4.6         Schutz des Patientengeheimnisses

4.6.1 Neues von der elektronischen Gesundheitskarte

Die neuen Funktionen der eGK werden endlich getestet. Derweil wächst in der Ärzteschaft eine Fundamentalopposition gegen das Projekt. Mängel am Datenschutz können dafür nicht als Begründung herhalten.

Die Einführung der elektronischen Gesundheitskarte (eGK) ist für das ULD zu einem Dauerbrenner geworden. In der Testregion Flensburg begann die Testung des sogenannten Release 1. Dies beinhaltet den Einsatz von echten eGK und Heilberufeausweisen aufseiten der Ärzte. Zunächst wird die elektronische Verordnung von Arzneien sowie die Speicherung von Notfalldaten auf der Karte ohne Rückgriff auf die sogenannte Telematikinfrastruktur, d. h. das dahinter liegende Netzwerk, erprobt.

Wie bei solchen Tests üblich, zeigten sich Schwierigkeiten, die aber weitgehend im weiteren Verlauf der Testung überwunden werden konnten bzw. bei der Systemgestaltung aufgefangen werden können. Als schwerwiegend erwiesen sich die Probleme für die Testpersonen bei der Verwendung der PIN-Nummer. Bei der Verwendung der eGK reicht für den Zugriff auf bestimmte Informationen die Vorlage der Karte, z. B. bei der Übertragung des elektronischen Rezepts von der Arztpraxis zur Apotheke oder beim Auslesen von Notfalldaten durch Ärzte. Einzige Voraussetzung ist in beiden Fällen neben dem Einlesen der eGK das gleichzeitige Einschieben eines autorisierten Heilberufeausweises (HBA) eines Arztes oder Apothekers in den speziellen Kartenleser. Das technische Konzept für die eGK fordert aber bei den weiteren freiwilligen Anwendungen ein zusätzliches Sicherheitsmerkmal: Der Versicherte muss die Karte nicht nur in das Lesegerät einschieben, sondern durch Eingabe einer sechsstelligen PIN-Nummer freigeben. Nur bei Vorhandensein dieser beiden Sicherheitsmerkmale – Besitz der Karte und Wissen der PIN-Nummer – wird z. B. das Aufspeichern oder Ändern von Notfalldaten auf der Karte ermöglicht; Entsprechendes gilt für später zu testende freiwillige Anwendungen wie die elektronische Patientenakte. Die dabei verwendete PIN ist nicht vorgegeben; sie muss beim ersten Einsatz der Karte in einer Arztpraxis festgelegt und dort eingegeben werden.

Zur Absicherung der Karten vor diesem Ersteinsatz gibt es ein sogenanntes Transport-PIN-Verfahren, dessen Ziel es ist, die Karte vor ihrem Einsatz gegen missbräuchliche Nutzung abzusichern. Dieses Verfahren unterscheidet sich allerdings auf technischer Ebene von Krankenkasse zu Krankenkasse und zudem auch noch zwischen den verschiedenen Kartenherstellern. Zum Teil werden die Karten mit sogenannten PIN-Briefen ausgeliefert, die – nur für den Transport – eine willkürlich festgelegte PIN vorgeben, zum Teil ist die Transport-PIN aus Angaben erstellt worden, die bei den die Karte ausgebenden Krankenkassen über den Versicherten vorhanden sind; teilweise fehlt eine Transport-PIN gänzlich. Diese Vielfalt rührt daher, dass die Transportabsicherung von jeder Krankenkasse eigenständig gewählt werden konnte.

In der Testung hat sich gezeigt, dass vor allem ältere und an verschiedenen Krankheiten leidende Teilnehmer mit den PIN-Verfahren oft nicht zurechtkamen. Zudem wird die Karte bei Fehleingaben komplett unbrauchbar und muss ersetzt werden, was während des Übergangs von der Transport-PIN zur Echt-PIN sehr schnell geschehen kann. Dies hat die Leitung des Testprojekts in Flensburg dazu bewogen, gegenüber der Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (Gematik, 28. TB, Tz. 4.6.1) anzuregen, als Übergangsverfahren eine sogenannte Default-PIN fest in die eGK einzuprogrammieren. Dies würde es besonders älteren und multimorbiden Versicherten ermöglichen, die Karte auch für die Speicherung von Notfalldaten zu verwenden, ohne sich eine spezielle PIN merken zu müssen. Die freiwillige Nutzung der wichtigsten medizinischen Daten sollte gerade bei solchen Karteninhabern, die davon am meisten profitieren können, nicht daran scheitern, dass diese Personen mit der Handhabung der Technik nicht vertraut sind.

Die Sicherheit des Gesamtsystems wäre durch solch eine Ergänzung nicht beeinträchtigt. Zwar könnten die nur mit einer Default-PIN gesicherten Daten theoretisch von einem Unbefugten, der sich die Karte verschafft, ausgelesen werden. Dies gelänge aber nur, wenn gleichzeitig der HBA eines Arztes oder Apothekers verwendet wird. Es kann davon ausgegangen werden, dass bei Letzterem eine Prüfung der Identität mithilfe der auf der Karte gespeicherten Daten erfolgt. Die Sicherheit liegt dabei auf dem gleichen Niveau wie beim elektronischen Rezept, für dessen Verwendung auch keine PIN-Eingabe des Versicherten vorgesehen ist. Namentlich für die Anwendung des Speicherns von Notfalldaten auf der Karte lässt sich kaum ein realistisches Angriffsszenario denken, das auf dem Vorhandensein einer Default-PIN basiert. Weiterhin würden alle Versicherten beim ersten Einsatz der mit einer Default-PIN abgesicherten Karte sowie bei allen Folgeeinsätzen automatisch darauf hingewiesen, dass sie für erhöhten Schutz eine individuelle PIN einsetzen können.
Das ULD hat der Leitung der Testregion Flensburg seine Unterstützung dieses Vorschlages signalisiert. Hohe Standards bei der Datensicherheit sind grundsätzlich zu begrüßen. Sie dürfen jedoch nicht gegen die mit dieser Technik befassten Nutzer eingesetzt werden. Für diese muss es eine Möglichkeit geben, die Technik hinreichend sicher, aber auch ohne übermäßige Anforderungen an Verfahren, die ihnen nicht bekannt sind und mit denen sie nicht zurechtkommen, anzuwenden. Es bleibt abzuwarten, ob die Gematik eine entsprechende Erweiterung der Spezifikationen der Karte vornimmt, bevor die Karte wie vorgesehen in der ersten Hälfte des Jahres 2008 nach und nach „ausgerollt“ wird.

Unabhängig von den konkreten Ergebnissen der Testung ist verstärkt Kritik aus der Ärzteschaft an der Einführung der eGK zu hören: Die Vertraulichkeit der ärztlichen Dokumentation sei nicht gewährleistet. Die Speicherung auf sogenannten zentralen Servern belaste das Arzt-Patienten-Verhältnis, da sie unsicher sei. Die eGK ermögliche die Einteilung der Bevölkerung in Risikoklassen.

Alle diese Argumente sind falsch. Die im Rahmen des Projektes eGK geplante Telematikinfrastruktur weist einen bemerkenswert hohen Grad von Datensicherheit auf. Tatsächlich dürfte die Sicherheit in diesem System deutlich höher liegen als die in manchen Arztpraxen, in denen es erfahrungsgemäß mit Datensicherheit nicht immer so genau genommen wird. Unzutreffend ist auch, dass die Speicherung auf sogenannten zentralen Servern besondere Sicherheitsrisiken und Auswertungsmöglichkeiten für die Serverbetreiber mit sich bringt. Jeder einzelne Datensatz der Patienten ist mit einem speziellen Schlüssel digital verschlüsselt. Die technische Sicherheit dieser Speicherung ist so hoch, dass ein Aufbrechen der Schlüssel praktisch unmöglich ist. Selbst wenn es mit der geballten Rechenkraft aller Geheimdienstcomputer nach Jahren gelingen sollte, einen Schlüssel zu knacken, ist damit lediglich ein einzelner Datensatz entschlüsselt. Die Speicherung der Daten erfolgt auf einer großen Zahl von Servern bei den unterschiedlichsten Stellen; dabei handelt es sich in der Regel um sicherheitsgeprüfte Rechenzentren. Schließlich ist die Teilnahme an den meisten Anwendungen der eGK den Versicherten freigestellt. Lediglich das elektronische Rezept stellt eine Pflichtanwendung dar. Alle weiteren medizinischen Informationen werden nur dann im System der eGK gespeichert, wenn der Patient dies ausdrücklich wünscht.

Weiterhin ist nicht erkennbar, warum gerade die eGK zu einer erweiterten Profilbildung führen soll. Bereits seit 2004, seit Inkrafttreten des sogenannten GKV-Modernisierungsgesetzes, erhalten die Krankenkassen nicht nur – wie zuvor – die Behandlungsdaten arztbezogen, sondern auch die Versicherungsnummer mitgeteilt. Entsprechendes gilt für die Abrechnung vonseiten der Apotheken über die Apothekenrechenzentren. Die Krankenkassen sind also seit einiger Zeit bereits im Besitz der Daten, die für eine Profilbildung der einzelnen Versicherten und eine Einteilung in Risikoklassen benutzt werden können. Dies ist aus Datenschutzsicht äußerst kritisch zu beurteilen, hat allerdings mit der eGK nichts zu tun.

Uns scheint, dass ein rationaler Diskurs über diese Probleme zunehmend schwieriger wird. Nicht alle Akteure in der Debatte scheinen daran interessiert zu sein, auf der Basis der bestehenden Gesetze und der tatsächlich geplanten technischen Umsetzung zu diskutieren. Von Ärzteseite wird zutreffend geltend gemacht, dass bestimmte Prozeduren erhöhten Aufwand erfordern und die großen Einsparpotenziale durch den Einsatz der eGK für die Krankenkassen entstehen. Die Vertreter der kritischen Ärzteschaft sollten es jedoch – auch im Interesse der eigenen Glaubwürdigkeit – vermeiden, mit nicht zutreffenden Datenschutzargumenten gegen die Einführung der Karte zu Felde zu ziehen.

Was ist zu tun?
Bei der Einführung der Karte sich ergebende Probleme der Benutzbarkeit von Sicherheitsmerkmalen können zu Anpassungen in der Standardisierung führen. Es ergibt wenig Sinn, eine hochsichere Systemumgebung zu erzeugen, die letztendlich von einer großen Zahl von Bürgerinnen und Bürgern nicht benutzt werden kann. Die rechtlichen und technischen Fakten sollten als Grundlage der Diskussion über die eGK genommen werden.

 

4.6.2      Mammografie-Screening  Schleswig-Holstein hat begonnen

Mit dem Start des Mammografie-Screenings beginnt auch die Verarbeitung von medizinischen und sonstigen Daten der Teilnehmerinnen. Bei allen beteiligten Institutionen ist auf eine penible Umsetzung des Datenschutzes zu achten.

Bei den Vorbereitungen des Mammografie-Screenings lag das Augenmerk auf dem bei der sogenannten zentralen Stelle geplanten Datenverarbeitungsverfahren (29. TB, Tz. 4.6.3). Deren Aufgabe wurde von der Kassenärztlichen Vereinigung Schleswig-Holstein übernommen. Dort werden Daten der zur Teilnahme am Screening berechtigten Frauen von den Melderegistern entgegengenommen. Die Frauen werden mit einem Einladungsschreiben und gegebenenfalls einer Erinnerung auf die Möglichkeit der Teilnahme am Screening aufmerksam gemacht. Weiterhin werden Rückmeldungen über die Teilnahme von den Screening-Einheiten an die zentrale Stelle verarbeitet. Mit der zentralen Stelle wurde das Sicherheitskonzept für dieses Verfahren weiter konkretisiert. Die in dem Sicherheitskonzept vorgesehenen Maßnahmen sind nun korrekt in der Praxis umzusetzen.

Beteiligt sind neben der zentralen Stelle vor allem die vier sogenannten Screening-Einheiten, die jeweils für eine Region in Schleswig-Holstein zuständig sind. In den vier Screening-Regionen finden sich verschiedene Mammografie-Einheiten – Einrichtungen, in denen das eigentliche Mammografie-Screening durchgeführt wird. Die meisten davon sind stationär in Krankenhäusern oder Arztpraxen untergebracht. Es gibt jedoch auch Mammobile; das sind mobile Screening-Einheiten, die als Sattelzuganhänger zu festgelegten Terminen an verschiedene Orte gefahren werden. Eine Übersicht ist zu finden unter

www.mamma-screening-sh.de/einheiten.htm

Das Screening in jeder Screening-Einheit wird von einem oder mehreren sogenannten programmverantwortlichen Ärzten (PVA) geleitet. Diese sind u. a. für die Einhaltung des Datenschutzes bei den Screening-Einheiten verantwortlich. Dazu gehört, dass die elektronischen Aufnahmen für den Erst- bzw. Zweitbefunder, die die Bilder unabhängig voneinander bewerten, auf einem sicheren Weg zur Verfügung gestellt werden. Die Ergebnisse der Befundungen werden in dem von der Kassenärztlichen Vereinigung Bayern (KV Bayern) entwickelten Programm Mammasoft dokumentiert. Auch wenn die technische Infrastruktur hierzu von der Kassenärztlichen Vereinigung Schleswig-Holstein (KV Schleswig-Holstein) als der zentralen Stelle zur Verfügung gestellt wird, bleibt für die hier gespeicherten medizinischen Daten jeweils der PVA verantwortlich. Außerhalb dieses Verfahrens werden die beim Screening erzeugten Bilddaten gespeichert. Durch das jeweils vor Ort verwendete Verfahren ist sicherzustellen, dass kein Zugriff Unberechtigter stattfinden kann.

In die Verantwortung des PVA fällt auch die fristgemäße Löschung der bei der Untersuchung erzeugten Daten. Dabei gilt die 10-jährige Aufbewahrungsfrist für medizinische Unterlagen. Es ist davon auszugehen, dass jede neue Teilnahme am Screening nach zwei Jahren eine erneute Behandlung darstellt, welche jeweils die Aufbewahrungsfrist in Gang setzt. Kommt es aus in der Vergangenheit durchgeführten Screenings nicht zu weiteren medizinischen Maßnahmen, so sind diese Unterlagen jeweils nach 10 Jahren zu löschen.

Schließlich hat der PVA den Frauen das Ergebnis der Untersuchung schriftlich mitzuteilen. Auch wenn der Befund negativ ist und keine Anzeichen für einen Tumor gefunden wurden, handelt es sich um die Übersendung sensibler medizinischer Daten. Diese darf nur in einem verschlossenen Umschlag erfolgen; eine Versendung mit offener Postkarte ist unzulässig. Es würde weiterhin einen Verstoß gegen die ärztliche Schweigepflicht darstellen, wenn diese Daten an Auftragsdatenverarbeiter weitergegeben würden, ohne dass dafür eine Einwilligung der Betroffenen vorliegt. Das ULD plant, eine datenschutzrechtliche Prüfung einzelner Verfahrensteile vorzunehmen, wenn der Komplettbetrieb erreicht ist.

Was ist zu tun?
Die zentrale Stelle sowie die programmverantwortlichen Ärzte haben beim Mammografie-Screening die Vorgaben des Datenschutzes genauestens umzusetzen. Das ULD steht für Nachfrage und Beratung gerne zur Verfügung.

 

4.6.3      Neue Aufgaben für das Krebsregister ?

Das Krebsregister spielt eine wichtige Rolle bei der epidemiologischen Forschung über das Vorkommen von Krebserkrankungen. Diese Aufgabe kann es nur erfüllen, wenn die strikte Vertraulichkeit der dort gespeicherten Daten außer Zweifel steht. Aktuellen Wünschen, aus dem Krebsregister personenbezogene Rückmeldungen über Einzelheiten der Erkrankung zu erhalten, stehen erhebliche Datzenschutzbedenken entgegen.

Wie im 28. Tätigkeitsbericht (Tz. 4.6.3) berichtet, kam es vor Kurzem zu gewissen Änderungen in der Verfahrensweise beim Krebsregister. Das wesentliche Element dieses für die epidemiologische Forschung so wichtigen Instruments blieb die Trennung der gespeicherten Daten zwischen der Vertrauensstelle, die die Meldungen entgegennimmt, und der Registerstelle, die die medizinischen Daten verwaltet. Die Weitergabe von medizinischen Daten an Stellen, die damit bisher nicht befasst waren, scheidet aus.

Dieser Schutzmechanismus erweist sich bei der medizinischen Forschung: Das Krebsregistergesetz ermöglicht grundsätzlich das Durchführen von sogenannten Kohortenstudien. So kann z. B. für bestimmte, namentlich bekannte Mitglieder von zuvor definierten Personengruppen über das Krebsregister festgestellt werden, ob für deren Gruppe ein erhöhtes Vorkommen von Krebserkrankungen vorliegt. Solche Personengruppen können z. B. Beschäftigte aus besonderen Industriezweigen sein. Die strengen gesetzlichen Voraussetzungen für die Durchführung einer solchen Kohortenstudie verlangen, dass es der forschenden Stelle nicht möglich ist, die vom Krebsregister zurückgemeldeten krankheitsbezogenen Daten einzelnen Mitgliedern der Kohorte zuzuordnen; etwas anderes gilt nur, wenn die Betroffenen dieser Zuordnung zugestimmt haben. Im Berichtszeitraum erarbeitete das Ministerium für Soziales, Gesundheit, Familie, Jugend und Senioren des Landes Schleswig-Holstein gemeinsam mit dem ULD und den Verantwortlichen beim Krebsregister den Entwurf einer Landesverordnung mit Einzelheiten über diesen Kohortenabgleich. Diese Verordnung sichert die Vorgaben zur Nichtidentifizierbarkeit der Personen, für die epidemiologische Daten zurückgemeldet werden.

Weiter gehende Forderungen an das Krebsregister nach zusätzlichen individuellen Datenabgleichen wurden nun vonseiten der Kooperationsgemeinschaft Mammografie, die das bundesweite Mammografie-Screening koordiniert (Tz. 4.6.2), aufgestellt. Dabei sollen vor allem zwei Zwecke verfolgt werden:

Zum einen geht es um die Evaluation der Mortalität insbesondere solcher Frauen, die an dem Mammografie-Screening teilgenommen haben. Entwickelt sich die Mortalität für diese Gruppe besser als für den Rest der Bevölkerung, sodass sich daher der hohe Aufwand beim Mammografie-Screening lohnt? Dies kann nur nachgewiesen werden, wenn von den Screening-Einheiten Daten über die Teilnehmerinnen, bei denen Brustkrebs entdeckt wird, an das Krebsregister weitergeleitet werden. Dieses Element der Qualitätskontrolle ist akzeptabel. Das Krebsregistergesetz sieht die Verwendung der Daten nicht für individualisierte Qualitätskontrollen vor. Außerdem sind die Screening-Einheiten nach dem Krebsregistergesetz zur Meldung von Krebsfällen verpflichtet. Entscheidend ist, dass die Daten über die Mortalität in der Vertrauensstelle des Krebsregisters verarbeitet werden und so die Krebsmeldungen das Krebsregister nicht verlassen.

Problematisch ist jedoch ein zweites Ansinnen der Kooperationsgemeinschaft Mammografie. Als weiteres Element der Qualitätskontrolle der Befundung soll festgestellt werden, wie viele sogenannte Intervallkarzinome auftreten und insbesondere, ob diese nicht bereits im Mammografie-Screening hätten erkannt werden können. Intervallkarzinome sind Tumore, die in der Zeit zwischen zwei Screening-Untersuchungen auftreten. Zwar lässt sich relativ einfach eine statistische Zahl von Intervallkarzinomen errechnen, ohne dass Daten über Krebserkrankungen das Krebsregister verlassen müssen. Der Wunsch der Kooperationsgemeinschaft Mammografie geht jedoch dahin, zu den einzelnen Fällen, bei denen Intervallkarzinome aufgetreten sind, sämtliche dazugehörigen Daten über die Einzelheiten der Erkrankung aus dem Krebsregister zu erhalten. Damit sollen die im letzten Screening vor Auftreten des Intervallkarzinoms befundeten Röntgenaufnahmen erneut abgeglichen werden, um zu untersuchen, ob nicht doch Anhaltspunkte für den Tumor hätten erkannt werden können.

Ein solches Verfahren lässt sich rechtlich nur auf die Einwilligung der Teilnehmerinnen im Mammografie-Screening stützen; diese könnten darin einwilligen, dass ihre krankheitsbezogenen, im Krebsregister gespeicherten Daten zu Qualitätskontrollzwecken den Screening-Einheiten zur Verfügung gestellt werden. Diese Einwilligungslösung ist allerdings nicht vorgesehen. Mit gutem Grund verbieten die Krebsregistergesetze der Länder, dass ohne die Einwilligung der betroffenen Personen Einzelheiten über die Erkrankungen an dritte Stellen weitergegeben werden. So würde unter der Hand eine Zweckänderung des Registers erfolgen. Es ginge nicht mehr um die Erkenntnis epidemiologischer Gegebenheiten. Vielmehr würde auf eine Qualitätskontrolle im Einzelfall abgezielt. Dafür ist das Krebsregister jedoch nicht geschaffen, und die dort zur Identifikation von Personendatensätzen verwendeten Instrumente sind dafür nicht geeignet. Bei der Zuordnung von Personendatensätzen im Krebsregister wird regelmäßig keine 100%ige Übereinstimmung der Daten erreicht, die die Personen identifizieren; diese ist auch für epidemiologische Zwecke nicht erforderlich. Ein raffinierter Algorithmus sichert bei einer zweiten Meldung zu einem bestimmten Patienten auch dann die richtige Zuordnung, wenn Ungenauigkeiten in der Schreibweise des Namens oder der Adresse vorkommen. Allerdings gibt es für die Richtigkeit der Zuordnung keine 100%ige Garantie. Für epidemiologische Zwecke ist die erreichte hohe Wahrscheinlichkeit ausreichend.

Etwas anderes gilt für individualisierte Rückmeldungen. Ein schlimmer Fall läge in folgendem Szenario: Aufgrund einer Personenverwechslung durch die beschriebene Ungenauigkeit werden Krankheitsdaten aus dem Krebsregister fälschlich einer Frau zugeordnet, die am Screening teilgenommen hat und bei der kein Tumor gefunden wurde. Diese könnte dann von der zuständigen Screening-Einheit angesprochen und darum gebeten werden, im Hinblick auf das bei ihr vermeintlich festgestellte Karzinom dem programmverantwortlichen Arzt den Zugang zu ihren medizinischen Behandlungsunterlagen zu erlauben. Die Auswirkungen einer solchen Fehlzuordnung können fatal sein. Daher sollte der Abgleich zwischen Mammografie-Screening und Krebsregister zum Zwecke der individualisierten Qualitätskontrolle nur stattfinden, wenn die betroffene Frau nach ausführlicher Aufklärung beim Mammografie-Screening eingewilligt hat.

Was ist zu tun?
Bei Kohortenstudien im Krebsregister ist künftig die dazu erlassene Landesverordnung zu beachten. Ein Abgleich zwischen Mammografie-Screening und Krebsregister zur individualisierten Qualitätskontrolle sollte nur mit Einwilligung der betroffenen Frau stattfinden.

 

4.6.4      Patientenakten  und Computer im Müll

Patientendaten sind besonders sensibel. In der Theorie dürfte hier weitgehend Einigkeit bestehen. In der Praxis sieht es manchmal anders aus.

Keine Ärztin und kein Physiotherapeut würden sich auf die Straße stellen und aussortierte Patientenakten an Passanten verteilen. Bei der Entsorgung von Patientenunterlagen mag häufig keine böse Absicht vorliegen. Aber die Patientenakten ordnungsgemäß mit dem Schredder zu vernichten oder die Festplatte des Praxiscomputers zu zerkleinern, scheint der Mühe nicht wert. Also landen Patientenakten im Müllcontainer und Praxiscomputer im Sperrmüll. Das spart Zeit. Wer sollte sich schon für die Informationen über den Gesundheitszustand von Unbekannten interessieren?

Von Unbekannten? Jüngste Fälle in Schleswig-Holstein zeigten, dass das Interesse, solche Patientendaten einzusehen, sehr wohl vorhanden war, selbst bei Passanten. Schnell ist zufällig eine Information über einen Bekannten gefunden; zumal dann, wenn der Datenmüll in der Nachbarschaft abgeladen wird. Für alle Beteiligten bleibt ein schaler Beigeschmack bestehen; für die betroffenen Patientinnen und Patienten ist der Schaden am größten: Es muss gar nicht unbedingt Missbrauch mit den Patienteninformationen betrieben werden – die Verunsicherung ist für die Beteiligten belastend genug. Was stand in den Akten alles drin? Was wissen jetzt andere über mich? Der Arzt, der eine Datenstreuung zu verantworten hat, wird die leichtsinnige Entscheidung, seine Patientenakten aus Bequemlichkeit nicht fachgerecht entsorgt zu haben, mehr als einmal bereuen. Solche Vorfälle sprechen sich schnell herum. Geschädigt ist dann nicht nur der Ruf des betreffenden Arztes, sondern indirekt der der ganzen Ärzteschaft. Der Standesethos wird verletzt. Unsachgemäße Datenbeseitigung ist mit Geist und Wortlaut des hippokratischen Eides nicht vereinbar und verstößt gegen Straf- und Bußgeldtatbestände.

Was ist zu tun?
Werden Patientenakten in größerem Umfang, etwa bei einer Praxisaufgabe nach Ablauf der Aufbewahrungsfristen, entsorgt, sind sie am besten einem professionellen Aktenvernichter zu übergeben. Zur Entsorgung des Praxiscomputers oder anderer elektronischer Datenträger genügt eine einfache Löschung der Daten nicht aus; die Datenträger müssen physisch zerstört werden.

 

4.6.5      Aufbewahrungsfristen  bei Patientenakten

Immer wieder wenden sich Stellen aus dem medizinischen Bereich an das ULD, um die für ihren Berufszweig maßgeblichen Aufbewahrungsfristen zu erfahren. Zwei Fragen müssen auseinandergehalten werden: Wie lange müssen Patientenakten aufbewahrt werden? Wie lange dürfen sie aufbewahrt werden?

Allgemeingültige Antworten können hierauf nicht gegeben werden. Es kommt darauf an, wer welche Daten zu welchem Zweck speichert. Den rechtlichen Rahmen ergeben das jeweilige Standesrecht, verschiedene Spezialgesetze und subsidiär das Bundesdatenschutzgesetz (BDSG).

Bis zum Ablauf des Behandlungsvertrages dürfen die Daten gespeichert werden. Während dieser Zeit ist entsprechend dem Vertragszweck die Speicherung aller für das operative Geschäft erforderlichen Daten zulässig. Nach Beendigung des jeweiligen Vertragsverhältnisses fällt der ursprüngliche Vertragszweck als Rechtfertigung für die Datenspeicherung weg. An seine Stelle treten berufsrechtliche Aufbewahrungspflichten; diese können jedoch nur eine Datenaufbewahrung außerhalb des operativen Geschäfts rechtfertigen. Zu solchen standesrechtlichen und -gesetzlichen Spezialregelungen gehören z. B.:

  • die Berufsordnung der Ärzte in Schleswig-Holstein: 10 Jahre für ärztliche Unterlagen,
  • das Heimgesetz: 5 Jahre für Daten über den Betrieb eines Pflegeheims,
  • die Rahmenempfehlung für Physiotherapeuten: 3 Jahre für die physiotherapeutische Verlaufsdokumentation.

Daneben sind hier gegebenenfalls auch handelsrechtliche Aufbewahrungsfristen nach dem Handelsgesetzbuch zu berücksichtigen:

  • 5 Jahre für handelsrechtliche Unterlagen,
  • 10 Jahre für Handelsbücher und Ähnliches,
  • 6 Jahre für Handelskorrespondenz.

Die detaillierten Patientendokumentationen gehören nicht zu den handelsrechtlichen Dokumenten.

Die aufzubewahrenden Daten sind nach Möglichkeit gemäß den Löschfristen getrennt in Akten zu führen, sodass diese ohne Aufwand zum frühstmöglichen Zeitpunkt gelöscht werden können. Die Daten sind so aufzubewahren, dass nur Berechtigte Zugang haben. Nach dem Ablauf der Aufbewahrungsfristen sind gemäß den spezialgesetzlichen Regeln oder dem Bundesdatenschutzgesetz die Patientendaten grundsätzlich zu löschen. Haftungsrechtlich ergeben sich aus der fristgemäßen Vernichtung von Unterlagen keine Beweislastverschiebungen zulasten der Ärztinnen und Ärzte.

Ausnahmsweise dürfen die Patientendaten aus folgenden Erwägungen länger gesperrt aufbewahrt werden:

  • Wenn die weitere Aufbewahrung aus medizinischen Gründen im Einzelfall erforderlich ist, ist dies möglich, aber schriftlich zu begründen.
  • Im Falle eines konkreten Prozessrisikos dürfen Unterlagen aus Beweissicherungsgründen trotz des grundsätzlichen Löschungsgebotes über die gesetzlich oder standesrechtlich vorgeschriebenen Aufbewahrungsfristen hinaus aufbewahrt werden.

Was ist zu tun?
Patientenakten müssen und dürfen nur bis zum Ablauf der jeweiligen berufsspezifischen Aufbewahrungsfristen aufbewahrt werden. Unter besonderen Umständen ist eine längere Aufbewahrung zulässig.

 

4.6.6      Novellierung des Maßregelvollzugsgesetzes

Im Maßregelvollzug kommt es zu intensiven Grundrechtseingriffen durch staatliche Stellen. Erfreulicherweise hat die Landesregierung durch eine Änderung des entsprechenden Gesetzes für mehr Klarheit und Rechtssicherheit gesorgt.

Im Maßregelvollzug werden Straftäter untergebracht, die aufgrund einer psychischen Erkrankung schuldunfähig oder vermindert schuldfähig sind, bei denen aber zugleich von einer weiteren Gefährlichkeit auszugehen ist. Zudem gibt es suchtkranke Delinquenten. Durchgeführt wird der Maßregelvollzug in der forensischen Abteilung eines psychiatrischen Krankenhauses. Seit der Privatisierung der Landeskrankenhäuser in Schleswig-Holstein werden auch die forensischen Abteilungen von privaten Kliniken betrieben. Durch sogenannte Beleihung dieser Stellen wird sichergestellt, dass öffentlich-rechtliche Standards und die Grundrechtsbindung erhalten bleiben.

Diese Rechtsformänderung und andere rechtliche und tatsächliche Entwicklungen waren Anlass zur Novellierung des Landesgesetzes über den Maßregelvollzug. Das ULD wurde von Anfang an durch das Sozialministerium des Landes Schleswig-Holstein einbezogen. Die Vorarbeiten begannen bereits im Jahr 2006. Das Gesetz wurde vom Landtag Ende 2007 verabschiedet. Es wurde eine detaillierte und normenklare Regelung über die zulässigen Datenübermittlungen aufgenommen. Das Recht auf Akteneinsicht für die im Maßregelvollzug untergebrachten Personen wurde überarbeitet. Konform mit der Rechtsprechung des Bundesverfassungsgerichts kann dieses Recht nur ausnahmsweise beschränkt werden. Die Ärzte können sich grundsätzlich nicht darauf berufen, der vollständigen Einsicht stünden deren eigene Rechte entgegen. Wohl können aber berechtigte Interessen anderer dritter Personen eine Grenze für die Akteneinsicht darstellen. Durch entsprechende Aktenführung kann dafür gesorgt werden, dass Informationen über Dritte von der Kernakte zum Betroffenen abtrennbar sind. Den Betroffenen soll eine weitestgehende Aktenkenntnis ermöglicht werden.

Was ist zu tun?
Die neuen Vorschriften müssen in der Praxis in datenschutzfreundlicher Weise angewendet werden.

 

4.6.7      Das Universitätsklinikum Schleswig-Holstein  und der Datenschutz

Als wichtigster Anbieter medizinischer Leistungen in Schleswig-Holstein verfolgt das UK S-H ehrgeizige Projekte mit Auswirkungen auf den Patientendatenschutz und die Einhaltung der ärztlichen Schweigepflicht. Der Abbau der Ressourcen des betrieblichen Datenschutzes wäre ein falsches Signal.

Das Universitätsklinikum Schleswig-Holstein (UK S-H) kann Superlative vorweisen. Es ist mit ca. 2.400 stationären Betten, über 240.000 ambulanten und ca. 100.000 stationären und teilstationären Patientinnen und Patienten eine der drei größten Universitätskliniken in Deutschland und zugleich das einzige Krankenhaus in Schleswig-Holstein mit sogenannter Maximalversorgung, die in 51 Kliniken und 26 Instituten realisiert wird. Mit etwa 10.000 beschäftigten Mitarbeiterinnen und Mitarbeitern ist es der größte öffentliche Arbeitgeber im Land.

Der Datenschutz wird beim UK S-H bisher durch ein Team wahrgenommen, das aus einem internen behördlichen Datenschutzbeauftragten sowie einem externen Berater besteht. Dieses Team hat zurzeit alle Hände voll zu tun. Viele datenschutzrelevante Vorhaben stehen an. Es soll ein neues Krankenhausinformationssystem eingeführt werden. Aus dem Klinikum heraus wurden und werden eine zunehmende Anzahl von Organisationseinheiten rechtlich verselbstständigt und in den Privatrechtsbereich überführt. Nach der Verselbstständigung darf es keine gemeinsame Führung der Datenbestände mehr geben. Daneben ist das laufende Geschäft dieses großen Unternehmens zu begleiten.

Angesichts dessen überraschte es, dass das UK S-H die Initiative startete, die verfügbaren Ressourcen für das Datenschutzteam signifikant zu kürzen. Die wirtschaftlichen Probleme des Klinikums sind bekannt. Allerdings darf bezweifelt werden, dass hier kurzfristig erzielte Einsparungen einen relevanten und nachhaltigen Spareffekt hätten. Zu befürchten ist, dass eine weitere Reduzierung der Ressourcen zu erhöhten Risiken und zu Verstößen bei der Wahrung des Patientengeheimnisses führt. Negative, auch finanzielle Folgen für das UK S-H sowie Imageverluste drohen. Die Kürzungen müssen daher zurückgenommen werden. Die Ausstattung des behördlichen Datenschutzes muss der Größe der Einrichtung und dem Umfang der Aufgaben entsprechen.

Was ist zu tun?
Alle Krankenhäuser im Land Schleswig-Holstein müssen sicherstellen, dass den bestellten Datenschutzbeauftragten für deren Datenschutzmanagement zur Wahrnehmung ihrer wichtigen Aufgabe ausreichende Ressourcen zur Verfügung gestellt werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel