In der Arztpraxis oder im Krankenhaus geht es immer auch um sensible Daten. Worauf sollten Patienten achten?
Stuttgart - Patientendaten Stuttgart - gehören zu den besonders sensiblen Informationen. Sie unterliegen besonderem Schutz und dürfen nur dann erhoben und gespeichert werden, wenn es für Vorsorge, Diagnostik oder Behandlung notwendig ist. Außerdem ist häufig zusätzlich die Zustimmung der betroffenen Personen oder ihrer gesetzlichen Vertreter notwendig, etwa wenn Patientendaten an Dritte übermittelt werden sollen.
Nun wird es jedem Patienten einleuchten, dass bestimmte Informationen weitergegeben werden müssen, auch im eignen Interesse. Doch wie kann man sich selbst Klarheit darüber verschaffen, was mit den Daten geschieht? Woran erkennt man, ob sie in guten Händen sind? Und wie kann man sich im Zweifel wehren?
Der erste Arzt- oder Krankenhausbesuch ist der Moment, der die meisten Möglichkeiten bietet, für den Schutz persönlicher Daten Sorge zu tragen. „Es ist schon einmal ein gutes Zeichen, wenn mir ein Informationsblatt vorgelegt wird, in dem ich informiert werde, welche Gesundheitsdaten gespeichert und weiterverarbeitet werden“, erklärt Annika Selzer vom Fraunhofer-Institut für Sichere Informationstechnologie.
Auch der eigene Augenschein lässt Rückschlüsse zu
Alternativ könnten diese Informationen auch in der Praxis ausgehängt werden. Auch der eigene Augenschein lasse Rückschlüsse darüber zu, wie ernst der Datenschutz in einer Praxis genommen werde. „Dazu gehört unter anderem auch die Diskretion im Empfangsbereich“, sagt Selzer. „So sollte Patienten nicht für andere hörbar Diagnosen mitgeteilt werden. Während der Behandlung sollten die Türen geschlossen sein, im Sprechzimmer nicht noch die Akte des vorigen Patienten auf dem Tisch liegen. Der Arzt sollte auch dafür sorgen, dass auf dem Computerbildschirm keine Informationen über andere Patienten einsehbar sind.“
Die meisten Praxen verhielten sich vorbildlich, befindet die Datenschutzexpertin. Manche hinkten aber etwas hinterher oder ließen in Stresssituationen die Zügel schleifen. „Wird etwa bei Anrufen der Name des Anrufers wiederholt und dabei auch noch sein Anliegen für andere hörbar ausgesprochen, ist das sicher nicht im Sinne des Patienten.“
Jede Einwilligung beruht auf Freiwilligkeit
Selzer empfiehlt, solche Probleme direkt anzusprechen. In extremen Fällen können Verstöße bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Auch sollte sich der Patient in Ruhe mit dem Inhalt auseinandersetzen, wenn ihm eine Einwilligungserklärung vorlegt wird. „Man muss nicht immer gleich alles unterschreiben. Die datenschutzrechtliche Einwilligung beruht auf dem Prinzip der Freiwilligkeit, das bedeutet, ich kann sie verweigern oder beim Verlassen der Praxis mit Wirkung für die Zukunft widerrufen.“ So muss man nicht unbedingt in die Weitergabe von Informationen vom Fach- an den Hausarzt einwilligen.
Möchte man bereits gespeicherte Daten löschen lassen, sollte man zunächst einen Antrag auf Auskunft stellen, damit man erst einmal erfährt, welche Daten die Praxis überhaupt verarbeitet. Einem Löschantrag stehen mitunter Aufbewahrungspflichten des Arztes entgegen. Dann kann man in der Regel eine Datensperrung verlangen, faktisch eine Einschränkung der Datenverarbeitung, bis die Aufbewahrungspflicht abgelaufen ist.
Eine Fülle von Patientendaten wird bei den Krankenkassen gespeichert
Hinterfragen kann man auch den Einsatz von Abrechnungsdienstleistern. Ob und welche Unternehmen eine Praxis hierfür beauftragt hat, sollte idealerweise aus der eingangs erwähnten Datenschutzinformation hervorgehen.
Eine Fülle von Patientendaten wird bei den Krankenkassen gespeichert. Sonst könnten diese auch kaum ihrer Aufgabe der medizinischen Versorgung ihrer Versicherten nachkommen. Doch was passiert mit den Daten, wenn sie nicht mehr gebraucht werden?
Auch hier greift der allgemeine Grundsatz des Datenschutzrechts: Die Krankenkassen dürfen nur so viele Daten ihrer Versicherten speichern, wie es für die Aufgabenerledigung unbedingt erforderlich ist. Laut dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sind sie nach dem Sozialgesetz sofort zu löschen, „wenn ihre Speicherung nicht mehr erforderlich ist und kein Grund zur Annahme besteht, dass durch die Löschung der Daten schutzwürdige Interessen von Betroffenen beeinträchtigt werden“. Neben dieser „relativen Löschfrist“ hat der Gesetzgeber „absolute Löschfristen“ definiert. So müssen Angaben über erbrachte Leistungen nach zehn, ärztliche Abrechnungen nach vier Jahren gelöscht werden. Sollte ein Patient Anlass zu der Vermutung haben, dass die Löschfristen nicht ordnungsgemäß umgesetzt werden, gilt auch hier: Zunächst Einsicht, dann die Löschung beantragen.
In Kliniken werden Patientendaten mitunter für die Forschung verwendet
Für Krankenhäuser gelten weitgehend dieselben gesetzlichen Regelungen wie für Arztpraxen. In Krankenhäusern werden die Patientendaten mitunter auch für die medizinische Forschung verwendet. Rechtsgrundlage sind spezielle Regelungen, die unter anderem in den Landeskrankenhausgesetzen verankert sind. Sie legen fest, unter welchen Voraussetzungen personenbezogene Patientendaten auch ohne Einwilligung der Betroffenen verarbeitet werden dürfen.
Im Einzelfall wird dabei das Schutzinteresse der Patienten anhand der Frage abgewogen, ob der Forschungszweck auch auf andere Art, etwa mit Hilfe statistischer Daten, erreicht werden kann. Außerdem ist zu prüfen, ob ein Personenbezug unbedingt notwendig ist. Ist das nicht der Fall oder wurde das Forschungsziel erreicht, werden die Daten anonym behandelt. Außerdem, so der Datenschutzbeauftragte weiter, muss der Patient „vor der Einwilligung über Umfang und Zweck der geplanten Datenverarbeitung und über seine freie Entscheidung konkret informiert werden.“ Das Recht auf Schutz der eigenen Daten geht auch hier mit der Notwendigkeit einher, sich mit dem auseinanderzusetzen, was man eigenhändig unterschreibt.