Читать книгу Datenschutz im Krankenhaus - Andrea Hauser - Страница 33

Um das Auffinden von Befugnisnormen im Krankenausalltag zu vereinfachen, erfolgt nachfolgend eine Auflistung von gesetzlichen Grundlagen/Befugnisnormen (EU DS-GVO oder der EU DS-GVO in Verbindung mit einer gesetzlichen Grundlage auf Bundes- oder Landesebene), auf deren Grundlagen Verarbeitungen bzw. Verarbeitungstätigkeiten von Gesundheitsdaten im Krankenhaus datenschutzrechtlich zulässig sind, ohne dass es des Vorliegens einer Einwilligung des Patienten bedarf.

Dabei handelt es sich um diejenigen Tätigkeiten, d. h. Verarbeitungen von Gesundheitsdaten im Krankenhausbereich, die unter die »Versorgung und Behandlung im Gesundheitswesen« im Sinne von Art. 9 Abs. 2 h) und Art. 9 Abs. 3 DS-GVO bzw. Art. 9 Abs. 4 DS-GVO, § 22 BDSG subsumiert werden können.

In diesem Zusammenhang sei angemerkt, dass die im Folgenden aufgelisteten Verarbeitungen die wesentlichen Sachverhalte abhandeln, aber keinen Anspruch auf Vollständigkeit erheben.

• Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs im Krankenhaus über den Patienten für die Behandlung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 630a ff., 630 f BGB i. V. m. entsprechenden landesrechtlichen Regelungen, sofern vorhanden),

• Datenübermittlung an » Externe« im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z. B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (Art. 9 Abs. 2h, Abs. 3(, Abs. 4) DS-GVO i. V. m. entsprechenden landesrechtlichen Regelungen, sofern vorhanden),

• Datenübermittlungen an weiter-/nachbehandelnde Ärzte (Krankenhäuser/MVZ/Ambulanzen etc.), sofern eine gesetzliche Grundlage dazu in einem Landeskrankenhausgesetz o.ä. oder einem dreiseitigen Vertrag existiert (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. der entsprechenden landesrechtlichen Regelung),

• Anwesenheit eines Medizinprodukteberaters im OP, sofern dieser quasi konsiliarisch aufgrund besonderer Expertise tätig wird (Art. 9 Abs. 2h, Abs. 3 DS-GVO),

• Beschriftung des Krankenbettes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h, Abs. 3 DS-GVO),

• Anlegen eines Patientenarmbandes zwecks jederzeitiger Identifikationsmöglichkeit des Patienten (Art. 9 Abs. 2h, Abs. 3 DS-GVO),

• Einsichtnahme in die Patientenakte durch den Patienten sowie Herausgabe von Unterlagen an den Patienten (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 630g Abs. 1, 2 BGB),

• Einsichtnahme in die Patientenakte durch Angehörige /Erben des verstorbenen Patienten sowie Herausgabe von Unterlagen (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 630g Abs. 3 BGB),

• Aktive Benachrichtigung von Angehörigen nicht ansprechbarer/bewusstloser Patienten, sofern eine gesetzliche Grundlage dazu im einem Landeskrankenhausgesetz o.ä. existiert (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. einer landesrechtlichen Regelung),

• Aktive Benachrichtigung von Angehörigen nicht ansprechbarer/bewusstloser Patienten (sofern keine gesetzliche Grundlage dazu im einem Landeskrankenhausgesetz o.ä. existiert) (Art. 9 Abs. 2c DS-GVO i. V. m. §§ 677 ff. BGB (Geschäftsführung ohne Auftrag) auf der Grundlage des mutmaßlichen Willens),

• Beantwortung von Nachfragen Angehöriger, ob sich ein (bewusstloser, nicht ansprechbarer) Patient im Krankenhaus befindet (Art. 9 Abs. 2c DS-GVO i. V. m. §§ 677 ff. BGB (Geschäftsführung ohne Auftrag) auf der Grundlage des mutmaßlichen Willens),

• Datenverarbeitungen durch die Krankenhausverwaltung / zu Zwecken des Medizincontrolling zum Zwecke der Abrechnung und Budgetplanung (Art. 9 Abs. 2h, Abs. 3 DS-GVO),

• Datenverarbeitungen durch die Krankenhausverwaltung zum Zwecke der Abrechnung des Bereitschaftsdienstes (Art. 9 Abs. 2h, Art. 9 Abs. 3 DS-GVO),

• Datenverarbeitungen durch die Krankenhausverwaltung zu Organisations-, Wirtschaftlichkeits- und Qualitätskontrollen (Art. 9 Abs. 2h, Abs. 3 DS-GVO),

• Datenverarbeitungen zu Zwecken der Qualitätssicherung (Art. 9 Abs. 2i DS-GVO i. V. m. § 136 SGB V i. V. m. § 299 SGB V bzw. den Richtlinien des G-BA),

• Datenverarbeitungen zu Zwecken der Qualitätssicherung im Rahmen von Aussetzungsbeschlüssen im Zusammenhang mit einer Methodenbewertung gemäß § 137c SGB V (Bewertung von Untersuchungs- und Behandlungsmethoden im Krankenhaus) (Art. 9 Abs. 2i DS-GVO i. V. m. § 137c SGB V i. V. m. § 136 Abs. 1 Satz 2 Nr. 2 SGB V),

• Datenverarbeitungen im Zusammenhang mit Richtlinien zur Erprobung von Untersuchungs- und Behandlungsmethoden nach § 137e SGB V (Art. 9 Abs. 2i DS-GVO i. V. m. § 137e SGB V),

• Datenverarbeitungen auf der Grundlage von Richtlinien gemäß §§ 136 bis 136b SGB V, sofern Krankenhäuser nicht an der Erprobung nach § 137e SGB V teilnehmen (Qualität der Leistungserbringung) (Art. 9 Abs. 2i DS-GVO i. V. m. § 137e Abs. 2 Satz 3 SGB V i. V. m. §§ 136 bis 136b SGB V),

• Datenverarbeitungen auf der Grundlage eines Beschlusses gemäß § 137h Abs. 3 Satz 1 SGB V (Bewertung neuer Untersuchungs- und Behandlungsmethoden mit Medizinprodukten hoher Risikoklasse) (Art. 9 Abs. 2i DS-GVO i. V. m. § 137h Abs. 3 Satz 1 SGB V i. V. m. §§ 136 bis 136b SGB V),

• Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 301 SGB V),

• Datenverarbeitungen unter Verwendung der elektronischen Gesundheitskarte gemäß § 291 Abs. 2b SGB V (Versichertenstammdaten-Management) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 291 Abs. 2b SGB V),

• Datenübermittlung an das InEK (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 21 KHEntgG),

• Datenübermittlung an die gesetzlichen Krankenkassen zur Ermöglichung der Klärung von Regressfällen (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 294a Abs. 1 SGB V),

• Datenübermittlung an die gesetzlichen Krankenkassen zur Mitteilung von Anhaltspunkten über das Vorliegen der Voraussetzungen von § 52 Abs. 2 SGB V (Piercing, Tätowierung, Schönheitsoperation) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 294a Abs. 2 SGB V),

• Datenübermittlung an den MDK (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 276 Abs. 2 Satz 2 SGB V),

• Einsichtnahmen in Patientenakten durch den MDK oder die auf Landesebene beauftragten Stellen auf der Grundlage der MDK-Qualitätskontrollrichtlinie (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 275a SGB V i. V. m. § 276 Abs. 4a SGB V i. V. m. § 137 Abs. 3 SGB V),

• Einsichtnahmen in Patientenakten durch den MDK oder die auf Landesebene beauftragten Stellen zum Zwecke der Datenvalidierung auf der Grundlage der datengestützten G-BA-QS-Richtlinien (Plan-QI-Richtlinie, Richtlinie zur einrichtungs- und sektorenübergreifenden QS, Richtlinie zu Maßnahmen der QS in Krankenhäusern, Richtlinie zum Verfahren der Qualitätszuschläge/-abschläge) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 275a SGB V oder § 275 Abs. 4 SGB V),

• Datenübermittlung an die gesetzlichen Krankenkassen für die Abrechnung von Leistungen auf der Grundlage von § 115b (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 115b SGB V),

• Datenübermittlung an die gesetzlichen Krankenkassen für die Abrechnung von Leistungen auf der Grundlage von §§ 117, 118, 119, 119c SGB V (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 117, 118, 119, 119c SGB V i. V. m. § 120 Abs. 2 SGB V),

• Datenübermittlung an die gesetzlichen Krankenkassen für die Abrechnung von Leistungen auf der Grundlage von § 120 Abs. 1a SGB V (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 120 Abs. 1a SGB V),

• Datenübermittlung an die KV für die Abrechnung von Leistungen auf der Grundlage von § 118a SGB V (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 118a SGB V i. V. m. § 295 SGB V),

• Datenübermittlung an die KV für die Abrechnung von Leistungen auf der Grundlage von §§ 116, 116a SGB V (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 295 SGB V),

