[go: up one dir, main page]

≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 12.12.2002

4. Gesundheitswesen

4.1. Datenschutzrechtliche Konsequenzen aus der Entschlüsselung des menschlichen Genoms

Im Februar 2001 ging die Meldung durch die Medien, dass das menschliche Erbgut entschlüsselt worden sei. Der US-Amerikaner Craig Venter und seine Firma Celera Genomics machten geltend, dass ihnen dies als erste gelungen sei. Aber auch das sogenannte Humangenomprojekt (HGP) - ein internationaler Zusammenschluss von Forschern und Forschungsinstituten - beanspruchte die Pionierleistung für sich. Auch wenn die Entschlüsselung der kompletten Sequenz des menschlichen Genoms nicht mit der Aufdeckung der Wirkungsweise und Funktion aller Gene verwechselt werden darf, ist dies ein großer Schritt in der Erforschung des menschlichen Erbguts. Es ist zu erwarten, dass in den nächsten Jahren und Jahrzehnten große Fortschritte - z. B. bei der Erforschung genetischer Veranlagungen für Krankheiten - gelingen werden. Genetische Informationen, die dem Einzelnen von Anfang an "anhaften" und ihn individualisierbar machen, besitzen aus datenschutzrechtlicher Sicht jedoch nicht nur in der Forschung große Relevanz. Auch die Bereiche der humangenetischen Beratung und Diagnose (z. B. prädiktive Diagnostik und Vaterschaftstests), der Gentests bei (der Anbahnung von) Beschäftigungsverhältnissen, sowie im Zusammenhang mit Vertragsabschlüssen (z. B. mit Banken und Versicherungen) und der genetischen Analyse zur Strafverfolgung und Prävention besitzen große datenschutzrechtliche Relevanz.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte deswegen bereits im Oktober 2000 beschlossen, eine Arbeitsgruppe einzusetzen, die sich mit den datenschutzrechtlichen Konsequenzen der Entschlüsselung des menschlichen Genoms beschäftigen sollte. An dieser Arbeitsgruppe unter Leitung des Hamburgischen Datenschutzbeauftragten habe ich teilgenommen. Sie war zunächst mit der Beantwortung eines umfangreichen Fragenkatalogs der durch Beschluss des Deutschen Bundestags eingesetzten Enquete-Kommission "Recht und Ethik der modernen Medizin" befasst. In der Stellungnahme gegenüber der Kommission wurde die Notwendigkeit einer eigenständigen datenschutzrechtlichen Regelung für den Umgang mit genetischen Daten bejaht. Ein solches Gesetz sei einer standesrechtlichen Regelung über die Satzungsgewalt der Ärztekammern vorzuziehen. Gerade vor dem Hintergrund sich im Ausland abzeichnender Entwicklungen einer Kommerzialisierung von Gendaten erscheine ein formelles "Gendatenschutzgesetz" geboten.

Eine weitere Aufgabe der Arbeitsgruppe der Datenschutzbeauftragten war es, die datenschutzrechtlichen Anforderungen an die Sicherung der Selbstbestimmung bei genetischen Untersuchungen - evtl. in einem Gesetzentwurf - zu formulieren. In ihrer 62. Sitzung vom 24. bis 26.10.2001 forderten die Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung diese Untersuchungen am Menschen gesetzlich zu regeln (vgl. Anlage 12). In einer umfangreichen Anlage wurden Vorschläge für eine solche Regelung gemacht. Geregelt werden sollten demnach die folgenden genetischen Untersuchungen:

  • Untersuchungen zu medizinischen Zwecken,
  • Untersuchungen im Zusammenhang mit Arbeits- und Versicherungsverhältnissen,
  • Untersuchungen zur Abstammungsklärung und Identifizierung außerhalb der Strafverfolgung und
  • Untersuchungen zu Forschungszwecken.

Die Datenschutzbeauftragten formulierten ferner wesentliche datenschutzrechtliche Anforderungen an ein solches Gesetz, die durch Ordnungswidrigkeits- und Straftatenbestände abzusichern sind:

  • Ein Benachteiligungsverbot bei einer Weigerung, eine genetische Untersuchung durchführen zu lassen,
  • die grundsätzliche Erforderlichkeit einer freiwilligen, informierten und schriftlichen Einwilligung des Betroffenen für die Durchführung genetischer Untersuchungen, mit Ausnahme der in einem Gesetz über genetische Untersuchungen zu regelnden und in der StPO geregelten Ausnahmen,
  • das Erfordernis einer staatlichen Zulassung für die Durchführung genetischer Untersuchungen zur Gewährleistung der Qualität und Sicherheit dieser Tests,
  • ein Arztvorbehalt für das Veranlassen genetischer Untersuchungen,
  • eine Zweckbindung bezüglich der erhobenen Daten und Proben,
  • Bestimmungen zur Datensicherheit,
  • ein unentgeltliches Einsichts- und Auskunftsrecht des Betroffenen,
  • eine umfassende Aufklärung und Beratung zur Gewährleistung einer unvoreingenommenen Entscheidung und
  • die Festschreibung des Rechts auf Nichtwissen (z. B. bei Forschungsvorhaben).

Ich hoffe, dass es bald zum Erlass eines solchen "Gendatenschutzgesetzes" kommt, um das informationelle Selbstbestimmungsrecht Betroffener umfassend zu gewährleisten.

4.2. Papier „Einsicht und Information“ des Bremer Diskussionsforums „Charta der Patientenrechte“

Wie ich bereits in meinem 19. Tätigkeitsbericht (Nr. 3.1.1) dargestellt habe, wurde im Jahr 1999 auf der Grundlage eines Gutachtens des Instituts für Gesundheits- und Medizinrecht der Universität Bremen und auf Initiative der Gesundheitsminister der Länder in Abstimmung mit den wichtigsten organisierten Beteiligten des Gesundheitswesens der Entwurf einer "Charta der Patientenrechte" vorgestellt. Das hierbei erarbeitete Papier "Gemeinsamer Standpunkt: Patientenrechte in Deutschland heute" wurde durch die 72. Konferenz der Gesundheitsminister im Juni 1999 verabschiedet.

