Erarbeitet von der GMDS-Arbeitsgruppe
Datenschutz in Gesundheitsinformationssystemen

Stand 21.4.1999

Ziel dieser Empfehlung ist eine Hilfestellung bei der Organisation der datenschutzkonformen Handhabung von elektronisch gespeicherten Patientendaten im Krankenhaus und bei der Erstellung eines Datenschutzkonzeptes. Insbesondere sollen Hinweise für die Umsetzung des Grundprinzips der sparsamen Datenerhebung und -verarbeitung gegeben und die Definition eines Regelwerks für Zugriffsrechte und Datenfreigabe erleichtert werden. Abweichungen von diesen Empfehlungen können aufgrund unterschiedlicher gesetzlicher Regelungen in den einzelnen Bundesländern notwendig sein. Abweichungen können auch je nach den lokalen Organisationsstrukturen sinnvoll sein. Sie erfordern dann aber eine Begründung, in der dem Patienten sonst drohender Schaden sowie durch die Abweichung entstehender Nutzen für den Patienten dargelegt sind, und müssen die konstituierenden Elemente des Datenschutzes im Krankenhaus, die ärztliche Schweigepflicht und das informationelle Selbstbestimmungsrecht des Patienten, wahren. Soweit einige der folgenden Empfehlungen in einem bestehenden System nicht unmittelbar umgesetzt werden können, sollte die entsprechende Anforderung an den Hersteller weitergegeben werden.

Papierakten und Registraturen müssen ebenfalls datenschutzkonform gehandhabt werden; die folgenden Empfehlungen beziehen sich jedoch nur auf elektronisch gespeicherte Patientendaten, weil hier, vor allem durch die rasante technische Entwicklung, ein erheblicher Regelungsbedarf besteht.

1. Grundsätze

Durch die Einführung von Informationstechnik im Krankenhaus mit dem dadurch ermöglichten einfachen, schnellen und multiplen Zugriff auf Patientendaten ergeben sich Datenschutzprobleme, die durch organisatorische Regelungen und Sicherheitstechnik gelöst werden müssen. Bisher beim Umgang mit der papierenen Patientenakte übliche Einsichtnahme- und Weitergabeverfahren können nicht ohne weiteres auf das rechnergestützte Krankenhausinformationssystem und die elektronische Patientenakte übertragen werden.

Aus dem Datenschutzrecht (siehe die Grundsatzerklärung der AG sowie die Stellungnahme für das Krankenhaus-Management) ergeben sich für die Zugriffsrechte auf Patientendaten im Krankenhaus die folgenden Grundsätze: Patientendaten dürfen nur im Rahmen der Zweckbestimmung des Behandlungsvertrages und den damit verbundenen gesetzlichen Regelungen erhoben und verarbeitet, nicht aber uneingeschränkt - d. h. über die unmittelbare Zweckbindung hinaus - ausgetauscht und verwendet werden, auch nicht innerhalb des Krankenhauses; das Krankenhaus ist in diesem Sinne keine informationelle Einheit. Das Prinzip der Erforderlichkeit ist hier streng zu beachten, das auch als Prinzip der minimalen Rechte oder »need-to-know«-Prinzip bezeichnet wird. Insbesondere ist hier zwischen dem Arzt und seinen berufsmäßig tätigen Gehilfen einerseits sowie den sonstigen Gehilfen andererseits zu unterscheiden. Das medizinische Fachpersonal als Produzent der Information trägt die Verantwortung für die korrekte Verwendung der Daten unter Berücksichtigung der Persönlichkeitsrechte der Beteiligten, insbesondere des Patienten, der Quelle (oder »Urheber«) der Information ist. Folglich kann nur der die Daten produzierende, das heißt, sie erhebende, Arzt bzw. der ärztliche Leiter der Fachabteilung die Rechte für den Zugriff auf die medizinischen Daten des Patienten und deren definierte Verwendung erteilen. Der Patient hat, sofern das zuständige Krankenhausgesetz wie etwa in Rheinland-Pfalz nichts anderes bestimmt, das Recht, Daten für bestimmte Zugriffe sperren zu lassen, wobei er auf eventuell für ihn entstehende Nachteile hinzuweisen ist; er hat andererseits auch ein Anrecht darauf, daß seine Daten zur rechten Zeit am rechten Ort verfügbar sind, insbesondere nicht gegen seinen Willen oder seine Interessen zurückgehalten oder außerhalb der gesetzlichen Pflichten vernichtet werden.

2. Daten und Patientenakten

Unter einer Patientenakte wird im folgenden die Gesamtheit der über diesen Patienten gespeicherten Informationen verstanden, die in Form einer abgeschlossenen Dokumentation, z. B. von einem Arzt, verantwortet sind. Diese können in einer einheitlichen zentralen Datenbank oder in einem verteilten Krankenhausinformationssystem gespeichert sein. Die Patientenakte erstreckt sich über alle Behandlungszusammenhänge in diesem Krankenhaus. Wird der Patient (im Sinne des shared care) in mehreren Organisationseinheiten des Gesundheitswesens behandelt, führt jede solche Einheit eine eigene Patientenakte. Im Interesse des Patienten und unter Berücksichtigung seiner Einwilligung sind in diesem Fall analoge Datenweitergabe- und -zugriffsregelungen zu treffen, wie im folgenden für das Krankenhaus beschrieben.

Ein Behandlungszusammenhang beginnt mit der Aufnahme des Patienten und umfaßt Verlegungen, Mitbehandlung durch andere Fachabteilungen, Konsile und Leistungsanforderungen; er erstreckt sich auch über eventuellen Heimurlaub sowie über zusammengehörige ambulante Besuche. Er kann sich auch über Entlassung und Wiederaufnahme erstrecken, wenn diese der Fortsetzung einer bei einem früheren Aufenthalt begonnenen Behandlung dient.

Nicht zur Patientenakte gehören abteilungsinterne Daten, also in der behandelnden Fachabteilung über den Patienten angefallene nicht autorisierte Daten wie nicht befundete Röntgenbilder oder ähnliches; solche Daten sind aber selbstverständlich auch Patientendaten im Sinne der Datenschutzgesetzgebung und daher entsprechend zu schützen. Nicht zur Krankenakte gehören auch persönliche Arztnotizen. Es ist aber das Prinzip der ordnungsgemäßen Aktenführung zu beachten, d. h., es ist eine bearbeitungsgerechte, nachvollziehbare, auf sachlichen Prinzipien beruhende Struktur der abgespeicherten Daten anzustreben, um Behandlungsprozesse im Detail und im Kontext nachvollziehen zu können. Alles, was im Verlaufe der Behandlung an Daten erzeugt wird und derzeit relevant ist oder als künftig relevant erachtet wird, gehört in die Patientenakte.

Um die unterschiedlichen Zugriffsanforderungen und -befugnisse sowie Sensibilitätsstufen angemessen berücksichtigen zu können, sind folgende Arten von Daten zu unterscheiden, die alle dem Datenschutz und dem Arztgeheimnis unterliegen:

• Identifikationsdaten (Name, Geburtsdatum, Adresse, evtl. Krankenkassennummer, sowie krankenhausinterne Identifikatoren),
• administrative Daten:
  • Versicherungsdaten,
  • Bewegungsdaten,
  • weitere fallbezogene Daten, z. B. Wahlleistungen,
• medizinische Daten:
  • Notfalldaten,
  • allgemeine anamnestischen Daten,
  • abrechnungsrelevante Diagnosen und Therapien,
  • Befunde, Laborwerte und andere diagnostische und therapeutische Daten,
  • besonders sensible Daten (z. B. psychiatrische Daten, bestimmte Befunde),
  • genetische Daten.

Notfalldaten werden in der Patientenakte so gespeichert, daß der Zugriff auf sie unabhängig vom restlichen Teil der Patientenakte möglich ist. Zu den Notfalldaten gehören Daten, die zur Abwehr einer Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit des Patienten für die mit der Untersuchung und Behandlung des Patienten befaßten Personen erforderlich sind (z. B. schwere Allergien). Sie sollen vollständig und unverzüglich in die Patientenakte eingetragen werden. Welche Daten als Notfalldaten gekennzeichnet werden, entscheidet der Arzt, bei dem sie produziert werden; Vorgaben dazu erläßt der Leiter der Fachabteilung (unter Berücksichtigung internationaler Festlegungen), ebenso wie Richtlinien, welche Daten als besonders sensibel einzustufen sind. Das Widerspruchsrecht des Patienten, sofern gegeben, bleibt unberührt.

Die Patientenakten prominenter Personen können auf deren Wunsch mit einer VIP-Kennzeichnung versehen werden und werden nur unter besonderen Einschränkungen freigegeben. Alternativ ist eine Speicherung unter einem Pseudonym möglich. Eine analoge Regelung ist für Kliniksmitarbeiter und deren Angehörige vorzusehen, wobei die Schutzmaßnahmen nach dem Prinzip der Verhältnismäßigkeit weniger streng sein können.

