4.5          Schutz des Patientengehimnisses

4.5.1       Anhörung zum Entwurf für ein neues Landeskrankenhausgesetz

Das federführende Ministerium für Soziales, Gesundheit, Jugend, Familie und Senioren Schleswig-Holstein hat den Landtag über den Entwurf für ein neues Landeskrankenhausgesetz (LKHG) informiert, zugleich eine Anhörung zu beteiligender Verbände eingeleitet und dabei auch vom ULD eine Stellungnahme erbeten. Der Gesetzentwurf ist abrufbar unter:

www.landtag.ltsh.de/infothek/wahl19/unterrichtungen/00100/unterrichtung-19-00184.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-451

Landeskrankenhausgesetz
Ziel des Gesetzes ist es, eine qualitativ hochwertige, patienten- und bedarfsgerechte Versorgung der Bevölkerung des Landes Schleswig-Holstein mit leistungsfähigen, wirtschaftlich gesicherten, sparsam und eigenverantwortlich wirtschaftenden Krankenhäusern sicherzustellen und zu sozial tragbaren Entgelten beizutragen, eine vernetzte kooperative und sektorübergreifende Gesundheitsversorgung zu ermöglichen und die Patientenrechte zu stärken.

In den §§ 35-40 des Gesetzentwurfs wurden nähere Regelungen zum Bereich des Patientendatenschutzes eingefügt. Im Rahmen der Erarbeitung des Entwurfs wurde das ULD beratend beteiligt. Dabei konnten Hinweise Berücksichtigung finden, die sich etwa auf folgende Punkte bezogen:

  • Von Bedeutung war, dass vom Landeskrankenhausgesetz sowohl Einrichtungen in öffentlicher als auch in privater Trägerschaft erfasst werden und damit neben der DSGVO auch Regelungen des Bundesdatenschutzgesetzes (BDSG) und des Landesdatenschutzgesetzes (LDSG) zu beachten sind.
  • Bezüglich der Datenverarbeitung durch Auftragsverarbeiter bestehen vorrangige Bestimmungen in der DSGVO.
  • Werden Patientendaten zu Forschungszwecken verarbeitet, so bestehen je nach Einordnung der Trägerschaft der Einrichtung flankierende Bestimmungen in § 13 LDSG und § 27 BDSG.
  • Bezüglich der Auskunftsrechte der Patienten in Bezug auf ihre personenbezogenen Daten gilt ergänzend Artikel 15 DSGVO, wobei auch die Bereitstellung kostenfreier Kopien der Daten in Betracht kommt.

Zu erörtern bleibt noch, dass Einwilligungen zur Verarbeitung personenbezogener Daten nach Artikel 7 DSGVO keiner Schriftform bedürfen, um wirksam zu sein. Infolge der Rechenschaftspflicht der Verantwortlichen, die auch die Obliegenheit betrifft, nachweisen zu können, dass die Verarbeitung auf Basis einer Rechtsgrundlage (z. B. einer Einwilligung) erfolgte, sollte die Einwilligung aber schriftlich dokumentiert werden.

Ferner sieht der Gesetzentwurf vor, dass eine Verarbeitung von Patientendaten auch dann zulässig sein soll, soweit dies zur Überprüfung der Tätigkeit der Mitarbeiterinnen und Mitarbeiter des Krankenhauses erforderlich ist. Hierbei sind insbesondere im Bereich der privaten Träger vorrangige Bestimmungen in § 26 BDSG zu beachten, was nach Auffassung des ULD noch nicht hinreichend zum Ausdruck kommt.

Schließlich sollten die Regelungen im Gesetzentwurf, die Bezug zu einer Anonymisierung oder einer Pseudonymisierung nehmen, kritisch durchgeschaut werden, da im Text begriffliche Unklarheiten durchscheinen: Beispielsweise spielt es eine Rolle, dass es sich bei pseudonymisierten Daten – anders als bei anonymen oder anonymisierten Daten – um personenbezogene Daten handelt, für deren Verarbeitung eine Rechtsgrundlage erforderlich ist (zu Pseudonymisierung siehe Tz. 10.1).

 

Was ist zu tun?
Der Gesetzgeber sollte die gegebenen Hinweise prüfen und gegebenenfalls durch Änderungen im Text des Landeskrankenhausgesetzes umsetzen.

 

4.5.2       Anhörung zum PsychHG-Entwurf

Das federführende Ministerium für Soziales, Gesundheit, Jugend, Familie und Senioren Schleswig-Holstein hat den Landtag über den Entwurf eines Gesetzes zur Hilfe und Unterbringung von Menschen mit Hilfebedarf in Folge psychischer Störungen (PsychHG) informiert und eine Anhörung durchgeführt. Der Gesetzentwurf ist abrufbar unter:

https://www.landtag.ltsh.de/infothek/wahl19/unterrichtungen/00100/unterrichtung-19-00166.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-452

PsychHG
Das Gesetz soll die Gewährung von Hilfen für Menschen regeln, die aufgrund einer psychischen Störung hilfsbedürftig sind, sowie die Durchführung von Schutzmaßnahmen und Unterbringung zur Abwendung von Eigen- oder Fremdgefährdungen aufgrund einer psychischen Störung.

