Wer ins Krankenhaus muss, macht sich vor allem um seine Gesundheit Sorgen. Immer stärker rückt jedoch auch die Sorge um den Datenschutz im Krankenhaus ins Blickfeld vieler Patienten.

Schlagworte wie elektronische Patientenakte oder Datenschutz-Grundverordnung (DSGVO) lassen häufig die Vorstellung eines gläsernen Patienten aufkommen. Tatsächlich sind Verstöße gegen den Datenschutz im Krankenhaus aber nicht erst seit der Digitalisierung ein Problem, denn sorgloser Umgang mit Patientenakten oder das Mithören von Patientengesprächen in Mehrbettzimmern gab es schon immer.

Welche Rechtsgrundlagen für den Datenschutz im Krankenhaus relevant sind, erklären wir Ihnen in diesem Artikel.

Selbstverständlich besteht die Hauptaufgabe von Kliniken darin, Patienten aufzunehmen, ihre Erkrankungen zu diagnostizieren und nach Möglichkeit eine Therapie durchzuführen. Während des gesamten Krankenhausaufenthalts kommen die besonderen Anforderungen an die Pflege der Patienten hinzu.

Es ist nachvollziehbar, dass der Datenschutz dabei im Alltag manchmal zu kurz kommt – doch spätestens seit Inkrafttreten der europäischen DSGVO drohen zum Teil erhebliche Bußgelder, wenn Verstöße gegen den Datenschutz im Krankenhaus festgestellt werden. Die Datenschutz-Grundverordnung ist jedoch nicht die einzige Rechtsgrundlage für den Umgang mit Daten von Patienten. Die ärztliche Schweigepflicht ist ebenfalls ein weites Feld, über das es viele Missverständnisse und Irrtümer gibt.

Um Patienten versorgen zu können, müssen sowohl persönliche als auch medizinische Daten der betreffenden Person erhoben werden. Da im Gegensatz zur Behandlung in einer Hausarztpraxis im Krankenhaus in der Regel eine Vielzahl von Menschen an der Versorgung beteiligt ist, muss ein sinnvolles Gleichgewicht zwischen Behandlung und Datenschutz im Krankenhaus gefunden werden.

Für die Verarbeitung von Patientendaten ist generell eine Einwilligung der Betroffenen erforderlich, die in der Regel über ein Formular erteilt wird. Es gibt aber auch Rechtsgrundlagen, die eine Verarbeitung von Patientendaten auch ohne Einwilligung erlauben (z. B. im Rahmen einer Meldepflicht von Infektionskrankheiten).

Zudem kann in Notfällen (z. B. bei der Einlieferung eines Patienten ohne Bewusstsein) von einer stillschweigenden Einwilligung ausgegangen werden. Die verwaltungsmäßige Abwicklung einer Behandlung (z. B. in Fragen der Abrechnung mit der Krankenversicherung) sind ebenfalls Gründe für eine Erhebung und Verarbeitung von Patientendaten.

In der Regel stellt der Patient selbst die erforderlichen Daten zur Verfügung, aber auch Krankenakten von anderen behandelnden Ärzten bzw. Kliniken können als Informationsquelle dienen.

Zugriff auf Patientendaten erhalten in der Regel alle an der Behandlung beteiligten Personen.

Dazu zählen unter anderem:

• Ärzte anderer Fachrichtungen und Abteilungen, sofern sie in die Behandlung eingebunden sind
• Verwaltung des Krankenhauses
• Mögliche Dritte, wie Krankenkasse bzw. private Krankenversicherung, Unfallversicherung, Hausarzt, weiterbehandelnde Ärzte, Reha- oder Pflegeeinrichtungen etc.

Patienten haben generell ein umfassendes Auskunftsrecht bezüglich ihrer Daten, die im Krankenhaus erhoben wurden. Eine Beschränkung kann es nur in eng begrenzten Ausnahmefällen geben, in denen objektive medizinisch-therapeutische Gründe gegen eine Einsicht in die Patientenakte sprechen (z. B. bei Suizidgefahr).

Die Verschwiegenheitspflicht von Ärzten gilt nicht nur gegenüber unbeteiligten Dritten, sondern generell auch gegenüber der eigenen Familie des Patienten (das gilt unter Umständen sogar bei der Behandlung von Minderjährigen).

Es ist ein weit verbreiteter Irrtum, dass enge Familienangehörige automatisch ein Auskunftsrecht über den Gesundheitszustand des Patienten haben. Dies gilt nur, wenn der Patient dem zugestimmt hat bzw. von einer stillschweigenden Zustimmung ausgegangen werden kann.

Schon aus diesem Grund empfiehlt es sich, eine gültige Patientenverfügung zu verfassen, die solche Fragen im Detail regelt. Darüber hinaus unterliegen sowohl Pflegepersonal als auch Putzkräfte und andere Beschäftigte im Krankenhaus der besonderen beruflichen Verschwiegenheitsverpflichtung.

Verstöße können nach § 203 StGB sogar strafrechtliche Folgen nach sich ziehen. Übrigens ist der Austausch von Informationen im Krankenhaus selbst ebenfalls streng geregelt – nicht jeder Arzt darf einfach in jede Patientenakte schauen, sofern er nicht im Rahmen einer Konsultation darum gebeten wird oder in sonstiger Weise an der Behandlung beteiligt ist.

Wenn Sie weitere Einzelheiten über Schweigepflicht und Patientenverfügung erfahren möchten, empfehlen wir Ihnen einen Blick in unsere detaillierten Artikel zu diesen Themen.

Ein besonderes Problem beim Datenschutz im Krankenhaus liegt darin, dass andere Patienten oder Besucher oft unfreiwillig Diagnosen oder persönliche Einzelheiten zu anderen Patienten mithören können.

Insbesondere in Mehrbettzimmern kann dies zum Problem werden. Aus praktischen Gründen ist es meist nicht möglich, dass die anderen Patienten das Zimmer während der Visite verlassen. Gleiches gilt etwa in der Notaufnahme bei den sogenannten Behandlungsboxen, die oft nur durch Vorhänge voneinander getrennt sind.

Wirklich ernste Diagnose-Mitteilungen und Patientengespräche werden zwar in den meisten Kliniken generell nur in Vieraugen-Gesprächen durchgeführt, aber in vielen Fällen ist der Umgang mit den Patientendaten im Mehrbettzimmer noch immer nicht wirklich datenschutzkonform.

Welche Bußgelder hat ein Krankenhaus bei Datenschutzverstößen zu erwarten?

Dass ein Krankenhaus bei einem Datenschutz Verstoß nach der DSGVO mit hohen Bußgeldern belegt werden kann, sollte ein dringlicher Anreiz sein, Abhilfe zu schaffen. Die Höhe der Bußgelder hängt dabei sowohl von der Schwere des jeweiligen Falls als auch von den einzelnen Mitgliedsstaaten der EU ab, in der die Strafen verhängt werden.

So machte ein Fall aus den Niederlanden kürzlich Schlagzeilen, bei der eine Geldbuße von 460.000 Euro verhängt wurde. Grund dafür waren unzureichende technische und organisatorische Maßnahmen (Rechtsgrundlage: Artikel 32, DSGVO), die unberechtigten Zugriff auf sensible Patientendaten ermöglicht haben.

Auch in Portugal wurde mit 400.000 Euro eine Strafe in ähnlicher Höhe gegen ein Krankenhaus verhängt. Ein sogenanntes Berechtigungskonzept ist daher für alle Krankenhäuser dringend zu empfehlen, um den Anforderungen an den Datenschutz wirklich gerecht zu werden.

Laut DSGVO sollen unter anderem die folgenden Kriterien besonders berücksichtigt werden:

• aktueller Stand der Technik
• Art, Umfang, Umstände und Zweck der Verarbeitung von Patientendaten
• Bewertung anhand Eintrittswahrscheinlichkeit und möglicher Auswirkungen der Risiken einer Datenerhebung für Betroffene

In Deutschland wurden zwischen Mai 2018 (Inkrafttreten der DSGVO) und Ende 2019 über 850 Datenschutzpannen bekannt, die meisten davon durch Fehlversendungen von patientenbezogenen Unterlagen. Die Dunkelziffer dürfte noch höher liegen. Experten befürworten auch in Deutschland die Anwendung der niederländischen Datenschutz-Vorschriften, nach denen eine sogenannte Zwei-Faktor-Authentifizierung ebenso vor unberechtigtem Zugriff auf Patientenakten schützen soll wie die genaue Protokollierung jedes Zugriffs, um Gründe für die Einsichtnahme auch später nachvollziehen zu können.

Die Daten von Patienten (dazu zählt auch die eigentliche Patientenakte) müssen vom Krankenhausträger gemäß § 603f BGB im Rahmen einer Dokumentationspflicht der Behandlung erhoben werden. Dies ist sowohl in Papierform als auch in Form einer elektronisch geführten Patientenakte möglich. Die Dokumentation wird auch nach Ende der Behandlung durch Aufbewahrung durch das Krankenhaus gewährleistet. Es gibt allerdings unterschiedliche Regelungen, wie lange die Aufbewahrungsfristen gelten.

Während die meisten Patientenakten nach zehn Jahren vernichtet werden können, müssen andere Daten (z. B. Dokumentation von Röntgenuntersuchungen) bis zu 30 Jahre aufbewahrt werden. Dies dient dem Zweck der Beweissicherung, denn Patienten können Schadensersatzansprüche gegenüber einem Krankenhaus noch nach Jahrzehnten geltend machen.

Laut DSGVO haben Patienten aber auch umfangreiche Rechte bezüglich Ihrer Daten.

Dazu zählen unter anderem:

• Recht auf Auskunft nach Art. 15 DSGVO
• Recht auf Berichtigung falscher oder unvollständiger Daten nach Art. 16 DSGVO
• Recht auf Löschung nach Art. 17 DSGVO
• Recht auf Einschränkung der Datenverarbeitung nach Art. 18 DSGVO
• Recht auf Widerspruch gg. unzumutbare Datenverarbeitung nach Art. 21 DSGVO

Haben Patienten den Verdacht, dass im Krankenhaus gegen den Datenschutz verstoßen wurde, stehen sowohl der Klageweg als auch eine formlose Beschwerde bei der zuständigen Aufsichtsbehörde offen.

Patienten können sich in den meisten Krankenhäusern nicht nur medizinisch, sondern auch hinsichtlich ihrer Daten gut aufgehoben fühlen. Praktische Probleme im Umgang mit dem Datenschutz können aufgrund der besonderen Gegebenheiten in Kliniken (z. B. Mehrbettzimmer) nicht immer perfekt gelöst werden.

Administrative Fehler beim Umgang mit dem Datenschutz lassen sich allerdings durch bessere Berechtigungskonzepte und eingehende Schulungen des betreffenden Personals verbessern. Die umfassende Auskunftspflicht gibt Patienten die Möglichkeit, ihre Patientenakte einzusehen. Insbesondere bei elektronischen Lösungen müssen die Datenschutzregeln jedoch weiter optimiert werden, um unbefugten Zugriff durch Dritte zu unterbinden.

Hohe Bußgelder setzen entsprechende Anreize für Klinikleitungen und Verwaltungsorgane. Neben den allgemeinen Datenschutzrichtlinien spielt die ärztliche Schweigepflicht im Krankenhaus eine besondere Rolle, die für das gesamte beteiligte medizinische und verwaltungstechnische Personal gilt. Bei Verstößen können Betroffene sich an die Aufsichtsbehörde wenden oder Gerichte anrufen.