26. Tätigkeitsbericht (2004)

4.7

Schutz des Patientengeheimnisses

4.7.1

Datenschutz inmitten der Verteilungskämpfe

Angesichts der Automatisierung des Gesundheitswesens und der nicht enden wollenden Kämpfe um die Gesundheitskosten haben sich der Medizin- und der Krankenkassenbereich zu zentralen Konflikt- und Betätigungsfeldern des Datenschutzes entwickelt. Uns kommt dabei nicht nur die Funktion des Kontrolleurs zu, sondern auch die Rolle des Informationsvermittlers, des Beraters und Streitschlichters. Diese Rolle wird von den Beteiligten in der Regel angenommen, da sowohl die technischen, vor allem aber die rechtlichen Rahmenbedingungen derart kompliziert geworden sind, dass kompetenter Datenschutzrat als Hilfe verstanden und gerne berücksichtigt wird.

4.7.2

Aktion ”Datenschutz in meiner Arztpraxis” zeigt Wirkung

Die gemeinsam mit der Ärztekammer und der Zahnärztekammer durchgeführte Aktion zur Aufklärung und Sensibilisierung im Hinblick auf den Schutz des Patientengeheimnisses geht in das dritte Jahr. Sie verfehlt ihre Wirkung nicht.

Über den Start unserer Aktion und eine erste Zwischenbilanz berichteten wir (24. TB, Tz. 4.8.8; 25. TB, Tz. 4.8.9). Bestätigt durch den Zuspruch vieler Patienten und ermutigt durch die zunehmende Zahl der teilnehmenden Zahnärzte und Ärzte geht die Aktion ”Datenschutz in meiner Arztpraxis” in die nächste Runde. Sie hat sich zu einem kleinen Exportschlager entwickelt. Immer mehr Ärztekammern, Ärzte und Berufsschulen aus dem ganzen Bundesgebiet fragen nach, ob das unter

www.datenschutzzentrum.de/medizin/arztprax/

veröffentlichte Informationsangebot genutzt werden darf. Hiergegen haben wir bei nicht kommerziell orientiertem Interesse keine Einwände, wenn auf die Quelle hingewiesen wird. Die Aktionspartner und wir werten dies als Beleg dafür, dass wir eine ”Marktlücke” geschlossen haben.

Auch in Schleswig-Holstein erhält unsere Aktion weiteren Zuspruch. Der von uns und den Aktionspartnern entwickelte Datenschutzselbstcheck für Arztpraxen wurde in vielen Berufsschulen zwischenzeitlich zum Standardlehrmaterial. In über 40 Klassen von Auszubildenden zum Beruf der Zahnarzt- bzw. Arzthelferin haben wir dieses Thema inzwischen behandelt. Über die Aktion wurde in einer Vielzahl von Fachzeitschriften berichtet.

Mithilfe der Ärztekammer bzw. der Zahnärztekammer Schleswig-Holstein haben wir Fragebögen landesweit an ca. 600 Praxen gesandt. Wir wollten wissen, wie es zwei Jahre nach dem Start der Aktion um das Patientengeheimnis bestellt ist. Aufgrund eines relativ hohen Rücklaufs von Zahnärzten und trotz eines geringeren von Ärzten konnten wir eine hohe Sensibilität bei dem Umgang mit konventionellen Patientenakten feststellen. Zugleich wurden aber Defizite bei der elektronischen Verarbeitung und bei der Einschaltung Dritter, z. B. den Privatärztlichen Verrechnungsstellen, offensichtlich. Die Ergebnisse und ein kurzer Kommentar sind veröffentlicht unter:

www.datenschutzzentrum.de/medizin/arztprax/fragebogen03.htm

Auch im nächsten Jahr wird die Aktion ”Datenschutz in meiner Arztpraxis” ein Schwerpunkt unserer Arbeit bleiben. Es gilt weiterhin Nachlässige und Bequeme in der Ärzteschaft zu überzeugen.


Was ist zu tun?
Zahnärzte und Ärzte sollten im Bewusstsein ihrer rechtlichen Verpflichtung zur Wahrung der ärztlichen Schweigepflicht die Hilfsangebote unserer Aktion ”Datenschutz in meiner Arztpraxis” zur Optimierung der Abläufe in ihrer Praxis nutzen.

4.7.3

”Aktion Datenschutz” jetzt auch in Krankenhäusern

Nicht nur in Arzt- und Zahnarztpraxen, auch in Kliniken und Krankenhäusern ist das Patientengeheimnis zu wahren. Die verantwortlichen Mitarbeiterinnen und Mitarbeiter in Krankenhäusern erhalten von uns die notwendigen Hilfestellungen.

Die erfolgreiche Aktion ”Datenschutz in meiner Arztpraxis” hat sich auch bei den Ärzten in den Krankenhäusern herumgesprochen. Nachfragen, nicht nur aus Schleswig-Holstein, wann es diese Aktion auch für Krankenhäuser geben wird, häuften sich. Dies veranlasste uns, den aus Kapazitätsgründen für einen späteren Zeitpunkt geplanten Schritt der Ausweitung auf den stationären Bereich bereits jetzt zu gehen. Dieser Teil der Aktion findet nicht nur in enger Zusammenarbeit mit der Ärztekammer, sondern auch mit der Krankenhausgesellschaft Schleswig-Holstein (KGSH) statt. Ihr sind die privaten und öffentlichen Kliniken in Schleswig-Holstein angeschlossen. Die KGSH griff unsere Initiative positiv auf und sagte ihre Unterstützung zu.