In den §§ 31-38 des Gesetzentwurfs wurden nähere Regelungen zum Bereich Verschwiegenheitspflichten, Datenschutz und Dokumentation getroffen. Beabsichtigt war damit auch eine Anpassung an die Vorgaben der DSGVO. Das ULD hat zu dem Gesetzentwurf Stellung genommen und insbesondere folgende Punkte benannt:

  • Für öffentliche Stellen wird im Entwurf etwa die Geltung des Bundesdatenschutzgesetzes (BDSG) normiert. Ausgehend von § 2 Abs. 4 Landesdatenschutzgesetz (LDSG) findet das BDSG für öffentliche Stellen Anwendung, soweit diese am Wettbewerb teilnehmen und personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Die Kreise und kreisfreien Städte haben nach dem Entwurf die Befugnis, natürliche und juristische Personen des Privatrechts mit Aufgaben der öffentlichen Verwaltung beim Vollzug der Unterbringungsanordnung und der Unterbringung zu beleihen. Die Beliehenen sind öffentliche Stellen im Sinne von § 2 Abs. 1 LDSG. Es wird im Entwurf zum PsychHG nicht ausgeführt, mit welcher Begründung sich die Beliehenen bei der Wahrnehmung von Aufgaben zum Vollzug von Unterbringungsanordnungen und der Unterbringung im Wettbewerb mit anderen Stellen befinden sollen. Diese Aufgaben im Rahmen einer Beleihung sind nicht vergleichbar mit dem Zugang zu Leistungen einer Patientenversorgung, die von öffentlichen wie auch von privaten Trägern angeboten wird und bei welcher eine Wettbewerbssituation angenommen werden kann. Die Anwendung des BDSG ist daher nicht klar nachvollziehbar.
  • Weiterhin berücksichtigt der Entwurf nach Auffassung des ULD bisher nicht hinreichend, dass in der DSGVO vorrangige Bestimmungen zur Zulässigkeit der Verarbeitung sensibler Datenkategorien wie Gesundheitsdaten existieren, wodurch für landesrechtliche Regelungen nur ein eingeschränkter Raum für zusätzliche landesrechtliche Bestimmungen verbleibt.
  • Die Löschfristen für die verarbeiteten Gesundheitsdaten werden im PsychHG nicht erläutert. In der Gesetzesbegründung wird bisher ausschließlich der Gesetzestext wiederholt. Es bleibt etwa offen, aus welchem Grund anstelle der für Behandlungen üblichen zehnjährigen Aufbewahrung von Patientenunterlagen für Krankenhäuser nun eine 15-jährige Frist gewählt wurde. Es sollte zumindest in der Gesetzesbegründung deutlich werden, welche Erwägungen hierfür Anlass gaben.
  • Die Einräumung eines Wahlrechts für den Arzt, der betroffenen Person die Auskunft zu den zur Person gespeicherten Daten auch mündlich erteilen zu können, widerspricht der DSGVO. Art. 15 Abs. 3 DSGVO räumt der betroffenen Person das Recht ein, eine Kopie der Unterlagen zu verlangen.

 

Was ist zu tun?
Die Aufnahme datenschutzrechtlicher Konkretisierungen in einem neuen PsychHG wird vom ULD unterstützt. Bei der Neufassung des Gesetzes sollten die mitgeteilten Anregungen Berücksichtigung finden. Europarechtliche Vorgaben nach der DSGVO müssen eingehalten werden.

 

4.5.3       Kein Beschlagnahmeverbot, wenn Arzt nicht Zeuge, sondern Beschuldigter ist

Die Kriminalpolizei will vor Ort auf Patientenunterlagen einer Klinik zugreifen. Es geht um ein Strafverfahren gegen eine Person, die sich als Ärztin ausgegeben und offenbar in der Klinik gearbeitet hat.

Wir haben auf Folgendes hingewiesen: Ärzte sind zur Verweigerung des Zeugnisses im Strafverfahren nach § 53 Abs. 1 Nr. 3 Strafprozessordnung (StPO) berechtigt. Hinsichtlich der Beschlagnahme gilt § 97 Abs. 1 StPO.

Aber: Das Beschlagnahmeverbot gilt nach herrschender Meinung nur im Strafverfahren gegen den Patienten, nicht jedoch bei einem Strafverfahren gegen den Arzt selbst.

Dies bedeutet, dass nach unserer Einschätzung die ärztliche Schweigepflicht dann einer Beschlagnahme der Patientenunterlagen nicht entgegensteht, wenn sich das Ermittlungsverfahren gegen den Arzt als Beschuldigten richtet – eine Einschätzung, die auch vom Bundesverfassungsgericht vertreten wird.

§ 97 Abs. 1 StPO
Der Beschlagnahme unterliegen nicht:

  1. schriftliche Mitteilungen zwischen dem Beschuldigten und den Personen, die nach § 52 oder § 53 Abs. 1 Satz 1 Nr. 1 bis 3b das Zeugnis verweigern dürfen;
  2. Aufzeichnungen, welche die in § 53 Abs. 1 Satz 1 Nr. 1 bis 3b Genannten über die ihnen vom Beschuldigten anvertrauten Mitteilungen oder über andere Umstände gemacht haben, auf die sich das Zeugnisverweigerungsrecht erstreckt;
  3. andere Gegenstände einschließlich der ärztlichen Untersuchungsbefunde, auf die sich das Zeugnisverweigerungsrecht der in § 52 oder § 53 Abs. 1 Satz 1 Nr. 1 bis 3b Genannten erstreckt.

In der Rechtsliteratur finden sich Ausführungen dahin gehend, dass „die strafprozessualen Aufklärungsmöglichkeiten einer Staatsanwaltschaft im Interesse des Schutzes des Patienten gegen eine unbegrenzte Weitergabe seiner persönlichen Daten insofern eingeschränkt sind, als Verletzungen des Geheimnisschutzes nur soweit zwingend erforderlich vorgenommen werden dürfen und jeder übermäßige Eingriff in diesen sensiblen Bereich unzulässig ist“. „Das Wissen um die grundsätzlich der ärztlichen Schweigepflicht unterfallenden Tatsachen“ muss „auf den Kreis der unmittelbar am Verfahren Beteiligten“ begrenzt bleiben.

Dies bedeutet praktisch:

  • Einsichtsmöglichkeit in die Unterlagen nur für die unmittelbar mit den Ermittlungen befassten Beamten,
  • Sicherung vor Missbrauch,
  • Ausschluss der Öffentlichkeit in der mündlichen Verhandlung vor Gericht gemäß § 172 Nr. 2 Gerichtsverfassungsgesetz (GVG) bei Erörterung ärztlicher Aufzeichnungen.
  • Unter Abwägung der berechtigten Belange des Betroffenen und des öffentlichen Interesses an einer wirksamen Strafverfolgung darf die Staatsanwaltschaft Sachverständige, auch aus dem Bereich der geschädigten Krankenkasse, zu Durchsuchungen hinzuziehen.

Soweit es also um ein Strafverfahren gegen den Arzt selbst geht, ist die Beschlagnahme nicht ausgeschlossen.

 

4.5.4       Keine Behandlung, wenn eine Patientin die Datenschutzerklärung nicht unterschreibt?

Seit dem 25. Mai 2018 unterliegen Verantwortliche einer Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person. Somit sind auch Arzt- und Zahnarztpraxen in der Pflicht, neuen Patientinnen und Patienten anlässlich des ersten Kontakts Informationen über die beabsichtigte Verarbeitung der Patientendaten zu geben.

Zu den in Artikel 13 DSGVO benannten Informationen gehören neben dem Namen und den Kontaktdaten der Praxis und gegebenenfalls Kontaktdaten der oder des betrieblichen Datenschutzbeauftragten insbesondere Angaben über die Zwecke und Rechtsgrundlage der beabsichtigten Datenverarbeitung, über mögliche Empfänger der Patientendaten, die Dauer der Datenspeicherung, bestehende Patientenrechte wie z. B. Auskunftsansprüche und darüber, welche Beschwerderechte die Patientin oder der Patient bei welcher Aufsichtsbehörde hat.

Viele Praxen verwenden eine schriftliche Datenschutzerklärung. Patientinnen und Patienten werden bei ihrer ersten Vorsprache auf diese Datenschutzerklärung hingewiesen bzw. ihnen wird ein Exemplar ausgehändigt. Allerdings müssen sie nicht zwingend diese Datenschutzerklärung unterschreiben.

Der Verantwortliche bzw. die Praxis muss im Rahmen der allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachweisen können, dass diese Informationspflicht beachtet wurde, also neuen Patientinnen und Patienten die zuvor genannten Informationen gegeben wurden. Es bestehen daher keine Einwände, wenn sich Praxen von ihren Patientinnen und Patienten den Erhalt der Datenschutzerklärung schriftlich bestätigen lassen. Alternativ kann auch ein Hinweis auf die Datenschutzerklärung im Anamnesebogen ein ausreichender Nachweis sein, wenn sichergestellt ist, dass jede neue Patientin und jeder neue Patient diesen Anamnesebogen selbst ausfüllt. Auch eine entsprechende Verfahrensvorgabe in der verwendeten Arztpraxissoftware (als auszufüllendes Feld) wird von Aufsichtsbehörden als Nachweis akzeptiert.

Die DSGVO fordert nicht, dass sich Patientinnen und Patienten mit den in der Datenschutzerklärung aufgeführten Informationen einverstanden erklären. Dies würde auch wenig Sinn ergeben. Wie bzw. wieso sollte sich eine Patientin oder ein Patient z. B. mit dem Namen der behandelnden Person einverstanden erklären? Auch sieht die DSGVO nicht vor, dass eine medizinische Behandlung einer kranken Person unterbleiben muss, nur weil sie die Datenschutzerklärung nicht unterschreibt. Es ist die freie Entscheidung der Patientin und des Patienten, das Informationsangebot der Praxis anzunehmen oder zu verweigern. Die Praxis muss lediglich nachweisen können, dass sie ihren Patientinnen und Patienten die Informationen angeboten hat.

Hilfreiche Ausführungen dazu gibt es in der Broschüre „Informationspflichten“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-4-Informationspflichten.pdf
Kurzlink: https://uldsh.de/tb38-454

Noch mehr Hilfestellung und ein Muster einer Kurzinformation („Datenschutz-Steckbrief“, 37. TB, Tz. 6.1.4) gibt es unter dem folgenden Link:

https://www.datenschutzzentrum.de/dokumentation/

 

4.5.5       Mehrere Kubikmeter Patientenunterlagen in der Innenstadt frei zugänglich

Im Januar 2019 schilderte ein aufmerksamer Bürger, dass mitten in Kiel in einer belebten Straße ein großer Container mit Patientenunterlagen stehe. Der Container sei offen, frei zugänglich und niemand sei da, um aufzupassen. Wir konnten kaum glauben, was uns berichtet wurde. Selbstverständlich wurde sofort vor Ort eine Prüfung durchgeführt.

Unsere Prüfung bestätigte die Angaben. Der unverschlossene Container (6 m3!) war randvoll mit unzähligen Aktenordnern mit sensibelsten Patientendaten wie histologischen bzw. pathologischen Untersuchungsergebnissen eines Labors gefüllt. Niemand bewachte den Container. Jeder hätte sich an den Patientenunterlagen bedienen können.

Noch vor Ort wurde die Geschäftsführung des Labors aufgesucht und mit den Prüffeststellungen konfrontiert. Die Antwort: Man habe einen externen Dienstleister damit beauftragt, Patientenunterlagen, die nicht mehr benötigt werden, auszusortieren und zu vernichten. Die Beschäftigten des Dienstleisters hierbei zu beaufsichtigen habe man nicht für notwendig gehalten. Da die Beschäftigten des Dienstleisters bereits Feierabend hatten, wurde ihr Chef telefonisch zum Tatort gebeten. Dieser erklärte den offenen Container damit, dass seine Beschäftigten kein Schloss gehabt hätten, um diesen zu verschließen. Am nächsten Morgen sollte der Container zum eigentlichen Aktenvernichter gebracht werden.

Die Prüffeststellungen sind ein gutes Beispiel dafür, was passiert, wenn sich jeder auf den anderen verlässt und keiner die Verantwortung übernehmen will. Der Geschäftsführer des Labors gab an, sich schon gewundert zu haben, dass der Container mit den Patientenunterlagen offen auf der Straße stand. Seine Mitarbeiterin erklärte, nichts von schriftlichen Vereinbarungen mit dem beauftragten Dienstleister zu wissen, und eine andere Mitarbeiterin sagte, nicht die Zeit gehabt zu haben, um nach dem Rechten zu schauen. Die Beschäftigten des Dienstleisters waren ohnehin schon zu Hause, und ihr Chef war ahnungslos.

Datenschutzrechtlich verantwortlich war in diesem Fall das Labor, das es versäumt hatte, eine ordnungsgemäße Entsorgung der personenbezogenen Daten zu gewährleisten. Gegen den Verantwortlichen wurde ein Ordnungswidrigkeitenverfahren eingeleitet. Es droht eine empfindliche Geldbuße.

Weitere Hinweise zu den Anforderungen an eine Auftragsverarbeitung finden sich in der Broschüre „Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-3-ADV.pdf
Kurzlink: https://uldsh.de/tb38-455

 

Was ist zu tun?
Wird ein externer Dienstleister mit der Vernichtung von Patientenunterlagen beauftragt, so muss der Verantwortliche als Auftraggeber in einem schriftlichen Vertrag detaillierte Vorgaben zur beabsichtigten Datenverarbeitung festlegen. Artikel 28 DSGVO regelt die Rechte und Pflichten von Auftraggebern und Auftragnehmern sowie die Vertragsinhalte. Auftragnehmer von Arztpraxen sind auf das Datengeheimnis zu verpflichten und unterliegen damit regelhaft – wie die Ärztin oder der Arzt selbst – der ärztlichen Schweigepflicht (§ 203 Strafgesetzbuch (StGB)).

 

4.5.6       Gesundheitsdaten aus der Tüte – wenn die Nachbarn die gelieferten Medikamente sehen

Ein Beispiel aus der Rubrik: „Gut gemeint, aber schlecht gemacht.“

Eine Apotheke bietet ihren Kundinnen und Kunden an, Medikamente direkt nach Hause zu liefern. Hierfür hat die Apotheke extra einen Boten angestellt, der das Medikament an der eigenen Haustür übergibt. Vorausgesetzt die Kundin oder der Kunde ist da, sonst wird das Medikament eventuell bei den Nachbarn abgegeben. Die Medikamente werden in hübschen, aber leider nicht blickdichten Tüten transportiert – alles im Blick der Nachbarschaft.