3. Zugriffsrechte

Daten werden in der Verantwortung der erhebenden Fachabteilung des Krankenhauses gespeichert und verarbeitet und sind vor dem Zugriff durch nicht autorisierte Mitarbeiter zu schützen. Die erhebende Stelle verantwortet die Zugriffsrechte auf diese Daten; somit können Rechte an Dritte stets nur gegeben (logische Überweisung) und, außer in Notfallsituationen, nie selbständig durch sie genommen werden. Die Datenhoheit einer Fachabteilung über die bei ihr erhobenen Daten gilt unabhängig vom Ort der Speicherung, auch, wenn diese in einer zentralen Datenbank erfolgt. Das Recht zur Einsicht und Verarbeitung der Patientendaten ist grundsätzlich an den Behandlungszusammenhang gebunden. Das Erscheinen des Patienten in einer anderen Fachabteilung ist, sofern ein Behandlungszusammenhang besteht, in der Regel als Zustimmung zum Zugriff auf die nötigen Daten der überweisenden Abteilung zu werten; aufgrund der informationellen Selbstbestimmung des Patienten kann höchstens dieser, nicht die überweisende Stelle die Freigabe verweigern. Pauschalisierte Sonderregelungen aufgrund struktureller Einheiten, funktioneller Gemeinsamkeiten und besonderer Kooperationsbedingungen zwischen Fachabteilungen bedürfen einer sorgfältigen Begründung; Beispiele dafür folgen.

Der zugriffsberechtigte Personenkreis sowie dessen Rechte sind stets nach dem Grundsatz der Erforderlichkeit zu minimieren. Auch die Krankenhausverwaltung darf nur zu den Daten Zugang haben, die für ihre Zwecke erforderlich sind. Eine zentrale Referenzdatenbank, sofern ihr Umfang über eine reine Verweisdatei hinausgeht, ist, ebenso wie ein Archiv, kein Selbstbedienungsladen; auch hier gilt die Datenhoheit der Fachabteilungen.

Zugriffsrechte werden in Form eines kliniksweiten sowie eines abteilungsspezifischen Regelwerkes festgelegt, das mit dem Datenschutzbeauftragten abzustimmen ist. Bei Bedarf wird für den einzelnen Patienten eine Rechteliste in der Patientenakte mitgeführt, z. B. wenn er von seinem Widerspruchsrecht Gebrauch gemacht hat. Die Rechte werden je nach Anwendungsfall vergeben an

• Fachabteilungen,
• Rolleninhaber,
• Einzelpersonen,

Innerhalb des Behandlungszeitraums haben behandelnde Ärzte Zugriff auf den ganzen zum Behandlungszusammenhang gehörigen Teil der Patientenakte, soweit nicht besonders sensible Daten von anderen Fachabteilungen gesperrt sind, sowie auf die zu früheren Behandlungszusammenhängen in der gleichen Fachabteilung angefallenen Daten des Patienten. Dies gilt auch für Ärzte im Praktikum und Studenten im praktischen Jahr sowie für Ärzte, die der Fachabteilung zeitweise, z. B. im Rahmen von Nachtdienst, zugeordnet sind; deren Berechtigung ist auf die Zeit dieses Dienstes zu beschränken. Nach der Entlassung ist der Zugriff noch für einen angemessenen Zeitraum zulässig (z. B. für Arztbriefschreibung) - diese zeitliche Befristung ist allerdings nicht in allen einschlägigen Landesgesetzen vorgesehen.

Außerhalb des Behandlungszusammenhangs dürfen die Daten eines Patienten auch dem medizinischen Personal innerhalb der Abteilung nicht zur Verfügung stehen (nicht in allen Bundesländern zwingend), außer für definierte Forschungsprojekte oder Auswertungen im Rahmen der Qualitätssicherung; hierfür sind die Datenschutzregelungen für Forschungsvorhaben zu beachten, die insbesondere im Regelfall Anonymisierung oder Pseudonymisierung verlangen. Einem behandelnden Arzt sollen auch Rückgriffe auf Musterfälle seiner eigenen Behandlungstätigkeit möglich sein.

In der Fachabteilung tätige Pflegekräfte haben während des Aufenthalts des Patienten auf ihrer Station Zugriff auf die Krankenakte in einem Umfang, den der Leiter der Abteilung nach den Anforderungen der Arbeitsorganisation festlegt; auch hierbei ist der Grundsatz der Erforderlichkeit zu befolgen. Das gleiche gilt auch für sonstige Mitarbeiter der Fachabteilung. Für Famulanten, Studenten und Auszubildende legt der verantwortliche Lehrende im Rahmen seiner eigenen Befugnisse die Zugriffsberechtigung fest.