Mit Fortbildungsveranstaltungen der DATENSCHUTZAKADEMIE Schleswig-Holstein und einer im Internet veröffentlichten Ausarbeitung versuchten wir zunächst, Grundlageninformationen zu verbreiten.

www.datenschutzzentrum.de/medizin/krankenh/patdskh.htm

Als Nächstes wurde den Krankenhäusern in Schleswig-Holstein eine Checkliste zur Verfügung gestellt. Diese ermöglicht eine Bestandsaufnahme, um etwaige Schwachstellen bei der Beachtung des Patientengeheimnisses zu erkennen. Ergänzend wurden weitere umfangreiche Informationsmaterialien zur Verfügung gestellt, etwa das Muster einer Archivordnung.

www.datenschutzzentrum.de/medizin/krankenh/index.htm

Durch die Teilnahme am Flensburger Forum für IT-Anwendungen im Gesundheitswesen, wo IT-Spezialisten, Verantwortliche aus der Verwaltung und Mediziner zusammenkommen, und auf ähnlichen Veranstaltungen versuchen wir, unsere Lösungen im Dialog mit den Praktikern vor Ort weiterzuentwickeln.

Was ist zu tun?
Durch die Ausweitung der Aktion ”Datenschutz in meiner Arztpraxis” wird den Ärztinnen und Ärzten in den Krankenhäusern Schleswig-Holsteins die Möglichkeit geboten, aktiv zur Optimierung des Patientengeheimnisses beizutragen.

4.7.4

Projekte auf dünnem Eis

Bei den Planungen zur Verbesserung der Gesundheitsversorgung und zur Kosteneinsparung bei den Krankenkassen spielt der Datenschutz leider immer noch keine wichtige Rolle. Oft bleibt allerdings nicht nur der Datenschutz auf der Strecke, sondern das Projekt selbst.

Während die Kooperation zwischen den Krankenkassen bzw. den Kassenärztlichen Vereinigungen des Landes und uns sehr eng ist, gilt dies für Projekte auf Bundesebene leider nicht. Eine Konsequenz ist, dass gelegentlich beträchtliche Summen für Projekte ausgegeben werden, die sich als rechtswidrig oder als praktisch nicht durchführbar erweisen. So sollte in Schleswig-Holstein ein Verfahren zur Verhinderung der missbräuchlichen Nutzung von Krankenversicherungskarten eingeführt werden. Zu diesem Zweck sollten die Krankenkassen einem privaten Dienstleister quartalsweise die Daten aller gesperrten Karten ohne Namensangabe weitergeben. Der Dienstleister sollte daraus Datenträger erstellen, die den Arztpraxissoftwarehäusern und von diesen wiederum im Rahmen der Softwarewartung den Ärzten zur Verfügung gestellt werden sollten. Die Idee war gut, die Umsetzung nicht: Es war in keiner Weise sichergestellt, dass die Daten bei dem privaten Dienstleister, den Softwarehäusern und den Ärzten hinreichend gesichert würden. Die Zuordnung zu konkreten Personen war nicht ausgeschlossen. Bei einer rechtzeitigen datenschutzrechtlichen Beratung hätten die Fehlinvestitionen vermieden werden können.

Zu den Neuerungen im Jahr 2004 gehört auch eine Regelung, die es den Krankenkassen erlaubt, zur Gewinnung von Mitgliedern Daten aus öffentlichen Quellen zu verarbeiten, wenn die Betroffenen dem nicht widersprechen bzw. keine schutzwürdigen Interessen entgegenstehen. Damit ist es den Kassen möglich, Adress- und Telefonbücher oder öffentlich zugängliche elektronisch gespeicherte Adressdaten für Werbezwecke zu nutzen. Nicht zulässig ist es aber, derartige Primärdaten derart anzureichern, dass Personenprofile entstehen. Daher haben wir der AOK mitgeteilt, dass die Nutzung einer großen Datenbank eines Direktmarketingunternehmens, die auf einer Vororterhebung basiert, schutzwürdige Betroffeneninteressen verletzt. Die Anmietung von Adressen bei Adressenhändlern, die diese z. B. bei Konsumentenbefragungen erlangt haben, ist keine Datenbeschaffung aus öffentlichen Quellen. Die rechtmäßig erlangten Daten dürfen ausschließlich mit folgenden Sozialdaten der Krankenkasse abgeglichen werden: Namen, Geburtsdatum, Geschlecht und Anschrift. Dadurch wird sichergestellt, dass keine Vermischung von Sozialdaten und Werbedaten erfolgt.

Was ist zu tun?
Bei den Reformprojekten im Bereich der gesetzlichen Krankenversicherung muss von Anfang an datenschutzrechtlicher Sachverstand berücksichtigt werden, da praktisch immer der Umgang mit höchst sensiblen Daten zur Disposition steht; andernfalls drohen die Projekte gegen die Wand zu fahren.

4.7.5

Disease-Management-Programm

Mit so genannten Disease-Management-Programmen (DMP) sollen chronisch Kranke besser ärztlich betreut werden. Hierfür sollen von unabhängigen Arbeitsgemeinschaften sensible Behandlungsdaten verarbeitet werden. Entgegen den Vorschriften des Sozialdatenschutzes will das Bundesversicherungsamt diese Aufgabe auch durch private, eventuell sogar ausländische Firmen vornehmen lassen.

Die äußerst anspruchsvolle Aufgabe, durch eine arztübergreifende medizinische Dokumentation eine patientenadäquate Versorgung zu sichern, ohne dabei für die Krankenkassen den ”gläsernen Patienten” zu schaffen, wurde in zähen Verhandlungen dadurch gelöst, dass die pseudonyme Dokumentation nicht von den Krankenkassen selbst vorgenommen wird, sondern von selbstständigen Arbeitsgemeinschaften, an denen neben den Kassen auch die Ärzteschaft über die Kassenärztlichen Vereinigungen beteiligt ist (vgl. 25. TB, Tz. 4.8.1). Die Datenverarbeitung bei diesen Arbeitsgemeinschaften unterliegt im Interesse des Schutzes des Sozial- und des Patientengeheimnisses hohen Sicherheitsanforderungen. Daher regelt das Sozialgesetzbuch auch, dass der überwiegende Teil der Datenverarbeitung unter direkter Verantwortung einer öffentlichen Stelle erfolgen muss und nicht an private Stellen ausgelagert werden darf.

Diese eindeutige gesetzliche Regelung wurde vom Bundesversicherungsamt (BVA), das die staatliche Aufsicht über die Durchführung der DMP ausübt, von Anfang an ignoriert. Das BVA fordert von den Beteiligten, dass sie die Datenverarbeitung europaweit ausschreiben. Das BVA geht davon aus, dass selbst ausländische private Stellen die gesamte Datenverarbeitung der Chronikerprogramme übernehmen könnten. Obwohl die Datenschutzbeauftragten des Bundes und der Länder immer wieder auf die Unzulässigkeit dieser Vorgehensweise hingewiesen haben, beharrte das BVA auf seiner Position. Die Konsequenzen für die chronisch Kranken wie für die Krankenkassen sind gravierend: Die Patienten können nicht sicher sein, dass ihre sensiblen Daten gemäß den hohen Datenschutzstandards des Sozialgesetzbuches verarbeitet werden. Die Krankenkassen werden gezwungen, äußerst kosten- und zeitintensive Ausschreibungen vorzunehmen und im Fall einer entsprechenden Auftragsvergabe Datenverarbeitungsstrukturen, deren Rechtswidrigkeit bei vernünftiger Rechtsanwendung unzweifelhaft ist, zu etablieren. Weitere Konsequenz ist, dass sehenden Auges vom BVA Millioneninvestitionen für eine gesetzwidrige Aktion zulasten der Krankenkassen veranlasst werden.

Daher haben wir gemeinsam mit anderen Datenschutzbeauftragten das BVA aufgefordert, das Sozialgesetzbuch zu beachten und auf die Forderung nach einer europaweiten, private Firmen mit erfassenden Ausschreibung zu verzichten.

www.datenschutzzentrum.de/medizin/gkv/dmp_bva.htm

Was ist zu tun?
Die Ausschreibungen sind zu stoppen und in gesetzeskonformer Weise zu wiederholen.

4.7.6

Gesundheitskarte Schleswig-Holstein

Im Jahr 2003 wurde mit der praktischen Erprobung einer umfassenden Gesundheitschipkarte beim regionalen Praxisnetz Flensburg begonnen. Viele Datenschutzfragen harren noch einer Antwort.

Die Erprobung einer erweiterten Gesundheitschipkarte kommt nur langsam voran (vgl. 25. TB, Tz. 4.8.2). Nach einer Änderung im Sozialgesetzbuch V besteht seit Jahresbeginn 2004 für die elektronische Gesundheitskarte eine rechtliche Grundlage. Diese überträgt dem einzelnen Patienten eine umfassende Mitbestimmungsmöglichkeit hinsichtlich der Datennutzung und setzt hierfür wirksame Einwilligungserklärungen voraus.

Ende 2003 wurde mit dem begrenzten Wirkbetrieb der Karte im Flensburger Raum begonnen. Dabei stehen die Integration eines Lichtbildes sowie die Möglichkeit des Einspielens von weiteren Versicherten- und Notfalldaten auf den Chip durch die behandelnden Ärzte im Mittelpunkt. Durch eine umfassende Information, verbunden mit einer Einwilligungserklärung, soll erkundet werden, wie groß die Akzeptanz bei den Patienten für eine solche Karte ist. Aus Datenschutzsicht sind noch viele Fragen offen. So ist es für uns nicht erkennbar, weshalb im Arztrechner ein Bild des Patienten gespeichert werden muss.

Was ist zu tun?
Innovationen im Gesundheitsbereich haben dann gute Akzeptanzchancen, wenn das Patientengeheimnis von Anfang an gewahrt wird.

4.7.7

Anforderung von Kurzberichten durch Krankenkassen

Die Kosten für stationäre Behandlungen rechnen die Krankenhäuser mit der jeweiligen gesetzlichen Krankenkasse direkt ab. Das Sozialgesetzbuch V enthält eine abschließende Aufzählung der Patientendaten, die der Krankenkasse zur Prüfung der Erforderlichkeit der stationären Behandlung übermittelt werden dürfen.

Der Datenhunger der Krankenkassen war schon oft Gegenstand unserer Berichte. In unserem 22. Tätigkeitsbericht forderten wir unter Tz. 4.7.3: Tz. 148;Keine Krankenhausentlassungsberichte an Krankenkassen”. Die Krankenkassen versuchten auch immer wieder, an Arztbriefe oder OP-Berichte zu gelangen. Mal wurde den Krankenhäusern gedroht, ohne die Daten gäbe es kein Geld. Mal legten die Krankenkassen von ihren Versicherten unterschriebene Schweigepflichtentbindungserklärungen vor, mit denen die gesetzliche Regelung umgangen werden sollte.

Die Krankenkassen in Schleswig-Holstein berichteten uns andererseits von so mancher stationären Krankenhausbehandlung, bei deren näherer Betrachtung sich herausstellte, dass sie nicht notwendig war. Die gesetzlich vorgesehene Prüfung der Notwendigkeit nimmt der Medizinische Dienst der Krankenversicherungen (MDK) vor. Ein solcher Auftrag an den MDK wird immer dann erteilt, wenn sich Zweifel an der Erforderlichkeit der Behandlung ergeben. Dies geschieht - so die Kassen - in mehr Fällen als notwendig, nur weil sie nicht die ”richtigen”, d. h. die zur Vorprüfung ausreichenden Daten erhalten würden.

Folgendes Beispiel soll diese Problematik beleuchten: Ein Patient wird stationär für einige Tage im Krankenhaus aufgenommen. Auf der Abrechnung für die Krankenkasse steht als Diagnose ”Grippe”. Ist bei einer Grippe wirklich eine stationäre Behandlung erforderlich? Eine Grippeerkrankung ist grundsätzlich nur ambulant zu behandeln, Zweifel an der Erforderlichkeit des Krankenhausaufenthaltes sind also vorprogrammiert. Nach dem bisherigen Verfahren musste die Krankenkasse den MDK um Prüfung bitten. Erst nach dieser Prüfung erfuhr die Krankenkasse, dass Komplikationen, z. B. aufgrund des Alters des Patienten, eine stationäre Behandlung notwendig machten.

Diese aufwändigen und letztlich oft überflüssigen Prüfungen belasteten den MDK, die Krankenkassen, die Krankenhäuser und die Patienten. Es galt deshalb gemeinsam eine Lösung für dieses Problem zu suchen. Die Spitzenverbände der Krankenkassen und die Krankenhausgesellschaft Schleswig-Holstein verhandelten im Berichtsjahr unter Vermittlung einer Schiedsstelle einen neuen Vertrag zur Prüfung der Notwendigkeit und Dauer der Krankenhausbehandlung. Bezüglich der Anforderung von Kurzberichten durch die Kassen wurden wir frühzeitig beteiligt. Die Krankenkassen räumten ein, dass der entstandene Wildwuchs bei der Anforderung von weiteren Unterlagen nicht nur unzulässig, sondern auch uneffektiv sei. Es zeigte sich, dass es oft ausreichend ist, wenn im Einzelfall neben der eigentlichen Diagnose (”Grippe”) Informationen zur Ausprägung der Haupt- und Nebendiagnosen (”Komplikationen”) oder zu den besonderen Mitteln eines Krankenhauses (z. B. technische Ausstattung) gegeben werden. Wir sind der Auffassung, dass diese Daten von dem im SGB V enthaltenen Katalog mit erfasst sind. Die Krankenhäuser dürfen solche Daten übermitteln, mit denen die Krankenkassen eine erste Plausibilitätsprüfung der Notwendigkeit und Dauer der stationären Behandlung durchführen können.

Unsere Bewertung wurde zur Grundlage des zwischen den Spitzenverbänden der Krankenkassen und der Krankenhausgesellschaft Schleswig-Holstein abgeschlossenen neuen Vertrags. Dieser Vertrag beinhaltet einen Mustervordruck für die Anforderung von Kurzberichten, durch den festgelegt wird, welche Daten an eine Krankenkasse übermittelt werden sollen. Weiter gilt, dass die Anforderung von Kurzberichten nur in begründeten Einzelfällen, also nicht pauschal erfolgen darf. So müssen Krankenkassen zukünftig gegenüber den Krankenhäusern angeben, warum ein Kurzbericht angefordert wird. Die Anforderung weiterer Unterlagen ist nicht zulässig. So ist sichergestellt, dass die Rechtsunsicherheit bei der Anforderung von Unterlagen wie Entlassungsberichten ein Ende hat. Das Verfahren ist transparent, für alle Beteiligten verständlich und rechtlich durch die Vorschriften des Sozialgesetzbuches V gedeckt.

Was ist zu tun?
Krankenkassen und Krankenhäuser müssen sich an den in Schleswig-Holstein geschlossenen Vertrag bezüglich der Zulässigkeit der Anforderung von Kurzberichten halten.

4.7.8

Stiften Versicherungen zur Geheimnisverletzung an?

Bei privaten Krankenversicherungen scheint das Patientengeheimnis ihrer Mitglieder nicht an erster Stelle der Prioritätenliste zu stehen. Sie operieren weiter mit unzulänglichen Schweigepflichtentbindungsklauseln.

Bereits im letzten Bericht stellten wir die Problematik der pauschalen Schweigepflichtentbindungserklärungen dar, die sich private Krankenversicherungen, aber auch Unfall-, Renten- und Lebensversicherungen, bei Vertragsschluss geben lassen (vgl. 25. TB, Tz. 4.8.3). Darin sollen die Versicherten unterschreiben, dass die Versicherungen bei behandelnden Ärzten Patientendaten abfragen dürfen. Zum Zweck der Risikobeurteilung bei Vertragsabschluss soll dies noch fünf Jahre nach Antragstellung zulässig sein und sich auf die Behandlungen der letzten zehn Jahre erstrecken können. Für die Beurteilung der Leistungspflicht soll die Entbindung sogar unbefristet für die Zukunft gelten.

Wir haben gemeinsam mit den anderen im ”Düsseldorfer Kreis” organisierten Aufsichtsbehörden den Gesamtverband der Versicherungswirtschaft als Zusammenschluss aller Versicherer darauf hingewiesen, dass die seit 15 Jahren verwendeten Erklärungstexte nicht mit der Rechtslage übereinstimmen. Seit der Umsetzung der Europäischen Datenschutzrichtlinie im Bundesdatenschutzgesetz 2001 ist eine hinreichend bestimmte Erklärung notwendig. Hiervon kann bei den gebräuchlichen Formulartexten keine Rede sein: Die Versicherten können bei Vertragsschluss nicht erkennen, welche Patientendaten in 10, 20 oder gar 30 Jahren anfallen und ob sie damit einverstanden sind, dass diese ungefragt an ein Versicherungsunternehmen weitergegeben werden dürfen. Diese Einschätzung der Aufsichtsbehörden wird auch von der Ärztekammer und der Zahnärztekammer Schleswig-Holstein geteilt.

