Health Care Management
Datenschutz
Persönlichkeits- und Datenschutz als technisches, organisatorisches und ethisches Problem
MATTHIAS JASTER
Das grundgesetzlich geschützte informationelle Selbstbestimmungsrecht ist ein persönliches Gut sehr hohen Ranges. Die effektive Gewährleistung des Datenschutzes stellt dabei eine grundlegende Verpflichtung und in einer zunehmend digitalisierten Gesellschaft auch tägliche Herausforderung für jede Daten verarbeitende Stelle dar. Gerade in einer medizinischen Einrichtung ist der Schutzbedarf deutlich erhöht, da es hier um Gesundheitsdaten geht, denen durchweg eine besondere Sensibilität innewohnt. Jeder Fehler im Umgang mit Daten kann nicht nur zu aufsichtsbehördlichen Maßnahmen bis hin zu Bußgeldern, sondern auch zu strafrechtlichen Sanktionen gemäß § 203 StGB führen. Datenschutz ist somit eine wichtige Verpflichtung; gleichzeitig sollten die Verantwortlichen aber auch die darin liegende Chance nutzen, sich durch einen erfolgreichen Datenschutz einen Standortvorteil zu erarbeiten und ihren Patienten dadurch eine höchstmögliche Sicherheit im Umgang mit deren Daten zu gewährleisten.
Datenschutzrechtliche Grundlagen
Mit seinem wegweisenden Urteil vom 15.12.1983 – dem Volkszählungsurteil – hat das Bundesverfassungsgericht den Grundstein für den grundgesetzlichen Schutz personenbezogener Daten gelegt. Es entschied im 1. Leitsatz:
„Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Bundesverfassungsgericht (Urteil vom 15.12.1983, BVerfGE 65, 1 – Volkszählung)
Das Recht eines jeden Einzelnen, selber entscheiden zu können, wer wann welche Informationen über ihn erhalten darf, ist als Bestandteil des grundgesetzlich geschützten allgemeinen Persönlichkeitsrechts anerkannt (das Recht auf informationelle Selbstbestimmung). Dieses Recht leitet sich aber nicht bloß aus einer einfach-gesetzlichen Regelung ab; der Schutz des Einzelnen geht vielmehr unmittelbar auf die Verfassung und den in ihr verankerten Grundrechtsschutz zurück. Allerdings gilt auch dieser Grundrechtsschutz nicht uneingeschränkt, wie das Bundesverfassungsgericht in seinem o.g. Urteil weiter im 2. Leitsatz entschied:
„Einschränkungen dieses Rechts auf ‚informationelle Selbstbestimmung‘ sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muß. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken.“ Bundesverfassungsgericht (Urteil vom 15.12.1983, BVerfGE 65, 1 – Volkszählung)
Jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten greift somit in dieses Grundrecht auf informationelle Selbstbestimmung ein. Ein solcher Eingriff kann aber gerechtfertigt sein aufgrund einer gesetzlichen Regelung oder durch eine (selbstbestimmte) Einwilligung des Betroffenen, die in der Regel schriftlich erteilt werden muss. Es gilt somit:
Das informationelle Selbstbestimmungsrecht stellt ein grundsätzlichesVerbot mit Erlaubnisvorbehalt dar, personenbezogene Daten zu erhe-ben, zu verarbeiten oder zu nutzen.
Datenschutz und berufsrechtliche Verschwiegenheitspflicht
Einfachgesetzlich finden sich Regelungen zum Datenschutz einerseits in unterschiedlichen spezialgesetzlichen Regelungen (z.B. Krankenhausgesetze der Länder) und andererseits grundlegend im Bundesdatenschutzgesetz bzw. den Datenschutzgesetzen der Länder; seit dem 24.10.1995 kommt die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie) hinzu. Mitte 2018 wird schließlich die Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) in Kraft treten. In dieselbe Schutzrichtung führt auch die berufsrechtliche Verschwiegenheitspflicht, wie sie exemplarisch in § 9 der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte niedergeschrieben ist. Berufsrecht und Datenschutzrecht stehen dabei selbständig nebeneinander; die Anforderungen beider Rechtsmaterien müssen beachtet und eingehalten werden.
Sowohl Datenschutz als auch berufsrechtliche Verschwiegenheitsverpflichtung müssen parallel beachtet werden.
Grundsatz der Erforderlichkeit
Ein wichtiges datenschutzrechtliches Prinzip ist der Grundsatz der Erforderlichkeit; eine Datenerhebung, -verarbeitung oder -nutzung darf sich – vorbehaltlich der jeweiligen konkreten rechtlichen Anforderungen – grundsätzlich zunächst einmal nur auf die für die Behandlung erforderlichen Daten beziehen. Dieser ebenfalls aus dem Verfassungsrang des informationellen Selbstbestimmungsrechts hergeleitete Grundsatz der Erforderlichkeit findet sich auch in den Krankenhausgesetzen vieler Länder sowie grundlegend in den einschlägigen allgemeinen datenschutzrechtlichen Gesetzen.
Auf der Grundlage datenschutzrechtlicher Erlaubnisnormen können nur diejenigen Informationen erhoben, verarbeitet und genutzt werden, die für die Erfüllung der Aufgabe erforderlich sind.
Die zentrale Notaufnahme
Während sich z.B. auf den einzelnen, zumeist fachspezifisch organisierten Stationen eines Krankenhauses die Zugriffsberechtigungen der dortigen Mitarbeiter auf die Daten der Patienten auf dieser Station beschränken dürften, ist die zentrale Notaufnahme interdisziplinär organisiert. Die der zentralen Notaufnahme zugeordneten Mitarbeiter behandeln Patienten mit ganz unterschiedlichen Beschwerden. Hinzu kommt, dass die zentrale Notaufnahme oftmals der erste Anlaufpunkt für Patienten ist, sodass – anders als z.B. im OP-Bereich – nicht schon auf Daten zu diesem Behandlungsfall zurückgegriffen werden kann. Datenschutzrechtlich geht es somit um die Frage der Zulässigkeit der Datenerhebung, der weiteren Datenverarbeitung und um die Ausgestaltung vor allem auch eines organisatorischen Schutzes der Privatsphäre.
Datenerhebung
Aus dem Grundsatz der Erforderlichkeit ergibt sich, dass grundsätzlich diejenigen Daten erhoben werden dürfen, die für die Erfüllung der Aufgaben erforderlich sind. Dementsprechend sehen auch die Landeskrankenhausgesetze vor bzw. ist den allgemeinen Datenschutzgesetzen zu entnehmen, dass beim Patienten Daten erhoben werden dürfen, soweit dies mit der Behandlung des Patienten im Zusammenhang steht. Datenschutzrechtlich stellt es somit kein Problem dar, den Patienten nach ihn betreffenden und für die Behandlung erforderlichen Informationen zu befragen.
Liegen Hinweise vor, dass der Patient sich in der Vergangenheit bereits im Krankenhaus aufgehalten hat, stellt sich die Frage, ob auf diese Vorbehandlungsdaten zugegriffen werden darf. In Teil I Ziffer 8 der Orientierungshilfe Krankenhausinformationssysteme der Datenschutzbeauftragten des Bundes und der Länder (März 2014) heißt es zu solchen Daten:
„Der Zugriff auf Vorbehandlungsdaten ist nur soweit zulässig, wie das Landeskrankenhausrecht dies gestattet. Ein Widerspruch des Patienten gegen diesen Zugriff ist zu berücksichtigen.“
Hier muss somit sichergestellt sein, dass gesetzliche Anforderungen beachtet werden bzw. der Wille des Patienten auch insoweit respektiert wird.
Weitere Datenverarbeitung
Nachdem der Patient die zentrale Notaufnahme durchlaufen hat, schließt sich ggf. eine stationäre Behandlung an. Die bisher in der Notaufnahme angefallenen Informationen sind dann für die weitere Behandlung von grundlegender Bedeutung.
Wichtig in diesem Zusammenhang ist, dass einerseits das Krankenhaus die Infrastruktur schaffen muss, damit die Daten der zentralen Notaufnahme an die weiterbehandelnden Einheiten gelangen können, hierbei andererseits aber wiederum der Grundsatz der Erforderlichkeit Berücksichtigung findet. Teil I Ziffer 7 der Orientierungshilfe Krankenhausinformationssysteme der Datenschutzbeauftragten des Bundesund der Länder (März 2014) legt insoweit fest:
„Der Zugriff auf die medizinischen und Pflege-Daten ist nach seiner Erforderlichkeit für die persönliche Aufgabenerfüllung der Beschäftigten auszudifferenzieren. Kriterien zur Differenzierung sind zumindest die Stellung der Beschäftigten im Krankenhaus und die ihnen zugewiesenen fachlichen Aufgaben.“
Während bei einer papiergebundenen Dokumentation diese patientenindividuelle Beschränkung durch die Übergabe der Dokumentation an die jeweils zuständige Station oder den OP-Bereich realisiert werden kann, sind bei einer zunehmend üblichen elektronischen Patientenakte technische Maßnahmen ( z.B. ein Zugriffsberechtigungskonzept) zu ergreifen, die die Zugriffsmöglichkeiten Unbefugter ausschließen.
Schutzmaßnahmen
Schließlich ist die zentrale Notaufnahme auch organisatorisch so zu gestalten, dass das informationelle Selbstbestimmungsrecht eines jeden Patienten geschützt wird. Hier führen bereits vergleichsweise einfache Maßnahmen zu einer Realisierung des Datenschutzes. Wartebereiche sind z.B. so zu entwerfen, dass den Wartenden nicht die gesundheitlichen Informationen eines neuen Patienten zur Kenntnis gelangen, ein Mithören also verhindert wird. Auch ist darauf zu achten, dass in den einzelnen Behandlungsräumen keine Daten vorausgehender Patienten den Blicken der nachfolgenden Patienten zugänglich sind; hier sind Schutzmaßnahmen wie z.B. verschließbare Rollcontainer, Schränke oder sonstige Sicherungsmaßnahmen erforderlich.
Literatur
Arbeitskreise Gesundheit und Soziales sowie Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (2014) Orientierungshilfe Krankenhausinformationssysteme der Datenschutzbeauftragten des Bundes und der Länder. URL: https://www.datenschutz-hamburg.de/uploads/media/Orientierungshilfe_Krankenhausinformationssysteme_2.Fassung.pdf (abgerufen am 07.04.2016)
Bundesverfassungsgericht (Urteil vom 15.12.1983, BVerfGE 65, 1 – Volkszählung) 1 BvR 209, 269, 362, 420,440, 484/83
Auszug aus der Neuauflage von "Das ZNA-Buch"
Bild: © fotolia/sudok1
