Оглавление
Andrea Hauser. Datenschutz im Krankenhaus
Haftungsausschluss:
Inhalt
Vorwort
Abkürzungsverzeichnis
I Grundlagen
1 Das informationelle Selbstbestimmungsrecht – Historie
2 Hintergrund und Ziele zur DS-GVO
3 Besondere Bedeutung der Patientendaten im Krankenhaus
II Zentraler Grundsatz der Verarbeitung
1 Verbot mit Erlaubnisvorbehalt gem. DS-GVO
2 »Verarbeitung« als neuer Oberbegriff
3 Verhältnis zwischen ärztlicher Schweigepflicht und Datenschutz
III Datenschutznormen/-regelungen
1 Übersicht über die Regelungen
2 EU Datenschutz-Grundverordnung (DS-GVO)
2.1 Persönlicher Anwendungsbereich
2.2 Kirchliche Krankenhausträger
2.2.1 Verhältnis DSG-EKD/KDG zur DS-GVO
2.2.2 Praxis-Tipp: evangelische Musterformulare
2.3 Sachlicher Anwendungsbereich
2.4 Besondere Datenkategorien (Gesundheitsdaten)
2.5 Fazit zur Zulässigkeit der Verarbeitung von Gesundheitsdaten unter der DS-GVO
3 Bundesdatenschutzgesetz (BDSG)
4 Fazit zur DS-GVO und zum BDSG als Befugnisnormen
Grenzfälle im Krankenhausbereich
5 Bereichsspezifische Bundesregelungen
6 Landesrechtliche Regelungen
6.1 Landeskrankenhausgesetze
6.2 Bereichsspezifische Landesregelungen
6.3 Landesdatenschutzgesetze (LDSG)
Anwendungsbereich LDSG
Fazit zum Anwendungsbereich der LDSG
7 Übersicht: Anwendbarkeit Gesetz je nach Trägerschaft
8 Auflistungen vorhandener Befugnisnormen speziell für Krankenhäuser
IV Einwilligungen
1 Einsichtsfähigkeit
2 Kirchliche Krankenhausträger
3 Hintergrund – »besonders sensible Daten«
4 Gesetzliche Grundlagen
5 Verbot mit Erlaubnisvorbehalt, Art. 9 DS-GVO
6 Sanktionen
7 Weitergeltung bereits eingeholter Einwilligungserklärungen
8 Anforderungen insgesamt – Checkliste
V Ärztliche Schweigepflicht. 1 Allgemeines
2 Grundlagen der Verschwiegenheitspflicht
3 Tatbestandsvoraussetzungen des § 203 StGB. 3.1 Geschütztes Rechtsgut
3.2 Täterkreis. 3.2.1 Täterkatalog des § 203 StGB
3.2.2 Exkurs: Zählt das gesamte Verwaltungspersonal ebenfalls zum Täterkreis?
3.2.3 Welche Berufsgruppen sind keine ärztlichen Gehilfen?
3.2.4 Neuregelungen zur strafrechtlichen Verpflichtung
3.2.4.1 Inhalt der Gesetzesänderung
3.2.4.2 Sonstige mitwirkende Person
3.2.4.3 Rechtsfolgen der Gesetzesänderung
3.2.4.4 Mögliche Fallgestaltungen des Einsatzes sonstiger mitwirkender Personen
3.2.4.5 Umsetzungsmöglichkeiten für die Verpflichtung nach § 203 StGB
3.2.4.6 Zuständigkeit für die Verpflichtung
3.2.4.7 Erfüllung des Tatbestandsmerkmals des »dafür Sorge Tragens«
3.2.4.8 Datenschutzrechtliche Verpflichtung nach Art. 28 DS-GVO
3.2.4.9 Umsetzung der Verpflichtungen – verbändeübergreifende Muster
3.3 Fremdes Geheimnis
3.4 Kenntnis im Rahmen der ärztlichen Funktion
3.5 Unbefugtes Offenbaren
4 Gesetzliche Offenbarungsbefugnisse oder -verpflichtungen
5 Einwilligung des Patienten
6 Wahrnehmung berechtigter Interessen
7 Rechtfertigender Notstand
8 Verhalten bei Verdacht auf Straftaten
8.1 Berechtigung zur Anzeige
8.2 Pflicht zur Anzeige
8.2.1 Garantenstellung
8.2.2 Nichtanzeige geplanter Straftaten
9 Verhalten bei Verdacht auf Kindesmisshandlung
9.1 Schwerwiegende lebensbedrohliche Verletzungen
9.2 Feststellung aktueller und älterer Verletzungen
9.3 »Typischer Spielunfall«
9.4 Bundeskinderschutzgesetz
9.5 Mitteilungspflichten gegenüber den Krankenkassen
9.6 Rechtliche Grundlage für eine Einschaltung des Jugendamtes
9.7 Rechtliche Grundlage für eine Einschaltung der Polizei
9.7.1 Notstandslage
9.7.2 Wiederholungsgefahr
9.8 Inhalt der Anzeige
9.9 Dokumentation
VI Durch die DS-GVO bedingte Änderungen
Inkrafttreten
Unmittelbare Geltung
Hintergründe
Inhalte
1 Informationspflichten gegenüber Patienten im Krankenhausbereich auf der Grundlage der Art. 12 ff. DS-GVO
