4.6 Schutz des Patientengeheimnisses
4.6.1 Die neue Orientierungshilfe für Krankenhausinformationssysteme − KIS
Die neue „Orientierungshilfe KIS“ formuliert aus den datenschutzrechtlichen Regelungen und den Vorgaben zur ärztlichen Schweigepflicht konkrete Forderungen für den Krankenhausbetrieb und die Anwendung von Informationssystemen in Krankenhäusern.
Adressaten dieser Orientierungshilfe sind neben den Krankenhäusern die Systemhersteller von Verarbeitungsprogrammen. Viele Krankenhäuser haben die Tendenz zu „schwarzen Löchern“: Unmengen sensibelster Patientendaten verschwinden in der als Krankenhausinformationssystem – KIS − bezeichneten EDV. Die „Orientierungshilfe KIS“ wurde unter der Federführung des Berliner Beauftragten für Datenschutz und Informationsfreiheit durch eine Unterarbeitsgruppe der Arbeitskreise „Gesundheit und Soziales“ und „Technik“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erarbeitet. Ausgangspunkt war ein vom Hamburgischen Datenschutzbeauftragten erstelltes Eckpunktepapier. Eine Einbindung der Hersteller von KIS, z. B. von Siemens Healthcare, Nexus und AGFA, erfolgte ebenso wie eine Expertenbefragung u. a. in Krankenhäusern und bei Verbänden. Die Verarbeitung der Patientendaten wird sowohl für die medizinische Behandlung, für die Pflege und für die Verwaltung vorgenommen. Durch die Orientierungshilfe soll sichergestellt werden, dass Mitarbeiter eines Krankenhauses nur auf die Daten Zugriff haben, die sie für ihre Aufgabe benötigen. Es gilt das Prinzip des „Need-to-know“. Es darf nicht sein, dass z. B. im Universitätsklinikum Schleswig-Holstein 5.500 Mitarbeiter einen unbeschränkten Zugriff auf sämtliche Patientendaten hatten (Tz. 4.6.2).
Im Teil I der Orientierungshilfe, den „Normativen Eckpunkten zur Zulässigkeit von Zugriffen auf elektronische Patientendaten im Krankenhaus“, werden klare Aussagen getroffen, welche Mitarbeiter eines Krankenhauses wann Zugriff auf welche Daten eines Patienten haben dürfen. Die Datenverarbeitung in der Aufnahme, während der Behandlung, in der Abrechnung oder im Archiv wird detailliert dargestellt. Es finden sich Aussagen zu Konsiliar- und Chefärzten, zu Administrationskräften und zum Medizincontrolling. Im Teil II, den „Technischen Anforderungen an die Gestaltung und den Betrieb von Krankenhausinformationssystemen“, werden Maßnahmen zur technischen Umsetzung dieser Anforderungen beschrieben. Durch Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder soll sichergestellt werden, dass diese „Orientierungshilfe KIS“ bundesweit zu beachten ist.
Was ist zu tun?
Betreiber von Krankenhäusern und die Hersteller von Krankenhausinformationssystemen müssen die in der „Orientierungshilfe KIS“ aufgestellten datenschutzrechtlichen Anforderungen beachten.
4.6.2 Zugriffsrechte im KIS des Universitätsklinikums Schleswig-Holstein
Daten über die Gesundheit von Patienten sind besonders zu schützen. Dazu gehört es auch, den Zugriff auf Informationen über frühere Behandlungen in Krankenhäusern auf solche Personen zu beschränken, die diese Informationen tatsächlich benötigen.
Die Verarbeitung personenbezogener Daten zum Zweck der Dokumentation, der Behandlung, der Abrechnung und der Archivierung erfolgt in Krankenhäusern in der Regel mithilfe sogenannter Krankenhausinformationssysteme (KIS). Beim Universitätsklinikum Schleswig-Holstein (UK S-H) wird dazu das System ORBIS verwendet. Bei der Administration solcher Systeme ist darauf zu achten, dass Zugriffsrechte tatsächlich nur im jeweils erforderlichen Umfang gewährt werden. Grundsätzlich ist der Zugriff auf die bei einer medizinischen Organisationseinheit, z. B. einer Station, beschäftigten Mitarbeiter zu beschränken.
Das ULD hatte Hinweise erhalten, dass im System ORBIS beim UK S-H die Zugriffsrechte zu weitgehend sind. Zwar waren Details der Krankengeschichte nur für die jeweils behandelnde Organisationseinheit zugänglich. Jedoch konnten sämtliche Mitarbeiter mit Zugangsberechtigung zum System ORBIS feststellen, in welchen anderen Organisationseinheiten ein Patient bereits in der Vergangenheit behandelt wurde. Aus diesen Informationen lassen sich bereits sehr konkrete Rückschlüsse über die Art der Erkrankung ziehen. Dies kann z. B. im Hinblick auf psychologische oder psychiatrische Behandlungen für den Betroffenen stigmatisierende Folgen haben. Probleme bestehen zudem für die zahlreichen Mitarbeiterinnen und Mitarbeiter des UK S-H, die sich beim Arbeitgeber behandeln lassen. Sie mussten damit rechnen, dass ihre Kollegen einfach die Tatsache der Behandlung in bestimmten Einrichtungen feststellen konnten. Unsere Überprüfung ergab, dass insgesamt ca. 5.500 Mitarbeiter, also etwa die Hälfte des Personals des UK S-H, unbeschränkten Zugriff auf diese Informationen hatte. Es genügte, einen beliebigen Namen einzugeben. War die Person behandelt worden, so konnte der Abfrager erkennen, in welchen Einrichtungen dies erfolgt war.
Diese Situation ist aus Datenschutzsicht nicht hinnehmbar (Tz. 4.6.1). Beim UK S-H wurden organisatorische und technische Umstellungen vorgenommen. Eine Nachschau des ULD im September 2010 ergab, dass jetzt nur noch ca. 300 Verwaltungsmitarbeiter den oben beschriebenen Zugriff haben. Dabei handelt es sich um Personen, die die Patienten aufnehmen, um Mitarbeiterinnen und Mitarbeiter des Patientenmanagements und des Medizincontrollings. Damit ist davon auszugehen, dass nur noch die tatsächlich zuständigen Personen den beschriebenen Zugriff haben. Wird eine Person in einer Einrichtung aufgenommen, so haben die jeweiligen Mitarbeiter dieser medizinischen Einrichtung den Zugriff auf die Vorbehandlungen und zudem auf die sogenannte zentrale Krankengeschichte, die Details über die aktuelle und gegebenenfalls auch frühere Behandlungen enthält.
Mit dem UK S-H besteht Einigkeit, dass es für Patientinnen und Patienten die Möglichkeit geben soll, eine Pseudonymisierung ihrer Daten in der Weise zu erhalten, dass bestimmte Vorbehandlungen komplett ausgeblendet werden. Dies kann allerdings erst bei der Archivierung, d. h. nach der Abrechnung der jeweiligen Behandlung, erfolgen. Dazu ist es erforderlich, dass sich diejenigen, die dies wünschen, an den Datenschutzbeauftragten des UK S-H mit folgenden Kontaktdaten wenden:
.jpg){kind=small}
Was ist zu tun?
Das UK S-H muss, wie alle Krankenhäuser in Schleswig-Holstein, anhand der in Tz. 4.6.1 beschriebenen Anforderungsliste konkrete Anforderungen an die Hersteller von Krankenhausinformationssystemen stellen, damit diese die zur Wahrung des Datenschutzes erforderlichen Eigenschaften in die Programme einbauen, und dann die entsprechenden Einstellungen bei der Implementierung vornehmen.
4.6.3 Keine Infos über HIV und Hepatitis für den Rettungsdienst
Informationen über bestehende Infektionskrankheiten sind hochsensibel. Wünsche, an solche Informationen zu kommen, sind nicht immer stichhaltig begründet.