Der Nachweis eines Behandlungszusammenhangs wird in der Regel durch den Bewegungseintrag im Krankenhausinformationssystem erbracht. Oft erscheint der Patient aber schon in der neuen Abteilung, bevor wegen der Heterogenität des Krankenhausinformationssystems der Bewegungseintrag zur Verfügung steht. Für diesen Fall soll ein vorgezogener Zugriff möglich sein; unverzichtbare Grundlagen dafür sind

• die Zustimmung durch den Patienten (konkludent durch sein Erscheinen angenommen),
• die Freischaltung des Datenzugriffs durch die überweisende Abteilung (die in deren Abteilungssystem eventuell schon in Kraft ist oder in bestimmten Situationen, z. B. Röntgen, generell gewährt wird),
• die Nachvollziehbarkeit durch die Protokollierung.

Zugriffe auf die Patientenakte sollten protokolliert werden mit Angabe von Person, Rolle, Fachabteilung, sowie Art, Zeitpunkt und Umfang des Zugriffs. Die Granularität dieser Protokollierung ist nach dem Grundsatz der Verhältnismäßigkeit unter dem Gesichtspunkt der Praktikabilität auszubalancieren; ordnungsgemäße, den Richtlinien entsprechende Zugriffe durch das behandelnde Personal der Fachabteilung brauchen nicht im Protokoll zu erscheinen; eine stichprobenartige Protokollierung hiervon erscheint aber sinnvoll. Das Zugriffsprotokoll wird als Teil der Patientenakte behandelt, egal wo es physisch gespeichert ist, und ist nur für den verantwortlichen Arzt, den Patienten selbst und für den Datenschutzbeauftragten jederzeit einsehbar; diese haben auch das Recht, eine nachträgliche Rechtfertigung für den Zugriff zu verlangen. Die Folgen bei entdecktem Mißbrauch sind durch eine Dienstvereinbarung unter Berücksichtigung des Datenschutzrechts und des Strafgesetzbuchs zu regeln. Protokolleinträge sollen für eine angemessene Zeit aufbewahrt werden; mit Rücksicht auf das Auskunftsrecht des Patienten erscheinen 2 Jahre angemessen.

In Notfällen (z. B. Nacht- oder Wochenendaufnahme) ist im Interesse des Patienten - auch gemäß der EU-Richtlinie - ein schneller, unkomplizierter Zugriff auf die Daten zu gewährleisten. Hier ist in der Regel der Zugriff auf die Notfalldaten sowie der Hinweis auf frühere Aufenthalte ausreichend. Dabei ist über die gewöhnliche Protokollierung hinaus eine sofortige gesonderte Benachrichtigung des für die Daten Verantwortlichen und ein regelmäßiges Sonderaudit vorzusehen - in diesem Fall gehen die Datenschutzrechte des Patienten denen des Personals vor.

Die Notfalldaten eines Patienten sind ohne weitere explizite Freigabe von allen bei der Behandlung dieses Patienten beteiligten Fachabteilungen einsehbar. Die Existenz von Notfalldaten ist unübersehbar zu kennzeichnen, sie müssen besonders schnell abrufbar sein und übersichtlich zusammengefaßt präsentiert werden (»Cave-Fenster«). Auch hier ist die Protokollierung zur Entdeckung eines Mißbrauchs unverzichtbar.

Über Zugriffe auf die als besonders sensibel gekennzeichneten Daten entscheidet der Leiter der Fachabteilung, in der sie produziert wurden. Bei Zielkonflikten zwischen Notfalldaten und besonders sensiblen Daten - z. B. Diagnose AIDS - hat die Sensibilität der Daten Vorrang. Eine Einwilligung des Patienten reicht hier aber auch zur Freigabe.