Apotheken bzw. die dort tätigen Personen müssen nicht nur die Vorschriften der DSGVO und des BDSG, sondern zudem besondere berufsrechtliche Vorschriften, die sich insbesondere aus den Berufsordnungen der jeweiligen Apothekerkammern ergeben, beachten. Apothekerinnen und Apotheker sowie deren berufsmäßig tätige Gehilfen unterliegen der ärztlichen Schweigepflicht (§ 203 StGB). Auch bei dem Transport und der Lieferung von Medikamenten muss sichergestellt werden, dass Unbefugte keine Kenntnis von personenbezogenen Daten erhalten. Schließlich handelt es sich um Gesundheitsdaten, also um besondere Kategorien personenbezogener Daten mit einem hohen Schutzbedarf.

Die Apotheke hat zugesichert, durch schriftliche Vorgaben für die Boten zu gewährleisten, dass Medikamentenlieferungen zukünftig nur noch an Befugte übergeben werden (organisatorische Maßnahme). Zudem sollen für den Transport der Medikamentenlieferungen blickdichte Verpackungen verwendet werden (technische Maßnahme).

 

4.5.7       Änderung des Maßregelvollzugsgesetzes: Auskunftsrecht soll beschnitten werden?

Das Ministerium für Soziales, Gesundheit, Jugend, Familie und Senioren hat im Berichtszeitraum einen Entwurf zur Änderung des Maßregelvollzugsgesetzes erarbeitet. Damit soll u. a. die EU-Richtlinie 2016/680 für den Datenschutz im Bereich der Strafverfolgung umgesetzt werden. Das ULD hat zu dem Entwurf Stellung genommen.

Wir haben zu einer Reihe von Regelungen Nachfragen gestellt oder Änderungen vorgeschlagen. Der aus unserer Sicht große Änderungsbedarf mag sich daraus erklären, dass das Maßregelvollzugsgesetz aus dem Jahr 2000 stammt und seit 2008 nicht mehr nennenswert geändert wurde. Neuere Entwicklungen im Landesrecht, insbesondere durch das Justizvollzugsdatenschutzgesetz aus dem Jahr 2016, sind somit bislang im Maßregelvollzugsgesetz nicht berücksichtigt. Dies betrifft z. B. die Regelungen zur Videoüberwachung. Hier ist mit dem Justizvollzugsdatenschutzgesetz ein guter Standard etabliert worden, der, soweit passend, auch auf den Maßregelvollzug übertragen werden sollte.

Bei der Regelung des Auskunftsanspruchs der betroffenen Personen haben wir erhebliche Bedenken geäußert, ob damit die Vorgaben der EU-Richtlinie ausreichend umgesetzt werden. Der Umfang der Informationen, die der betroffenen Person mitzuteilen sind, ist im Entwurf deutlich knapper vorgesehen, als die Richtlinie es verlangt. Außerdem geht der Entwurf beim Auskunftsanspruch über die in der EU-Richtlinie vorgesehenen Ausnahmen hinaus. Das bedeutet: Der Entwurf zur Änderung des Maßregelvollzugsgesetzes beschneidet den Auskunftsanspruch doppelt – das wäre unserer Ansicht nach europarechtswidrig.

 

Was ist zu tun?
Der Entwurf muss in einigen Punkten geändert werden, um dem EU-Recht sowie den Anforderungen des Datenschutzes zu entsprechen. Das Ministerium muss hier nachbessern.

 

4.5.8       Diebstahl von (Patienten-)Unterlagen aus dem Auto – was tun?

Im letzten Jahr wurde uns wiederholt gemeldet, dass dienstliche, aber auch private Fahrzeuge aufgebrochen und dort aufbewahrte (Patienten-)Unterlagen gestohlen wurden. Die Diebe entwendeten handschriftliche Notizen der Beschäftigten, Abrechnungsunterlagen, vollständige Akten und in einem Fall sogar ein Notebook mit sensiblen Daten.

Die Verantwortlichen müssen in diesen Fällen ihrer Meldepflicht bei der Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO nachkommen und prüfen, ob die betroffenen Personen zu benachrichtigen sind.

Im Zentrum steht die Frage: Wie kam es zu dem Diebstahl, und wie hätte dieser verhindert werden können? Zu klären sind die folgenden Punkte:

  • Wann und wo wurde das Auto geöffnet? Wurde es aufgebrochen?
  • Welche konventionellen oder elektronischen Datenträger mit personenbezogenen Daten wurden entwendet?
  • Welche Daten und wie viele Personen sind von dieser Datenschutzverletzung betroffen?
  • Wurden von dem Verantwortlichen für die Beschäftigten (schriftliche) Vorgaben für den Transport derartiger Datenträger erlassen? Wurden diese beachtet?
  • Ist z. B. festgelegt, dass grundsätzlich nur Datenträger verwendet werden dürfen, die vom Verantwortlichen zur Verfügung gestellt werden? Die Nutzung privater Datenträger sollte unterbleiben und darf auf keinen Fall ohne Wissen und Zustimmung des Verantwortlichen erfolgen.
  • Ist geregelt, ob der Beschäftigte sein privates Auto nutzen darf?
  • Wird für den Transport der Papierunterlagen ein blickdichtes Behältnis (z. B. eine Aktentasche) verwendet?
  • Erfolgt eine ausreichende Verschlüsselung der Daten, wenn mobile elektronische Geräte verwendet werden (Notebook, Smartphone, USB-Stick …)?
  • Wo sind die Datenträger im Auto zu verwahren (Kofferraum oder Rücksitzbank)?
  • Wie ist mit den Datenträgern zu verfahren, wenn der Beschäftigte das Auto z. B. für eine Pause oder für das eigentliche Dienstgeschäft verlässt?
  • Wie ist mit den Datenträgern nach Dienstschluss zu verfahren? Dürfen die Datenträger z. B. über Nacht oder am Wochenende im Auto verbleiben?
  • Wurde eine Strafanzeige gestellt?