Darf ein Krankenhaus dem Personal eines Rettungsdienstes bei der Übergabe eines Patienten Informationen zu bestehenden Infektionskrankheiten mitteilen? Die Rettungsdienstleitung eines Kreises forderte die standardmäßige Mitteilung von Infektionskrankheiten wie HIV oder Hepatitis B und C. Die Übertragung erfolgt ausschließlich durch Kontakt von Körperflüssigkeiten und ist durch die im Rettungsdienst üblichen Schutzmaßnahmen wie das Tragen von Handschuhen vermeidbar. Ein Restrisiko für die Rettungsdienstmitarbeiter ist nicht zu leugnen, muss aber gegenüber dem Interesse des Patienten an der vertraulichen Behandlung der besonders sensiblen Informationen abgewogen werden.
Bei hochansteckenden und gefährlichen Infektionskrankheiten wie Tuberkulose, Influenza oder SARS sind besondere Hygienemaßnahmen im Rettungsdienst erforderlich. Dementsprechend muss auch die Rettungsdienstbesatzung darüber informiert werden, damit die Hygiene- und Selbstschutzmaßnahmen erfolgreich getroffen werden können. Dann darf auch die konkrete Erkrankung benannt werden. Bei über Kontakt übertragenen Infektionskrankheiten, die durch empfohlene Hygienemaßnahmen vermeidbar sind, kann mitgeteilt werden, dass eine Infektionskrankheit vorliegt, ohne diese genau zu benennen. Ansonsten genügen die Standardhygienemaßnahmen; eine Mitteilung an den Rettungsdienst ist nicht statthaft. Dies gilt für Erkrankungen, die ausschließlich über Blutkontakt oder Stichverletzungen übertragen werden können, wie z. B. Hepatitis und HIV.
Gerade bei HIV und Hepatitis muss das Interesse des Patienten auf informationelle Selbstbestimmung besonders beachtet werden. Auch der Gesetzgeber hat erkannt, dass eine HIV-Erkrankung zu einer besonderen Stigmatisierung des Betroffenen führen kann, und hat auf eine namentliche Meldepflicht im Informationsschutzgesetz verzichtet. Das Interesse des Patienten überwiegt gegenüber dem bestehenden Restrisiko einer Infektion. Wichtig ist die Beachtung der vorgeschriebenen Schutzmaßnahmen durch das medizinische Personal.
Was ist zu tun?
Das den Patienten entlassende ärztliche Personal muss entscheiden, ob und inwieweit der Rettungsdienst über eine Infektionskrankheit informiert wird. Der konkrete Erreger ist nur bei hochinfektiösen und gefährlichen Infektionskrankheiten zu benennen.
4.6.4 Die wundersame Datenmehrung bei der Trennung von Gemeinschaftspraxen
Streit kann auch bei Ärzten entstehen, die sich zur Berufsausübung zusammentun. Die Trennung von Gemeinschaftspraxen wirft oft datenschutzrechtliche Probleme auf.
Patienten einer von mehreren Ärzten betriebenen Gemeinschaftspraxis haben den Vorteil, in Urlaubszeiten einen leidlich bekannten medizinischen Ansprechpartner zu haben. Der Behandlungsvertrag gilt rechtlich zwischen dem Patienten und sämtlichen in der Gemeinschaftspraxis tätigen Ärzten. Trennt sich so eine Gemeinschaftspraxis, fühlen sich nicht selten alle Ärzte berufen, sämtliche Patientenakten fortan zu verwahren. Bei Papierakten war dies selten ein Problem, weil diese schon aus Praktikabilitätsgründen aufgeteilt wurden. Dies hat sich mit der digitalen Aktenhaltung geändert. Schnell ist der gesamte Datenbestand der Praxissoftware kopiert.
Diese wundersame Datenmehrung ist aus Datenschutzsicht höchst unwillkommen. Das Risiko, dass Daten in unbefugte Hände gelangen, wird vervielfacht. Richtigerweise sind auch im Digitalzeitalter die Patientenakten danach zu trennen, welcher der Ärzte fortan die Behandlung führt. Steht dies noch nicht fest, verbleiben die Akten bei der Praxis, die in den alten Räumen bleibt. Um festzustellen, ob ein Patient bereits in der früheren Gemeinschaftspraxis in Behandlung war, dürfen alle scheidenden Praxispartner für eine Übergangszeit von der Gesamtheit der Patienten die Stammdaten nebst Aktenzeichen vorhalten.
Ärzte kritisieren, dies sei zu aufwendig. Einfacher und praktikabel wäre es, bereits beim Betrieb der Gemeinschaftspraxis die Daten sauber zu trennen, wie dies Praxisgemeinschaften – das sind Praxen, in denen Ärzte sich lediglich die Räume teilen – ohnehin tun müssen. Für die Dauer der gemeinsamen Praxisausübung können gegenseitige Zugriffsrechte eingeräumt werden, die dann bei der Teilung aufgehoben würden.
Was ist zu tun?
Bei der Trennung von Gemeinschaftspraxen ist eine Datenduplizierung zu vermeiden und frühestmöglich durch eine Löschung oder Sperrung der Daten aufzuheben. Idealerweise werden Akten schon mit Aufnahme der Tätigkeit nach Ärzten getrennt geführt.
4.6.5 Gesichtsfoto von Patienten für Patientenakte bedarf der Einwilligung
Eine Arztpraxis fotografierte ohne wirksame Einwilligung der Patienten das Gesicht für die Patientenakte. Verheimlichungsversuche des Arztes gaben Anstoß zu Spekulationen über die Verwendung der Fotos.
Ein Patient erspähte sein Gesichtsbild auf dem Bildschirm des Systems der Facharztpraxis für Urologie und Geschlechtskrankheiten. Die Verheimlichungsstrategie des Arztes schürte offensichtlich das Misstrauen der Betroffenen und Spekulationen über die Verwendung. Wurden gar heimliche Fotos bei der Behandlung gemacht? Die Betroffenen wurden nur teilweise auf die Anfertigung der Fotos hingewiesen. Eine richtige Aufklärung fehlte.
Der Arzt rechtfertigte die Bilder damit, er könne sich beispielsweise bei telefonischen Rückfragen besser an die einzelnen Fälle erinnern. Dies ist nachvollziehbar, liegt es doch auch im Interesse der Patienten, dem Gedächtnis des Arztes auf die Sprünge zu helfen. Die Einbindung von Fotos in die Behandlungsakte kann zudem den Umgang mit den Daten der Patienten verbessern, die im Wartezimmer direkt und ohne Nennung des Namens angesprochen werden können.
Bildaufnahmen sind personenbezogene Daten, deren Verarbeitung einer Rechtsgrundlage bedarf. Für eine ärztliche Behandlung sind Fotos außerhalb der Behandlungsdokumentation nicht erforderlich. Mangels gesetzlicher oder vertraglicher Grundlage bedarf es für ein Fotografieren der Patienten und Speichern der Bilder der Einwilligung der Patienten, die eine Unterrichtung über die Verwendungszwecke voraussetzt. Angesichts der nachvollziehbaren Gründe für die Fotoaufnahme werden Patienten eine Einwilligung in der Regel nicht verweigern. Umso unverständlicher war die unterlassene Unterrichtung der Patienten vor der Aufnahme und über deren Zweck. Ohne Einwilligung angefertigte Bildaufnahmen sind zu löschen. Bei den zur Wiedererkennung angefertigten Bildern handelte es sich nicht um handlungsrelevante Daten, die als Teil der Patientenakte zu verwahren waren. Die Praxissoftware muss die Löschung der Bilder technisch vorsehen.
Was ist zu tun?
Wer von Kunden oder Patienten zusätzliche Daten wie ein Gesichtsbild erheben will, benötigt eine Einwilligung der Betroffenen. Diese sind zuvor über die Art der Daten und deren Verwendungszweck zu unterrichten.
4.6.6 Wenn einem Arzt der Laptop gestohlen wird
Ärzte sind gut beraten, wenn sie ihre elektronischen Patientendaten verschlüsselt speichern. Nur so ist auszuschließen, dass bei Verlust eines Rechners oder eines Laptops der „Finder“ Kenntnis von Patientendaten erhält.
Wir staunten nicht schlecht, als uns ein gebrauchter Laptop übergeben wurde, der auf diversen Umwegen in den Besitz des Überbringers geraten war. Darauf befanden sich neben „Schmuddelgeschichten“ auch unverschlüsselte Patientendaten einer Arztpraxis. Auf dem Gerät war spezielle Software für Arztpraxen installiert. Problemlos konnten 342 Word-Dokumente mit Patientendaten geöffnet werden. Es handelte sich überwiegend um ärztliche Bescheinigungen und Arztbriefe einer Kinderarztpraxis.
Die Kinderarztpraxis erklärte uns, dass nicht nur dieser Laptop, sondern weitere drei Laptops und zwei Rechner bei einem Einbruch gestohlen wurden. Die Polizei bestätigte, dass die Einbrecher mit erheblicher Gewalt vorgegangen waren. Wir konnten der Kinderarztpraxis zwar keinen Verstoß gegen datenschutzrechtliche Bestimmungen vorwerfen, da, so die Polizei, „ausreichende Schutzmaßnahmen gegen Einbruch“ getroffen worden waren. Dennoch haben wir die Praxis aufgefordert, Patientendaten künftig verschlüsselt zu speichern. Schlimm genug, wenn bei einem Einbruch der Laptop gestohlen wird. Die Folgen für die Patienten, wenn deren Daten in unbefugte Hände gelangen, können jedoch noch wesentlich fataler sein. Das ULD gibt gern Hinweise und Hilfen zur Verschlüsselung von Daten. Ärzte sollten die Anbieter ihrer Arztpraxissoftware auf Verschlüsselungsmöglichkeiten ansprechen.
Was ist zu tun?
Daten von Patienten, die der ärztlichen Schweigepflicht unterliegen, sollten grundsätzlich nur verschlüsselt gespeichert werden.
4.6.7 Missglückte Befundversendung beim Mammografie-Screening
Datensicherheitspannen haben ärgerliche Folgen für die Betroffenen. Das Instrument der sogenannten Security Breach Notification soll diese Folgen mildern. Es hat sich bereits kurz nach seiner Einführung ins Bundesdatenschutzgesetz bewährt.
Das ULD befasst sich seit Jahren mit dem Datenschutz beim Mammografie-Screening (32. TB, Tz. 4.5.11). Jetzt ereilte uns die Meldung über einen Datenschutzverstoß bei dem Versenden von Befundmitteilungen. Es war in einer der Screening-Einheiten in Schleswig-Holstein zu einer Fehlprogrammierung einer Kuvertiermaschine gekommen. Dadurch wurden versehentlich bei ca. 75 der von der Screening-Einheit zur Befundmitteilung an die Teilnehmerinnen versandten Fensterbriefumschläge nicht nur, wie eigentlich vorgesehen, ein Blatt, sondern zwei Blätter eingelegt. Die Kuvertiermaschine verfügte über zwei einprogrammierte Routinen. Die eine zur Versendung lediglich eines Blattes in einem Fensterbriefumschlag sollte für Befundversendungen an die Teilnehmerinnen verwendet werden. Die zweite für die Kuvertierung von zwei Blättern sollte für bestimmte Mitteilungen an Ärzte Verwendung finden. Versehentlich wurde zur Versendung der Befundmitteilungen die für Ärzte vorgesehene Routine eingeschaltet. Dadurch erhielt die Hälfte der Frauen, deren Befundmitteilung an einem bestimmten Tag verschickt wurde, nicht nur ihren eigenen Befund, sondern auf einem zweiten Blatt den Befund einer anderen Frau. Die andere Hälfte der betroffenen Frauen bekam gar keine Mitteilung. Im Nachhinein ließ sich nicht mehr klären, welche Frauen jeweils betroffen waren.
Eine Neuregelung des Bundesdatenschutzgesetzes verpflichtet verantwortliche Stellen, die Datenschutzaufsichtsbehörde sowie die betroffenen Personen über einen solchen Verstoß zu informieren, wenn es hierbei zur unrechtmäßigen Kenntniserlangung von Daten durch Dritte gekommen ist und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Wie vorgesehen informierte die Screening-Einheit das ULD und auch die betroffenen Frauen über den Zwischenfall.
Als Reaktion wurde zur Vermeidung künftiger gleichartiger Vorfälle die Programmierung so geändert, dass nur noch die Routine zur Versendung von einem Blatt zur Verfügung steht. Da die Daten verarbeitende Stelle, wie gesetzlich vorgesehen, eine Meldung über den Vorfall an das ULD abgab, kam eine weitere Sanktionierung, z. B. durch ein Bußgeld, nicht mehr in Betracht. Insoweit profitieren die verantwortlichen Stellen von der sogenannten Security Breach Notification, wenn sie diese ordnungsgemäß abgeben.
Was ist zu tun?
Mögliche Schwachstellen bei der Einhaltung der Datensicherheit sollten im Vorfeld erkannt und beseitigt werden. Kommt es gleichwohl zu Zwischenfällen, bei denen Dritte unrechtmäßig Kenntnis von Daten erlangen, so sind darüber das ULD als Aufsichtsbehörde sowie die Betroffenen zu informieren.
4.6.8 Wenn ein Augenoptiker seine Kundendaten verkaufen will
Ein Augenoptiker unterliegt nicht der ärztlichen Schweigepflicht, darf aber Daten seiner Kunden nicht ohne deren Einwilligung veräußern. Bei einer Geschäftsübergabe ist auch das „2-Schrank-Modell“ zu praktizieren.
Kundendaten eines Augenoptikers sind in großem Umfang auch Angaben zur Gesundheit. Der Verkauf dieser Daten stellt eine Übermittlung dar, für die es einer ausreichenden Befugnis bedarf. Mangels gesetzlicher Übermittlungsbefugnis kommt ausschließlich die wirksame Einwilligung der betroffenen Kunden in Betracht.
Ein Optiker hatte die Kundendaten eines Petenten verkauft, ohne diesen zu fragen. Der Optiker begründete dies damit, dass der Erwerber seines Geschäftes u. a. Garantie- und Gewährleistungsansprüche abdecken würde. Zudem sei es für eine „vollständige Versorgung hilfreich, die augenoptische Vorgeschichte eines Kunden zu kennen“. So gut gemeint dies sein mag, so ersetzt das nicht die Einwilligung der Kunden. Sicher ist es nicht möglich, jeden Kunden zu befragen, ob dieser mit der Veräußerung seiner Daten einverstanden ist. Dies berücksichtigt das von den Ärztekammern entwickelte und von den Datenschutzaufsichtsbehörden akzeptierte „2-Schrank-Modell“. Dabei übernimmt der Erwerber Kundendaten zwar ohne deren Einwilligung, verwahrt diese jedoch getrennt von seinem eigenen Datenbestand – in einem zweiten Schrank. Wenn ein Kunde tatsächlich bei ihm vorspricht, können dessen Daten genutzt werden. Die Daten jener Kunden, die in einer zu bestimmenden Frist nicht beim Erwerber vorsprechen, werden gelöscht, ohne dass sie der Erwerber zur Kenntnis nimmt. Wir haben den Optiker, der die Daten erworben hat, aufgefordert entsprechend zu verfahren, und darauf hingewiesen, dass eine Nutzung der gesperrten Daten ohne die Einwilligung der Betroffenen eine Ordnungswidrigkeit darstellt.
Was ist zu tun?
Die Veräußerung von Kundendaten eines Augenoptikers bedarf der Einwilligung der Betroffenen. Fehlt diese, so ist bei der Übergabe der Kundendaten das „2-Schrank-Modell“ zu praktizieren. Eine Verarbeitung dieser Daten des Altkundenschranks ist erst möglich, wenn der Kunde beim Erwerber vorspricht und hierdurch seine Einwilligung erklärt.
4.6.9 AOK-Arztnavigator – Teufelswerk oder vorbildliches Bewertungsportal?
Internetportale zur Bewertung beruflicher Leistungen bergen erhebliche Risiken für den Datenschutz. Sie sind aber nicht grundsätzlich verboten. Es kommt darauf an, solche Portale datenschutzkonform auszugestalten.
Zur Bewertung von niedergelassenen Ärzten gibt es eine Reihe von Bewertungsportalen im Internet. Alle zeichnen sich, wie eine Studie nachgewiesen hat, durch Mängel aus. Im Zusammenhang mit der Initiative der Bertelsmann Stiftung, für mehr Transparenz im Gesundheitswesen zu sorgen, der sogenannten Weissen Liste, hat die Stiftung zusammen mit der AOK ein Arztbewertungsportal aufgebaut, das die Fehler der anderen vermeiden soll. Das ULD wurde gegen Entgelt zu einzelnen datenschutzrechtlichen Fragen um Beratung gebeten. Damit sollte nicht der rechtlichen Beurteilung durch die örtlich zuständigen Datenschutzaufsichtsbehörden vorgegriffen werden. Den Portalbetreibern ging es darum, bereits im Vorwege möglichst datenschutzkonforme Lösungen zu finden.
Nach Meinung des ULD ist dies gelungen. Das Konzept zielte von Anfang an darauf ab, die Rechte der bewerteten Ärzte so wenig wie möglich zu beeinträchtigen. Den Patientinnen und Patienten, die die Ärzte bewerten wollen, wird ermöglicht, ihre Bewertungen ohne Aufdeckung ihres Personenbezugs, also praktisch anonym, abzugeben. Rechtliche Leitschnur zur Gestaltung von Bewertungsportalen ist das Urteil des Bundesgerichtshofes (BGH) zum Lehrerbewertungsportal „Spick mich“. Der BGH stellte fest, dass „Spick mich“ in der vom Gericht untersuchten Ausgestaltung zulässig war und keine Verletzung des Datenschutzrechts darstellte.
Einige Eigenschaften des Lehrerbewertungsportals ließen sich auf Arztbewertungsportale aber nicht übertragen. So war der Zugriff auf die Bewertungen im Grundsatz nur für die Schulöffentlichkeit möglich. Im Hinblick auf die freie Arztwahl in Deutschland kann es eine entsprechende Beschränkung bei Ärzten nicht geben. Beim Arztnavigator wurde jedoch für einen im Ergebnis gleichartigen Schutz der Persönlichkeitsrechte der Ärzte gesorgt. Ein Log-in zur Bewertung wird nur an Versicherte der AOK vergeben; eine Erweiterung auf andere Krankenkassen in der Zukunft ist vorgesehen. Auf pseudonymer Basis wird geprüft, ob eine Person, die Bewertungen zu Ärzten abgeben will, tatsächlich bei der AOK versichert ist. Nur dann kann sie eine Bewertung für einen Arzt abgeben. So wird verhindert, dass Bewertungen durch Patienten oder die Ärzte selbst verfälscht werden, z. B. indem von einer Person zu einem Arzt mehrere Bewertungen abgegeben werden. Weitere Schutzmechanismen sind der Verzicht auf Freitextfelder, ein strukturierter Fragebogen, der Extremaussagen ausschließt, und die Vorgabe, Bewertungen in aggregierter Form erst zu veröffentlichen, wenn mehr als zehn Bewertungen vorliegen. Wir meinen, dass damit ein ausgewogenes Bewertungsportal zustande kommt, das die Rechte der bewerteten Ärzte in angemessener Form wahrt.
Was ist zu tun?
Bei datenschutzrechtlich kritischen Vorhaben wie dem Aufsetzen von Bewertungsportalen ist es wichtig, die rechtlichen Vorgaben genau einzuhalten. Eine Beratung durch das ULD oder andere Datenschutzaufsichtsbehörden ist insofern hilfreich.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
