4.5         Schutz des Patientengehimnisses

4.5.1       WhatsApp und private Smartphones bei Pflegediensten

Die Beschäftigten eines ambulanten Pflegedienstes sind viel unterwegs. Ein Tourenplan gibt vor, welche Pflegebedürftigen wann welche Pflegeleistungen benötigen. Während die Beschäftigten von Wohnung zu Wohnung fahren, müssen sie trotzdem für die Pflegedienstleitung jederzeit erreichbar sein. Es könnten sich z. B. kurzfristig Änderungen im Tourenplan ergeben, weil Kollegen ausfallen. Auch die Beschäftigten müssen untereinander ihre Einsätze koordinieren.

Was liegt da näher, als WhatsApp oder einen vergleichbaren Messengerdienst zu nutzen? Ein (privates) Smartphone hat heutzutage ja fast jeder. Eine WhatsApp-Gruppe für alle Beschäftigten ist einfach eingerichtet, und schon können Informationen schnell untereinander ausgetauscht werden. Schnell ja, aber nicht sicher. Wenn Patientendaten auf diesem Weg übermittelt werden, besteht eine große Gefahr für das Patientengeheimnis.

Pflegedienste müssen bei der Übermittlung von personenbezogenen Daten, sei es von Patientinnen und Patienten oder Beschäftigten, geeignete technische wie organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die Rechte und Freiheiten der natürlichen Personen zu gewährleisten. Dies gilt gerade und insbesondere wenn sensible Gesundheitsdaten übermittelt werden sollen. In dem White Paper der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder finden sich Ausführungen zu den „Technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich“:

https://www.datenschutzkonferenz-online.de/media/oh/20191106_whitepaper_messenger_krankenhaus_dsk.pdf
Kurzlink: https://uldsh.de/tb43-4-5-1a

Bei Prüfungen mussten wir im letzten Jahr immer häufiger feststellen, dass diese Anforderungen nicht beachtet wurden. Nach entsprechender Beratung haben die Pflegedienste andere und sichere Wege für die Kommunikation genutzt.

Kleiner Funfact: Auf die Nutzung von WhatsApp für die Übermittlung von Patientendaten werden wir häufig durch Beschäftigte hingewiesen, die sich im Streit von ihren Arbeitgebern getrennt haben. Zum Beweis werden uns Screenshots von Nachrichten mit den Patientendaten gezeigt. Screenshots, von denen wir nur hoffen können, dass sie nicht in falsche Hände gelangen.

Was ist zu tun?
Pflegedienste müssen für den Austausch von Daten ihrer Beschäftigten und Pflegebedürftigen sichere Übermittlungswege nutzen. WhatsApp und vergleichbare Messengerdienste sind nicht die Lösung. Auch die Nutzung von privaten Smartphones stellt eine Gefahr für das Patientengeheimnis dar.

 

4.5.2       Auskunftsrecht gegenüber Gutachtern?

Wenn medizinische Sachverhalte bewertet werden müssen, beauftragen Sozialleistungsträger externe Gutachterinnen und Gutachter. Diese sollen auf der Grundlage eines schriftlichen Auftrages und der Unterlagen, die ihnen der Sozialleistungsträger übermittelt, ein ärztliches Gutachten erstellen. In einigen Fällen tauschen sich die externen Gutachterinnen bzw. Gutachter zudem mit den behandelnden Ärztinnen und Ärzten der betroffenen Personen über deren gesundheitliche Situation aus. Natürlich nur wenn die betroffenen Personen ihre Ärztinnen bzw. Ärzte von der Schweigepflicht entbunden haben. Auch eine persönliche Untersuchung ist möglich. Letztendlich erstellt die Gutachterin bzw. der Gutachter ein schriftliches Gutachten und übersendet dies dem Auftraggeber.

Gutachterinnen und Gutachter erhalten durch ihre Tätigkeit Kenntnis von einer Vielzahl von sensiblen Gesundheitsdaten der betroffenen Personen. Diese Daten werden gespeichert und übermittelt. Haben betroffene Personen ein Recht auf Auskunft bezüglich der zu ihrer Person verarbeiteten Daten gegenüber den Gutachterinnen bzw. Gutachtern? Die Datenschutz-Grundverordnung gibt eine klare Antwort. Ja!