In der Folgezeit bildete sich an der Universität Bremen ein Diskussionsforum "Charta der Patientenrechte" zur Umsetzung dieses Papiers. An dem Forum beteiligen sich Akteure des Gesundheitswesens im Lande Bremen wie z. B. der Senator für Gesundheit, die Ärztekammer, die Kassenärztliche Vereinigung, Krankenversicherungen, die Krankenhausgesellschaft, Patientenberatungsstellen und auch der Landesbeauftragte für den Datenschutz. Dieses Diskussionsforum legte im Februar 2001 ein Papier "Einsicht und Information" vor, dass das Ergebnis eines einjährigen Diskussionsprozesses zu diesen Datenschutzrechten des Patienten darstellt.

Der Arbeitskreis Gesundheit und Soziales der Datenschutzbeauftragten des Bundes und der Länder hat das Papier positiv bewertet. Auf meiner Homepage (www.datenschutz-bayern.de) ist ein Link auf das Papier gesetzt.

Dieses setzt sich insbesondere mit zwei Themenkomplexen auseinander, nämlich den Einsichtsrechten der Patienten in ihre Krankenunterlagen und den Patienteninformationssystemen. Aus datenschutzrechtlicher Sicht ist es hinsichtlich der Einsichtsrechte insofern ein Fortschritt, als es die in der Rechtsprechung vertretene Unterscheidung zwischen objektiven Tatsachen, die der Einsicht unterliegen und subjektiven Bewertungen, die nicht einsichtsfähig sind (vgl. 19. TB Nr. 3.1.1), weitgehend aufgibt und damit für die Betroffenen weitere Einsichtsrechte fordert. Auch die Möglichkeit eine Einsichtnahme aus therapeutischen Gründen zu verweigern, soll begrenzt werden. Als mögliche Gründe für die Verweigerung einer Einsichtnahme werden ausschließlich konkrete Gründe der Selbstgefährdung des Patienten (Gefahr für Leben und Gesundheit) aufgrund der ärztlichen Einschätzung angesehen. Auch bezüglich der Einsichtsrechte in der Psychiatrie und Psychotherapie trifft das Papier umfassende Aussagen, wonach der behandelnde Arzt die Einsichtsgewährung nach folgenden Gesichtspunkten zu entscheiden habe: Die Entscheidung habe sich einerseits an den Persönlichkeitsrechten des Patienten, andererseits an seinem Schutzinteresse (z. B. Möglichkeit einer Selbstgefährdung) zu orientieren.

Ich würde es begrüßen, wenn diese Gedanken Eingang in die oben angesprochene Rechtsprechung und in die einschlägigen Regelungen - z. B. in die Berufsordnung - finden.

Bei den Patienteninformationssystemen wird zwischen "Behandlungsinformationen" und "Navigatorinformationen" unterschieden. Erstere sind Informationen, die abstrakt eine Erkrankung und ihre Behandlungsmöglichkeiten beschreiben, letztere sollen dem Patienten die Auswahl der richtigen Behandlung beim richtigen Behandler ermöglichen. Hinsichtlich beider Arten der Information werden in dem Papier Kriterien aufgestellt, die z. B. die Qualität der Information, deren Handhabbarkeit, die Erreichbarkeit und die Kosten betreffen.

4.3. Medizinische Forschungsvorhaben

Auch in diesem Berichtszeitraum hatte ich vielfach Forschungsvorhaben aus dem medizinischen Bereich datenschutzrechtlich zu beurteilen. Exemplarisch will ich nur die beiden folgenden Projekte herausgreifen:

4.3.1. GTH-Hämophilieregister

Die Hämophilie-Kommission der Gesellschaft für Thrombose- und Hämostaseforschung e.V. (GTH) hat sich zum Ziel gesetzt, ein zentrales Register aufzubauen, in dem alle Patienten mit Blutungsneigungen erfasst werden sollen. Das Register ist am Klinikum der Universität München angesiedelt und soll vor allem der Verbesserung der Diagnose und Behandlung von Blutern dienen. Ferner soll eine bessere und engere Kooperation zwischen den Behandlungszentren in Deutschland erreicht und genaue wissenschaftliche Erkenntnisse zu dieser Erkrankung gesammelt werden.

Zunächst war problematisch, dass ich für den GTH e.V., eine nicht-öffentliche Stelle, nicht zuständig bin. Dagegen unterliegt das Klinikum der LMU München meiner Kontrollkompetenz. Gerade in solchen Fällen zeigt sich immer wieder, dass eine Trennung der Kontrollzuständigkeiten zwischen dem öffentlichen und dem nicht-öffentlichen Bereich nicht sinnvoll ist (vgl. Nr. 3.2.3).

Wegen der bundesweiten Bedeutung hat sich auch der Arbeitskreis Gesundheit und Soziales der Datenschutzbeauftragten des Bundes und der Länder mit den Fragen einer datenschutzgerechten Ausgestaltung dieses Vorhabens beschäftigt. So konnten wichtige datenschutzrechtliche Verbesserungen erreicht werden:

  • Dem GTH e.V. werden die Daten betroffener Patienten nicht personenbezogen, sondern mittels eines Pseudonyms übermittelt. Zur Pseudonymisierung wird der sogenannte RKI-Code verwendet, der sich aus dem dritten Buchstaben des Nachnamens, der Anzahl der Buchstaben des Nachnamens, dem dritten Buchstaben des Vornamens und der Anzahl der Buchstaben des Vornamens zusammensetzt. Ich habe dem GTH e.V. empfohlen, diesen Schlüssel sobald als möglich durch eine Einwegverschlüsselung zu ersetzen, die einen noch höheren Grad an Sicherheit bietet. Diese Empfehlung soll umgesetzt werden, sobald es technisch realisierbar ist.
  • Ferner wurden die Einwilligungserklärungen und das Informationsschreiben für die Teilnehmer verbessert, um eine aus datenschutzrechtlicher Sicht notwendige informierte und freiwillige Einwilligung zu gewährleisten. Z. B. wird nunmehr auch ausdrücklich auf die Widerrufsmöglichkeit mit der Folge der Löschung der Daten im Register hingewiesen.
  • Außerdem haben sich die Verantwortlichen dahingehend verpflichtet, das Vorhaben mindestens alle zwei Jahre durch den internen Datenschutzbeauftragten des Klinikums der TU-München überprüfen zu lassen.

4.3.2. Deutsche Thorotraststudie

Ein weiteres medizinisches Forschungsvorhaben war die Deutsche Thorotraststudie des Deutschen Krebsforschungszentrums (dkfz). Diese Studie ist u.a. auch deshalb von datenschutzrechtlichem Interesse, weil eine Weitergabe von Meldedaten an die wissenschaftliche Einrichtung dkfz beabsichtigt ist und dieses außerdem personenbezogene Auskünfte aus dem vertraulichen Teil der Todesbescheinigung benötigt.

Forschungsinstitute verarbeiten für ihre Forschungsvorhaben oft Melderegisterdaten. Häufig handelt es sich bei ihnen - wie beim dkfz - um öffentliche Stellen, so dass sich die Zulässigkeit der Datenübermittlung nach Art. 31 MeldeG richtet. Gemäß Art. 31 Abs. 1 Satz 1 MeldeG darf die Meldebehörde einer anderen Behörde oder sonstigen öffentlichen Stelle aus dem Melderegister die dort genannten personenbezogenen Daten übermitteln, wenn dies zur Erfüllung der in ihrer Zuständigkeit oder der Zuständigkeit des Empfängers liegenden Aufgaben erforderlich ist. Bei privaten Forschungseinrichtungen ist die Zulässigkeit von Datenübermittlungen an Art. 34 MeldeG zu messen. In allen Fällen ist jedoch immer zu fragen, ob nicht die Anwendung des Adressmittlungsverfahrens (vgl. 16. TB, Ziff. 8.10) datenschutzgerechter wäre.

Immer wieder stellt sich bei Forschungsvorhaben auch die Frage der Zulässigkeit der Erteilung personenbezogener Auskünfte aus dem vertraulichen Teil der Todesbescheinigung. Art. 3 a Abs. 3 Satz 2 Nr. 2 BestG enthält die materiellen Voraussetzungen, unter denen eine solche Auskunft oder Einsicht durch wissenschaftliche Einrichtungen zulässig ist (s. unten). Ob die Voraussetzungen dieser Vorschrift vorliegen, entscheidet die Regierung, in deren Bezirk die Auskunft oder Einsicht gewährt werden soll; betrifft das Forschungsvorhaben mehrere Regierungsbezirke, bestimmt das Staatsministerium für Gesundheit, Ernährung und Verbraucherschutz die zuständige Regierung, vgl. Art. 3 a Abs. 4 Satz 1 BestG i.V.m. Art. 1 Abs. 1 Satz 2 Nr. 14 des Gesetzes über Zuständigkeiten in der Gesundheit, in der Ernährung und im Verbraucherschutz vom 09. April 2001 (GVBl S. 108).

Auskünfte aus dem vertraulichen Teil einer Todesbescheinigung dürfen erteilt oder Einsicht gewährt werden, wenn eine Hochschule oder andere wissenschaftliche Einrichtung die Angaben für ein wissenschaftliches Forschungsvorhaben benötigt und durch sofortige Anonymisierung der Angaben oder auf andere Weise sichergestellt wird, dass schutzwürdige Interessen der verstorbenen Person nicht beeinträchtigt werden, Art. 3 a Abs. 3 Satz 2 Nr. 2 Buchstabe a BestG. Anonymisieren ist gemäß Art. 4 Abs. 8 BayDSG das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr (absolute Anonymisierung) oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person (faktische Anonymisierung) zugeordnet werden können. Wird z. B. auf den Todesbescheinigungen nur der Name des Verstorbenen entfernt, sind hierauf unter anderem noch der Wohnort, der Geburtsort, das Geschlecht, der Sterbezeitpunkt, der Sterbeort und das genaue Geburtsdatum enthalten. Diese Angaben - zusammen mit weiteren Angaben - führen dazu, dass die Zuordnung zu einer natürlichen Person nach wie vor möglich ist und eine (faktische) Anonymisierung ausscheidet. Ferner ergibt sich aus dem Begriff der "sofortigen Anonymisierung", dass es nicht ausreicht, wenn die Forschungseinrichtung die identifizierenden von den sonstigen Daten trennt. Die Trennung muss vielmehr bereits in dem Gesundheitsamt erfolgen, das die Todesbescheinigung aufbewahrt.

Das oben angesprochene Verfahren der Trennung der Daten in der Forschungseinrichtung kann dazu führen, dass "auf andere Weise sichergestellt wird", dass schutzwürdige Interessen des Verstorbenen nicht beeinträchtigt werden. Dabei ist jedoch durch technisch-organisatorische Maßnahmen zuverlässig zu gewährleisten, dass so wenige Personen wie möglich und nur im erforderlichen Umfang die Möglichkeit zur Zusammenführung dieser Daten erhalten. Eine denkbare Lösung wäre auch, einen vertrauenswürdigen Dritten ("Treuhänder") zwischenzuschalten, der in genau definierten Fällen die identifizierenden und die sonstigen Daten zusammenführen kann.

Einen Auffangtatbestand enthält Art. 3 a Abs. 3 Satz 2 Nr. 2 Buchstabe b BestG, der Auskünfte und Einsicht auch dann gewährt, wenn das öffentliche Interesse an der Forschung das schutzwürdige Interesse der verstorbenen Person erheblich übersteigt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse von Angehörigen der verstorbenen Person an einem Ausschluss der Verarbeitung oder Nutzung überwiegt.

4.4. Inkrafttreten des Infektionsschutzgesetzes

Am 01. Januar 2001 trat des Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten bei Menschen (Infektionsschutzgesetz - IfSG; BGBl I S. 1045 ff.) in Kraft. Gleichzeitig traten das Bundesseuchengesetz und andere Regelungen, wie z. B. das Geschlechtskrankheitengesetz, außer Kraft. Regelungsbereiche, die bisher in mehreren Gesetzen enthalten waren, wurden im IfSG zusammengefasst.

Das IfSG enthält umfangreiche Meldepflichten, die unter anderem wegen der medizinischen Fortentwicklung über die bisherigen Meldepflichten des Bundesseuchengesetzes hinausgehen. Hier sind zum großen Teil namentliche, bezüglich bestimmter Krankheiten (z. B. HIV) jedoch auch nicht namentliche Meldungen vorgeschrieben. Bei meldepflichtigen Krankheiten ist die Meldepflicht grundsätzlich von dem feststellenden Arzt und in Krankenhäusern vom leitenden Arzt zu erfüllen. Bei Krankheitserregern trifft diese Pflicht die Leiter von Medizinaluntersuchungsämtern und sonstigen privaten oder öffentlichen Untersuchungsstellen einschließlich der Krankenhauslaboratorien. Die nicht-namentliche Meldung erfolgt unter Zuhilfenahme einer fallbezogenen Verschlüsselung, die sich aus dem dritten Buchstaben des ersten Vornamens in Verbindung mit der Anzahl der Buchstaben des ersten Vornamens sowie dem dritten Buchstaben des ersten Nachnamens in Verbindung mit der Anzahl der Buchstaben des ersten Nachnamens zusammensetzt, § 10 Abs. 2 IfSG.

Besonderen Augenmerk legt das IfSG auf die beratende und untersuchende Tätigkeit der Gesundheitsämter im Bereich sexuell übertragbarer Krankheiten und der Tuberkulose. Gemäß § 19 Abs. 1 Satz 1 IfSG bietet das Gesundheitsamt unter anderem bezüglich sexuell übertragbarer Krankheiten Beratung und Untersuchung an oder stellt diese in Zusammenarbeit mit anderen medizinischen Einrichtungen sicher. § 19 Abs. 1 Satz 2 IfSG bestimmt, dass bei Personen, deren Lebensumstände eine erhöhte Ansteckungsgefahr für sich oder andere mit sich bringen, die Beratung oder Untersuchung auch aufsuchend angeboten werden soll. Die Angebote können bezüglich sexuell übertragbarer Krankheiten anonym in Anspruch genommen werden, soweit hierdurch die Geltendmachung von Kostenerstattungsansprüchen nicht gefährdet wird, § 19 Abs. 1 Satz 3 IfSG. Diese rechtlichen Vorgaben des Gesetzes sind von den Gesundheitsämtern zu beachten.

Zu beachten ist ferner, dass im Gegensatz zu § 4 Abs. 1 des Geschlechtskrankheitengesetzes, das am 31. Dezember 2000 außer Kraft getreten ist, das IfSG die Vorlage eines Gesundheitszeugnisses durch Prostituierte nicht mehr vorsieht.

Durch eine Eingabe ist mir in diesem Zusammenhang bekannt geworden, dass das Gesundheitsamt einer Stadt personenbezogene Daten von Prostituierten (aktuelle An- und Abmeldungen, Name, Geburtsdatum und Arbeitsadressen) regelmäßig an die Polizei weitergegeben hat. Ich habe diesen Vorgang wegen Verletzung des Arzt- und Patientengeheimnisses förmlich beanstandet.

Diese Daten wurden im Rahmen der ärztlichen Befundung bei dem Gesundheitsamt erhoben. Die Speicherung der Daten der Prostituierten beruhte nach altem Recht auf § 4 Abs. 1 des Gesetzes zur Bekämpfung von Geschlechtskrankheiten in Verbindung mit Art. 17 Abs. 1 BayDSG. Die Daten unterliegen der ärztlichen Schweigepflicht. Dem steht nicht entgegen, dass keine medizinischen Daten im engeren Sinne an die Polizei weitergegeben wurden, da bereits die Tatsache einer Untersuchung dieser Schweigepflicht unterfällt. Darunter fallen auch Geheimnisse, die bei einer zwangsweisen Untersuchung gewonnen werden. Eine Offenbarungsbefugnis zur zulässigen Durchbrechung der ärztlichen Schweigepflicht lag im vorliegenden Fall nicht vor. Eine solche Befugnis kann sich nicht aus dem allgemeinen Datenschutzrecht - insbesondere dem BayDSG - ergeben, da das BayDSG die Verpflichtung zur Wahrung der in § 203 Abs. 1 StGB genannten Geheimnisse unberührt lässt, Art. 2 Abs. 9 BayDSG. Sonstige Offenbarungsbefugnisse - z. B. aus dem PAG - lagen hier ebenfalls nicht vor.

Diese Praxis ist nach dem Inkrafttreten des IfSG erst recht nicht mehr haltbar, da dieses die Vorlage eines Gesundheitszeugnisses durch Prostituierte überhaupt nicht mehr vorsieht. Für eine regelmäßige Übermittlung der Daten von Prostituierten durch die Gesundheitsabteilungen der Landratsämter an die Polizei ist vor diesem Hintergrund - auch mit Einwilligung der Prostituierten - kein Platz. Da ich im Zuge meiner Überprüfung feststellen konnte, dass auch andere Gesundheitsabteilungen der Landratsämter Vergleichbares praktizieren, habe ich diese angeschrieben und darauf hingewiesen, dass der Schwerpunkt der Tätigkeit der Gesundheitsabteilungen in der gesundheitlichen Aufklärung und Beratung im Sinne des Art. 11 Abs. 1 Satz 2 GDG i.V.m. § 19 Abs. 1 IfSG liege. Eine generelle Aufforderung gegenüber Prostituierten, ihre Einwilligung zu erklären, dass im Zuge der Beratung gewonnene personenbezogene Daten an die Polizei übermittelt werden, ist mit dem vom Gesetzgeber vorgesehenen Beratungsauftrag des Gesundheitsamts unvereinbar.

Davon unberührt bleibt jedoch die in Art. 6 Abs. 2 Satz 2 GDG enthaltene Ausnahme, wonach personenbezogene Daten von den Behörden des öffentlichen Gesundheitsdienstes an öffentliche Stellen übermittelt oder an andere Teile der öffentlichen Stelle, deren Bestandteil die Behörde des öffentlichen Gesundheitsdienstes ist, weitergegeben werden dürfen, wenn dies - im Einzelfall - zur Abwehr von Gefahren für Leben oder Gesundheit Dritter erforderlich ist; der Betroffene soll hierauf hingewiesen werden. Diese Vorschrift kann jedoch nur bezüglich der konkret erforderlichen personenbezogenen Daten derjenigen Prostituierten Anwendung finden, die eine konkrete Gefahr für Leben oder Gesundheit Dritter darstellen. Eine regelmäßige Datenübermittlung kann damit nicht begründet werden. Eine solche Gefahr wäre z. B. dann denkbar, wenn eine Prostituierte an einer ansteckenden Erkrankung leidet und sich nachdrücklich den angeordneten Schutzmaßnahmen (vgl. § 28 IfSG) widersetzt oder der begründete Verdacht besteht, dass sie sich nicht an diese Schutzmaßnahmen halten wird.

Alle angeschriebenen Gesundheitsabteilungen der Landratsämter haben mir die Einstellung dieses Verfahrens bestätigt.

4.5. Datenschutzrechtliche Anforderungen an den „Arzneimittelpass“

Vor dem Hintergrund der "Lipobay-Diskussion" beschäftigte sich die Öffentlichkeit unter anderem mit der Frage, wie in Zukunft für die Patienten abträgliche Wechselwirkungen verschiedener Medikamente effektiver verhindert werden können. Im Zuge dieser Diskussion wurden aus dem Bundesministerium für Gesundheit Überlegungen zur Einführung eines "Arzneimittelpasses" in Form einer (elektronisch nutzbaren) Medikamentenchipkarte bekannt, auf der die ärztlichen Verordnungen verzeichnet werden sollen. Zunächst war unklar, ob die Karte für alle (gesetzlich) Versicherten verpflichtend sein solle.

Die Datenschutzbeauftragten des Bundes und der Länder haben sich bereits in den Chipkartenbeschlüssen der 47. und der 50. Datenschutzkonferenz vom 09./10. März 1994 und vom 09./10. November 1995 eingehend mit den datenschutzrechtlichen Anforderungen an den Einsatz von Chipkarten im Gesundheitswesen beschäftigt. Hiervon ausgehend fassten die Datenschutzbeauftragten in ihrer 62. Datenschutzkonferenz eine Entschließung zu den datenschutzrechtlichen Anforderungen an den "Arzneimittelpass" (Medikamentenchipkarte) mit folgenden wesentlichen Inhalten (vgl. Anlage 11):

  • Die Datenschutzbeauftragten lehnen eine Medikamentenchipkarte als Pflichtkarte ab, da die Patientinnen und Patienten damit unter anderem gezwungen wären, die ihnen verordneten Medikamente und damit zumeist auch ihre Erkrankung bei jedem Arzt- und/oder Apothekenbesuch ohne ihren Willen zu offenbaren.
  • Ferner müsse die freie und unbeeinflusste Entscheidung über den Einsatz und die Verwendung der Karte gewährleistet werden.
  • Grundlegend sei außerdem die freie Entscheidung der Betroffenen, ob ihre Daten auf einer Chipkarte gespeichert werden, welche Daten auf die Karte aufgenommen und wieder gelöscht werden, ob sie die Karte bei einem Arzt- oder Apothekenbesuch vorlegen und welche Daten sie im Einzelfall zugänglich machen (Möglichkeit einer partiellen Freigabe).
  • Es wäre datenschutzrechtlich problematisch, den "Arzneimittelpass" auf der Krankenversichertenkarte gemäß § 291 SGB V zu implementieren. Eine solche Erweiterung der Krankenversichertenkarte wäre allenfalls vertretbar, wenn die "Funktion Krankenversichertenkarte" von der "Funktion Arzneimittelpass" informationstechnisch getrennt würde.

Im Frühjahr 2002 legte das Bundesministerium für Gesundheit ein Papier "Eckpunkte zur Einführung der elektronischen Gesundheitskarte" vor, das datenschutzrechtlichen Vorstellungen weitgehend entgegenkommt. So wird zum Ausdruck gebracht, dass die Gesundheitskarte als freiwilliges Angebot an die Versicherten konzipiert sei. Vor einer flächendeckenden Einführung der Karte sei es erforderlich, sie in Modellprojekten zu erproben. Basis solle die bisherige Krankenversichertenkarte bilden, in der neben der Ausweisfunktion informationstechnisch getrennt ein Arzneimittelpass, Gesundheitsangaben (insbesondere Notfalldaten) und weitere telematische Anwendungen integriert würden. Die Karte solle langfristig auch dazu dienen - unter Anonymisierung oder Pseudonymisierung der Daten - die Generierung dieser Daten zur Qualitätsverbesserung der medizinischen Behandlung zu unterstützen. Das BMG schlägt in dem Papier ferner die Unterteilung der Gesundheitskarte in verschiedene Fächer (z. B. Arzneimittelfach, Notfallinformation, elektronisches Rezept, elektronischer Arztbrief, Verweisfunktion auf Daten, die sich auf Servern befinden etc.) vor.

Ich begrüße es ausdrücklich, dass die Gesundheitskarte in dem Papier als freiwilliges Angebot vorgesehen ist. Die Freiwilligkeit der Teilnahme der Patienten muss jedoch nicht nur bei den Modellprojekten, sondern auch später in einer flächendeckenden Umsetzung gewährleistet sein. Bezüglich einer klaren informationstechnischen Trennung der Krankenversichertenkarte von den Funktionen der elektronischen Gesundheitskarte müsste noch ein überzeugendes Konzept vorgelegt werden.

Im übrigen ermöglicht die neue Vorschrift des § 63 Abs. 3 Satz 1 SGB V das Abweichen von den datenschutzrechtlichen Vorschriften im SGB V, soweit dies zur Durchführung (telematischer) Modellvorhaben erforderlich ist. Die Datenschutzbeauftragten haben gegen die ursprünglich noch pauschalere Regelung erhebliche datenschutzrechtliche Bedenken vorgetragen und zum Ausdruck gebracht, dass die Vorschriften über das Erheben, Verarbeiten und Nutzen von Sozialdaten nicht alleine durch eine Einwilligung des Versicherten außer Kraft gesetzt werden dürften, sondern im einzelnen geregelt werden müsse, von welchen Vorschriften konkret abgewichen werden könne. Letztlich wurde durch die Intervention der Datenschutzbeauftragten wenigstens erreicht, dass ein Versicherter vor Erteilung der Einwilligung schriftlich darüber zu unterrichten ist, inwieweit ein Modellvorhaben von den datenschutzrechtlichen Vorschriften des SGB V abweicht und aus welchen Gründen diese Abweichungen erforderlich sind. In Bezug auf Modellvorhaben zu Gesundheitschipkarten bestimmt das Gesetz nunmehr, dass Erweiterungen der Krankenversichertenkarte nur zulässig sind, wenn die zusätzlichen Daten von den in § 291 Abs. 2 SGB V genannten, ausschließlich administrativen Daten der Krankenversichertenkarte informationstechnisch getrennt werden. Ferner sind Modellvorhaben, in denen von den datenschutzrechtlichen Vorschriften des SGB V abgewichen werden kann, auf längstens fünf Jahre zu befristen und personenbezogene Daten unverzüglich nach Abschluss des Modellvorhabens zu löschen. Der Bundesbeauftragte für den Datenschutz oder die Landesbeauftragten für den Datenschutz sind - jeweils in ihrem Zuständigkeitsbereich - rechtzeitig vor Beginn des Modellvorhabens zu unterrichten. Ich begrüße diese datenschutzrechtlichen Verbesserungen, wenn ich auch für die pauschale Freistellung von den datenschutzrechtlichen Vorschriften in der Modellklausel keinen Grund sehe.

Datenschutzfreundliche Ansätze kommen auch in der "Gemeinsamen Erklärung des Bundesministeriums für Gesundheit und der Spitzenorganisationen zum Einsatz von Telematik im Gesundheitswesen" vom 03. Mai 2002 zum Ausdruck. Die mit dem Ausbau zur Gesundheitskarte verbundene Speicherung und Verarbeitung der Gesundheitsdaten sei als freiwilliges Angebot an die Versicherten zu gestalten. Die Patienten müssten entscheiden können, ob und welche Daten sie einem Leistungserbringer zugänglich machen. Zentral gespeicherte Datensammlungen über Patientinnen und Patienten dürften nicht entstehen. Diese müssten das Recht haben, über sie gespeicherte Daten vollständig zu lesen und die Verwendung gespeicherter Patientendaten dürfe nur innerhalb des gesetzlichen Rahmens unter Wahrung des bestehenden Schutzniveaus (z. B. Beschlagnahmeschutz in der Arztpraxis) erlaubt sein.

4.6. Datenschutzrechtliche Anforderungen an Qualitätssicherungsprojekte

Auch in diesem Berichtszeitraum war ich mehrfach mit der datenschutzrechtlichen Beurteilung von Qualitätssicherungsprojekten (vgl. hierzu auch 19. TB, Ziffer 3.7) befasst. Ich habe die Projektträger darauf hingewiesen, dass bei diesen Qualitätssicherungsprojekten in der Regel keine gesetzlichen Offenbarungsbefugnisse vorliegen, so dass die Verarbeitung personenbezogener Patientendaten - aber auch von Personaldaten - nur mit der freiwilligen, informierten und schriftlichen Einwilligung der Betroffenen zulässig ist. Primär brauchen diese Datenverarbeitungen jedoch nicht personenbezogen, sondern nur anonymisiert (vgl. Art. 4 Abs. 8 BayDSG) erfolgen.

  • Die sogenannte Kooperation für Transparenz und Qualität im Krankenhaus (KTQ) trat mit der Bitte um datenschutzrechtliche Hilfestellung an mich heran. Von der KTQ gebildete Teams, die sich aus leitenden Ärzten, Pflegekräften und Verwaltungsdirektoren zusammensetzen, sollen in Krankenhäusern Visitationen auf freiwilliger Basis durchführen und diese zertifizieren. Es liegt in der Natur der Sache, dass hierbei die Möglichkeit der Kenntnisnahme sensibler Patienten- und Personaldaten durch außenstehende Dritte besteht und solche (unzulässigen) Offenbarungen vermieden werden müssen.

    Zur Vorbereitung der Visitoren auf ihre Tätigkeit hat die Bayerische Landesärztekammer ein Trainingsseminar in München abgehalten, auf dem einer meiner Mitarbeiter einen Vortrag über die Grundlagen des Datenschutzrechts im Allgemeinen und den Datenschutz im medizinischen Bereich im Besonderen gehalten hat.

    Im übrigen habe ich auch an der Erarbeitung eines Datenschutzkapitels für das sogenannte KTQ-Manual für den Einsatz in der Pilotphase mitgewirkt und dabei auch die Einschätzungen des Arbeitskreises Gesundheit und Soziales der Datenschutzbeauftragten des Bundes und der Länder, der sich ebenfalls mit diesem Verfahren beschäftigt hat, eingebracht.

    Ich habe die KTQ unter anderem auf Folgendes hingewiesen:
  • Soweit im Rahmen der Zertifizierung die Verarbeitung von Patientendaten angedacht ist, ist die ärztliche Schweigepflicht zu beachten. Soweit Patientendaten in personenbezogener bzw. personenbeziehbarer Form verarbeitet werden, bedarf es einer Befugnis, um eine zulässige Offenbarung dieser Daten an Dritte - z. B. auch an die Visitoren - annehmen zu können. Nur einige wenige Landeskrankenhausgesetze enthalten Vorschriften, die möglicherweise als Rechtsgrundlage für die Verarbeitung personenbezogener Patientendaten in einem Zertifizierungsverfahren angesehen werden können. Das BayKrG enthält keine solche Bestimmung. Aber auch in den Ländern, deren Krankenhausgesetze Vorschriften zur Durchführung von Qualitätssicherungsvorhaben enthalten, ist die Verarbeitung personenbezogener Daten nur dann akzeptabel, wenn diese erforderlich ist. Grundsätzlich ist es daher notwendig, die Kenntnisnahme und Verarbeitung personenbezogener Daten durch die Visitoren auf ein Minimum zu beschränken. In den Fällen, in denen es dem Krankenhaus zumutbar ist, die Unterlagen vorher zu anonymisieren oder zu pseudonymisieren, kann auf eine Anonymisierung/Pseudonymisierung nicht verzichtet werden. In Ländern ohne ausdrückliche Rechtsgrundlage ist zu anonymisieren bzw. zu pseudonymisieren, es sei denn, die betroffenen Patienten haben rechtswirksam eingewilligt.

    Ich habe die KTQ ferner darauf hingewiesen, dass §§ 137, 113 SGB V auf die freiwillige Zertifizierung von Krankenhäusern keine Anwendung finden. Dies ergibt sich zunächst daraus, dass die Vereinbarungen zur Qualitätssicherung gemäß § 137 Abs. 2 Satz 1 SGB V für zugelassene Krankenhäuser unmittelbar verbindlich sind, während die KTQ eine freiwillige Zertifizierung anbietet. Ferner berechtigt § 137 SGB V externe Prüfer nicht zur Einsichtnahme in Patientenunterlagen. Als datenschutzrechtliche Befugnis zur Einsichtnahme der Prüfer in Daten, die der ärztlichen Schweigepflicht unterliegen, kommt nur § 113 Abs. 2 SGB V in Betracht. Hierzu müssen jedoch die Voraussetzungen gemäß § 113 Abs. 1 Satz 1 SGB V geschaffen werden, wonach die Landesverbände der Krankenkassen, die Verbände der Ersatzkassen und der Landesausschuss des Verbandes der privaten Krankenversicherung gemeinsam die Wirtschaftlichkeit, Leistungsfähigkeit und Qualität der Krankenhausbehandlung eines zugelassenen Krankenhauses durch einvernehmlich mit dem Krankenhausträger bestellte Prüfer untersuchen lassen. Gerade dies ist hier nicht der Fall.
  • Ferner habe ich darauf hingewiesen, dass daher in Bayern eine personenbezogene bzw. personenbeziehbare Offenbarung von Patientendaten nur aufgrund der freiwilligen, informierten und schriftlichen Einwilligung der Betroffenen zulässig ist. Soweit es von der Organisation der Visitationen möglich ist, die jeweilige Einwilligung des betroffenen Patienten des Krankenhauses zur Einsichtnahme in seine geschützten Daten einzuholen, ist es jedoch datenschutzrechtlich unzulässig, die Behandlung im Krankenhaus von einer solchen Einwilligung abhängig zu machen, da dies mit dem Gebot der Freiwilligkeit im Widerspruch stünde.
  • Weiterhin habe ich darauf hingewiesen, dass es vermieden werden sollte, personenbezogene Daten bzw. Unterlagen aus dem Gewahrsam des Krankenhauses zu verbringen, da sonst der Beschlagnahmeschutz des § 97 Abs. 2 StPO nicht mehr gegeben ist.
  • Ein mit dem Projekt "Freiwillige Krankenhausvergleiche zur externen Qualitätssicherung in der Psychiatrie" (vgl. 19. TB, Ziffer 3.7.1) vergleichbares Vorhaben ist die "Geriatrie-in-Bayern-Datenbank" ("GiB-DAT-Projekt") der Arbeitsgemeinschaft zur Förderung der Geriatrie in Bayern (AFGIB). Diese Datenbank soll zur Qualitätssicherung der klinisch geriatrischen Arbeit in Bayern beitragen, indem aus den teilnehmenden Kliniken fortlaufend anonymisierte und standardisierte Informationen über alle Behandlungsfälle erhoben und zentral ausgewertet werden. Hierdurch sollen die teilnehmenden Anstalten die Möglichkeit erhalten, die Ergebnisse der eigenen Arbeit durch den Vergleich mit ähnlichen Einrichtungen besser beurteilen zu können.

    Die Pseudonymisierung der Patientendaten habe ich akzeptiert, da über die klinikinterne Fallnummer nur das Klinikum selbst mit eigenem Zusatzwissen einen Personenbezug herstellen kann. Im übrigen habe ich erreicht, dass z. B. das genaue Geburtsdatum und das genaue Entlassungsdatum, die ein erhebliches Risiko der Identifizierung eines Betroffenen in sich bergen, nicht mehr übermittelt werden.

In einem sogenannten Follow-Up zum GiB-DAT-Projekt erhalten die Patienten sechs Monate nach der Entlassung aus der geriatrischen Behandlung von der vorbehandelnden Klinik einen Fragebogen mit der Bitte zugeschickt, diesen ausgefüllt wieder an die Klinik zurückzuschicken. Die übermittelten personenbezogenen Daten werden dann entweder von dem Klinikum selbst oder zentral beim GiB-DAT-Projekt in die EDV übertragen.

Hierzu habe ich darauf hingewiesen, dass bei dem Follow-Up personenbezogene Daten erhoben werden, so dass eine freiwillige, informierte und grundsätzlich schriftliche Einwilligung jedes Betroffenen (Art. 15 Abs. 2 bis 4 BayDSG) erforderlich ist. Ich habe den Projektbetreibern meine Anforderungen an eine freiwillige und informierte Einwilligung (vgl. 19. TB, Ziffer 2.3.1) dargestellt und darauf hingewiesen, dass von der Schriftform der Einwilligung nur abgewichen werden kann, wenn der bestimmte Forschungszweck durch die Schriftform erheblich beeinträchtigt würde, Art. 15 Abs. 3 Satz 2 BayDSG. Die daher erforderliche schriftliche Einwilligung muss das jeweilige Klinikum für einen angemessenen Zeitraum datenschutzgerecht aufbewahren. Die Fragebögen müssen außerdem datenschutzgerecht vernichtet werden, wenn sie nicht mehr erforderlich seien.

4.7. Datenschutz in den Gesundheitsabteilungen der Landratsämter

Im Berichtszeitraum habe ich - insbesondere ausgehend von meinen Feststellungen im 19. TB (Nr. 3.8) - die Gesundheitsabteilungen sieben bayerischer Landratsämter geprüft. Im Ergebnis konnte ich keine größeren datenschutzrechtlichen Defizite feststellen. Im einzelnen ist mir Folgendes aufgefallen:

  • Die interne Organisation der Gesundheitsabteilungen der Landratsämter entsprach nicht in allen Fällen dem Mustergeschäftsverteilungsplan für die Landratsämter in der Bekanntmachung des Bayerischen Staatsministeriums des Innern vom 04. Januar 1996 (IZ7-0211.4), da einige Gesundheitsabteilungen nicht in (drei) Sachgebiete entsprechend dieser Vorgaben untergliedert sind.

    In einer Gesundheitsabteilung ist z. B. eine Aufgliederung in Teams erfolgt, die jeweils für bestimmte Gemeinden des Landkreises zuständig sind und weitgehend sowohl Aufgaben aus den Bereichen freiwillige Aufklärung und Beratung als auch hoheitliche Aufgaben wahrnehmen. Zum Teil sind die Gesundheitsämter überhaupt nicht weiter untergliedert. Im wesentlichen wurden die Abweichungen von den Empfehlungen des Bayerischen Staatsministeriums des Innern damit begründet, dass eine weitere Untergliederung einer kleinen Gesundheitsabteilung mit nur wenigen Arztstellen (zwei bis drei) nicht möglich sei. Gerade in Vertretungsfällen lasse sich eine gegenseitige Kenntnisnahme der Vorgänge aus den verschiedenen Bereichen nicht ausschließen. Zum Teil seien die Ärzte auch in verschiedenen Dienststellen im Landkreisgebiet tätig, um eine wohnortnahe Betreuung Hilfesuchender zu gewährleisten.

    Nach wie vor halte ich die Aufteilung der Gesundheitsabteilungen der Landratsämter in drei Sachgebiete mit der Zuweisung der Aufgabenbereiche freiwillige Aufklärung und Beratung an ein Sachgebiet für die beste Lösung, um den gesetzlichen Vorgaben des Art. 6 Abs. 1 Satz 5 GDG gerecht zu werden. Ich habe jedoch Verständnis dafür, dass in relativ kleinen Gesundheitsabteilungen eine solche Aufteilung sehr schwer durchzuführen und zum Teil sogar unmöglich sein wird. Vor einem solchen Hintergrund halte ich eine abweichende Organisation ausnahmsweise für hinnehmbar. Ich weise jedoch ausdrücklich darauf hin, dass auch in diesen Fällen die Verwertungsverbote des Art. 6 Abs. 1 Satz 1 GDG bezüglich der gesundheitlichen Aufklärung und Beratung, sowie der freiwilligen Untersuchungen und Begutachtungen beachtet werden müssen. Auf Seiten des (ärztlichen) Personals muss gerade hier eine erhebliche Sensibilität für die Wahrung datenschutzrechtlicher Belange an den Tag gelegt werden.
  • Auch bei der Ausgestaltung der Schwangeren(-konflikt)beratung konnte ich keine wesentlichen Mängel feststellen. Ergänzend zu meinen Ausführungen im 19. TB weise ich noch auf Art. 10 Abs. 1 Satz 3 des Bayerischen Schwangerenberatungsgesetzes (BaySchwBerG) hin, wonach der Name der Schwangeren auf Wunsch nach der Beratung durch eine andere als die beratende Person in die Beratungsbescheinigung eingetragen werden kann. Hierauf sind beratene Frauen zuverlässig hinzuweisen.
  • Auch die Führung der Registratur und der Akten gaben zu keinen Beschwerden Anlass. Die Vorgänge der freiwilligen Untersuchung und Beratung werden zumeist von den Sachbearbeitern selbst - getrennt von den übrigen Aktenbeständen - geführt. Ebenso wenig konnte ich Mängel bei der Führung der Zentralkartei feststellen.
  • Ferner habe ich bei der Prüfung festgestellt, dass nicht alle Gesundheitsabteilungen über eine automatisierte Datenverarbeitung verfügen. In einigen Gesundheitsabteilungen ist diese auch erst im Aufbau begriffen. Einen Anschluss an die Rechner des Landratsamts konnte ich nur bei einem Gesundheitsamt feststellen. In diesem Fall ist das DV-Personal den alleinigen Weisungen des Amtsarztes unterworfen. In den übrigen Fällen, in denen eine ADV verfügbar war, hatten die Gesundheitsabteilungen einen eigenen - von den Rechnern des Landratsamts getrennten - Server (vgl. hierzu 19. TB, Ziffer 17.3.6).
  • Hinsichtlich des Posteinlaufs habe ich festgestellt, dass schriftliche Maßgaben oder eine Dienstanweisung für die Bediensteten der Poststelle zur Behandlung von Post der Gesundheitsabteilung (z. B. ungeöffnete Weiterleitung von Post an die Schwangerenberatungsstelle und die Aidsberatung) in einigen Fällen fehlten. Ich habe angeregt, dies nachzuholen.