4. Technische Absicherung der Zugriffsrechte und -einschränkungen

Patientendaten sind nach dem Stand der Technik zu schützen, wobei das Prinzip der Verhältnismäßigkeit zu beachten ist. Für medizinische Daten ist wegen ihrer Sensibilität ein entsprechend hoher Aufwand zur Realisierung der Sicherheit geboten. Durch technische und organisatorische Maßnahmen muß gewährleistet sein, daß genau die in der entsprechenden Rechteliste definierten Zugriffe auf eine Patientenakte stattfinden können. Die vom Sicherheitskonzept geforderten Beschränkungen müssen durch geeignete Implementation und durch Sicherheitstechnik garantiert werden. Natürlich dürfen auch die Möglichkeiten zum Datenzugriff unter Umgehung der Anwendungsprogramme nicht vergessen werden, z. B. mit Hilfe von direktem Plattenzugriff oder Netzmonitorprogrammen. Die Sicherheitsanforderungen sind daher nur durch kryptographische Techniken - verschlüsselte Speicherung und Übertragung, starke Authentisierung - zu erfüllen.

Verschlüsselte Übertragung soll die Daten zwischen Ursprungs- und Zielsystem vor der Einsicht durch Unberechtigte, auch durch IT-Personal, schützen. Verschlüsselt werden sollten die Nutzdaten der Übertragung, nicht die Verbindungsdaten, wie etwa Protokoll-Header. Der geeignetste Ansatz scheint die Verschlüsselung auf der Protokoll-Ebene zu sein, etwa die Verwendung von SSL (siehe Glossar) beim Einsatz von Intranet-Techniken. Eine Minimalforderung, solange im Einzelfall geeignete kryptographische Techniken noch nicht zur Verfügung stehen, ist das Unterdrücken von Identifizierungsdaten bei der Übermittlung; werden bei der Übertragung nur Patientennummern mitgeschickt, ist bereits eine wenigstens schwache Pseudonymisierung erreicht.

Um IT-Personal bei Systempflege und -wartung an sachlich nicht notwendigen Einblicken in Patientendaten zu hindern, wird eine Speicherung der identifizierenden Daten in einer getrennten Tabelle und die Verwendung von Pseudonymen für den Fall, daß die Zusammenführung unvermeidbar ist, empfohlen.

Server und Kommunikationsknoten sind als besondere Sicherheitsbereiche zu definieren und physisch zu schützen, in der Regel in verschlossenen Räumen.

Zum Nachweis der Benutzerberechtigung sollte entsprechend deutscher, europäischer und internationaler Rechtsgrundlagen eine Sicherheitsinfrastruktur nach dem Stand der Technik aufgebaut werden, die insbesondere starke Authentisierung und Rechteprüfung aufgrund von Zertifikaten (siehe Glossar) beinhaltet. Hier sind zukünftig die Möglichkeiten der Health Professional Card (HPC) zu nutzen. Es soll ein fliegender Rollen- oder Benutzerwechsel möglich sein; dazu ist eine Speicherung der aktuellen Benutzungsoberfläche in einem sicheren Systembereich geeignet, so daß sie nur durch erneute Authentisierung wieder aktiviert werden kann. Auf analoge Weise ist ein Time-Out zu realisieren.

Die Benutzungsoberfläche ist so zu gestalten, daß die Sicht, die dem Benutzer gewährt wird, genau seinen Rechten entspricht; d. h., es sind nur die Daten sichtbar, für die Leserecht besteht, und nur die Datenfelder editierbar, für die Schreibrecht besteht. Die Existenz von Notfalldaten ist deutlich anzuzeigen. Die Bedienungselemente für Notfallzugriffe außerhalb bereits gewährter Rechte sind mit deutlichen Warnhinweisen auf die Konsequenzen zu versehen. Die Berechtigung dazu ist lokal unter dem Gesichtspunkt der Praktikabilität eindeutig zu regeln.

Noch nicht Stand der Technik, aber spätestens nach Einführung der Health Professional Card anzustreben, ist die konsequente Anwendung der digitalen Signatur, um die Verbindlichkeit (Zurechenbakeit, Unleugbarkeit) von Dokumentation und Maßnahmen zu sichern. Dazu gehört auch ein, vom Trustcenter anzubietender, sicherer Zeitstempeldienst.

5. Typische Beispielsituationen

Hier werden Empfehlungen für die Ausgestaltung der Zugriffsrechte in typischen Situationen des Krankenhausalltags gegeben.

Aufnahme

Die reguläre Aufnahme eines Patienten erfolgt durch einen dazu berechtigten Verwaltungsmitarbeiter. Bei der Aufnahme wird der Patient, in der Regel durch einen separaten Vordruck, auf seine Rechte bezüglich des Datenschutzes hingewiesen und darüber informiert, welche Daten von wem verarbeitet werden, und stimmt mit seiner Unterschrift der Speicherung und Verarbeitung seiner Daten zu. Er wird durch den aufnehmenden Verwaltungsmitarbeiter einer Fachabteilung zugewiesen. Dadurch werden die Zugriffsrechte für diese Fachabteilung freigegeben.

Handelt es sich um eine Wiederaufnahme, d. h. wurde der Patient schon einmal in diesem Krankenhaus behandelt, darf bei der Aufnahme auf bereits vorhandene Stammdaten zugegriffen werden. Bei Identifizierungsproblemen ist eine minimierte Auswahl an Fällen und identifizierenden Daten anzubieten, auf keinen Fall aber eine vollständige Patientenliste zur Auswahl. Die Anzeige eines anderen Patienten in einer solchen minimalen Auswahlliste braucht nicht als Zugriff auf dessen Daten protokolliert zu werden. Bei einer Wiederaufnahme ist, sofern das Landesrecht nichts anderes vorsieht, der Patient zu fragen, ob medizinische Daten aus früheren Aufenthalten in anderen Fachabteilungen herangezogen werden dürfen. Widerspricht der Patient, so ist für den behandelnden Arzt ein entsprechender Vermerk zu machen, ohne jedoch die betroffenen anderen Abteilungen zu nennen. Der Arzt hat so die Möglichkeit, später doch noch die Zustimmung des Patienten zu erhalten. Der aufnehmende Verwaltungsmitarbeiter darf in diese Daten keinen Einblick erhalten.

Die Häufigkeit des Zugriffs auf Auswahllisten durch bestimmte Benutzer ist zu protokollieren, ebenso wie unnötige Zugriffe, um Mißbrauch zu entdecken. Ein Mißbrauch liegt z. B. vor, wenn eine Aufnahme vorgetäuscht wird, um in frühere Patientendaten einer Person Einblick zu erhalten.

Kurzaufnahme

Eine Kurzaufnahme erfolgt außerhalb der normalen Dienststunden direkt in der Fachabteilung. Welche Personen, z. B. auch Pflegepersonal, zu einer Kurzaufnahme berechtigt sind, legt der Abteilungsleiter in Absprache mit der ansonsten für die Aufnahme zuständigen Verwaltungsstelle fest. Die Prüfung, ob der Patient bereits im Krankenhausinformationssystem vorhanden ist, erfolgt entsprechend zur regulären Aufnahme. Die Kurzaufnahme ist baldmöglichst vom dazu berechtigten Verwaltungspersonal in eine reguläre Aufnahme zu überführen. Nach Abschluß der Kurzaufnahme erhält die aufnehmende Abteilung den Zugriff auf die Notfalldaten des Patienten sowie, wenn dies nicht ohnehin unbeschränkt möglich ist, auf eventuell schon vorhandene Daten in der eigenen Abteilung mit Fallbezug.

Notaufnahme

Eine Notaufnahme erfolgt, wenn aufgrund des Gesundheitszustandes des Patienten eine reguläre Aufnahme oder eine Kurzaufnahme nicht möglich ist. Ist der Patient nicht bei Bewußtsein, ist in seinem Interesse von der Einwilligung zum Datenzugriff im benötigten Umfang auszugehen; ist seine Identität nicht ermittelbar, wird er zunächst unter einem Pseudonym eingetragen.

Wiederaufnahme im gleichen Behandlungszusammenhang

Hier wird die unmittelbar vor der Entlassung gültige Datensicht wiederhergestellt.

Ambulante Aufnahme

Die ambulante Patientenaufnahme erfolgt in der Regel dezentral in den Polikliniken und in Leistungsbereichen wie der technischen Orthopädie oder der physikalischen Therapie. Es gelten analoge Empfehlungen wie für die Kurzaufnahme.

Erstkontakt mit dem Arzt

Im Interesse des Patienten ist es, schon aus haftungsrechtlichen Gründen, unerläßlich, daß eine neu aufnehmende Fachabteilung Lesezugriff auf die in der Patientenakte enthaltenen Informationen über frühere Kliniksaufenthalte auch in anderen Fachabteilungen hat; letztlich kann nur die neu behandelnde Fachabteilung beurteilen, welche medizinischen Daten sie für die Behandlung dieses Patienten braucht. Der verantwortliche Arzt muß daher vom Krankenhausinformationssystem über die Existenz früherer oder paralleler Behandlungszusammenhänge informiert werden, aber nicht über Art und Abteilung - dieses nur nach Zustimmung des Patienten. Notfalldaten müssen in jedem Fall sichtbar sein, auch wenn dadurch Rückschlüsse auf frühere Aufenthalte möglich sind.

Verlegung

Mit einer angeordneten Verlegung eines Patienten in eine andere Fachabteilung werden die im Behandlungszusammenhang benötigten Daten für die neue Abteilung freigegeben und sind dann dort unter Berücksichtigung der Rolle des Zugreifenden verfügbar, in der Regel nur mit Leseberechtigung. Der Patient ist bei der Besprechung seiner Weiterbehandlung auch über die vorgesehene Datenfreigabe und sein eventuelles Widerspruchsrecht zu informieren.

Hier sollte die im Routinefall übliche Freigabe im benötigten Datenumfang in den Verlegungsvorgang des Krankenhausinformationssystems eingebaut werden; in der Regel handelt es sich um die administrativen Daten sowie den in der Verantwortung der überweisenden Abteilung gespeicherten Teil der Patientenakte ohne die besonders sensiblen Daten. Das Speichern der Daten der alten Abteilung im System der neuen Abteilung würde sie der Datenhoheit der alten Abteilung entziehen und ist daher nicht zulässig, wenn auch technisch kaum zu verhindern.

Mitbehandlung und Konsil

Für die Mitbehandlung in einer anderen Fachabteilung ist die Datenfreigabe analog zur Verlegung zu regeln, zusätzlich ist umgekehrt die Freigabe der hier anfallenden Informationen für die hauptsächlich behandelnde Fachabteilung ohne weitere Umstände als Rückmeldung vorzusehen. Gleiches gilt für Konsiliardienste. Wie weit rückgemeldete Daten in die Hoheit der anfordernden Abteilung übergehen, ist im Einzelfall verbindlich zu regeln.

Ausnahmeregelungen, wo die Notwendigkeit zur expliziten Freigabe im Einzelfall als zu einschränkend erachtet wird, sind bei routinemäßiger abteilungsübergreifender Zusammenarbeit möglich, wenn sie im Einvernehmen mit dem Datenschutzbeauftragten vom Kliniksvorstand schriftlich genehmigt wurden. Beispiele hierfür können sein die Zusammenarbeit zwischen operativen Abteilungen und der Anästhesie oder zwischen der Geburtshilfe und der Kinderklinik. Auch hier ist aber das Widerspruchsrecht des Patienten, soweit vorhanden, in der Form zu berücksichtigen, daß gegebenenfalls die Daten gesperrt werden können.

Leistungsanforderung

Mit der Leistungsanforderung, z. B. von Laborleistungen oder bildgebenden Verfahren oder bei anderen Funktionsbereichen, werden die benötigten Daten freigegeben, sofern der Patient nicht widerspricht. Auch hier sollte der typische Datenumfang im Krankenhausinformationssystem implementiert sein; in der Regel ist das nur ein Teil der Patientenakte. Werden darüber hinaus weitere Daten benötigt, ist das Recht dazu von der datenspeichernden Abteilung explizit einzuholen. Werden als Rückmeldung Daten nicht nur freigegeben, sondern übermittelt, liegt die Datenhoheit für die übermittelten Daten dann beim Empfänger.

Abteilungssysteme mit Stammdaten

Fachabteilungen oder Funktionsbereiche, die mitbehandeln oder Leistungen erbringen, können die Stammdaten des betroffenen Patienten in ihrem eigenen Abteilungssystem speichern; dies erhöht die Ausfallsicherheit des Krankenhausinformationssystems und hilft, wenn die Krankenhauskommunikation zu langsam oder unzuverlässig funktioniert, wie es in der gegenwärtigen Praxis oft noch der Fall ist. Eine völlige Freigabe der Stammdaten aller Patienten, möglichst sogar Mitteilung der Neuaufnahmen per Broadcast, wird insbesondere vom Zentrallabor und der Radiologie oft gewünscht; da in diesen beiden Fällen fast alle Patienten im Laufe ihrer Behandlung dort sowieso erfaßt werden, ist eine Ausnahmeregelung wie unter »Mitbehandlung« sinnvoll. Diese sollte aber vorübergehenden Charakter haben, bis die Krankenhauskommunikation zuverlässig funktioniert, und verbietet sich bei Leistungsstellen, die nicht zum Krankenhaus gehören, z. B. bei Outsourcing.

Zentralküche

Es ist sinnvoll und unbedenklich, wenn jeder neu aufgenommene stationäre Patient mit Namen, Geburtsdatum, Station und gegebenenfalls Diätverordnung automatisch an die Zentralküche gemeldet wird. Auf Wunsch des Patienten sind hier auch Ernährungsbesonderheiten mitzuteilen - auf keinen Fall aber die Religionszugehörigkeit. Wird die Essensversorgung außer Haus gegeben, sind die Vorschriften für Datenverarbeitung im Auftrag zu beachten.

Pförtner- und Telefonliste

Mit Einverständnis des Patienten können Name und Station in die Pförtnerliste aufgenommen werden. Ebenfalls mit Einverständnis des Patienten kann die Telefonzentrale die Nummer seines Anschlusses bei Anfragen nennen.

Umherirrender Patient

Für den Fall, daß ein verwirrter Patient auf dem Flur angetroffen wird, wird gelegentlich gewünscht, daß von jeder Station aus auf Identifizierungs- und Bewegungsdaten aller momentan stationär aufgenommenen Patienten lesend zugegriffen werden kann. Dies erscheint aber nicht notwendig. Eine Klärung am Telefon ist hier sinnvoller.

Entlassung und Abrechnung

Die Ärzte der jeweiligen Abteilung sind für die Mitteilung der ausgeführten Leistungen (Diagnosen, Therapien, und, soweit schon ermittelt, Fallpauschalen und Sonderentgelte) an die Kliniksverwaltung verantwortlich. Diese abrechnungsrelevanten Daten werden von der Fachabteilung bzw. dem Funktionsbereich an die Kliniksverwaltung übermittelt und für den verantwortlichen Sachbearbeiter der Verwaltung mit Leserecht versehen. Da Prüfung des Abrechnungsvorschlags und eventuell Nacherfassung durch die Verwaltung nötig ist, ist dieser mit Schreibrecht zu versehen. Der Sachbearbeiter der Verwaltung erhält auf diese Weise unvermeidlich auch Einblick in besonders sensible Daten, z. B. Diagnosen und Therapien einer psychiatrischen Behandlung. Ferner hat der Sachbearbeiter Zugriffsrechte auf die administrativen Daten und verwaltungsinterne Sonderdaten wie Buchhaltungsdaten bei Selbst- und Zuzahlern.

Archivierung

Zugriffe auf archivierte Daten, egal wo diese physisch lagern, sind wie für aktuell gehaltene Daten zu regeln. Insbesondere unterliegen sie weiterhin der Datenhoheit der Fachabteilung. Die Vorschriften über Aufbewahrungsfristen und Löschpflichten sind zu beachten. Eine Archivierung der Daten und damit Herausnahme aus dem Direktzugriff ist nach etwa 5 Jahren sinnvoll; für die Aufbewahrungsfrist im Archiv erscheinen in der Regel 30 Jahre angemessen, sofern nicht andere Gesichtspunkte oder gesetzliche Vorschriften dem entgegenstehen (z. B. medizinische Gesichtspunkte, Archivgesetzgebeung). In jedem Fall sind die Vorschriften des Sperrens bzw. Löschens von Daten angepaßt an das jeweilige Speichermedium wirksam umzusetzen.

Glossar

starke Authentisierung

Anmeldeverfahren mit Identitätsprüfung, das im Gegensatz zum herkömmlichen Paßwortverfahren gute Abhör- und Fälschungssicherheit bietet. Es beruht darauf, daß nur der Inhaber eines (geheimen) Signaturschlüssels eine beliebige Zeichenkette gültig signieren kann.

SSL

'Secure Socket Layer', ein Standardverschlüsselungsprotokoll, das auf dem TCP/IP-Protokoll aufsetzt und insbesondere von WWW-Servern und allen gängigen WWW-Browsern unterstützt wird. Programmbibliotheken sind frei verfügbar.

Time-Out

Unterbrechung einer Kommunikationsbeziehung oder Beendigung einer gültigen Anmeldung an einem IT-System, wenn über einen definierten Zeitraum keine Aktivitäten stattfanden.

Trustcenter

Im Zusammenhang dieser Empfehlung eine Instanz, die Zertifikate für Nutzer eines Informationssystems ausgibt und evtl. einen Zeitstempeldienst anbietet.

Zeitstempel

Durch digitale Signatur eines Trustcenters wird eine Information unfälschbar mit einer Zeitangabe versehen.

Zertifikat

bescheinigt die Zusammengehörigkeit eines öffentlichen Schlüssels zu einem Namen und wird von einem Trustcenter ausgegeben.

Weitere Texte zum Thema

• Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz: Datenschutz im Krankenhaus. (Informationen zum Datenschutz, Heft 4)
• Arbeitspapier des Hessischen Datenschutzbeauftragten: Rechtsfragen der Kommunikation innerhalb des Krankenhauses.