Datenschutz bei der elektronischen Datenübermittlung

Für den direkten Datenabruf des Patienten oder durch die Ausgabe von Patientenchipkarten werden verschiedene technische Möglichkeiten angeboten.

Wichtige hierbei zu beachtende Anforderungen sind:

Die eindeutige elektronische Authentifizierung des Patienten, z.B. durch die Verwendung digitaler Patientensignaturen.

Sicherung der Authentizität des durch den Patienten abgerufenen Dokumentes durch den Einsatz digitaler Ärztesignatur (z.B. über Health Professional Card).

Im Interesse der Verhinderung erzwungener Offenbarung der Patientendokumente an unbefugte Dritte (z.B. Arbeitgeber, Versicherungen) ist beim Lesen der Chipkarte bzw. bei Abrufen externer Speicherungen eine zusätzliche Autorisierung sicherzustellen.

Information an den Patienten zu den gespeicherten Daten

Nach § 33 Abs. 1 BDSG ist eine verantwortliche Stelle verpflichtet, den Betroffenen von einer Speicherung (Art der Daten, Zweck, Identität der Stelle) zu benachrichtigen, wenn personenbezogene Daten erstmals ohne Kenntnis des Betroffenen gespeichert werden.

Diese Benachrichtigungspflicht betrifft weniger den direkt behandelnden Arzt, hier rechnet der Patient mit der Datenspeicherung, sondern vielmehr die Konsil- oder Laborärzte, bei welchen kein direkter Patientenkontakt besteht.

Wenn ein Arzt Daten an Dritte übermittelt, sollte er, den Patienten hierüber informieren. Eine Benachrichtigung ist dann nicht erforderlich, wenn der Patient auf andere Weise von der Speicherung oder Übermittlung Kenntnis erlangt hat.

Erfolgt die Übermittlung auf Grund einer gesetzlichen Befugnis oder gar Verpflichtung, ohne dass der Patient damit rechnen kann, so muss eine Benachrichtigung bei einer Weitergabe an Private erfolgen. Erfolgt die Übermittlung an eine öffentliche Stelle, z.B. im Fall einer meldepflichtigen Krankheit nach dem Infektionsschutzgesetz oder im Fall einer Prüfung des Medizinischen Dienstes der Krankenkasse, richtet sich die Benachrichtigungspflicht nach dem jeweils anwendbaren Recht.

Anspruch auf Datenkorrektur (Berichtigung, Gegendarstellung)

Unrichtige personenbezogene Daten sind zu berichtigen ( § 35 Abs. 1 BDSG ). Hiervon sieht die Vorschrift in den Absätzen 3 und 6 Ausnahmen vor. Werden dann Daten übermittelt, darf dies nicht ohne diese Gegendarstellung erfolgen.
Anspruch auf Datensperrung

Die Datensperrung wird in § 3 Abs. 4 S.2 Nr. 4 BDSG definiert als Kennzeichnen personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

Der Patient hat einen Anspruch auf Datensperrung, wenn Daten aus persönlichkeitsrechtlichen Gründen gelöscht werden müssten, die Löschung aber nicht möglich ist, z.B. weil gesetzliche oder sonstige rechtliche Aufbewahrungsfristen entgegenstehen, weil die Löschung schutzwürdige Betroffeneninteressen beeinträchtigen würde oder diese einen unverhältnismäßig großen Aufwand verursachen würde. Da Patientendaten generell einer zehnjährigen Dokumentationspflicht unterliegen, kommt in dieser Zeit statt des Löschungsanspruches nur die Sperrung in Betracht.

Daten sind außerdem zu sperren, soweit der Patient ihre Richtigkeit bestreitet und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt
Anspruch auf Datenlöschung bzw. Aktenvernichtung

Patientendaten sind nach § 35 Abs. 2 BDSG zu löschen, wenn ihre Speicherung unzulässig oder sobald die Kenntnis der Daten für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist. Die Unzulässigkeit kann darauf beruhen, dass die Erhebung beim Betroffenen oder die Übermittlung von einem Dritten mit dem Datenschutzrecht nicht vereinbart war (z.B. es lag keine wirksame Einwilligungserklärung vor).

Bei ärztlichen Unterlagen gilt, dass diese aus Dokumentationsgründen in jedem Fall 10 Jahre lang aufbewahrt werden müssen.
Recht auf Widerspruch/Einwand

Nach § 35 Abs. 5 BDSG hat der Patient das Recht, unter Hinweis auf persönliche Gründe gegen die Verarbeitung seiner Daten einen Widerspruch bzw. Einwand zu erheben. Voraussetzung ist das Vorliegen eines besonderen schutzwürdigen Interesses, welches das Interesse an der Datenverarbeitung überwiegt.
Schadensersatzanspruch

Wird einem Patienten durch eine unzulässige Verarbeitung seiner Daten ein Schaden zugefügt, so ist der Arzt bzw. die ärztliche Stelle dem Patienten gegenüber zum Schadensersatz verpflichtet. Eine Ersatzpflicht entfällt, wenn der Arzt nachweisen kann, dass er die nach den Umständen des Falles gebotene Sorgfalt beachtet hat (§ 7 BDSG).
Während im privaten Bereich ein Anspruch mit einer Art Beweislastumkehr besteht, gilt im öffentlichen Bereich weitergehend eine verschuldensunabhängige Ersatzpflicht. Ist ein Verschulden der Mitarbeiter der verantwortlichen Stelle nachweisbar, so kommt zusätzlich ein Anspruch nach § 823 BGB in Betracht
Recht auf Strafanzeige

Verstöße gegen das Datenschutzrecht stellen soweit sie vorsätzlich oder zumindest fahrlässig begangen wurden, entweder eine Ordnungswidrigkeit (§ 43 BDSG) oder Straftat (§ 44 BDSG) dar. Bei einer Verletzung des Patientengeheimnisses kommt zusätzlich ein Verstoß gegen § 203 Abs. 1, 3 StGB in Betracht.