Für die Meldung einer Verletzung des Schutzes personenbezogener Daten ist unter dem folgenden Link ein Meldeformular abrufbar:

https://www.datenschutzzentrum.de/meldungen/

 

Was ist zu tun?
Werden konventionelle oder elektronische Datenträger mit personenbezogenen Daten in einem Auto transportiert, sind vom Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz dieser Daten zu treffen.

 

4.5.9       Übermittlung von Patientendaten an die private Krankenversicherung ohne Einwilligung?

Für gesetzlich krankenversicherte Patientinnen und Patienten sehen die Vorschriften des Sozialgesetzbuches V (SGB V) detaillierte Regelungen vor, wie und auch mit wem die Ärztin oder der Arzt die Leistungen abrechnen muss. Regelhaft wird bei ambulanten Heilbehandlungen die Kassenärztliche bzw. die Kassenzahnärztliche Vereinigung und bei stationären Heilbehandlungen die jeweilige gesetzliche Krankenkasse erster Ansprechpartner sein. Anders hingegen, wenn die Patientin oder der Patient bei einer privaten Krankenversicherung (PKV) versichert ist. In diesem Fall ist die versicherte Person die eigentliche Empfängerin der Rechnung. Sie kann sich frei entscheiden, ob sie die Rechnung bei ihrer PKV einreicht.

Bei einer Krankenhausbehandlung entstehen schnell hohe Kosten, die viele Patientinnen und Patienten nicht aus eigener Tasche zahlen möchten oder können. Die Kosten übernimmt im vereinbarten Rahmen die PKV. Damit die versicherte Person den Rechnungsbetrag nicht vorstrecken muss, kann es ratsam sein, dass sie sich mit einer direkten Abrechnung des Krankenhauses mit ihrer PKV einverstanden erklärt.

Krankenhäuser dürfen aber erst dann ihre Rechnungen an die PKV der Patientin oder des Patienten schicken, wenn eine (schriftliche) Einwilligung vorliegt.

Hinweise und Muster für die datenschutzgerechte Gestaltung derartiger Einwilligungserklärungen (Schweigepflichtentbindungserklärung) sind unter dem folgenden Link abrufbar:

https://www.datenschutzzentrum.de/medizin-soziales/

 

4.5.10    Sensible Daten unverschlüsselt auf USB-Sticks – immer noch!

So klein ein USB-Stick auch ist, so groß können doch die darauf gespeicherten Datenmengen sein. 2017 wurde in einer schleswig-holsteinischen Gemeinschaftspraxis für Neurologie, Psychiatrie, Psychosomatik und Psychotherapie eingebrochen. Gestohlen wurden u. a. die Datenträger mit der Datensicherung. Auf den unverschlüsselten USB-Sticks waren die Daten von weit über 40.000 Patienten der letzten 20 Jahre gespeichert. Wir forderten alle Arztpraxen auf, ihre digitalen Sicherungskopien von Patientendaten zu verschlüsseln (36. TB, Tz. 4.6.3).

Diese Forderung wird anscheinend nicht von jeder Arztpraxis beachtet. Auch im letzten Jahr erhielten wir vergleichbare Meldungen derartiger Verletzungen des Schutzes personenbezogener Daten.

In einem Fall ist einem Arzt ein unverschlüsselter USB-Stick mit Patientendaten „versehentlich abhandengekommen“. Er wird den USB-Stick irgendwann irgendwo verloren haben. In anderen Fällen wurde uns geschildert, dass unverschlüsselte USB-Sticks mit Patientendaten auf dem Postweg verloren gegangen sind. Die eigentlichen Empfänger erhielten geöffnete Briefumschläge ohne Inhalt.

Gelangen solche USB-Sticks in falsche Hände, besteht ein hohes Risiko, dass die sensiblen Patientendaten der betroffenen Personen gesichtet oder verwendet werden. Dabei ist Verschlüsselung digitaler Daten kein Hexenwerk – viele Softwaretools garantieren einen guten Schutz gegen unberechtigte Zugriffe.

 

Was ist zu tun?
Krankenhäuser und Kliniken, Arzt- und Zahnarztpraxen, Pflegeeinrichtungen und Pflegedienste, Apotheken und alle weiteren vergleichbaren Einrichtungen, die besondere Kategorien personenbezogener Daten (Patientendaten) verarbeiten, müssen diese Daten bei einer digitalen Speicherung grundsätzlich verschlüsseln. Dies gilt insbesondere bei der Verwendung mobiler Datenträger wie USB-Sticks, Notebook-Festplatten oder Speichermedien bei Tablets.


4.5.11    Achtung: Abholung und Entsorgung von Röntgenbildern durch eine Fake-Firma!

Wohin mit den alten Röntgenbildern, wenn die Aufbewahrungsfristen abgelaufen sind? Na klar, die Patientenunterlagen müssen vernichtet werden. Gut, dass es Firmen gibt, die eine sichere Vernichtung anbieten.

Entsprechend war eine Arztpraxis aus Schleswig-Holstein hocherfreut, als man von einer Firma Drehkopf Recycling GmbH, angeblich aus München (nicht zu verwechseln mit der Firma Drekopf Recyclingzentrum Velbert GmbH!), per „Geschäftsrundschreiben“ (Fax) das Angebot erhielt, die Röntgenbilder abzuholen und hierfür sogar bis zu 2 € für jedes Kilogramm zu zahlen. Schließlich enthalten Röntgenbilder Silber. Eine kurze Auftragsbestätigung und wenig später kam auch schon jemand und holte die Röntgenbilder ab. Es gab sogar eine schriftliche „Datenträgervernichtungsbestätigung“.

Wenig später beschlich die Arztpraxis ein ungutes Gefühl. War man auf einen Hochstapler, einen Betrüger reingefallen? Auf der Webseite dieser Firma wurde damit geworben, dass man rund 80.000 Kundinnen und Kunden in Deutschland und Polen habe. In Polen? Anders als beim Angebot auf der Webseite wurde hier ein Ort in Polen als Unternehmenssitz angegeben. Die Arztpraxis stellte eine Strafanzeige und meldete uns eine Verletzung des Schutzes personenbezogener Daten nach Artikel 33 DSGVO.

Unabhängig davon, zu welchen Ergebnissen die Polizei bei ihren Ermittlungen kommen wird, mussten wir der Arztpraxis einen erheblichen datenschutzrechtlichen Verstoß vorwerfen, für den sie ganz allein die Verantwortung trägt.

Arztpraxen dürfen einen externen Dienstleister mit der Abholung und Vernichtung von Patientenunterlagen beauftragen. Dieser muss nicht zwingend seinen Unternehmenssitz in Deutschland haben. Jedoch hat der Betreiber der Arztpraxis als Verantwortlicher eine Sorgfaltspflicht bei der Auswahl eines zuverlässigen Dienstleisters. Ohne weitere Prüfung auf ein Angebot einer unbekannten Firma einzugehen ist zu naiv. Besonders negativ ist aber, dass entgegen der Vorgabe des Artikels 28 DSGVO kein schriftlicher Vertrag über diese Auftragsverarbeitung abgeschlossen wurde. Es wurden keine Vereinbarungen über den Prozess der Abholung, den Transport und die Vernichtung der Röntgenbilder getroffen. Weder wurden Pflichten des Auftragnehmers noch Prüfrechte des Auftraggebers festgelegt. Die Arztpraxis war gar nicht in der Lage, ihre Kontroll- und Aufsichtspflichten wahrzunehmen.

Wir mussten gegenüber der Arztpraxis von unseren Abhilfebefugnissen Gebrauch machen. Es wurde eine formelle Warnung ausgesprochen und zudem die Stelle aufgefordert zu überprüfen, ob bei der Beauftragung anderer Auftragsverarbeiter die rechtlichen Anforderungen ausreichend beachtet wurden.

Näheres zu den Anforderungen an eine Auftragsverarbeitung gibt es in der Broschüre „Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung“ unserer Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“:

https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-3-ADV.pdf
Kurzlink: https://uldsh.de/tb38-4511

 

Was ist zu tun?
Verantwortliche, die Dienstleister einbinden, müssen die datenschutzrechtlichen Anforderungen berücksichtigen. Für eine Auftragsverarbeitung ist dabei Artikel 28 DSGVO umzusetzen. Bei Arztpraxen sind außerdem die Besonderheiten der ärztlichen Schweigepflicht (§ 203 StGB) zu beachten.

 

4.5.12    Patientenbriefe aus dem Briefkasten gestohlen

Ein Krankenhaus meldete uns, dass vermutlich Kinder Patientenbriefe aus einem Briefkasten der Klinik entwendet und in einen nahe liegenden Bach geworfen hätten. Man war nicht sicher, ob alle Briefe gefunden wurden. Auch bei einem Unternehmen für Behinderten- und Krankentransport wurden Abrechnungsunterlagen aus dem Briefkasten gestohlen. Diese Briefe wurden nicht wiedergefunden.

Verantwortliche, die besondere Kategorien von Daten verarbeiten, zu denen Patientendaten gehören, müssen alle geeigneten technischen und organisatorischen Maßnahmen treffen, die eine angemessene Sicherheit der Daten gewährleisten, einschließlich des Schutzes vor unbefugter Verarbeitung, unbeabsichtigtem Verlust und unbeabsichtigter Zerstörung. Nur so lässt sich verhindern, dass Unbefugte Kenntnis von den Patientendaten erhalten können und zudem sichergestellt wird, dass der Grundsatz der Integrität und Vertraulichkeit der Verarbeitung personenbezogener Daten ausreichend beachtet wird (Artikel 5 DSGVO).

Nicht jeder Briefkasten eignet sich, um Unterlagen mit sensiblen Patientendaten entgegenzunehmen. Es sollte ein Briefkasten mit einem ausreichenden Diebstahlschutz verwendet werden. Briefkästen mit einer sogenannten Schleusentechnik können verhindern, dass Langfinger eine Chance haben. Aber auch organisatorische Maßnahmen müssen getroffen werden. Ein Briefkasten sollte regelmäßig – wenn erforderlich sogar mehrmals täglich – geleert werden. Er darf nicht überquellen. Für den Fall, dass der für die Post zuständige Beschäftigte mal im Urlaub weilt oder erkrankt, sind Vertretungsregelungen zu treffen.

Die jeweilige Stelle muss dafür Sorge tragen, dass das Verfahren für die Postzustellung und die Vorgaben an den Briefkasten datenschutzkonform umgesetzt sind – dann lassen sich hoffentlich Datenpannen in diesem Bereich vermeiden.

 

4.5.13    Unbefugter Zugriff von Mitarbeitern auf Patientendaten (von Kollegen)

Gelegenheit macht Diebe. Und manchmal ist der Kollege der (Daten-)Dieb.

Im letzten Jahr wurden uns einige Fälle gemeldet, in denen Beschäftigte von Kliniken auf Patientendaten von Kolleginnen oder Kollegen zugegriffen haben, obwohl diese gar nicht in die Behandlung eingebunden waren. Oft ist es nur Neugier, manchmal steckt aber auch böse Absicht dahinter.

So wurde uns u. a. berichtet, dass eine Mitarbeiterin, die ihr Freiwilliges Soziales Jahr in einer Klinik ableistete, einen nicht gesicherten Computer nutzte, um Patientenunterlagen einer Kollegin zu fotografieren und in eine WhatsApp-Gruppe einzustellen. Sie drohte der Kollegin damit, diese bloßzustellen. Die Klinikleitung stellte die Mitarbeiterin mit sofortiger Wirkung von der Arbeit frei.

Allein im letzten Jahr mussten wir in drei großen Kliniken in Schleswig-Holstein feststellen, dass den dort tätigen Beschäftigten ein unbegrenzter Zugriff auf digitale Patientendaten eingeräumt wurde. Beschäftigte der Verwaltung, der Pflege und auch jede Ärztin und jeder Arzt konnten – ohne dass sie in die Behandlung eingebunden waren – die Patientenakten ihrer Vorgesetzten und der Kolleginnen und Kollegen lesen. Oft war es nur ehrliche Anteilnahme, die dazu verleitete, sich per Computer die Patientenakten von Kolleginnen oder Kollegen anzuschauen. Manchmal wurden die Informationen aber auch genutzt, um zu tratschen oder Mitarbeiterinnen und Mitarbeiter zu diffamieren. Betroffene beschwerten sich offiziell bei der Klinikleitung und auch bei uns.

Eine Kontrolle, ob Beschäftigte unbefugt auf die Patientenakte einer Kollegin oder eines Kollegen zugegriffen haben, ist nur möglich, wenn eine Protokollierung nicht nur der schreibenden, sondern auch der lesenden Zugriffe erfolgt. Aber eine solche Protokollierung war nicht in allen Kliniken umgesetzt.

Im Rahmen unserer Abhilfebefugnisse wurden die Kliniken daher aufgefordert:

  • zu prüfen, welche Beschäftigten zu welchem Zweck wann und in welchem Umfang Zugang zu den Daten welcher Patientinnen und Patienten haben müssen, und auf dieser Grundlage ein entsprechendes Berechtigungskonzept zu erstellen,
  • befugte wie unbefugte lesende Zugriffe auf digitale Patientendaten zu protokollieren und
  • in einem Protokollierungskonzept festzulegen, wie lange diese Protokolldaten aufzubewahren sind und wann und zu welchem Zweck sie von welchen Personen ausgewertet werden.

Das Fehlen eines ausreichenden Berechtigungskonzepts, die Vergabe von unbegrenzten Zugriffsmöglichkeiten auf digitale Patientendaten sowie das Fehlen einer Protokollierung und eines zugehörigen Konzepts wird regelhaft als datenschutzrechtlicher Verstoß gewertet und kann mit einer Geldbuße geahndet werden.

Detaillierte Hinweise zur Gestaltung eines Berechtigungs- bzw. Protokollierungskonzepts in einem Krankenhaus sind in der „OH KIS – Orientierungshilfe Krankenhausinformationssysteme“ der Datenschutzaufsichtsbehörden des Bundes und der Länder unter dem folgenden Link abrufbar:

https://www.datenschutzzentrum.de/artikel/1107-OH-KIS-Orientierungshilfe-Krankenhausinformationssysteme.html
Kurzlink: https://uldsh.de/ohkis

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel