Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

4.6          Schutz des Patientengeheimnisses

Der Schutz des Patientengeheimnisses ist anspruchsvoll und komplex. An ihm zerren unterschiedlichste, zumeist wirtschaftlich motivierte Interessen. Der Schutz ist bei der Normsetzung und in der Praxis gefordert, bei Behandlung, Betreuung, Abrechnung, Forschung, beim Einsatz modernster Informationstechnik. Verstöße können dramatische Folgen für den Patienten haben.

Eine Petentin berichtete uns von einer „missglückten“ Blasenspiegelung bei ihrem Urologen. Sie hatte große Angst vor der Untersuchung, aber Vertrauen zu dem Arzt. Die Untersuchung war schmerzhaft. Eine Arzthelferin hielt ihre Hand. Mitten in der Untersuchung verließ eine andere Arzthelferin den Behandlungsraum und ließ die Tür offen stehen. Vom Empfangstresen aus hatten die Wartenden so freien Blick auf das Behandlungsgeschehen und die Patientin. Diese verkrampfte. Die Situation führte für sie zu kaum ertragbaren körperlichen und seelischen Schmerzen. Wie in einer Schockstarre war es ihr nicht mehr möglich, etwas zu sagen, sich zu beschweren oder gar zu wehren. Sie empfand absolute Hilflosigkeit, verließ die Praxis wie in Trance. Noch Monate später durchlebt die Patientin diese erniedrigende Situation immer und immer wieder. Albträume, Panikattacken und Angstzustände quälen sie.

Derartige Schilderungen sind für das ULD Bestätigung und Ansporn, das Patientengeheimnis gegen die unterschiedlichsten Angriffe zu verteidigen, deren Hintergründe so unterschiedlich sein können: Gedankenlosigkeit, Technikverliebtheit, Profitstreben …

 

4.6.1       eHealth

eHealth – der Einsatz von Informationstechnik (IT) im Gesundheitswesen – ist allgegenwärtig und bestimmt oft die medizinische Praxis. Die normativen Grundlagen des Vertraulichkeitsschutzes blieben teilweise seit Jahrzehnten unverändert.

Anlässlich einer öffentlichen Anhörung des Bundestagsausschusses „Digitale Agenda“ zum Thema „eHealth“ machte das ULD unter dem Titel „Gesundheitsdaten bedürfen eines besonderen staatlichen Schutzes“ auf die gesetzgeberischen Defizite aufmerksam. Es besteht die Gefahr, dass die medizinischen Daten zur Beeinflussung des medizinischen Versorgungsgeschehens sowie für vorrangig kommerzielle Zwecke verwendet und hierdurch die Vertraulichkeit der Daten und damit das Vertrauen der Betroffenen beeinträchtigt werden. Folgende Trends sind dabei bestimmend:

• Die Arbeitsteilung im Medizinbereich und die Einschaltung von informationstechnischen Dienstleistern verunklart Verantwortlichkeiten und verstärkt über duplizierte Datenbestände das Risiko zweckwidriger Nutzungen.
• Durch biotechnologische (gentechnische) Verfahren fallen immer mehr Daten an, die für die Betroffenen schicksalhaft sind und von denen für diese ein hohes Diskriminierungsrisiko ausgeht.
• Die Einbindung des Internets bei der Informationsverarbeitung im Gesundheitswesen, z. B. durch Nutzung von Cloud-Diensten, sozialen Netzwerken und Big-Data-Technologien, erhöht das Risiko für die Vertraulichkeit und die Integrität der Daten.
• Angesichts des Kostendrucks im Gesundheitswesen und der Möglichkeit der zentralen Auswertung und Nutzung von Behandlungs- und Abrechnungsdaten drohen die Diskriminierung von bestimmten Personengruppen bei der Versorgung und eine unzulässige Beeinflussung des Behandlungsgeschehens.

Anforderungen

Die Potenziale der Informationsverarbeitung zur Verbesserung der Gesundheit in der Gesellschaft sowie individuell sollen genutzt werden. Zugleich sind dabei aber die damit einhergehenden Gefahren für Wahlfreiheit und Vertraulichkeit zu vermeiden. Der Gesetzgebung stellen sich so folgende Aufgaben:

• Die Telematikinfrastruktur ist zeitnah und funktionsfähig so zu realisieren, dass die medizinische Kommunikation zwischen den Gesundheitsdienstleistern vertraulich und zuverlässig ermöglicht wird und die Patientinnen und Patienten praktisch in die Lage versetzt werden, ihr Recht auf informationelle Selbstbestimmung wahrzunehmen.
• Da elektronische Kommunikation im gesamten Gesundheitssektor genutzt wird, dürfen sich zu schaffende datenschutzrechtliche Regelungen nicht auf einzelne Teilbereiche beschränken, sondern sollten den gesamten Gesundheitsbereich unter Einbeziehung u. a. der niedergelassenen Ärzteschaft, des Pflegewesens und anderer Gesundheitsberufe erfassen.
• Die Datenverarbeitung im gesetzlichen wie im privaten Versicherungsbereich ist so zu regeln und zu gestalten, dass dort Transparenz, Datensparsamkeit und eine wirksame Kontrolle gewährleistet werden.
• Ökonomische Veränderungen bei Leistungserbringern, z. B. Betriebswechsel, Forderungsabtretungen, Fusionen (z. B. zu bundesweiten Krankenhauskonzernen) und Abspaltungen, dürfen nicht zu einer Beeinträchtigung von Vertraulichkeit, Transparenz und Wahlfreiheit führen, wozu neue technische, organisatorische und rechtliche Vorkehrungen getroffen werden müssen. Änderungen in der Konzernstruktur dürfen nicht dazu führen, dass Datenzugriffe aus Drittstaaten ermöglicht werden. Gegen gesetzliche Zugriffsrechte aus Drittstaaten sind geeignete technische und organisatorische Schutzmaßnahmen vorzusehen.
• Die Abrechnung im Bereich der gesetzlichen Krankenversicherung ist auch aus Gründen des Datenschutzes vorrangig eine hoheitliche Aufgabe, die nur begrenzt und unter hohen Anforderungen an Private delegiert werden kann.
• Durch eine Verbesserung der Koordinierung und Intensivierung der Kontrolle von Informationsdienstleistern im Medizinbereich ist dafür zu sorgen, dass bei zweckändernder Weiternutzung der Daten deren Anonymität sichergestellt wird.
• Die Bereitstellung von aggregierten Gesundheitsdaten für Zwecke der Versorgungsplanung und zur Herstellung demokratischer Transparenz des Gesundheitswesens ist eine staatliche Aufgabe, die Bund und Länder unter Einbeziehung der Krankenversicherungen und der Gesundheitsdienstleister zu erfüllen haben.
• Die Einschaltung von Dienstleistern im Bereich von Krankenhäusern und sonstigen heilberuflich Tätigen ist durch gesetzliche Regelungen so rechtssicher zu gestalten, dass sowohl die Funktionalität der Dienstleistungen als auch das Patientengeheimnis gewährleistet werden. Daten, die beim Behandelnden einer gesetzlichen Schweigepflicht unterliegen, müssen auch bei externen Dienstleistern dem gleichen Schutzniveau unterliegen, einschließlich eines umfassenden Beschlagnahmeschutzes.
• Die Krankheitsregistrierung für Zwecke der klinischen und epidemiologischen Forschung wie der Qualitätssicherung und Behandlungsunterstützung ist auf Bundes- und Landesebene möglichst einheitlich gesetzlich so zu regeln, dass Transparenz und Selbstbestimmung der Betroffenen gewahrt bleiben.
• Durch ein gesetzliches Forschungsgeheimnis sowie durch Anonymisierungs- und einheitliche Genehmigungserfordernisse kann die Bereitstellung der nötigen Datengrundlagen für die medizinische Forschung gesichert werden, ohne die Vertraulichkeit der Daten übermäßig zu beeinträchtigen.
• Die Bundesregierung soll sich dafür einsetzen, dass Standards für eine datenschutzkonforme Gestaltung von medizinischen IT‑Produkten und -Verfahren erarbeitet und deren Einsatz z. B. durch gesetzlich regulierte Zertifizierungsangebote gefördert werden.

Nach Ansicht des ULD wird die Diskrepanz zwischen rechtlich geforderter Vertraulichkeit und informationstechnischer Praxis immer größer. Die – oft unzulässigen – Begehrlichkeiten an Gesundheitsdaten wachsen in den Himmel von Big Data, Cloud Computing & Co., wobei der Patient und seine Rechte oft auf der Strecke bleiben.

Referentenentwurf für ein eHealth-Gesetz

Ein vom Bundesgesundheitsministerium im Januar 2015 veröffentlichter Entwurf eines sogenannten eHealth-Gesetzes enttäuscht. Er wird seinem Anspruch, „für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“ zu sorgen, nicht gerecht, indem er insbesondere das Ziel verfolgt, endlich die seit neun Jahren überfällige Telematikinfrastruktur (TI) und die elektronische Gesundheitskarte (eGK) mit finanziellen Sanktionen und Anreizen durchzusetzen. Diese TI ist eine zentrale und notwendige Grundvoraussetzung für sichere medizinische Kommunikation. Um allerdings die bisherigen Widerstände gegen die TI und die eGK zu überwinden, bedarf es weiterer Anstrengungen.

Der Vorschlag aus dem Bundesgesundheitsministerium befasst sich nur mit der ersten der oben genannten insgesamt elf zwingenden Voraussetzungen, um die elektronische Verarbeitung von Gesundheitsdaten auf eine sichere rechtliche Grundlage zu stellen, die technisch und faktisch auf der Höhe der Zeit ist. Nach Ansicht des ULD müssen die oft widersprüchlichen und aus vortechnischer Zeit stammenden Gesetze weiterentwickelt werden. Der vorliegende Entwurf adressiert einseitig die wirtschaftlichen Interessen von Ärzteschaft und Krankenhausbetreibern und verliert die Patienten mit ihren Bedürfnissen nach Transparenz und Vertraulichkeit aus dem Blick. Das ULD rät, den Entwurf – nach einigen Verbesserungen aus Datenschutzsicht – zur Etablierung einer medizinischen Telematikinfrastruktur weiterzuverfolgen. In einem zweiten Schritt muss versucht werden, das Patientengeheimnis und medizinische Funktionalitäten zusammenzubringen. Nur so kann der Gesetzgeber die Voraussetzungen dafür schaffen, dass die deutsche IT-Industrie im Gesundheitssektor nicht von halbseidenen Anbietern etwa aus Übersee ausmanövriert wird.

https://www.datenschutzzentrum.de/artikel/874-.html

4.6.2       Krebsregistergesetz  Schleswig-Holstein

Durch Bundesgesetz sind die Länder gehalten, klinisch-epidemiologische Krebsregister einzurichten. In dem Register sind künftig alle Behandlungsvorgänge zu einer Krebserkrankung zu erfassen, sodass der Forschung auch Angaben über die Wirksamkeit bestimmter Behandlungsmethoden flächendeckend vorliegen. Durch epidemiologische Analysen soll auch künftig ein regionaler Überblick über Krebserkrankungen möglich sein. Der Regierungsentwurf sieht vor, die unter Mitwirkung des ULD für das epidemiologische Krebsregister entwickelte und bewährte Trennung von identifizierenden Daten und von pseudonymisierten klinisch-epidemiologischen Daten fortzuführen. Erstere sollen auch künftig in einer Vertrauensstelle, angesiedelt bei der Ärztekammer in Bad Segeberg, vorgehalten werden. Die zur Forschung erforderlichen medizinischen Daten stehen davon getrennt der Wissenschaft zur Verfügung.
Um die Vollständigkeit des Registers sicherzustellen, ist eine namentliche Meldepflicht für alle behandelnden Ärzte und Einrichtungen vorgesehen. Nur so können die Behandlungsverläufe einrichtungsübergreifend erfasst werden. Zum Schutz des Betroffenen sind die identifizierenden Angaben in der Vertrauensstelle zu löschen, wenn dieser widerspricht. Eine Zuordnung neuer Meldungen bleibt weiterhin über das Pseudonym möglich, aus dem jedoch nicht auf die Identität des Patienten geschlossen werden kann und darf. Der gefundene Kompromiss schränkt bei größtmöglichem Erhalt der informationellen Selbstbestimmung die Verwendung der Daten zu Forschungszwecken im geringstmöglichen Maß ein.
Im Vergleich zu Lösungen in anderen Bundesländern ist die geplante Umsetzung ausgesprochen datensparsam.

Was ist zu tun?
Nach Verabschiedung des Krebsregistergesetzes ist dieses gemäß den normativen Vorgaben sorgfältig umzusetzen.

 

4.6.3       Hackerangriff auf Pflegedokumentation – Patientendaten  als Geiseln

Krankenhäuser, Arztpraxen, aber auch Pflegeheime und Pflegedienste speichern Patientendaten elektronisch. Die EDV muss sicher sein. Unbefugte sollen keinen Zugriff haben. Aber Sicherungsmaßnahmen sind aufwendig und kosten viel Geld.

Für Mitarbeiter eines kleinen Pflegedienstes begann ein Arbeitstag damit, dass sich die Computer nicht starten ließen. Die Rechner waren von einem Virus befallen, die Daten der Patientinnen und Patienten verschlüsselt und nicht mehr lesbar. Tourenpläne ließen sich nicht öffnen. Panik machte sich breit. Es kam noch schlimmer! Kurze Zeit später erhielt der Pflegedienst eine E-Mail. Die EDV wurde gezielt angegriffen, die Patientendaten wurden zu Geiseln gemacht. Die Täter drohten mit der Löschung der Daten, wenn nicht binnen 24 Stunden ein Lösegeld gezahlt würde. Dem Pflegedienst blieb nichts anderes übrig, als zu zahlen.

Der Pflegedienst reagierte professionell. Statt den Vorfall zu verschweigen, wurde das ULD um Hilfe gebeten. Es wurden Sofortmaßnahmen zum Schutz der Patientendaten ergriffen. Gemeinsam mit dem ULD wurden grundsätzliche Vorgaben zur sicheren Nutzung der EDV umgesetzt. Eine Strafanzeige gegen unbekannt wurde erstattet, die Ermittlungen laufen noch. Möglicherweise hat es der Pflegedienst den Angreifern zu einfach gemacht. Das ULD steht mit Rat und Tat zur Seite.

Was ist zu tun?
Daten verarbeitende Stellen müssen ausreichende Sicherungsmaßnahmen zum Schutz personenbezogener Daten ergreifen, insbesondere wenn diese sensibel sind.

 

4.6.4       Die Krankenhausrechnung  von der fremden Firma

Darf ein privates Unternehmen die Krankenhausrechnungen erstellen? Ja, aber nur wenn der Patient ausreichend informiert wurde und schriftlich seine Einwilligung in die dafür nötige Datenübermittlung erklärt. Das Krankenhaus muss mit dem Abrechnungsunternehmen in einem schriftlichen Vertrag die Aufgabe und Befugnisse präzise festlegen. Welchen Inhalt die schriftliche Einwilligung, die Schweigepflichtentbindungserklärung, haben muss, wird unter Tz. 4.6.5 dargestellt. Fehlt die wirksame Einwilligung des Patienten, verstößt die Übermittlung von dessen Daten gegen die ärztliche Schweigepflicht. Der übermittelnde Arzt macht sich strafbar.

Selbst wenn ein Patient einverstanden ist, dürfen dem Abrechnungsunternehmen nicht unbegrenzt Patientendaten übermittelt werden. Für die Rechnung genügen grundsätzlich Angaben zu den durchgeführten Behandlungsleistungen einschließlich Datum, Name, Anschrift und Geburtsdatum des Patienten sowie Angaben zum Krankenversicherungsunternehmen. Daten zur Anamnese, Diagnosen und Untersuchungsergebnisse dürfen nicht übermittelt werden.

In einem aktuellen Fall bestand die Befürchtung, dass ein Krankenhaus dem Abrechnungsunternehmen die vollständigen Patientenakten überließ. Dies ist unzulässig. Die Krankenhausmitarbeiter müssen die benötigten Daten aus der Patientendokumentation heraussuchen und dem Abrechnungsunternehmen bereitstellen. In jedem Fall benötigt das Krankenhaus einen schriftlichen Vertrag mit dem Abrechnungsunternehmen. Diesem muss vorgegeben werden, „was es zu tun und was es zu lassen hat“. Der Auftraggeber trägt die Verantwortung für diese Datenverarbeitung im Auftrag. Verstöße des Auftragnehmers gehen stets zulasten des Auftraggebers. Diesem obliegen Kontrollbefugnisse und -verpflichtungen.

Was ist zu tun?
Bevor ein privates Abrechnungsunternehmen beauftragt wird, müssen die Patienten informiert werden und schriftlich in die Datenübermittlung einwilligen. Zwischen Krankenhaus und Abrechnungsfirma muss ein Vertrag geschlossen werden, der den gesetzlichen Anforderungen entspricht.

 

4.6.5       Muster einer Schweigepflichtentbindungserklärung

Nie ein Krankenhaus aufsuchen zu müssen, bleibt nur wenigen Menschen in ihrem Leben vergönnt. Der Ablauf eines Aufenthalts ist Routine: Aufnahme, Gespräch mit den Ärzten, Behandlung. Nur selten wird hinterfragt, welche Abläufe es im Hintergrund gibt. Damit der Betrieb eines Krankenhauses reibungslos vonstattengehen kann, arbeitet es mit externen Dienstleistern und Laboren zusammen. Die Liste der Kooperationspartner kann lang werden. Wer ist die Schwester, die gerade meine Akte zu sich genommen hat? Wer tippt das Protokoll meiner Behandlung ins EDV-System? Woher weiß die Essensversorgung, dass ich keine Laktose vertrage? Nicht immer ist klar, wer Mitarbeiter des Krankenhauses ist und wer zu einem externen Dienstleister gehört. Solche externen Unternehmen dürfen Patientendaten nur zur Kenntnis erhalten, wenn eine wirksame Schweigepflichtentbindung zur Zusammenarbeit vorliegt. Darin sind alle externen Dienstleister aufzulisten, an welche Patientendaten übermittelt werden, der genaue Datenumfang sowie eine explizite Zweckbeschreibung. Eine ausführliche Erklärung, die detailliert die datenschutzrechtlich vorgesehenen „Fünf-plus-zwei“-Punkte enthält, ist für viele Patienten unverständlich und lästig. Bei der Nutzung einer solchen ausführlichen Einverständniserklärung passiert es schnell, dass die Patienten einfach unterschreiben, ohne diese zu lesen.

„Fünf-plus-zwei“-Punkte bei einer Einwilligung:

1. Wer übermittelt? (Name des Senders)
2. Wessen Daten? (Name des Betroffenen)
3. Wem? (Name des Empfängers)
4. Welche Daten? (Datenumfang)
5. Wofür? (Zu welchem Zweck?)
6. Freiwilligkeit
7. Mit Wirkung für die Zukunft widerrufbar

Daher hat das ULD eine Mustereinwilligungserklärung entwickelt, die einen Mittelweg zwischen dem Zuviel und dem Zuwenig geht. Die mehrstufige Einwilligungserklärung besteht aus einem kurz gehaltenen Einverständnisbogen, auf dem die Einwilligung des Patienten durch Unterschrift erfolgt, und einem umfangreichen Aufklärungsblatt, auf welchem eine vollständige Auflistung aller Kooperationspartner des Krankenhauses und alle anderen ausführlichen Informationen aufgeführt sind. Das Aufklärungsblatt ist immer zusammen mit dem Einverständnisbogen auszugeben.

Die mehrstufige Einwilligungserklärung hat den Vorteil, dass die Patienten selbst entscheiden können, wie umfangreich sie sich über die Übermittlung ihrer Patientendaten informieren. Für diejenigen, die mit einer knappen Erläuterung, die jedoch in kurzer Form auch die „Fünf-plus-zwei“-Punkte enthält, zufrieden sind, genügt der Einverständnisbogen als Informationszugang. Für diejenigen, die das Verfahren hinterfragen, bietet das Aufklärungsblatt eine Möglichkeit zur Beantwortung der aufkommenden Fragen. Genannt werden müssen natürlich auch Ansprechpartner, der behandelnde Arzt oder geschultes Krankenhauspersonal, mit denen weitere Fragen im Gespräch erörtert werden können. Die Folgen bei einer Nichteinwilligung sind zu benennen. Wichtig ist zudem die Information, dass eine Notfallbehandlung in jedem Fall stattfindet.

Das Muster der mehrstufigen Einwilligungserklärung dient den Krankenhäusern als Orientierung. Der Aufbau und die Umsetzung der jeweiligen Schweigepflichtentbindungserklärung können abweichen. Das ULD empfiehlt den Krankenhäusern jedoch, anhand des veröffentlichten Musters zu prüfen, ob Wesentliches fehlt.

https://www.datenschutzzentrum.de/artikel/879-.html

Was ist zu tun?
Krankenhäuser dürfen Patientendaten an externe Dienstleistungsunternehmen und Labore übermitteln, wenn eine schriftliche Einwilligung der Patienten vorliegt, in der diese ausführlich über den Umfang der Datenübermittlungen unterrichtet werden. Das Muster der mehrstufigen Einverständniserklärung kann als Vorlage dienen.

 

4.6.6       Allergiepräparate auf Bestellung – Millionen Patientendaten sätze

Gesundheitsfördernde Medikamente bekommt der Mensch in der Apotheke seines Vertrauens. Apotheker unterliegen der beruflichen Schweigepflicht, anderes gilt für Pharmaunternehmen.

Bei Allergien raten Ärzte oft zu einer spezifischen Immuntherapie und verschreiben entsprechende Präparate. Mit dem vom Arzt ausgestellten Rezept geht der Patient zu seiner Apotheke. Auf die Herstellung der Allergiepräparate haben sich wenige Pharmaunternehmen spezialisiert: Die benötigten Präparate müssen die Apotheken mittels eines Bestellbogens bei den Herstellern anfordern. Die Prüfergebnisse des ULD bezüglich der Bestellsysteme von zwei Pharmaunternehmen aus Schleswig-Holstein lösten „allergische“ Reaktionen aus. Eine Firma hatte in den letzten 18 Jahren unbefugt beinahe 1.000.000 Datensätze von ca. 75.000 Patientinnen und Patienten erhoben und gespeichert.

Die verwendeten Bestellbögen sahen vor, dass bereits in der Arztpraxis angegeben wurde, welcher Patient welches Präparat benötigte. Auf dem Bestellbogen wurden der Name, das Geburtsdatum, die Anschrift und die Kassenzugehörigkeit des Patienten vermerkt. In den Apotheken wurden die Bestellbögen an das Pharmaunternehmen gefaxt. Oft genug wurde zusätzlich das Rezept gefaxt. Die Pharmaunternehmen speicherten diese Daten und konnten so über Jahrzehnte nachvollziehen, welcher Patient von welchem Arzt wegen welcher Diagnose welches Präparat verschrieben und von welcher Apotheke ausgehändigt bekam.

Die Übermittlung von Patientendaten an ein Pharmaunternehmen ist nur zulässig, wenn die Patientinnen und Patienten zuvor ausreichend informiert werden und schriftlich ihre Einwilligung erklären (Tz. 4.6.5). Ohne eine derartige Befugnis machen sich die Apotheker strafbar.

Aber Vorsicht: Eine Einwilligung hilft nicht weiter, wenn das Pharmaunternehmen keinen legitimen Grund und Zweck angeben kann, weshalb es die konkreten Daten benötigt. Die Pharmaunternehmen begründeten ihre Begehrlichkeit mit dem damit ermöglichten Serviceangebot für die Patienten und Ärzte. Immuntherapien können sich über Jahre hinziehen. Die Dosierung und Zusammensetzung der Präparate ist vom Therapiestand abhängig. Eine falsche Medikation kann verheerende Folgen für den Patienten haben.

Wer behält den Überblick, wenn z. B. zwischendurch der Arzt gewechselt wird? Das Datensammeln wurde mit der Patientensicherheit gerechtfertigt.

Wir forderten die Pharmaunternehmen auf,

• ein Verfahren zu entwickeln, das sicherstellt, dass Patienten von ihren Ärzten bzw. Apothekern ausreichend über das „Serviceangebot“ und die beabsichtigte Datenübermittlung und -speicherung aufgeklärt werden,
• die Möglichkeit der anonymen Bestellung der benötigten Präparate anzubieten, wenn Patienten ihre Daten nicht übermittelt sehen wollen,
• für die dem Verfahren zustimmenden Patienten datenschutzgerecht gestaltete Einwilligungserklärungen zu erarbeiten und zu nutzen,
• den Umfang der übermittelten Patientendaten durch eine Neugestaltung der Bestellbögen zu minimieren,
• sicherzustellen, dass ausschließlich der Bestellbogen und nicht mehr Rezepte etc. von den Apotheken übermittelt werden,
• Patientendaten nur so lange zu speichern, wie dies wirklich für die Patientensicherheit erforderlich ist.

Ein Pharmaunternehmen erklärte sich bereit, die notwendigen Schritte zu gehen. Gemeinsam mit dem ULD werden datenschutzgerechte Lösungen erarbeitet. Es werden Aufklärungsbögen und Mustereinwilligungen gestaltet, sichere Übertragungswege geschaffen, Verfahrensvorgaben für die Apotheker erarbeitet und ein Löschkonzept erstellt. Aus einer Prüfung wurde eine Beratung. Allergiepatienten können sich freuen.

Was ist zu tun?
Apotheker dürfen die Daten von Patienten an Pharmaunternehmen nur übermitteln, wenn diese zuvor ausreichend informiert ihre Einwilligung erklärt haben.

 

4.6.7       Peer Review und Qualitätsmanagement  in der Medizin

Die Ärztekammer Schleswig-Holstein ist mit einem geplanten Peer-Review-Verfahren an das ULD herangetreten. Danach besucht eine kleine Gruppe von Experten – leitende Ärzte von Intensivstationen und leitende Intensivpfleger – eine andere Einrichtung, um im gegenseitigen Diskurs die Qualität der Behandlung zu erhöhen und für alle Beteiligten neue Erkenntnisse zu erlangen. Die bettseitige Begehung der Station regt den Erfahrungsaustausch an und bietet Gelegenheit, Verbesserungsmöglichkeiten aufzuzeigen. Derartige Maßnahmen, bei denen patientenbezogene Daten zur Kenntnis gelangen, sind grundsätzlich nur mit Einwilligung der Patienten durchzuführen. Bei Intensivstationen ist dabei weder die Belegung im Vorwege planbar noch auszuschließen, dass bewusstlose Patienten betroffen sind.

Lebenslanges Lernen und die Bestrebungen zur Verbesserung der Qualität im Gesundheitsbereich sollten nicht durch den Datenschutz blockiert werden. Das ULD schlug vor, das unter der Kontrolle der zuständigen Kammer eingerichtete und streng geregelte Verfahren unter enger Begleitung des ULD einzuführen. Die erforderlichen gesetzlichen Rechtsgrundlagen sollten in einem neuen Pflegekammergesetz eingeführt werden. Das ULD regt eine Übernahme solcher Normen auch für das Heilberufekammergesetz an.

Die Begrenzung auf öffentlich-rechtlich organisierte Kammern als Initiatoren und die Erfordernis einer Satzung soll ein Ausufern der Maßnahme verhindern. Allgemeine Maßnahmen zur Qualitätssicherung durch Externe und die Kontrolle durch Gutachter stehen weiterhin unter dem Vorbehalt einer Einwilligung aller betroffenen Patientinnen und Patienten oder einer gesetzlichen Regelung.

Was ist zu tun?
Der Gesetzgeber sollte die angeregten Ergänzungen übernehmen, um eine gesicherte gesetzliche Basis für Peer-Review-Verfahren zu schaffen.

 

4.6.8       Anonymisierung  von Rezeptdaten

Ein Arzt teilte dem ULD mit, dass vor einigen Jahren Bluthochdruckpatienten bei ihm ein Anschreiben eines Unternehmens vorlegten, in dem sie aufgefordert wurden, sich von ihrem Arzt ein neues Hochdruckpräparat verschreiben zu lassen. Wie das Unternehmen an die hochsensiblen Gesundheitsdaten gelangt war, ließ sich nicht mehr aufklären. Aufgeklärt werden kann jedoch, wie mit Patientendaten in Deutschland systematisch umgegangen wird.

§ 300 Abs. 2 Satz 1, 2 SGB V
Die Apotheken […] können zur Erfüllung ihrer Verpflichtungen […] Rechenzentren in Anspruch nehmen. Die Rechenzentren dürfen die Daten für im Sozialgesetzbuch bestimmte Zwecke […] nur in einer auf diese Zwecke ausgerichteten Weise verarbeiten und nutzen, soweit sie dazu von einer berechtigten Stelle beauftragt worden sind; anonymisierte Daten dürfen auch für andere Zwecke verarbeitet und genutzt werden.

Im Sozialgesetzbuch (SGB) V wird den Apotheken erlaubt, für die Weiterleitung der Rezeptdaten an die Krankenkassen Apothekenrechenzentren zu beauftragen. Diese Daten sind für die Rechenzentren über die Dienstleistungsaufgabe hinausgehend von wirtschaftlichem Wert – lässt sich doch aus den Daten die Gesamtheit aller ärztlichen Verschreibungen in Deutschland ableiten. Die Daten unterliegen aber dem Patienten- und dem Sozialgeheimnis. Ziel ist der Schutz des Vertrauensverhältnisses der Apotheker zu ihren Kundinnen und Kunden. Um den bei den Rechenzentren als Auftragsdatenverarbeitern vorhandenen Datenschatz dennoch ökonomisch verwerten zu können, wurde ihnen im SGB V die Erlaubnis zugestanden, nach Anonymisierung der Daten diese weiterzugeben. Empfänger sind medizinische Informationsdienstleister, die mit ihren Auswertungen insbesondere die Pharmaindustrie, aber auch z. B. die Politik versorgen.

Über Jahre hinweg erfolgte durch die Rechenzentren vor der Datenweitergabe keine wirksame Anonymisierung. Vielmehr wurden die den Patienten identifizierenden Daten durch ein eindeutiges sogenanntes Patientenanonym ersetzt, über das die Verschreibungen zu einer Person zusammengefügt werden können. So wissen die Datenempfänger zwar nicht, wie der Patient heißt, doch können sie dessen Krankheitsgeschichte anhand der Verschreibungen präzise zuordnen und nachvollziehen. Es ist offensichtlich, dass damit keine Anonymisierung, sondern eine Pseudonymisierung erfolgt. Zumindest theoretisch ist es möglich, das Patientenanonym wieder zu reidentifizieren, etwa indem die Identifizierungsdaten mit demselben Verfahren umgewandelt und dann das erhaltene Pseudonym den vorhandenen Datensätzen zugeordnet wird oder indem bekannte Verschreibungsdaten zu einer Person mit den unter dem Patientenanonym abgelegten Daten abgeglichen werden.

Was damit offensichtlich ist, war und ist Rechenzentren und Datenempfängern nicht ersichtlich. Sie behaupten, eine Reidentifizierung sei dadurch ausgeschlossen, dass das Verfahren der Berechnung des Patientenanonyms nur wenigen Geheimnisträgern bekannt sei. Eine Reidentifizierung anhand der Verschreibungsmerkmale sei praktisch ausgeschlossen, da die Datenempfänger keinen Zugang zu solchen Merkmalen hätten. Während die Mehrheit der Datenschutzbehörden in Deutschland dieser Argumentation nicht folgte, wurde sie von zwei Stellen akzeptiert. Während ein Rechenzentrum seine Praxis der „Anonymisierung“ umstellte, praktizieren andere den Handel mit „patientenanonymisierten“ Rezeptdatensätzen weiter (Tz. 1.5).

Unabhängig von der umstrittenen Frage, wann von einer gesetzeskonformen Anonymisierung ausgegangen werden kann, ist diese Praxis eine große Gefahr für das Patientengeheimnis: Medizinische Informationsdienstleister, also Datenbroker, beschaffen sich nicht nur von Apothekenrechenzentren Patientendaten, sondern auch über informationstechnische Dienstleister, also Hard- und Softwareanbieter, und von Ärzten und Apotheken über das sogenannte Ärzte- und Apothekenpanel, z. B. gegen Preisnachlässe bei Datenverarbeitungsdienstleistungen. Apotheken in Schleswig-Holstein legten dem ULD entsprechende Angebote von Unternehmen vor. Es ist nicht auszuschließen, dass die Datenbroker die Daten aus den verschiedenen Quellen zusammenführen. Das ULD hat das Unternehmen sowie die zuständige Datenschutzaufsichtsbehörde diesbezüglich schon im Sommer 2013 um Aufklärung gebeten. Belastbare Erkenntnisse liegen bisher nicht vor.

Was ist zu tun?
Die Verarbeitung pseudonymisierter Medizindaten sollte umfassend aufgeklärt und einer rechtmäßigen Praxis zugeführt werden.

 

4.6.9       Kooperation von Hautarzt und Kosmetikinstitut

Eine Kooperation zwischen einem Hautarzt und einem Kosmetikinstitut scheint naheliegend. Manche dermatologische Erkrankung kann nur kosmetisch behandelt werden. Da erscheint es auf den ersten Blick sinnvoll, wenn ein Hautarzt und ein Kosmetikinstitut ein gemeinsames EDV-System nutzen, mit dem sie Patientendaten abgleichen und Termine planen. Eine solche Zusammenarbeit ist in Schleswig-Holstein nur erlaubt, wenn die Patientinnen und Patienten zuvor umfassend aufgeklärt werden und alle eine informierte Einwilligung unterzeichnet haben. Auch wenn viele Betroffene die Kooperation wünschen, muss dies nicht für alle gelten. Nicht alle Hautarztpatienten benötigen eine kosmetische Behandlung; manche möchten ihr Kosmetikinstitut selbst auswählen. Patientengeheimnis und Datenschutzrecht fordern – bei aller freundschaftlichen Kooperation – eine klare Trennung der Datenbestände.

Was ist zu tun?
Kooperieren Hautarztpraxen und Kosmetikinstitute, dürfen Patientendaten nur mit informierter Einwilligung übermittelt werden. Bei einer gemeinsamen Datenverarbeitung müssen die Zugriffsrechte klar definiert und die Datenbestände technisch getrennt sein.

 

4.6.10    Polizeianfragen in Kliniken zu Unfallopfern, Vermissten oder Straftätern

Beim ULD häuften sich Beratungsersuchen, inwieweit und unter welchen Voraussetzungen Kliniken auf Anfrage der Polizei Auskünfte über Patientinnen oder Patienten geben dürfen, möglicherweise sogar mit Angaben zu bestimmten Verletzungen. Derartige Anfragen wurden zumeist von den Kliniken zurückgewiesen. Das war ganz überwiegend korrekt. Bereits die bloße Information, dass eine Person Patient ist oder nicht, unterliegt der Schweigepflicht; eine Offenbarung wäre eine Straftat. Eine begrenzte und bei Kliniken bisher kaum bekannte Ausnahmeregelung findet sich im Melderecht. Vergleichbar mit Hotels müssen Kliniken und Heime ein Verzeichnis aller stationär aufgenommenen Personen führen und daraus gegenüber Ordnungsbehörden Auskunft erteilen. Diese beschränkt sich auf die Identität der Patienten sowie den Tag der Aufnahme und der Entlassung. Keinesfalls ist es zulässig, Personen über Angaben zur Gesundheit zu suchen, beispielsweise nach einer Person mit einer Schussverletzung. Im Dialog zwischen Vertretern der Polizei und Klinik-Datenschutzbeauftragten wurde unter Mitwirkung des ULD ein Text entworfen, in dem Voraussetzungen und Grenzen des Auskunftsanspruchs dargestellt werden. Die Position des ULD ist im Netz abrufbar.

https://www.datenschutzzentrum.de/artikel/46-.html

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel