Autoren: Dr. Rita Wellbrock, Rüdiger Wehrmann (Stand April 1998)
Ein Krankenhaus ist keine rechtliche Einheit, innerhalb derer personenbezogene Patientendaten beliebig offenbart werden dürfen. Auch innerhalb des Krankenhauses gilt die ärztliche Schweigepflicht i. S. der Berufsordnung und des Strafgesetzbuchs. Ein Zugriff auf personenbezogene Daten ist jeweils nur in dem Umfang zulässig, in dem die personenbezogenen Daten tatsächlich zur Erfüllung der jeweiligen konkreten Aufgabe der Beschäftigten erforderlich sind. So darf insbesondere eine Fachabteilung, die einen Patienten nicht behandelt, dessen detaillierte medizinische Daten grundsätzlich nicht zur Kenntnis erhalten, es sei denn, sie übernimmt die Mit- oder Nachbehandlung. In § 12 Hessisches Krankenhausgesetz (KHG) ist sogar ausdrücklich vorgeschrieben, dass die Vorschriften über die Übermittlung von Patientendaten an externe Stellen sowie die Forschungsregelung des § 33 Hessisches Datenschutzgesetz (HDSG) auch bei der Weitergabe von Patientendaten an andere Fachabteilungen desselben Krankenhauses anzuwenden sind.
Diese rechtlichen Vorgaben müssen bei der Einsicht in Krankenakten im Klinikum beachtet werden. Sie müssen auch bei der Ausgestaltung der Zugriffsberechtigungen des Krankenhauskommunikationssystems beachtet werden. Die Ausgestaltung der Zugriffsberechtigungen auf Krankenhauskommunikationssysteme wird entsprechend der Zunahme des Umfangs digitaler Speicherungen in den Kliniken zunehmend wichtiger. Notwendig ist in jedem Fall eine klare und differenzierte Festlegung der Zugriffsrechte. Fragen der Unterscheidung zwischen lesendem und schreibendem Zugriff sind zu berücksichtigen. Unabhängig von der technischen Ausgestaltung der Zugriffsmöglichkeiten gilt selbstverständlich, dass ein Zugriff nur im Einzelfall im erforderlichen Umfang erfolgen darf.
Seitens der Krankenhäuser wird z. T. die Auffassung vertreten, dass aus organisatorischen Gründen alle Fachabteilungen auf die Stammdatensätze aller Patienten aller Fachabteilungen zugreifen können müssen (z. B. für den Fall, dass ein verwirrter Patient auf dem Flur aufgefunden wird, für den Fall einer Wiederaufnahme etc.).
Von diesem Ausgangspunkt aus ist es zulässig, dass aus organisatorischen Gründen ein Datensatz generell für alle Fachabteilungen zur Verfügung gestellt wird. Der Datensatz muss jedoch auf den erforderlichen Umfang begrenzt werden.
Zugriff auf den Stammdatensatz muss im Regelfall nur die Leitstelle in der Fachabteilung oder eine Stelle mit ähnlicher Funktion haben, ein Zugriff aller Beschäftigten der Fachabteilung auf diese Daten ist nicht erforderlich. Nach einem festzulegenden Zeitpunkt nach der Entlassung (z. B. 6 - 12 Monate) ist der Stammdatensatz auf den für eine evtl. Wiederaufnahme bzw. für die Zuordnung von Auskunftsersuchen erforderlichen Umfang zu reduzieren (etwa Name, Vorname, Geburtsdatum, Patientenaufnahmenummer).
Umfang
Die behandelnde Fachabteilung hat grundsätzlich auf alle diese und frühere Behandlungen betreffenden Daten des Patienten Zugriff.
Personenkreis
Nach Abschluss der Behandlung sollten die Zugriffsmöglichkeiten reduziert werden. Nach einem festzulegenden Zeitraum (etwa drei Monate) ist der Kreis der zugriffsberechtigten Personen zu reduzieren und sind die Daten für den Direktzugriff zu sperren. Bei einer erneuten Behandlung des Patienten werden die Daten entsperrt von hierzu Berechtigten. Zur internen Qualitätssicherung können die Ärzte, auch nach Entlassung des Patienten, personenbezogene Auswertungen über die hierfür vorgesehene Stelle erhalten.
Die Verarbeitung der eigenen Daten der Fachabteilung zu Forschungszwecken ist zulässig, soweit die Voraussetzungen des § 33 Abs. 5 HDSG vorliegen (u. a. konkretes Forschungsvorhaben). Für Forschungszwecke sollten Daten soweit wie möglich anonymisiert bzw. pseudonymisiert verarbeitet werden.
3.2 Zugriff für Forschungszwecke
Behandlungszusammenhang erforderlich
Über einen begrenzten Stammdatensatz hinaus (s. 1.) erhalten andere Fachabteilungen nur Zugriff, soweit sie mit- oder nachbehandelnde Fachabteilung sind.
Von zentraler Bedeutung ist zunächst, wie organisatorisch verfahren wird, d. h. wie der Behandlungszusammenhang geprüft/festgestellt wird.
Fraglich ist zum einen, wie die Eröffnung des Zugriffs auf die Daten organisatorisch erfolgen soll, wenn der Patient sich bereits in einer Fachabteilung zur Behandlung befindet.
Die behandelnde Fachabteilung muss die Daten für die andere Fachabteilung freigeben, z. B. in der Weise, dass sie die andere Fachabteilung als mitbehandelnde Stelle im System einträgt und dadurch der Zugriff durch die andere Fachabteilung eröffnet wird. Ausgeschlossen werden muss, dass sich die nach- bzw. mitbehandelnde Stelle selbst im System eintragen und nach Kenntnisnahme der Daten wieder löschen kann. Die Initiative muss von der behandelnden Fachabteilung ausgehen. Der Patient ist im Zusammenhang mit der Besprechung seiner Weiterbehandlung auch über die vorgesehene Datenübermittlung zu informieren und kann der Datenweitergabe widersprechen (vgl. § 12 Abs. 2 Nr. 2 KHG, §§ 3 Abs. 6 und 4 Abs. 3 Muster-Berufsordnung). Dies kann u. U. haftungsrechtliche Konsequenzen haben.
Die Eröffnung einer technischen Zugriffsmöglichkeit aller Fachabteilungen auf alle medizinischen Daten aller Fachabteilungen und Kontrolle der Zugriffe durch Protokollierung der Zugriffe ist nicht zulässig.
Ausnahmeregelungen bei einer regelmäßigen fachabteilungs- bzw. klinikübergreifenden Zusammenarbeit wie z.B. Geburtshilfe und Kinderklinik müssen vom Klinikumsvorstand schriftlich genehmigt werden.
Zum anderen stellt sich die Frage, wie die Eröffnung des Zugriffs organisatorisch erfolgen soll, wenn der Patient in Abteilung A behandelt wurde und nach Abschluss der Behandlung zu einem späteren Zeitpunkt neu ins Klinikum, diesmal in Abteilung B, kommt.
Gemäß §§ 12 KHG, 33 HDSG sind die Regelungen über die Übermittlung zu Forschungszwecken entsprechend anzuwenden, wenn eine Fachabteilung mit den Daten einer anderen Fachabteilung forschen will. Dies erfordert eine Freigabe der behandelnden Fachabteilung, die vor der Freigabe anhand des Forschungskonzepts einschließlich der Datensicherheitsmaßnahmen zu prüfen hat, ob die Voraussetzungen der o. a. Vorschriften vorliegen.
Das Verwaltungspersonal hat Zugriff auf die für seine Aufgabenerfüllung und für den jeweiligen Zweck erforderlichen personenbezogenen Daten (z. B. Abrechnung mit den Kostenträgern, Daten i. S. v. § 301 SGB V).
Zurück zur Übersicht