Auch wenn die externen Gutachterinnen und Gutachter im Auftrag eines Sozialleistungsträgers tätig werden, so sind sie doch Verantwortliche im Sinne des Datenschutzrechtes. Sie können eigenverantwortlich über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der betroffenen Personen entscheiden. Der Auftraggeber mag die medizinische Fragestellung vorgeben, aber das Ergebnis der medizinischen Untersuchung kann er nicht vorgeben. Die Gutachterin bzw. der Gutachter entscheidet, welche Fragen gestellt bzw. welche Unterlagen benötigt werden, und sie oder er entscheidet auch, wie diese Informationen aus ihrer bzw. seiner Sicht zu bewerten sind. Auch wenn der Auftraggeber nicht an das Ergebnis der medizinischen Begutachtung gebunden ist, so kann dieser es nicht vorgeben.

Die Beauftragung einer externen Gutachterin bzw. eines externen Gutachters stellt keine Auftragsverarbeitung dar. Gegenstand des Gutachtenauftrages ist gerade nicht eine durch den Auftraggeber verbindlich vorgegebene Datenverarbeitung, sondern die medizinische Bewertung von Gesundheitsdaten einer betroffenen Person.

Betroffene Personen haben gegenüber den Verantwortlichen und damit auch gegenüber externen Gutachterinnen und externen Gutachtern ein Recht darauf, Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und sie haben, sofern dies der Fall ist, ein Recht darauf, Auskunft über diese personenbezogenen Daten zu verlangen.

Die externe Gutachterin bzw. der externe Gutachter kann eine Auskunft nicht mit dem Hinweis, dass die betroffene Person (auch) gegenüber dem auftraggebenden Sozialleistungsträger das Recht auf Auskunft habe, verweigern.

Was ist zu tun?
Externe Gutachterinnen und externe Gutachter müssen als Verantwortliche den betroffenen Personen eigenständig und eigenverantwortlich Auskunft über die zu deren Person verarbeiteten Daten erteilen.

 

4.5.3       Recht auf Berichtigung von Arztbriefen?

Ärztinnen und Ärzte dokumentieren medizinische Feststellungen u. a. in Arztbriefen, Entlassungs- oder Befundberichten. Mehr oder weniger detailliert können diese neben den Stammdaten der Patientin oder des Patienten auch Angaben zur Biografie, der Anamnese, über bereits gesicherte und vermutete Diagnosen und zu erfolgten und empfohlenen Behandlungen enthalten. Dies sind sensibelste Gesundheitsdaten, mithin besondere Kategorien schützenswerter Daten.

Andere Ärztinnen und Ärzte benötigen diese Unterlagen, um entscheiden zu können, wie die Patientin oder der Patient behandelt werden soll. Buchstäblich können diese Unterlagen und die darin enthaltenen Daten für den weiteren Lebens- oder Leidensweg der Patientinnen und Patienten entscheidend sein. Diese Unterlagen müssen daher aussagekräftig und vollständig sein. Und vor allen Dingen sollten diese Unterlagen keine unrichtigen Daten beinhalten.

Nur was ist, wenn Arzt und Patient sich nicht darin einig sind, ob die in den Arztbriefen enthaltenen Daten richtig sind? Was, wenn die Patientin oder der Patient der Einschätzung der Ärztin oder des Arztes z. B. bezüglich einer gestellten Diagnose nicht zustimmt? Hat die Patientin bzw. der Patient ein Recht auf Berichtigung?

Betroffene Personen haben das Recht, von den Verantwortlichen (und dazu gehören auch Arztpraxen) unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. So steht es in der Datenschutz-Grundverordnung. Die Daten müssen jedoch objektiv und nachweislich unrichtig sein. Dies ist z. B. der Fall, wenn Stammdaten wie der Name, die Anschrift oder das Geburtsdatum falsch wiedergegeben werden oder Angaben zu Vorbehandlungszeiten falsch sind.

Anders ist es hingegen, wenn persönliche Wahrnehmungen, Einschätzungen, Wertungen – und

hierzu gehören auch Diagnosen – der Ärztinnen und Ärzte bestritten werden. Selbst wenn eine Ärztin oder ein Arzt eine falsche Diagnose stellt, so können und müssen diese Daten in der Patientendokumentation verbleiben. Es besteht die Pflicht zur vollständigen Dokumentation der ärztlichen Behandlung. Alle Entscheidungen, auch falsche Entscheidungen, müssen dokumentiert werden, damit diese für die betroffenen Personen nachvollziehbar und nachprüfbar sind und bleiben. Die betroffenen Patientinnen und Patienten haben in diesem Fall jedoch unter Umständen ein Recht auf Einschränkung der Verarbeitung der bestrittenen Daten und die Möglichkeit zur Gegendarstellung.

Was ist zu tun?
Das Recht der Patientinnen und Patienten auf Berichtigung ihrer ärztlich dokumentierten Daten beschränkt sich regelhaft auf nachweislich unrichtige Daten. Bei den Aufzeichnungen der Ärztinnen und Ärzte über deren persönliche Wahrnehmungen und Einschätzungen haben Patientinnen und Patienten unter Umständen ein Recht auf Einschränkung der Verarbeitung und die Möglichkeit zur Gegendarstellung.

 

4.5.4       (Wiederholte) Versendung von Entlassungsberichten gegen den Willen der Patientin – das wird teuer!

Wenn ein Krankenhaus einen Entlassungsbericht an einen Hausarzt übersenden möchte, dann bedarf es hierfür einer Einwilligung (Schweigepflichtentbindung) von dem Patienten. Bei der Aufnahme werden Patientinnen und Patienten daher gefragt, ob sie damit einverstanden sind, dass ihr Hausarzt einen Entlassungsbericht erhält. Sagt der Patient ja, ist alles ok und der Versand kann erfolgen. Sagt er jedoch nein, dann darf der Entlassungsbericht nicht an den Hausarzt übersandt werden. Eigentlich ganz einfach, oder? Anscheinend aber nicht.

Obwohl Krankenhäuser Aufnahmeverträge bzw. Aufnahmeunterlagen verwenden, die diese Abfrage vorsehen, schildern uns Patientinnen und Patienten immer wieder, dass ein Entlassungsbericht versandt wurde, ohne dass sie vorher gefragt bzw. informiert wurden oder dass sie sogar vorher ausdrücklich einem Versand widersprochen hätten. Ein Dauerbrenner bei den Beschwerden.

Ein besonderer Fall machte uns im letzten Jahr beinahe sprachlos. Bereits 2019 beschwerte sich eine Patientin darüber, dass ihr Hausarzt einen Entlassungsbericht der Klinik erhalten hatte, obwohl sie nicht ihre Einwilligung erteilt hatte. Wir leiteten ein Verwaltungsverfahren der Datenschutzaufsicht ein und erteilten der Klinik einen formellen Hinweis. Die Klinik zeigte sich einsichtig und versprach zukünftig den Willen der Patientin zu beachten. Im Krankenhausinformationssystem (KIS) wurde in der Patientenakte ein Sperrvermerk aufgenommen. 2021 beschwerte sich die Patientin erneut über die Klinik. Wieder war ein Entlassungsbericht mit sensiblen Daten an den Hausarzt geschickt worden. Diesmal sprachen wir sogar eine Verwarnung aus. Die Beschwerdeführerin berichtete uns zudem, dass sie sich mit der Klinik außergerichtlich verglichen habe. Ein Schadensersatz in vierstelliger Höhe sei gezahlt worden.

Man glaubt es kaum, aber bei einem weiteren Klinikaufenthalt im Jahr 2024 wurde wiederum ein Entlassungsbericht von der Klinik an den Hausarzt geschickt. Die Beschwerdeführerin war fassungslos. Wir auch.

Unzählige Male hatte die Patientin nunmehr schriftlich und mündlich allen möglichen Personen im Krankenhaus mitgeteilt, dass ihr Hausarzt keine Informationen über die Krankenhausaufenthalte bekommen soll. Was sollte sie denn noch machen, damit das Krankenhaus ihren Willen beachtet und sich an die datenschutzrechtlichen Vorschriften hält? Wir haben jeden-
falls erneut eine Verwarnung ausgesprochen. Die Beschwerdeführerin wird unsere Bewertung zu nutzen wissen. Und wir sind gespannt, wie viel Schadensersatz die Klinik diesmal der Patientin zahlen wird.

Was ist zu tun?
Krankenhäuser und Kliniken müssen beachten, dass Entlassungsberichte grundsätzlich nur dann an die Hausärzte der Patientinnen und Patienten übermittelt werden, wenn diese zuvor hierfür ihre Einwilligung erteilt haben. Diese Einwilligung (Schweigepflichtentbindung) sollte in der Patientenakte dokumentiert werden.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel