesehen, dass Versicherte einen Selbstauskunftsbogen für die Krankenkasse ausfüllen, ebenso wenig, dass Versicherte ihre Ärzte gegenüber der Krankenkasse von der Schweigepflicht entbinden.

Allerdings gibt es die Bestrebung, das bisherige Krankengeldmanagement neu zu regeln und den Krankenkassen neue Befugnisse einzuräumen.

Die neue elektronische Gesundheitskarte (eGK)

Die Einführung der eGK hat nicht nur bei Patienten zu einer großen Verunsicherung geführt. Die Datenschutzaufsichtsbehörden begleiten dieses Projekt kritisch. Die Rechtsgrundlage für die eGK findet sich insbesondere in den §§ 291, 291a SGB V.

Auf der eGK sind die Versichertenstammdaten gespeichert (Name, Adresse, Geburtsdatum, Versichertennummer), die auch bereits die ehemaligen Krankenversicherungskarte enthalten hat (§ 291a Abs. 2 Satz 1 SGB V). Dass für die Ausstellung der eGK ein Lichtbild gefordert und dass dieses Lichtbild von den Krankenkassen auf Dauer gespeichert wird, kann aus datenschutzrechtlicher Sicht nicht beanstandet werden (Anm.: Auch die alte Karte sollte bereits ein Lichtbild enthalten.).

Auf der eGK sollen künftig Angaben für die Übermittlung ärztlicher Verordnungen ("elektronisches Rezept") gespeichert werden (§ 291a Abs. 2 Satz 1 Nr. 1 SGB V).

Darüber hinaus soll die neue eGK gemäß § 291a Abs. 3 Satz 1 SGB V u. a. folgende neue Funktionen ermöglichen:

  • Notfalldatensatz
  • Prüfung Arzneimittelsicherheit
  • Elektronische Arztbriefschreibung
  • Elektronische Patientenakte
  • Nachweis Organspender, Patientenverfügung

Die Nutzung dieser zusätzlichen Funktionen ist jedoch von der ausdrücklichen Einwilligung des Versicherten abhängig (§ 291a Abs. 3 Satz 4 SGB V). Auch künftig verbleibt die Behandlungsdokumentation bei Ihrem behandelnden Arzt. Mit Ihrem Einverständnis können digitale Kopien verschlüsselt für den Zugriff durch andere behandelnde Ärzte abgelegt werden, die für den Zugriff dann Ihre Einwilligung und Ihre eGK benötigen.

Der Gesetzgeber fordert, dass die Versicherten das Recht haben, jederzeit auf die Daten der eGK bzw. die Daten, die im Zusammenhang mit den zuvor beschriebenen Funktionen erhoben, verarbeitet oder genutzt werden, zuzugreifen (§ 291a Abs. 4 2 SGB V).

Wie sicher sind meine Patientendaten in meiner Praxis/Klinik?

Daten, Datenträger und Verfahren sind vor einem unbefugten Zugriff zu schützen (so u. a. § 5 Abs. 1 Nr. 3 LDSG SH). Jede datenverarbeitende Stelle ist verpflichtet, durch technische und organisatorische Maßnahmen zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Nr. 7 der Anlage zu § 9 BDSG).

Karteikarten, Patientenakten und weitere Unterlagen mit Patien-tendaten dürfen nicht unbeaufsichtigt im Empfangs- oder Behand-lungsbereich "herumliegen" und sind daher unter Verschluss aufzubewahren.

Patienten und Besucher einer Praxis/Klinik dürfen keinen Zugriff auf die Informationstechnik haben. Telefaxgeräte und Bildschirme sind so aufzustellen, dass diese nicht von Unbefugten eingesehen werden können. Passwortgeschützte Bildschirmschoner sind ein geeignetes Mittel zum Schutz. Passwörter müssen eine hinreichende Länge haben und dürfen nicht zu erraten sein. Patientendaten sind verschlüsselt zu speichern. Regelmäßig sind Sicherungskopien der Patientendaten zu fertigen (möglichst jeden Tag, mindestens einmal die Woche), und eine verschlüsselte (!) Kopie sollte außerhalb der Praxis gelagert werden.

Konventionelle Datenträger wie z. B. Patientenakten oder Karteikarten, aber auch die Informationstechnik sind "rund um die Uhr" ausreichend gegen Diebstahl zu schützen. Besonders mobile Geräte und Datenspeicher, wie z. B. Laptops und externe Festplatten, sind gefährdet und müssen verschlüsselt sein.

Patientendaten und Internet - geht das?

Ein schwieriges Thema. Werden Computer mit Patientendaten mit dem Internet verbunden, sind aufwendige Sicherheitsvorkehrungen zu treffen ("Firewall", Virenschutzprogramme usw.).

Auf unserer Homepage finden Sie eine Vielzahl von Hinweisen und Anregungen zur sicheren Nutzung des Internets. Auch die Kammern geben wichtige Informationen.

Eine Übermittlung von Patientendaten per unverschlüsselter E-Mail ist grundsätzlich unzulässig. Elektronische Übermittlungen müssen Ende-zu-Ende-verschlüsselt sein, andernfalls haben sie auf dem Postwege zu erfolgen.

Besonderheit Krankenhaus

Die Datenschutzbeauftragten des Bundes und der Länder haben unter Beteiligung der Datenschutzbeauftragten der evangelischen und katholischen Kirche eine "Orientierungshilfe Krankenhausinformationssysteme – OH KIS" erarbeitet.

In der OH KIS werden die Anforderungen, die sich aus den geltenden datenschutzrechtlichen Regelungen sowie den Vorgaben zur ärztlichen Schweigepflicht für den Krankenhausbetrieb und den Einsatz von Informationssystemen ergeben, dargestellt.

Oft betreiben große Konzerne eine Vielzahl von Krankenhäusern in der ganzen Bundesrepublik. Die Patientendaten dürfen jedoch nur in dem Krankenhaus zugänglich sein, in dem der Patient behandelt wurde ("Mandantenfähigkeit").

Wird ein Patient in einem Krankenhaus erneut behandelt, ist in Schleswig-Holstein ein Zugriff auf Vorbehandlungsdaten nur dann zulässig, wenn der Patient hierüber informiert wird und einwilligt, zumindest jedoch nicht widerspricht.

Nicht jeder Arzt, jede Schwester und jeder Pfleger darf jede Patientenakte lesen. Vereinfacht formuliert gilt folgende Regel: Nur wer den Patienten behandelt, darf hierfür Zugang zu dessen Daten haben!

Auch in einem Mehrbettzimmer ist ein Mindestmaß an Datenschutz und Diskretion zu gewährleisten.

Sensible Arzt-Patienten-Gespräche (z. B. Anamnese, Eröffnung von Diagnosen, Erörterung von Behandlungsmethoden) dürfen auch im Krankenhaus nicht vor den neugierigen Augen und Ohren von Unbefugten (Besuchern, anderen Patienten) geführt werden.

Angehörigen und Besuchern darf nur dann Auskunft gegeben werden, wenn der Patient hiermit einverstanden ist. Das Gleiche gilt für Seelsorger.

Der Hausarzt oder andere Ärzte erhalten nur dann einen Entlassungsbericht, wenn der Patient dies wünscht. Die gesetzliche Krankenkasse darf grundsätzlich keinen Entlassungsbericht erhalten.

Die Verwendung von Patientenarmbändern setzt das Einverständnis der Patienten voraus.

Darf ein Medizinisches Versorgungszentrum (MVZ) mit einer Klinik Patientendaten austauschen?

Wenn ein MVZ mit einer Klinik Daten von Patienten austauschen will, so setzt dies die Kenntnis des Patienten und dessen Einwilligung voraus.

Auch wenn ein MVZ und eine Klinik ein Krankenhausinformationssystem (KIS) gemeinsam nutzen, so muss dennoch die Datenverarbeitung getrennt erfolgen (Mandantentrennung).

Selbstverständlich dürfen auch innerhalb eines MVZ die Beschäf-tigten nur auf Daten derjenigen Patienten Zugriff haben, die sie tatsächlich betreuen. Weitergehende Austausche von Informationen bedürfen der eindeutigen informierten Einwilligung des Patienten.

Wie werden eigentlich Patientendaten sicher vernichtet?

"Löschen" ist das Unkenntlichmachen gespeicherter Daten (§ 3 Abs. 4 Nr. 5 BDSG, § 2 Abs. 2 Nr. 5 LDSG SH).

Akten und Unterlagen, die nicht mehr aufzubewahren sind, müssen sicher vernichtet werden. Das ULD empfiehlt Schredder, die bei der Vernichtung die Partikelgröße P5 der (neuen) DIN 66399-1/2 erreichen. Dies entspricht der früher gültigen DIN 32757, Stufe 4. Mit diesen Geräten lassen sich auch häufig CDs/DVDs daten-schutzgerecht und sicher vernichten.

Die Beauftragung eines externen Dienstleisters mit der Aktenvernichtung setzt voraus, dass dieser zu keinem Zeitpunkt des Vernichtungsverfahrens die Möglichkeit erhält, unbeaufsichtigt die Patientendaten zur Kenntnis zu nehmen. Kann diese Möglichkeit nicht ausgeschlossen werden, müssen die betroffenen Patienten vorab in diese Offenbarung eingewilligt haben.

Auch elektronisch gespeicherte Patientendaten müssen nach Ablauf der Aufbewahrungsfristen gelöscht werden. Ein Verschieben dieser Patientendaten in einen besonders geschützten Datenbankbereich ist keine Löschung!

Der betriebliche/behördliche Datenschutzbeauftragte

Nicht-öffentliche Stellen müssen eine(n) betriebliche(n) Datenschutzbeauftragte(n) (bDSB) bestellen, wenn mehr als neun Personen (alle Ärzte und dort Beschäftigten, auch in Teilzeit, sind mitzuzählen) automatisiert Patientendaten verarbeiten oder nutzen. Das Gleiche gilt, wenn mehr als 20 Personen konventionell Patientendaten verarbeiten oder nutzen (§ 4f Abs. 1 BDSG).

Zur/zum bDSB darf nur bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt (§ 4f Abs. 2 Satz 1 BDSG). Der "Chef" und der Systemadministrator dürfen nicht zum bDSB bestellt werden.

Die/der bDSB wirkt auf die Einhaltung datenschutzrechtlicher Vorschriften hin (§ 4g Abs. 1 BDSG) und ist sowohl für den Chef und die Beschäftigten als auch für die Patienten Ansprechpartner für datenschutzrechtliche Fragen.

Wird trotz Verpflichtung kein(e) bDSB bestellt, so droht der nicht-öffentlichen Stelle ein Bußgeld in Höhe von bis zu 50.000 Euro (§ 43 Abs. 1 Nr. 2, Abs. 3 Satz 1 BDSG).

Öffentliche Stellen in Schleswig-Holstein sind zwar nicht verpflichtet, aber gut beraten, eine(n) behördliche(n) Datenschutzbeauf-tragte(n) nach § 10 LDSG zu bestellen.

Wer hilft mir, wenn noch Fragen offen bleiben?

Zunächst sollten Sie grundsätzlich Ihr Anliegen in Ihrer Praxis bzw. Klinik schildern. Viele Praxen und Kliniken verfügen über einen betrieblichen bzw. behördlichen Datenschutzbeauftragten.

Wenn Sie Fragen, Anregungen oder Beschwerden zum Datenschutz in Schleswig-Holstein haben, wenden Sie sich bitte an das ULD. Wir beraten und helfen Ihnen gern.