1.1 Kirchliche Krankenhausträger
1.2 Rechtliche Grundlagen
1.3 Hintergrund
1.4 Zeitpunkt der Information
1.5 Form und Darstellung der Information170
Verfahrensablauf/Prozessbeschreibung
1.6 Notwendige Informationen im Einzelnen
1.6.1 Informationspflichten gem. Art. 13 Abs. 1 DS-GVO / § 17 Abs. 1 DSG-EKD / § 15 Abs. 1 KDG
1.6.2 Informationspflichten gem. Art. 13 Abs. 2 DS-GVO / § 17 Abs. 2 DSG-KDG / § 15 Abs. 2 KDG:
1.6.3 Informationspflichten gem. Art. 14 DS-GVO / § 18 DSG-EKD / § 16 KDG
1.7 Mögliche Ausnahmen von der Informationspflicht?
1.8 Verstöße und Sanktionen gegen die Informationspflicht
1.9 Stationärer Bereich – Musterformulierung
1.10 Institutsambulanzen/MVZ– Musterformulierung
2 Auskunftsrecht gemäß Art. 15 DS-GVO
2.1 Kirchliche Krankenhausträger
2.2 Rechtslage vor Geltungsbeginn der DS-GVO
2.3 Informationspflichten vs. Auskunftsrecht
2.4 Stufen des Auskunftsrechts
1. Stufe: »ob überhaupt«
2. Stufe: »welche personenbezogenen Daten«
3. Stufe: »weitere Informationen, Katalog aus Art. 15 Abs. 1 DS-GVO / § 17 Abs. 1 KDG«
4. Stufe: Sofern einschlägig – »Drittland«, Art. 15 Abs. 2 DS-GVO / § 17 Abs. 2 KDG
2.5 Antragstellung formlos, ohne Angabe eines Grundes
2.6 Frist für die Auskunftserteilung
2.7 Ausnahmen vom Auskunftsrecht
2.8 Beachtung Rechte Dritter
2.9 Grenzen des Auskunftsrechts230
Fazit zu den Grenzen des Auskunftsrechts
2.10 Form der Auskunftserteilung
Fazit zur Form der Auskunftserteilung
2.11 Umsetzung im Krankenhausbereich
1. Schritt: Verifizierung der Identität
2. Schritt: Prüfung, worauf genau sich das Auskunftsersuchen bezieht
3. Schritt: Nachfragen, um das Auskunftsersuchen zu präzisieren
4. Schritt/Alternative: Erfüllung durch Datenkopie / Anspruch auf Datenkopie
5. Schritt: Ergänzende Informationen
2.12 Kosten
Beachte bzgl. Kopier-/Vervielfältigungs-Kosten für Patientenakten
2.13 Rechtsfolgen bei Verstoß
3 Recht auf Löschung / Recht auf »Vergessenwerden« gemäß Art. 17 DS-GVO / § 21 DSG-EKD / § 19 KDG
3.1 Pflicht zur Löschung personenbezogener Daten
3.1.1 Recht auf Löschung gemäß Art. 17 Abs. 1a DS-GVO / § 21 Abs. 1 Nr. 2 DSG-EKD / § 19 Abs. 1a KDG – Daten zur Zweckerfüllung nicht mehr notwendig/erforderlich
3.1.2 Recht auf Löschung gemäß Art. 17 Abs. 1b DS-GVO / § 21 Abs. 1 Nr. 3 DSG-EKD / § 19 Abs. 1b KDG – Widerruf der Einwilligung
3.1.3 Recht auf Löschung gemäß Art. 17 Abs. 1c DS-GVO / § 21 Abs. 1 Nr. 4 DSG-EKD / § 19 Abs. 1c KDG – Widerspruch gegen die Verarbeitung
3.1.4 Recht auf Löschung gemäß Art. 17 Absatz 1d DS-GVO / § 21 Abs. 1 Nr. 1 DSG-EKD / § 19 Abs. 1d KDG – unrechtmäßige Verarbeitung / unzulässige Speicherung
3.1.5 Recht auf Löschung gemäß Art. 17 Absatz 1e DS-GVO / § 21 Abs. 1 Nr. 5 DSG-EKD / § 19 Abs. 1e KDG – rechtliche Verpflichtung zur Löschung
3.2 Pflicht zur Löschung nicht nur auf Verlangen des Betroffenen
3.3 Ausnahmen von der Pflicht zur Löschung gemäß Art. 17 Abs. 3 DS-GVO / § 21 Abs. 3 DSG-EKD / § 19 Abs. 3 KDG
3.4 Beschränkung des Löschungsanspruchs nach § 35 BDSG neue Fassung
3.5 Kirchliche Besonderheiten
3.6 Fazit
3.7 Nachberichtspflichten gemäß Art. 19 DS-GVO / § 23 DSG-EKD / § 21 KDG
3.8 Recht auf »Vergessenwerden« gemäß Art. 17 Abs. 2 DS-GVO / § 21 Abs. 2 DSG-EKD / § 19 Abs. 2 KDG
3.9 Sanktionen
4 Recht auf Datenübertragbarkeit gem. Art. 20 DS-GVO
4.1 Kirchliche Krankenhausträger
4.2 Entstehungsgeschichte und Ziele
4.3 Anwendungsbereich und Sinn und Zweck
4.4 Bereichsausnahme
4.5 Fazit
5 Widerspruchsrecht gemäß Art. 21 DS-GVO / § 25 DSG-EKD / § 23 KDG
5.1 Widerspruch gegen Verarbeitungen zur Wahrnehmung öffentlicher Aufgaben oder zur Wahrung berechtigter Interessen (Art. 21 Abs. 1 DS-GVO)
