Die meisten Krankenhäuser haben mittlerweile verstanden, dass die Gesundheit der Patienten zwar stets die erste Priorität ist, der Datenschutz jedoch auch nicht auf die leichte Schulter genommen werden sollte. Dies dürfte den Verantwortlichen spätestens klar geworden sein, als die Datenschutzaufsichtsbehörden einem portugiesischen und einem holländischen Krankenhaus Strafen von 400.000 € bzw. 460.000 € auferlegt haben, u.a. weil zu viele Personen Zugriff auf die elektronischen Patientenakten hatten (wir berichteten).
Da es in Krankenhäusern viele verschiedene Prozesse gibt, die datenschutzrechtlich nicht immer ganz einfach zu beurteilen sind, beleuchten wir heute eine besondere Gattung der „Götter in Weiß“, die Belegärzte.
Belegärzte
Belegärzte tun das, was Ärzte im Krankenhaus für gewöhnlich so tun – sie behandeln Patienten. Sie sind jedoch nicht wie der Großteil der Ärzte im Krankenhaus angestellt oder gar verbeamtet und erhalten auch kein Geld vom Krankenhaus. Sie behandeln ihre Patienten auf eigene Rechnung und nutzen dafür die Infrastruktur und die Ressourcen des Krankenhauses. Das Krankenhaus berechnet den Patienten zusätzlich die Krankenhausleistungen wie die Bereitstellung eines Bettes und die Verpflegung. Belegärzte benötigen eine besondere Zulassung der Kassenärztlichen Vereinigung, in der festgelegt ist, in welchem Krankenhaus sie tätig sind und wie viele Betten sie dort belegen dürfen. Häufig haben Belegärzte eine eigene (ambulante) Praxis. Für die Patienten bietet das Belegarztsystem den Vorteil, dass sie durchgehend vom selben Arzt behandelt werden und Untersuchungen nicht doppelt durchgeführt werden müssen. Der Behandlungsvertrag wird ausschließlich zwischen dem Belegarzt und seinen Patienten geschlossen. Das bedeutet, dass der Belegarzt Verantwortlicher im datenschutzrechtlichen Sinne ist. Zwar wird der Patient auch von Krankenpflegern des Krankenhauses betreut, diese treten in diesem Fall jedoch datenschutzrechtlich als Gehilfen des Belegarztes auf.
Akten der Belegpatienten
Aufgrund der organisatorischen Einbindung des Belegarztes in die Infrastruktur des Krankenhauses, erweist sich der datenschutzkonforme Umgang mit Patientendaten als besonders problematisch. Die Datenschutzaufsicht Rheinland-Pfalz vertritt die Ansicht, dass Belegärzte ihre Patientenakten strikt getrennt von den Krankenhausakten selbst führen müssen (https://www.mit-sicherheit-gut-behandelt.de/praxisorganisation/sonderformen-aerztlicher-taetigkeit.html). Das bedeutet, dass die Belegärzte nicht auf das Krankenhaus-Informationssystem (KIS) zurückgreifen dürfen, sofern nicht ohnehin eigene Programme genutzt werden. Andernfalls müsste sichergestellt sein, dass keine Krankenhausangestellten auf die Akten zugreifen können. Darüber hinaus müsste mit dem Krankenhaus ein Vertrag zur Auftragsverarbeitung geschlossen werden.
Gemeinsame Verantwortlichkeit oder Auftragsverarbeitung?
Die Aufsichtsbehörde Rheinland-Pfalz macht weiterhin darauf aufmerksam, dass die Möglichkeit besteht, dass zwischen Belegärzten und Krankenhäusern ein Vertrag zur gemeinsamen Verantwortlichkeit geschlossen werden kann. Diese Auffassung überzeugt jedoch wenig. Es ist zutreffend, dass sowohl Belegarzt als auch Krankenhaus Leistungen für den Patienten erbringen und an der Behandlung beteiligt sind (z.B. am Krankenhaus angestellte Krankenpfleger und OP-Assistenten). In diesem Rahmen erhält das Krankenhaus auch Daten der Patienten zur Abrechnung der Leistungen. Die Aufsichtsbehörde widerspricht sich mit dem Vorschlag der Gemeinsamen Verantwortlichkeit jedoch selbst, wird doch im selben Text klargestellt, dass ausschließlich der Belegarzt für die Datenverarbeitung verantwortlich ist. Die Verantwortung besteht auch dann fort, wenn Krankenpfleger (Angestellte des Krankenhauses) Eintragungen in die Akte vornehmen. Ungeachtet dessen darf der Zugriff auf die Patientenakte nur den Krankenhausangehörigen gewährt werden, die auch tatsächlich für die jeweiligen Patienten zuständig sind.
Natürlich verarbeitet das Krankenhaus dennoch Daten der Belegpatienten. Die Verarbeitung der Daten von Belegpatienten ist aber nicht auf den Belegarzt beschränkt. Soweit der Belegpatient auch Leistungen des Krankenhauses in Anspruch genommen hat, sind dessen Stammdaten und Angaben zur Krankenversicherung zwecks Abrechnung nötig. Darüber hinaus erhält das Krankenhaus etwa Daten zur Ernährung des Patienten. Diese Daten werden jedoch unabhängig vom Belegarzt verarbeitet, andersherum hat das Krankenhaus keinen Einfluss auf die Verwendung und Erhebung der Behandlungsdaten. Auch wenn eine organisatorische Zusammenarbeit erfolgt, scheidet eine datenschutzrechtliche gemeinsame Verantwortlichkeit aus, weil nicht gemeinsam über Zweck und Mittel der Verarbeitung entschieden wird. Beide Prozesse laufen vielmehr parallel in der jeweiligen Sphäre des Verantwortlichen.
Datenschutzrechtliche Pflichten des Belegarztes
Der Belegarzt muss also als eigenständig Verantwortlicher selbst die datenschutzrechtlichen Grundsätze einhalten. So trifft ihn etwa die Pflicht ein Verzeichnis der Verarbeitungstätigkeiten zu führen und seine Patienten gemäß Art. 13 DSGVO über die Datenverarbeitung zu informieren. Für Krankenhäuser bedeutet dies auf der anderen Seite, dass sie keine Befugnisse haben, Behandlungsdaten von reinen Belegpatienten vorzuhalten oder einzusehen, sondern nur Daten im Rahmen ihrer eigenen Leistungen verarbeiten dürfen.