• Datenübermittlungen an die KV / gesetzlichen Krankenkassen auf der Grundlage von § 116b SGB V (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 116b SGB V i. V. m. § 295 SGB V oder § 301 SGB V),

• Datenübermittlungen an die KV auf der Grundlage von §§ 75 Abs. 1a Satz 6, 76 Abs. 1a SGB V i. V. m. § 120 Abs. 1 Satz SGB V (Verfahren der Terminservicestelle) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 75 Abs. 1a Satz 6, 76 Abs. 1a SGB V i. V. m. § 120 Abs. 1 Satz SGB V i. V. m. § 295 SGB V),

• Datenübermittlung an die Unfallversicherungsträger zum Zwecke der Abrechnung und Abrechnungsüberprüfung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 119 Abs. 1 Nr. 2, 201 Abs. 1 Satz 1 SGB VII),

• Datenübermittlung an die Unfallversicherungsträger zur Anzeige von Berufskrankheiten (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 202 SGB VII),

• Datenübermittlung an das zuständige Standesamt zur Anzeige von Geburten (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 18, 20 PStG),

• Datenübermittlung an das zuständige Standesamt zur Anzeige von Sterbefällen (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 28 PStG),

• Datenübermittlung an zuständige Gesundheitsämter zur Meldung meldepflichtiger Krankheiten (Art. 9 Abs. 2i DS-GVO i. V. m. §§ 6, 8 IfSG),

• Datenübermittlungen im Zusammenhang mit Kindervorsorgeuntersuchungen (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. der Kinder-Richtlinie (Richtlinie des G-BA über die Früherkennung von Krankheiten bei Kindern)),

• Datenübermittlungen an Jugendämter bei Verdacht auf Kindesmisshandlung (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 4 des Gesetzes zur Kooperation und Information im Kinderschutz (Bundeskinderschutzgesetz)),

• Datenübermittlungen an gesetzliche Vertreter (dies sind Fälle, in denen der Gesetzgeber angeordnet hat, dass eine Person für den Patienten handelt):

– Eltern (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 1626 ff. BGB),

– Vormünder (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 1773 ff. BGB),

– Betreuer (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 1896 ff. BGB),

– Pfleger (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 1909 ff. BGB);

• Datenübermittlungen an rechtsgeschäftliche Vertreter/Bevollmächtigte (die der Patient selbst zu seinem Vertreter/Bevollmächtigten erklärt hat) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. §§ 164 ff. BGB; auch in puncto Patientenverfügung/Vorsorgevollmacht, Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 1901a BGB),

• Datenübermittlung an Staatsanwaltschaft oder Polizei:

– zur Geltendmachung eigener Ansprüche (Art. 9 Abs. 2 f DS-GVO)

– aufgrund eines Auskunftsbegehrens der Behörden (Art. 9 Abs. 2g, Abs. 4 DS-GVO i. V. m. § 32 Bundesmeldegesetz – BMG),

• Datenübermittlung an Polizei oder Bedrohte zur Anzeige besonders schwerer geplanter Straftaten (Art. 9 Abs. 2g, Abs. 4 DS-GVO i. V. m.§ 138 StGB),

• Datenübermittlung in Notstandssituationen zum Schutz von gefährdeten Rechtsgütern auf der Grundlage des rechtfertigenden Notstands (Art. 9 Abs. 2g, Abs. 4 DS-GVO i. V. m. § 34 StGB),

• Datenübermittlung an Gerichte (Art. 9 Abs. 2 f (, Abs. 4) DS-GVO (i. V. m. Regelungen in den Landeskrankenhausgesetzen, sofern vorhanden)),

• Datenübermittlungen zu Zwecken der Forschung (Art. 9 Abs. 2j (, Abs. 4) DS-GVO (i. V. m. Regelungen in den Landeskrankenhausgesetzen, sofern vorhanden)),

• Datenübermittlungen an Krebsregister (Art. 9 Abs. 2i, Abs. 4 DS-GVO i. V. m. landesrechtlichen Vorschriften zum Krebsregister),

• Datenübermittlungen an Finanzämter (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 97 Abs. 1 AO unter der Maßgabe von § 102 Abs. 1 Nr. 3 c) AO),

• Offenbarung von Daten gegenüber externen Dienstleistern, z. B. Rechenzentren im Rahmen einer Auftragsverarbeitung ²⁶* (Art. 28 DS-GVO).

Daneben existieren Befugnisnormen, die zwar eine Verarbeitung von Gesundheitsdaten erlauben, aber als zusätzliche Voraussetzung das Vorliegen einer Einwilligung (in unterschiedlicher Form) verlangen.

Insofern werden nachfolgend Verarbeitungen von Gesundheitsdaten im Krankenhausbereich dargestellt, die zwar in der DS-GVO oder auf Bundes- oder Landesebene gesetzlich verankert und mithin datenschutzrechtlich zulässig sind, aber zusätzlich einer Einwilligung bedürfen:

• Datenübermittlung an den Hausarzt des Patienten im Sinne des § 73 Abs. 1b SGB V (Voraussetzung ist das Vorliegen einer »Zustimmung« (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 73 Abs. 1b SGB V),

• Datenübermittlung an die PKV zwecks Abrechnung (Voraussetzung ist das Vorliegen einer »Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 17c Abs. 5 KHG),

• Benachrichtigung gegenüber der Pflegekasse, dass sich der Eintritt von Pflegebedürftigkeit abzeichnet oder wenn Pflegebedürftigkeit festgestellt wird (Voraussetzung ist das Vorliegen einer »Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 7 Abs. 2 SGB XI),

• Datenübermittlung zwecks Abrechnung der nach § 140a SGB V erbrachten Leistungen an den Vertragspartner auf Leistungserbringerseite (Voraussetzung ist das Vorliegen einer »schriftlichen oder elektronischen Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 295a Abs. 1 SGB V),

• Datenübermittlung an eine externe Abrechnungsstelle zum Zwecke der Abrechnung wahlärztlicher Leistungen (Voraussetzung ist das Vorliegen einer »Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 17 Abs. 3 S. 6 KHEntgG),

• Datenübermittlung an eine externe Abrechnungsstelle zum Zwecke der Abrechnung von im Notfall erbrachten ambulanten ärztlichen Leistungen (Voraussetzung ist das Vorliegen einer »schriftlichen oder elektronischen Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 295a Abs. 3 SGB V),

• Datenübermittlungen im Rahmen des Entlassmanagements (Voraussetzung ist das Vorliegen einer »schriftlichen oder elektronischen Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 39 Abs. 1a Satz 14 SGB V),

• Übermittlung transplantationsmedizinischer Daten an die Transplantationsregisterstelle gem. § 15e TPG (Voraussetzung ist das Vorliegen einer »ausdrücklichen Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 15e Abs. 6 TPG),

• Datenverarbeitungen in Zusammenhang mit der Umsetzung von (Disease-Management-)Programmen gemäß § 137 f SGB V (Strukturierte Behandlungsprogramme bei chronischen Krankheiten) (Voraussetzung ist das Vorliegen einer »schriftlichen oder elektronischen Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 137 f Abs. 3 SGB V),

• Datenverarbeitungen im Rahmen der Nutzung einer elektronischen Gesundheitskarte (medizinische Daten) (Voraussetzung ist das Vorliegen einer »Einwilligung«) (Art. 9 Abs. 2h, Abs. 3, Abs. 4 DS-GVO i. V. m. § 291a Abs. 5 SGB V).

18 Vgl. ausführlich zur ärztlichen Schweigepflicht die Ausführungen unter V sowie zum Verhältnis Datenschutz zur ärztlichen Schweigepflicht die Ausführungen unter II.3.

19 Kühling/Raab, in: Kühling/Buchner, DS-GVO Kommentar, Art. 2 Rz. 12.

20 Schulz, in: Gola, DS-GVO, Kommentar, 2017, Art. 9, Rz. 29.

21 Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 vom 30.06.17, BGBl. 2017, Teil 1, S. 2097 ff.

22 Bundesrats-Drucksache 110/17, Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU) vom 02.02.2017, A. Problem und Ziel, S. 1.

23 OVG Münster, Beschluss vom 01.02.1982, Az.: 6 B 2028/81.

24 Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, Zweites Datenschutz-Anpassung- und Umsetzungsgesetz (EU) – 2. DSAnpUG-EU, BGBl. 2019, S. 1626.

25 Sächsischer Landtag, Gesetzentwurf der Staatregierung, Drucksache 6/10918, ausgegeben am: 29.09.2017, Zu Art. 1, Zu § 2, S. 54.

26 Anmerkung: Bei der Auftragsverarbeitung handelt es sich zwar nicht um eine »Übermittlung« im eigentlichen Sinne auf der Grundlage einer gesetzlichen Befugnisnorm, allerdings gilt die Auftragsverarbeitung nach wie vor als privilegiert, weshalb eine Offenbarung von Gesundheitsdaten auf der Grundlage von Art. 28 DS-GVO rechtlich zulässig ist.