5.1.1 Verarbeitungen zur Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen (Art. 6 Abs. 1e DS-GVO)
5.1.2 Verarbeitungen zur Wahrung berechtigter Interessen (Art. 6 Abs. 1f DS-GVO)
5.1.3 Besondere Situation der betroffenen Person als Grund für Widerspruch
5.1.4 Gründe für Datenverarbeitung trotz Widerspruchs
Überwiegende, zwingende, schutzwürdige Gründe des Verantwortlichen
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
5.2 Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 und 3 DS-GVO)
5.3 Widerspruch gegen Verarbeitungen zu Forschungszwecken (Art. 21 Abs. 6 DS-GVO)
5.4 Pflicht zum Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DS-GVO (Art. 21 Abs. 4 DS-GVO)
5.5 Sanktionen
5.6 Kirchliche Besonderheiten
6 Verarbeitung von personenbezogenen Daten zu einem anderen Zweck
6.1 Zulässigkeit der Weiterverarbeitung zu einem anderen Zweck
6.1.1 Weiterverarbeitung zu einem anderen Zweck erlaubt wegen Rechtsgrundlage oder Einwilligung (Art. 6 Abs. 4 DS-GVO)
6.1.2 Weiterverarbeitung zu einem anderen Zweck erlaubt wegen Vereinbarkeit der Verarbeitungszwecke (Art. 6 Abs. 4 DS-GVO)
6.1.3 Verarbeitung zu anderen Zwecken gemäß §§ 23, 24 BDSG neue Fassung
6.1.4 Rechtmäßige Zweckänderungen nach kirchlichem Recht
6.1.5 Dokumentation von Zweckänderungen
6.2 Informationspflichten bei einer Weiterverarbeitung zu einem anderen Zweck
6.2.1 Wann liegt eine Zweckänderung bei der Verarbeitung vor?
Mehrere Verarbeitungszwecke möglich
Bestimmtheit der Zweckfestlegung
6.2.2 Informationspflichten bei Vorliegen einer Zweckänderung
Zeitpunkt und Inhalt der Information
Beispiele für Zweckänderungen im Krankenhaus
Ausnahmen von der Informationspflicht
6.2.3 Informationspflichten: Exkurs »Forschung«
6.2.4 Sanktionen bei Verletzung der Informationspflichten
6.2.5 Ergebnis
7 Rechenschaftspflicht gem. Art. 5 Abs. 2 DS-GVO
7.1 Kirchliche Krankenhausträger
7.2 Verantwortlichkeit
7.3 Einzuhaltende Grundsätze gem. Art. 5 Abs. 1 DS-GVO
7.4 Für wen wird die Rechenschaftspflicht statuiert? Beweislast?
7.5 Zeitpunkt und Dauer der Nachweisbarkeit?
7.6 Sanktionen
7.7 Umsetzbarkeit im Krankenhausbereich
7.7.1 Konkretisierung des Grundsatzes der Rechenschaftspflicht – weltlich. Konkretisierung des Grundsatzes der Rechenschaftspflicht, Art. 24 Abs. 1 S. 1 DS-GVO400
Nachweis der Einhaltung der DS-GVO, Erwägungsgrund 78, Satz 2
Nachweis der Erfüllung der Pflichten des Verantwortlichen, Art. 24 Abs. 3 DS-GVO
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
Datenschutzfolgenabschätzung gem. Art. 35 Abs. 7 DS-GVO
7.7.2 Konkretisierung des Grundsatzes der Rechenschaftspflicht – kirchlich
7.8 Zwischenfazit
7.9 Datenschutzkonzept – Beispiel
8 Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO / § 31 DSG-EKD / § 31 KDG
8.1 Inhalte des Verzeichnisses (Art. 30 Abs. 1 DS-GVO)
8.2 Unterschiede zwischen früherem Verfahrensverzeichnis nach BDSG und jetzigem Verzeichnis von Verarbeitungstätigkeiten nach der DS-GVO
8.3 Befreiung von der Verzeichnispflicht (Art. 30 Abs. 5 DS-GVO)
8.4 Sanktionen
8.5 Kirchliche Besonderheiten
8.6 Konkrete Darstellung einzelner Verarbeitungstätigkeiten im Verzeichnis
8.7 Ergebnis
9 Informationspflichten bei Datenschutzverletzungen
9.1 Meldepflicht gegenüber den Aufsichtsbehörden (Art. 33 DS-GVO / § 32 DSG-EKD / § 33 KDG)
9.1.1 Meldepflichtige Ereignisse
9.1.2 Zuständige Aufsichtsbehörde
9.1.3 Meldefrist
9.1.4 Inhalt und Form der Meldung
9.1.5 Dokumentationspflichten
9.1.6 Unterstützungspflicht des Auftragsverarbeiters
9.1.7 Sanktionen
9.1.8 Checkliste
Liegen Anhaltspunkte für eine Verletzung des Schutzes personenbezogener Daten vor?
Besteht dadurch ein Risiko / eine Gefahr für die Rechte und Freiheiten natürlicher Personen?
Dokumentation gemäß Art. 33 Abs. 5 DS-GVO / § 32 Abs. 5 DSG-EKD / § 33 Abs. 5 KDG durchführen
9.2 Meldepflicht gegenüber der betroffenen Person (Art. 34 DS-GVO / § 33 DSG-EKD / § 34 KDG)
9.2.1 Benachrichtigungspflichtige Ereignisse
9.2.2 Meldefrist
9.2.3 Inhalt und Form der Meldung
9.2.4 Ausnahmen von der Benachrichtigungspflicht
Geeignete technisch-organisatorische Sicherheitsvorkehrungen
Nachträgliche Maßnahmen des Verantwortlichen zur Risikominimierung
Öffentliche Bekanntmachung anstelle der Benachrichtigung
Ausnahme gemäß § 29 Abs. 1 Satz 3 und 4 BDSG neue Fassung466
9.2.5 Befugnisse der Aufsichtsbehörden
9.2.6 Sanktionen
9.2.7 Checkliste
Liegen Anhaltspunkte für eine Verletzung des Schutzes personenbezogener Daten vor?
Besteht dadurch ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?
10 Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO / § 34 DSG-EKD / § 35 KDG
10.1 Pflicht zur Durchführung einer DSFA
10.2 Inhalt einer DSFA
Notwendigkeit einer DSFA bei etablierten Bestandsverfahren
Anwendbarkeit des Ausnahmetatbestands des Art. 35 Abs. 10 DS-GVO
Durchführung einer Risikoanalyse
10.3 Ausnahmetatbestand des Art. 35 Abs. 10 DS-GVO / § 34 Abs. 7 DSG-EKD / § 35 Abs. 9 KDG
10.4 Sanktionen
10.5 Verbändeübergreifende Praxishilfe
10.6 Positivlisten der Aufsichtsbehörden
Anonymisierung von besonderen Arten personenbezogener Daten, z. B. zu Forschungszwecken
Einsatz von telemedizinischen Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
Einsatz von Dienstleistern mit Sitz außerhalb der EU
Umfangreiche Verarbeitung von Daten, die einem Berufsgeheimnis unterliegen
11 Datenschutzerklärung auf der Homepage. 11.1 Rechtslage vor bzw. bis zum 25.05.2018
11.1.1 Inhalte der Datenschutzerklärung gemäß § 13 Abs. 1 TMG
Hinweis, dass Daten erhoben werden, und Nennung der konkreten Daten
Verwendung von »Cookies«
Einsatz von »Analyse-Tools«
Einsatz von »Tracking-Software«
Nutzung von »Social-Media-Plugins«
Kontaktformular und E-Mail-Kontakt
Newsletter-Abonnement
11.1.2 Zwischenergebnis
11.2 Rechtslage ab dem Geltungsbeginn der DS-GVO
11.2.1 Inhalt der weitergehenden Informationspflichten nach der DS-GVO
Kontaktdaten des Unternehmens als verantwortliche Stelle
Kontaktdaten des Datenschutzbeauftragten
Zwecke, zu denen personenbezogene Daten verarbeitet werden
Rechtsgrundlagen für die Datenverarbeitung
Berechtigte Interessen, die mit der Datenverarbeitung verfolgt werden
Ggf. Empfänger oder Dritte, an die erhobene Daten übermittelt werden
Ggf. die Absicht, die Daten ins Nicht-EU-Ausland zu übertragen, und das Vorhandensein oder Fehlen eines Datenschutzabkommens mit dem Zielland
Speicherdauer
Betroffenenrechte
Angabe der Möglichkeit des Widerrufs einer Einwilligung
Angabe des Bestehens eines Beschwerderechts
Verpflichtung zur Bereitstellung der Daten seitens des Betroffenen und Folgen der Nichtbereitstellung
Ggf. Bestehen einer automatisierten Entscheidungsfindung
Angabe der Kategorien personenbezogener Daten
Angabe, aus welcher Quelle die personenbezogenen Daten stammen
11.2.2 Form der Bereithaltung der weitergehenden Informationen nach der DS-GVO
11.3 Auswirkungen auf das »Impressum«
11.3.1 Allgemeine Angaben
11.3.2 Besondere Angaben
12 Konzernprivileg
13 Gemeinsame Verantwortlichkeit gemäß Art. 26 DS-GVO / § 29 DSG-EKD / § 28 KDG
14 Facebook-Fanpages
15 Bußgeldkatalog der Aufsichtsbehörden
VII Verwendung von Patientendaten innerhalb des Krankenhauses – Fallbeispiele. 1 Krankenhausverwaltung
1.1 Abrechnung erbrachter Leistungen
1.2 Bewertung und Abrechnung des Bereitschaftsdienstes
1.3 Allgemeine Organisations- und Kontrollzwecke
2 Behandlung im Team / Zuziehung weiterer Ärzte/Gehilfen des Arztes
3 Medizinprodukteberater
4 Postöffnung im Krankenhaus
5 Mitschneiden von Telefongesprächen
6 Videoüberwachung in nicht öffentlich zugänglichen Patientenzimmern
6.1 Allgemeine rechtliche Überlegungen
6.2 Medizinische/Ethische Argumente für und gegen Videoüberwachungen
Argumente gegen eine Videoüberwachung
Argumente für eine Videoüberwachung
6.3 Ausnahmeregelung in Nordrhein-Westfalen
6.4 Möglicher datenschutzrechtlicher Verstoß
6.5 Mögliche Verwirklichung des Straftatbestandes § 201a Abs. 1 StGB
6.6 Mögliche Grundrechtsverletzung
6.7 Fazit zu Videoüberwachungen
7 Aktive Benachrichtigung von Angehörigen
8 Auskunftan der Pforte / am Telefon
9 Auskunft über den Gesundheitszustand
10 Beschriftung von Zimmertür und Krankenbett
11 Patientenarmband
12 Mithören von Gesprächen zwischen Behandlungspersonal und Patienten durch Dritte
13 Auskunft über Mitpatienten
14 Auskunft über Ärzte und nichtärztliche Mitarbeiter
15 Einsichtnahmerecht des Patienten in die Krankenunterlagen
15.1 Rechtliche Grundlagen des Einsichtnahmerechtes des Patienten
15.2 Frühere Einschränkungen des Einsichtnahmerechts durch den BGH
15.2.1 Objektivierbare Befunde
15.2.2 Entgegenstehende therapeutische Gründe
15.3 Entscheidung des BVerfG zum Maßregelvollzug
15.4 Landesrechtliche Regelungen
15.5 Regelung in § 630g BGB auf Bundesebene
15.6 Vermittlung der Einsichtnahme durch einen Arzt
15.7 Praktischen Handhabung
15.8 Weitere Grenzen der Einsichtnahme
15.9 Keine Unterlagen über die interne Organisation
15.10 Verhältnis des Rechts auf Einsichtnahme gem. § 630g BGB und des Rechts auf Auskunft gem. Art. 15 DS-GVO
Hessischer Beauftragter für Datenschutz bestätigt
Bestätigung durch die Rechtsprechung
16 Herausgabe von Krankenunterlagen an den Patienten
16.1 Grundsätzlich keine Originale
16.2 Anfertigung von Kopien
16.3 Höhe der Kopierkosten
16.4 Höhe der Kopierkosten bei elektronischen Akten
16.5 Kopierkosten – Vorleistungspflicht des Patienten
16.6 Keinen Anspruch auf Zusendung
16.7 Eidesstattliche Versicherung
16.8 Beglaubigte Kopien
16.9 Keine Unterlagen über die interne Organisation des Krankenhauses
17 Einsichtnahmerecht von Angehörigen und Erben
17.1 Einsichtnahmerecht von Angehörigen und Erben – früher
17.2 Einsichtnahmerecht von Angehörigen und Erben – heute
17.2.1 Erben
17.2.2 Angehörige
17.2.3 Konkrete Darlegung der Gründe
17.2.4 Einschränkung
18 Einsichtnahmerecht in Obduktionsberichte
19 Auskünfte gegenüber den Eltern minderjähriger Patienten
19.1 Einwilligungsfähigkeit als Abgrenzungskriterium
19.2 Einwilligungsfähiger Minderjähriger
19.3 Rechtsprechung
19.4 Fazit zur Rechtsprechung
19.5 Gesamtfazit
20 Kopieren von Ausweisen
20.1 Fotokopieren, Fotografieren und Einscannen
20.2 Einwilligung
20.3 Berechtigte Interessen bei Nicht-Einwilligung
VIII Verwendung von Patientendaten außerhalb des Krankenhauses (Übermittlung an Dritte) – Fallbeispiele. 1 Übermittlung von Patientendaten zwischen Krankenhäusern und Hausärzten/Vor-/Nach-/Weiter-/Mitbehandlern
1.1 Gesetzliche Grundlage – Hausarzt
1.1.1 Schriftform
1.1.2 Durch das TSVG bedingte Änderung – Streichung von »schriftlich«
1.1.3 »Ausdrückliche« Einwilligungen ausreichend
1.2 Hausarzt – Musterformulierung
1.3 Umfang der Datenübermittlung – Hausarzt
1.4 Anwendbarkeit auf Notfallpatienten – Hausarzt
1.5 Widerruf der Einwilligung – Hausarzt
1.6 Übermittlung an Vor-/Weiter-/Nachbehandler
1.6.1 Befugnisnorm oder Einwilligung
1.6.2 Europäische/Kirchliche Grundlage
1.6.3 Nationale Grundlage
1.7 Landesverträge gem. § 115 Abs. 2 Nr. 2 SGB V
1.8 Regelungen in Landeskrankenhausgesetzen
1.9 Definition des Hausarztes
1.10 Empfehlung
1.11 Sonstige Vor-/Weiter-/Nachbehandler – Muster
1.12 Checkliste zu Hausärzten und sonstigen Vor-/Nach-/Weiterbehandlern
»Hausarzt«
»Nach-/Weiterbehandler«
»Vorbehandler«
1.13 Abgrenzung zu Mitbehandlern
Fazit »Mitbehandlung«
2 Externe Datenverarbeitung
2.1 Beispiele und Grundlagen externer Datenverarbeitung
2.2 Auftragsverarbeitung
2.2.1 Frühere Datenverarbeitung im Auftrag gem. BDSG
2.2.2 Auftragsverarbeitung gem. DS-GVO
2.2.3 Überprüfungsbedarf und neue Inhalte gem. DS-GVO
2.2.4 Auftragsverarbeitungsvertrag – Muster nebst Umsetzungshinweisen
2.2.5 Kirchliche Regelungen
2.2.6 Regelungen in den Bundesländern
2.3 Externe Abrechnung
2.3.1 BSG-Entscheidung zu externen Abrechnungsstellen
2.3.1.1 Übergangsregelungen vom 18.06.2009 bis zum 01.07.2011
2.3.1.2 Neuregelungen in § 295a SGB V
2.3.1.3 Auswirkungen auf Abrechnungswege im Krankenhaus
(1) Gesetzlich geregelte Fälle
(2) Einschaltung Externer nicht zulässig
(3) Einschaltung Externer zulässig
2.3.1.4 Zivilrechtliche Konsequenzen fehlender Einwilligung
2.4 Externe Schreibbüros
2.5 Fernwartung von EDV-Systemen
3 Herausgabe von Krankenunterlagen an Rechtsanwälte und andere vom Patienten Beauftragte
4 Auskünfte gegenüber privaten Versicherungen
4.1 Unternehmen der privaten Krankenversicherung
4.1.1 Direktabrechnung und Übermittlung Pflegegrad
4.1.2 Direktabrechnung gem. § 17c Abs. 5 Satz 2 KHG
4.1.3 Änderungen durch das PpSG
4.1.4 Änderungen durch das 2. DSAnpUG-EU
4.1.5 Änderungen durch das MDK-Reformgesetz
4.1.6 Beihilfeträger
4.1.7 Fazit
4.1.8 Musterformular
4.1.9 Rahmenvereinbarung
4.2 Unwirksamkeit pauschaler Schweigepflichtentbindungserklärungen
4.2.1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
4.2.2 Beschluss des Bundesverfassungsgerichts vom 23. Oktober 2006
4.2.3 Fazit
4.3 Empfehlung
4.4 Übertragbarkeit o. g. Grundsätze unter der Maßgabe der DS-GVO
4.5 Sonstige private Versicherungen
5 Staatsanwaltschaft und Polizei
5.1 Auskünfte gegenüber Strafverfolgungsbehörden
5.1.1 Ausnahmen
5.1.2 Von der Schweigepflicht umfasste Daten
5.1.3 Spezialgesetzliche Meldepflichten
Offenbarungsbefugnis
Verpflichtung der Patienten, Angaben über ihre Identität zu machen
Entfallen der Verpflichtung zum Führen eines Verzeichnisses
Adressat des Auskunftsersuchens
Gründe für eine Auskunftserteilung
Von der Auskunft umfasste Daten
Zuständige Behörden
5.2 Durchsuchung und Beschlagnahme
5.2.1 Durchsuchung
5.2.1.1 Durchsuchung beim Verdächtigen
5.2.1.2 Durchsuchung bei anderen Personen
5.2.2 Beschlagnahme
5.2.2.1 Beschlagnahmeverbote
5.2.2.2 Gewahrsam des Zeugnisverweigerungsberechtigten
5.2.2.3 Unterschiedliche Fallgruppen
Der Arzt als Beschuldigter
Der Arzt unter Teilnahmeverdacht an einer fremden Tat
Der Arzt als Zeuge gegen einen beschuldigten Patienten
5.2.3 Anordnungsbefugnis
5.2.4 Empfohlene Verhaltenshinweise
5.2.5 Checkliste zur empfohlenen Verhaltensweise
6 Herausgabe von Krankenunterlagen an Gerichte
7 Einsicht in Krankenunterlagen durch den Rechnungshof
8 Arbeitgeber bzw. Dienstherr des Patienten
9 Weitergabe von Patientendaten an interessierte Firmen
10 Datenübermittlung an Seelsorger
11 Auskunft an Versorgungsämter
12 Auskunft an das Bundeskartellamt
13 Auskunft an das Finanzamt
IX Übermittlung von Patientendaten an Sozialversicherungsträger und MDK. 1 Datenübermittlung an die gesetzlichen Krankenkassen
1.1 Datenübermittlung gemäß § 301 SGB V. 1.1.1 Rechtsbeziehungen zwischen Krankenhäusern und Krankenkassen
1.1.2 § 301 SGB V als abschließende Regelung
1.1.3 Bestätigung durch den Bundesdatenschutzbeauftragten
Zusammenfassend ist Folgendes festzuhalten:
1.1.4 Eigenes Einsichtnahmerecht der Krankenkasse aus übergegangenem Recht des Patienten gemäß § 116 SGB X
1.1.5 Gesonderte Begründung für Leistungen, die sich im Katalog ambulantes Operieren befinden
1.1.6 Anforderung der Krankenhauseinweisung für jeden Patienten
1.2 Datenübermittlung gemäß § 294a Abs. 1821 SGB V
1.2.1 »Erforderliche« Daten im Sinne des § 294a Abs. 1 SGB V
1.2.1.1 Parallele zum vertragsärztlichen Bereich
1.2.1.2 Einzelfallabhängige Entscheidung
1.2.1.3 Bestätigung durch den Datenschutzbeauftragten
1.2.1.4 Austariertes datenschutzrechtliches Regelwerk
1.2.1.5 Fazit
1.2.2 Mitteilungen nur auf Anfrage vs. unaufgeforderte Mitteilung
1.2.3 Mitteilung von Antworten vs. Übersendung von Unterlagen
1.2.4 Krankenhaus selbst potenzieller Schadensverursacher
1.2.5 Abgrenzung zu § 66 SGB V
1.2.6 Empfehlung zu § 294a SGB V
1.2.6.1 Keine Beifügung von Unterlagen
1.2.6.2 Erstattung von Kosten
1.3 Datenübermittlung und Informationspflicht gemäß § 294a Abs. 2 SGB V
1.3.1 Inhalt der Meldung an die Krankenkasse
1.3.2 Informationspflicht des Krankenhausträgers gegenüber dem Patienten
Form der Information – Übergabe
Zeitpunkt der Übergabe
Vorhaltung auf den Stationen
Inhalt der Meldung
Empfehlung
1.4 Bestimmungen aus dem vertragsärztlichen Bereich
2 Datenübermittlung an den MDK. 2.1 Allgemeines
2.2 Einzelfallüberprüfung gemäß §§ 275 ff. SGB V
2.2.1 Darlegungspflicht der Krankenkasse
2.2.2 Zur Überprüfung erforderliche Daten
2.2.3 Datenübermittlung ausschließlich an den MDK
2.2.4 Prüfverfahrensvereinbarung (PrüfvV)
2.2.5 Landesvertragliche Regelungen gemäß § 112 Abs. 2 Nr. 2 SGB V
2.3 Exkurs: Klageverfahren, Verjährung
3 Entlassmanagement
X Übermittlung von Patientendaten an Unfallversicherungsträger. 1 Allgemeines
2 §§ 199 und 201 SGB VII als Rechtsgrundlage
3 Umfang der Datenübermittlung
4 Zeitpunkt der Überprüfung
5 Handlungsempfehlung für Krankenhäuser
XI Dokumentation und Archivierung. 1 Allgemeines
1.1 Archivierung im Krankenhaus
1.2 Externe Archivierung
1.2.1 Kenntnisnahme der Akteninhalte für Dienstleister unmöglich
1.2.2 Kenntnisnahme der Akteninhalte für Dienstleister möglich
1.3 Dauer der Aufbewahrung der Dokumentation
1.4 Datenschutzkonforme Vernichtung
1.4.1 Gesetzliche Regelungen zur Vernichtung
1.4.2 Technische Anforderungen an Vernichtungen
1.4.3 Beauftragung eines Fremdunternehmens
2 Archivierungsformen
2.1 Mikroverfilmung
2.2 Digitale Dokumentation und Archivierung
2.2.1 Beweiswert elektronischer Dokumente. Beweiswert von im Original aufbewahrten Papierdokumenten
Beweiswert elektronischer Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind
Beweiswert gescannter Dokumente
Fazit
2.2.2 Datenschutzrechtliche Vorgaben
2.2.2.1 Zugriffs-, Sperr- und Löschkonzeption
2.2.2.2 Orientierungshilfe Krankenhausinformationssysteme
Administrative Aufnahme (Ziffer 1)
Administrative Aufnahme (Ziffer 2)
Heranziehung von Vorbehandlungsdaten (Ziffer 8)
Bereitschaftsdienst (Ziffer 12)
Konsilanforderungen (Ziffer 13)
Belegärzte (Ziffer 15)
Labor (Ziffer 21)
Zugriffsrechte nach der Behandlung (Ziffer 22)
Frist, innerhalb derer Einschränkung des Zugriffs zu erfolgen hat (Ziffer 25)
Erneute Behandlung eines Patienten (Ziffer 26)
Löschung von Patientendaten (Ziffer 27)
Einrichtungs- und mandantenübergreifende Zugriffe (Ziffer 32, 33)
Auskunftsrechte des Patienten (Ziffer 46)
2.2.2.3 Fazit
2.3 Digitale Archivierung von Röntgenbildern
XII Formen der Datenübermittlung. 1 Datenübermittlung per Telefax
2 Datenübermittlung per E-Mail
3 Telemedizin
Telekonsultation
Teleradiologie
Telekonferenz
Telepräsenz
Telepathologie
Telemonitoring
Vertraulichkeit der Daten
Authentizität bzw. Zurechenbarkeit der Daten
Integrität der Daten
Nicht-Abstreitbarkeit von Datenübermittlungen
4 Nutzung von Messenger-Diensten im Krankenhaus
4.1 Juristische Anforderungen
4.2 Datenschutz und Schweigepflicht
4.3 Technische Datenschutzanforderungen
4.4 Orientierung an den Anforderungen des »branchenspezifischen Sicherheitsstandards (B3S) für Krankenhäuser« bei der Nutzung mobiler Endgeräte
4.5 Nutzungsszenarien
4.6 Keine Primärdokumentation
4.7 Auswahl eines Messenger-Dienstes für den Betrieb
4.8 Betriebliche Nutzung eines Messenger-Dienstes gestattet?
4.9 Umsetzung in Form einer Dienstanweisung, individuellen Vereinbarung oder Betriebsvereinbarung
Individuelle Vereinbarung
4.10 Zur Verfügung gestellte Dienst-Mobiltelefone auch privat nutzbar?
4.11 Benutzerkreis
XIII Der betriebliche Datenschutzbeauftragte im Krankenhaus unter Maßgabe der DS-GVO / des DSG-EKD / des KDG
1 Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten. 1.1 Krankenhäuser in öffentlicher Trägerschaft
1.2 Krankenhäuser in privater Trägerschaft
1.3 Krankenhäuser in kirchlicher Trägerschaft
1.4 Interner oder externer Datenschutzbeauftragter möglich
1.5 Ergebnis
2 Konzerndatenschutzbeauftragter
3 Anforderungsprofil
4 Aufgaben und Stellung des Datenschutzbeauftragten. 4.1 Aufgaben des Datenschutzbeauftragten
4.2 Stellung des Datenschutzbeauftragten
5 Schutz und Haftung des Datenschutzbeauftragten. 5.1 Schutz
5.2 Haftung. 5.2.1 Rechtslage vor dem Geltungsbeginn der DS-GVO
5.2.2 Rechtslage nach dem Geltungsbeginn der DS-GVO
5.2.3 Ergebnis
6 Beendigung der Tätigkeit des Datenschutzbeauftragten
7 Veröffentlichung und Mitteilung der Kontaktdaten
8 Umgang mit bestehenden Bestellungen
9 Rechtsfolgen bei Verstößen
XIV Einzelfälle. 1 Datenschutz und HIV-Infektionen
2 Forschung mit Patientendaten
3 Warnungen vor »Krankenhauswanderern«
4 Übergabe der Patientenkartei bei einer Praxisaufgabe
5 Datenschutzrechtliche Vorgaben bei der Schließung eines Krankenhauses
5.1 Fortbestehen der gesetzlichen Aufbewahrungsfristen
5.2 Dauer der Aufbewahrung
5.3 Zuständigkeit für die Aufbewahrung
5.4 Form der Aufbewahrung
5.5 Sonderfall der Insolvenz
6 Schweigepflicht des Betriebsarztes gegenüber dem Arbeitgeber
6.1 Allgemeine arbeitsmedizinische Vorsorgeuntersuchungen
6.2 Spezielle arbeitsmedizinische Vorsorgeuntersuchungen
6.3 Datenweitergabe an den Arbeitgeber
7 Umgang mit Betäubungsmitteln
Anhang. Anhang 1: Rechtliche Rahmenbedingungen für den Einsatz von Krankenhausinformationssystemen
Anhang 2: Szenarien zulässigen Datenaustauschs zwischen stationären und ambulanten Leistungserbringern
Literaturverzeichnis
Stichwortverzeichnis. A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
Z