Die Versicherungswirtschaft weigert sich, ihre Formulare neu zu gestalten. Statt im Interesse ihrer Versicherten eine kundenfreundliche Lösung zu suchen, zaubert sie immer wieder neue Ausflüchte aus dem Hut. Bei den Leistungsanträgen und dem Einreichen von Rechnungen würden die Versicherten oft keine Vordrucke verwenden, auf die man eine hinreichend konkrete Entbindung der Schweigepflicht aufnehmen könnte. Eine nachträgliche Einholung der Erklärung sei zu teuer und zu aufwändig, obwohl nach eigenen Angaben nur in 0,5 % der Fälle eine Nachprüfung der eingereichten Rechnungen durch eine Rückfrage beim Arzt erfolgt. Schließlich wurden Archivierungsprobleme vorgetragen, als kenne dieser Wirtschaftssektor die Segnungen moderner Aktenablagesysteme noch nicht. Aus Eingaben ist uns bekannt, dass das Anfordern von Unterlagen - auch beim Patienten - für die Versicherungswirtschaft kein Problem darstellt, wenn dadurch Zahlungen vermieden werden können.

Das Verhalten der Versicherungswirtschaft ist nicht nur kundenunfreundlich. Es ist auch ein Beitrag dazu, dass die in rechtlichen Fragen oft nicht geschulten Ärzte zur Verletzung ihrer Schweigepflicht verleitet werden. Da die rechtlichen Möglichkeiten der Aufsichtsbehörden im vorliegenden Fall erschöpft sind, geben wir Ärzten und Patienten den Ratschlag, Datenbeschaffungsversuche von Versicherungen mittels unwirksamer Einwilligungserklärungen zurückzuweisen. Wir behalten uns vor, das Vorgehen der Versicherungen auch strafrechtlich untersuchen zu lassen.

Was ist zu tun?
Die Versicherungswirtschaft wäre gut beraten, ihren Widerstand gegen eine rechtskonforme Vorgehensweise abzulegen.

4.7.9

Datenerhebung bei der Erstanamnese

Da staunte eine Mutter nicht schlecht: Schon vor dem ersten Termin ihres Kindes bei einem Kieferorthopäden wurde ihr ein dreiseitiger Fragebogen übersandt. Am Telefon wurde ihr mitgeteilt, dass eine Behandlung nur erfolgen könne, wenn sie die Fragen beantworten würde. Diese ”Neugier” ging der Mutter eindeutig zu weit.

Der Vordruck enthielt Fragen wie:

  • Wo lebt der Patient (Mutter/Vater/Großeltern/Adoptiveltern/Heim/Internat)?

  • Bestehen bei den Geschwistern oder Eltern Zahnunregelmäßigkeiten?

  • Verlief die Schwangerschaft bzw. die Geburt normal?

  • Wie groß und schwer war der Patient bei der Geburt?

  • Wie lange wurde das Kind gestillt, und wurde in dieser Zeit zugefüttert?

  • Wann lernte der Patient das Gehen und wann das Sprechen?

  • Welche Probleme hat der Patient mit der Sprachentwicklung?

  • Leidet oder litt der Patient an Spreizfüßen?

  • Wurde der Patient jemals operiert, wenn ja, warum?

Der Kieferorthopäde meinte, dass jede Frage ihre medizinische Berechtigung habe. Die Zahnärztekammer bestätigte, dass ein Patient seinem Arzt vertrauen und sich auf dessen fachliche Vorgehensweise einlassen müsse. Gegebenenfalls sei ein anderer Arzt aufzusuchen. Die Mutter war mit dieser Antwort nicht zufrieden. Sie wollte ja ihrem Arzt vertrauen, aber vor dem Vertrauen kommt das Verstehen. Ein Arzt benötigt als Grundlage für eine effiziente Behandlung sicher bestimmte Informationen über den Patienten. Insofern leuchten auch pauschale Fragen nach Alter, Größe, Gewicht und Vorerkrankungen ein. Aber warum muss ein Kieferorthopäde wissen, ob der Patient unter Haltungsschäden leidet? Er meinte dazu, Haltungsschäden könnten sich auch auf die Stellung der Kiefer auswirken, was bei der Anfertigung der Zahnspange zu beachten sei.

Gefragt werden sollte grundsätzlich nur das, was für die Durchführung der gewünschten Behandlung medizinisch erforderlich ist. Der Arzt muss seine Patienten über den Zusammenhang der Fragen mit der gewünschten Behandlung aufklären, ansonsten besteht die Gefahr, dass seine Fragen nicht oder nicht korrekt beantwortet werden. In vielen Fällen mag eine Information im Fragebogen ausreichen. Der Patient sollte aber auf keinen Fall das Gefühl haben, dass schon die Rückfrage beim Arzt als Misstrauen gewertet wird. Da ein Fragebogen immer eine Vielzahl von - eventuell nicht relevanten - Fragen enthält, sollte dem Patienten die Möglichkeit gegeben werden, einzelne Fragen nicht zu beantworten.

Anamnesebögen können ein sinnvolles Hilfsinstrument für den Arzt sein, wenn sie zweckgerichtet und patientengerecht ausgestaltet und eingesetzt werden. In unseren, im Internet unter

www.datenschutz.de/medizin/arztprax/anamnese.htm

veröffentlichten Hinweisen sind die wichtigsten dabei zu beachtenden Punkte dargestellt.

Was ist zu tun?
Bei der Erstanamnese sind nur die Daten zu erheben, die aus medizinischer Sicht für die gewünschte Behandlung erforderlich sind. Wir empfehlen, unsere ”Hinweise zur Verwendung von standardisierten Anamnesefragebögen” zu beachten.

4.7.10

Verordnungsmonitoring

bei niedergelassenen Ärzten

Was machen Pharmafirmen mit den Rezept- und Verordnungsdaten, die Ärzte ihnen in elektronischer Form ”zum Zweck der Auswertung” zur Verfügung stellen sollen? Wir haben keinen Anhaltspunkt für Missbrauch, aber die Verfahren müssen wesentlich transparenter sein.

Liest man die Werbung von EDV-Dienstleistern, die Ärzten das so genannte Verordnungsmonitoring anbieten, so muss man das Schlimmste befürchten: Da ist davon die Rede, dass den Ärzten ein Sorglospaket mit einem dauernden Überblick über das eigene Verordnungsverhalten inklusive Systemwartung zur Verfügung gestellt wird, wenn sie ihre Rezeptdaten elektronisch zur Verfügung stellen. Es stellt sich beim Lesen der Hochglanzbroschüren der Verdacht ein, dass diese Dienstleister sich die Patientendaten direkt über das Internet aus dem Arztrechner absaugen. Natürlich erfahren die Patienten von diesem Verordnungsmonitoring nichts. Wäre also der erste Eindruck richtig, so würde in Deutschland in großem Umfang das Patientengeheimnis mit Füßen getreten.

Eine Prüfung der auf dem Markt angebotenen Verfahren zeigte, dass teilweise datenschutzrechtliche Mängel bestehen. Eine millionenfache Verletzung des Patientengeheimnisses erfolgt jedoch nicht. So konnten wir nicht feststellen, dass die Dienstleister sich die Daten eigenmächtig von den Arztrechnern holen. Vielmehr muss der Arzt diese Daten von sich aus elektronisch versenden, wobei er durch ein automatisiertes Verfahren angehalten wird, diese zuvor zu aggregieren oder zumindest zu pseudonymisieren, sodass der Dienstleister keine Klardaten über Patienten erhält. Da wir nicht feststellen konnten, dass anhand dieser Daten eine Reidentifizierung der Patientendaten möglich ist, stellten wir auch keine Verletzung des Patientengeheimnisses fest. Offensichtlich geben die Dienstleister die erhaltenen Daten nicht personenbezogen, sondern nur aggregiert an die Pharmaindustrie weiter, die diese Daten dann für Marketingzwecke nutzen.

Weder die Software- noch die Monitoringanbieter vermitteln aber gegenüber den Ärzten eine transparente Datenschutzpolicy. Nicht nur, dass das Verfahren der Aggregierung bzw. Pseudonymisierung weitgehend unklar dargestellt wird, auch bezüglich der Gefahren, die mit einer Verbindung der Praxisrechner mit dem Internet verbunden sind, wird der Ärzteschaft kein reiner Wein eingeschenkt. Tatsächlich sind schon viele Arztpraxisrechner mit dem Internet verbunden, ohne dass eine sichere Abschottung der Patientendaten erfolgt. Insofern ist es schon fast ein Wunder, dass in der Öffentlichkeit noch nicht mehr Fälle bekannt geworden sind, in denen Hacker sich über das Internet illegal Patientendaten beschafft haben.

Wir haben die Monitoringanbieter auf die bestehenden Schwachstellen hingewiesen und sie aufgefordert, die Defizite zu beheben. Die ausführliche Darstellung unserer Untersuchung haben wir auch den Patienten und der Ärzteschaft über unsere Webseite zur Verfügung gestellt unter

www.datenschutzzentrum.de/medizin/arztprax/monitoring.htm

Was ist zu tun?
Das Vertrauen der Ärzte in das Verordnungsmonitoring könnte durch mehr Transparenz gestärkt werden.

4.7.11

Arztbrief an mündige Patienten

Nach Beendigung der stationären Behandlung in einer Klinik werden Krankenhausentlassungsberichte oder abschließende Arztbriefe geschrieben. Diese enthalten detaillierte Angaben zu Anamnese, Vorbefunden, Diagnosen und durchgeführten Behandlungen. Warum erhalten in den wenigsten Fällen die Patienten selbst diese Arztbriefe, jedoch fast immer die einweisenden Ärzte bzw. die Hausärzte?

Das Patientengeheimnis gilt grundsätzlich auch zwischen dem Arzt eines Krankenhauses und dem behandelnden Hausarzt. Nur wenn der Patient damit einverstanden ist, darf dem Hausarzt ein Arztbrief zugesandt werden. Nach den Ärztlichen Berufsordnungen ist das Einverständnis des Patienten anzunehmen, wenn mehrere Ärzte gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln. Dies entbindet den Arzt im Krankenhaus jedoch nicht von der Pflicht, den tatsächlichen Willen des Patienten so weit wie möglich zu ergründen.

Schon bei der Aufnahme im Krankenhaus wird gefragt, wer der behandelnde (Haus­)Arzt ist bzw. welcher Arzt die Einweisung veranlasst hat. Alleine der Umstand, dass ein Patient bei dieser Frage einen Arzt benennt, bedeutet aber nicht zwangsläufig, dass er eine Unterrichtung dieses Arztes über die Krankenhausbehandlung wünscht. Bei der Aufnahme sollte daher auch gefragt werden, ob der Patient damit einverstanden ist, dass den von ihm benannten Ärzten ein Arztbrief übersandt wird. Ist diese Frage frühzeitig geklärt, müssen sich die behandelnden rzte nicht mehr später während der eigentlichen Behandlung hierum kümmern.

Möglich ist auch, dem Patienten den Arztbrief zur Weiterleitung zu übergeben. So hat der Patient selbst die Möglichkeit zu entscheiden, welchem Arzt er diesen weitergibt. Grundsätzlich sollte auch der Patient eine Kopie erhalten. Dieses Vorgehen fördert den mündigen Patienten und macht spätere Nachfragen und Auskunftsforderungen überflüssig. Mehr zu den Patientenrechten haben wir veröffentlicht unter

www.datenschutzzentrum.de/medizin/arztprax/dsrdpat1.htm

Was ist zu tun?
Zu Beginn der stationären Aufnahme sollte der Patient gefragt werden, ob der Hausarzt, der einweisende Arzt oder ein anderer Arzt einen Arztbrief oder Krankenhausentlassungsbericht erhalten soll.

4.7.12

Kosmetiksalon mit Zugriff auf Arztpraxisdaten

Das Patientengeheimnis ist natürlich auch dann zu beachten, wenn ein Hautarzt nebenbei einen Kosmetiksalon betreibt.

Zunächst wollten wir es gar nicht glauben: Eine Petentin schilderte uns, dass sie bei einem Hautarzt in Behandlung war. Als sie sich wenig später in einem Kosmetiksalon eine vom Arzt empfohlene Creme besorgen wollte und nach ihrem Namen gefragt wurde, habe sie feststellen müssen, dass es der Kosmetikerin möglich war, direkt auf den Praxisrechner des Arztes mit Behandlungsterminen, Diagnosen und verordneten Medikamenten zuzugreifen. Bei unserer Recherche zeigte sich, dass die Vorwürfe nicht aus der Luft gegriffen waren: Das Kosmetikgeschäft gehörte demselben Arzt, auf dessen Rechner zugegriffen werden konnte. Er verwies auf ein Schild mit der Information, dass das Kosmetikgeschäft im Auftrag des Hautarztes handele. Die Kosmetikangestellten seien auf das Patientengeheimnis verpflichtet. Ein Anwalt habe bestätigt, dass dies den rechtlichen Anforderungen genüge.

Wir haben dem Arzt mitgeteilt, dass die von ihm eingeräumte Zugriffsmöglichkeit auf Patientendaten eine grundsätzlich strafbare Verletzung seiner ärztlichen Schweigepflicht war. Daran ändert auch der Umstand nichts, dass er selbst Besitzer des Kosmetiksalons ist. Ein Hinweisschild und die Verschwiegenheitsverpflichtung der Angestellten können die für eine Offenbarung nötige Einwilligung nicht ersetzen. Nachdem wir eine technische Anordnung androhten, war der Arzt auch bereit, die beiden verbundenen Systeme zu trennen und künftig getrennt zu betreiben.

Was ist zu tun?
Ärzte müssen darauf achten, dass ausschließlich die im Rahmen der Behandlung beschäftigten Praxismitarbeiterinnen und -mitarbeiter Zugriff auf Patientendaten haben dürfen.

4.7.13

Das Patientengeheimnis bei komplizierten Familienverhältnissen

Das Patientengeheimnis ist auch gegenüber Familienmitgliedern zu beachten, z. B. auch gegenüber dem Stiefvater von Kindern.

Ein getrennt lebender Ehemann wollte das alleinige Sorgerecht für sein Kind erlangen. Er behauptete, die Mutter sei nicht in der Lage, das Kind zu versorgen. Sie zeige keine Verantwortung und neige dem Alkohol zu. All dies habe er von dem behandelnden Kinderarzt erfahren, der nicht nur das gemeinsame Kind, sondern auch zwei Kinder der Frau aus erster Ehe jahrelang behandelt hatte. Der Kinderarzt habe ihm mitgeteilt, dass die Mutter Arzttermine der Stiefkinder wegen persönlicher Probleme nicht habe wahrnehmen können. Der Vater benannte den Kinderarzt als Zeugen für das anstehende Sorgerechtsverfahren.

Für die Mutter brach eine Welt zusammen. Ihr Ehemann hatte bis zur Trennung nicht einen Arzttermin wahrgenommen. Sie hatte dem Kinderarzt stets vertraut. Es konnte nicht zulässig sein, dass der Ehemann Auskunft über die Stiefkinder und ihre Vergangenheit erhalte. Der Kinderarzt bestätigte uns gegenüber das Gespräch mit dem Ehemann: Schließlich müsste doch auch ein Stiefvater ein Recht auf Auskunft haben. Hier lag der Kinderarzt falsch. Die ärztliche Schweigepflicht galt auch gegenüber dem Stiefvater. Nur im Fall der Adoption und nach Übertragung des Sorgerechtes wäre er berechtigt gewesen, Auskunft zu verlangen. Der Arzt konnte auch nicht davon ausgehen, dass die sorgeberechtigte Mutter ihre Einwilligung erteilt hatte, da der Stiefvater vor der Trennung zu keinem Zeitpunkt Arzttermine bei ihm wahrgenommen hatte. Zudem richtete sich das Auskunftsersuchen offensichtlich gegen die Interessen der Mutter. Bevor der Arzt das Gespräch mit dem Stiefvater führte, hätte er bei der Mutter eine schriftliche Einwilligung einholen müssen.

Was ist zu tun?
Bevor ein Arzt Dritten über Patienten Auskunft erteilt, muss er seine Befugnis hierzu prüfen. Bei minderjährigen, noch nicht selbst einsichtsfähigen Patienten ist grundsätzlich der Sorgeberechtigte zu befragen.

4.7.14

Psychiatriealtakten mit Ewigkeitswert?

Patienten eines Krankenhauses betrachteten das Lesen von Psychiatrieakten als interessantes ”Freizeitangebot”. Die Prüfung des Archivs brachte eine ungeordnete Archivierung zutage.

Für Krankenunterlagen über eine stationäre Behandlung besteht eine Aufbewahrungsfrist von mindestens zehn bzw. ein Aufbewahrungsrecht von 30 Jahren. Nach Ablauf dieser Aufbewahrungsfristen sind die Unterlagen von öffentlichen Krankenhäusern dem Landesarchiv anzubieten oder, sofern sie von dort nicht als ”archivwürdig” bewertet werden, ordnungsgemäß zu vernichten. Eine längere Aufbewahrung als 30 Jahre ist im Einzelfall zulässig, wenn dies aus medizinischen (psychotherapeutischen) Gründen oder zur Durchführung von rechtlichen Auseinandersetzungen, bei denen die Akte beweiserheblich ist, erforderlich ist. Die Verwaltung des Archivgutes sollte deshalb in einer Archivordnung geregelt sein. Ein Muster hierfür haben wir veröffentlicht unter

www.datenschutzzentrum.de/material/themen/gesund/muarcho.htm

Nachdem vor einiger Zeit ein Patient die unklaren Verhältnisse im Zusammenhang mit seiner psychiatrischen Behandlung gerügt hatte, sagte uns der Direktor der betroffenen Klinik für Psychiatrie und Psychotherapie der CAU zu, diese Regeln künftig zu beachten.

Zwei Jahre später berichtete uns ein anderer Patient des gleichen Krankenhauses jedoch von einem besonderen ”Freizeitangebot”: In einem unverschlossenen und frei zugänglichen Raum im Dachgeschoss direkt neben der Bibliothek würden sich Kisten mit Patientenakten aus den Jahren 1938 bis 1944 stapeln. Die Möglichkeit, diese Patientenakten zu lesen, sei ein Insidertipp unter den Patienten. Der Hinweis war für uns Anlass, noch am gleichen Tag eine Prüfung vor Ort durchzuführen. Unsere Feststellungen waren alles andere als erfreulich.

In nicht weniger als neun Räumen wurden Krankenunterlagen verschiedener psychiatrischer und psychotherapeutischer Kliniken aufbewahrt. Zwar waren die Räume zum Zeitpunkt unserer Prüfung verschlossen, doch Beanstandungen gab es reichlich. Das als ”Nervenberg” bezeichnete Klinikgelände in Kiel besteht seit ca. 1900. Genauso alt waren diverse von uns gefundene Patientenunterlagen. Im Raum neben der Bibliothek fanden wir Patientenakten aus der Zeit des Dritten Reichs. Es existierten weder eine Archivordnung noch andere Regelungen, die hätten sicherstellen können, dass nur Befugte zu diesen äußerst sensiblen Unterlagen Zugang haben.

Aufgrund unserer Kritik erklärte der Klinikdirektor, dass nach Absprache mit dem Landesarchiv die Krankenunterlagen aus den Jahren vor 1950 sowie aus der Folgezeit jene Akten, bei denen der Nachname des Patienten mit dem Buchstaben ”D” beginnt, dort ordnungsgemäß archiviert werden. Die Akten, die nicht aus rechtlichen oder medizinischen Gründen länger als 30 Jahre aufbewahrt werden müssen, würden umgehend vernichtet. In Anlehnung an unsere Musterarchivordnung wurde eine Dienstvorschrift erlassen.

Was ist zu tun?
Die Aufbewahrung von Patientenunterlagen ist durch eine Archivordnung zu regeln. Die Löschfristen sind genau zu beachten. Angesichts der gemachten Erfahrungen werden wir die Umsetzung der angekündigten Schritte in der Psychiatrie des Kieler Klinikums überprüfen.

4.7.15

Wegen Verletzung des Patientengeheimnisses zur Kasse gebeten

Guter Wille und Aufklärung ändern nichts an dem Umstand, dass es sich bei dem Bruch des Patientengeheimnisses um eine Straftat handelt, die auf Antrag des Betroffenen verfolg- und sanktionierbar ist.

Vonseiten der Justiz wird in diesem Bereich leider nicht immer ein zeitgemäßes Datenschutzbewusstsein gezeigt. So wurden wir über einen Vorgang informiert, bei dem ein Praxisnachfolger ohne eine wirksame Einwilligung des Patienten Auskünfte aus der Behandlungsakte an eine private Versicherung gegeben hatte. Hierin lag eine doppelte Verletzung des Patientengeheimnisses. Zunächst erfolgte die Nutzung der Patientenakte durch den Praxisnachfolger, ohne dass sich der Vorgänger die Übergabe an den Nachfolger hatte genehmigen lassen. Des Weiteren war die Übermittlung der Daten an die Versicherung ohne eine Entbindung von der Schweigepflicht unzulässig. Die Staatsanwaltschaft und der Generalstaatsanwalt stellten das Verfahren trotzdem ein. Auf die Beschwerde des Betroffenen hin wurden diese Entscheidungen sogar vom Schleswig-Holsteinischen Oberlandesgericht bestätigt mit der lapidaren Feststellung, es fehle an den ”objektiven Voraussetzungen einer Verletzung von Privatgeheimnissen”. Solche strafrechtlichen Entscheidungen haben hinsichtlich der datenschutzrechtlichen Bewertung durch die Aufsichtsbehörde keine Bindungswirkung. Sie stehen im krassen Gegensatz zu den Beanstandungen, die wir für notwendig halten.

In anderen Fällen war jedoch die Kooperation mit der Staatsanwaltschaft besser. Dies war z. B. der Fall bei der im letzten Tätigkeitsbericht dargestellten illegalen Aktenentsorgung (vgl. 25. TB, Tz. 4.8.8), die mit einer Einstellung des Verfahrens nach Zahlung eines Bußgeldes beendet wurde. In einem weiteren Fall des Bruchs des Patientengeheimnisses durch eine mangelhafte Entsorgung von Patientendaten gab die Staatsanwaltschaft das Verfahren an uns als zuständige Ordnungswidrigkeitenbehörde ab. Wir verhängten ein angemessenes Bußgeld.

Was ist zu tun?
Auch Staatsanwälte sollten im Rahmen ihrer Zuständigkeit den Schutz des Patientengeheimnisses unterstützen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel