§ 13 SKHG – Patientendatenschutz

(1) Alle Daten von Patientinnen und Patienten (Patientendaten) im Krankenhaus unterliegen unabhängig von der Art ihrer Verarbeitung dem Datenschutz. Patientendaten sind auch personenbezogene Daten von Angehörigen oder anderen Bezugspersonen der Patientin oder des Patienten sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden. Soweit in diesem Gesetz nichts anderes bestimmt ist, findet das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1) in der jeweils geltenden Fassung, unmittelbar Anwendung.

(2) Patientendaten dürfen vom behandelnden Krankenhaus nur verarbeitet werden, soweit dies erforderlich ist zur Erfüllung der Aufgaben des Krankenhauses, zur Durchführung der Behandlung der Patientin oder des Patienten, zur Leistungsabrechnung, zur Erfüllung der klinischen Dokumentationspflicht oder einer gesetzlichen Erhebungs- und Speicherungspflicht. Im Einzelfall darf die Verarbeitung von Patientendaten auch mit der Einwilligung der Patientin oder des Patienten erfolgen; dies gilt insbesondere für die Angabe der Konfessionszugehörigkeit bei der Patientenaufnahme zum Zweck der Krankenhausseelsorge. Die Einwilligung bedarf, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist, der schriftlichen oder elektronischen Form. Wird die Einwilligung mündlich erteilt, ist sie aufzuzeichnen. Die Patientin oder der Patient ist über Art, Umfang und Zweck der beabsichtigten Verarbeitung zu unterrichten und aufzuklären. Aus der Verweigerung dürfen der Patientin oder dem Patienten keine Nachteile entstehen. Unzumutbare oder sachfremde Angaben dürfen auch mit Einwilligung der Patientin oder des Patienten nicht verarbeitet werden. Im Übrigen regelt Artikel 7 der Verordnung (EU) 2016/679 die Bedingungen für die Einwilligung.

(3) Die Weitergabe von Patientendaten an andere Fachabteilungen innerhalb des Krankenhauses oder an den Sozialdienst im Krankenhaus ist nur zulässig, soweit sie für die Behandlung oder soziale Betreuung von Patientinnen oder Patienten erforderlich sind. Im Rahmen der Aus-, Weiter- und Fortbildung von Ärztinnen und Ärzten, Zahnärztinnen und Zahnärzten, Apothekerinnen und Apothekern, Psychologischen Psychotherapeutinnen und Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeutinnen und -therapeuten und Angehörigen der Gesundheitsfachberufe ist zu gewährleisten, dass auf Patientendaten nur insoweit zurückgegriffen wird, als dies für die dem Berufsbild entsprechenden Funktionen erforderlich ist und diese Zwecke nicht mit anonymisierten Daten erreicht werden können. Die Nutzung der Patientendaten durch die Krankenhausverwaltung darf nur in dem Maß erfolgen, wie dies für die Abwicklung des Behandlungsfalles erforderlich ist. Durch technische und organisatorische Datensicherungsmaßnahmen ist sicherzustellen, dass das Patientengeheimnis gewahrt bleibt.

(4) Die Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, wenn die Patientin oder der Patient eingewilligt hat oder eine Rechtsvorschrift die Übermittlung erlaubt oder soweit dies erforderlich ist

1. 1.

   zur Durchführung der Behandlung einer Patientin oder eines Patienten,

2. 2.

   zur Durchführung der Mit- und Nachbehandlung, soweit die Patientin oder der Patient nach Hinweis nicht etwas anderes bestimmt,

3. 3.

   zur Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- und Mitteilungspflicht,

4. 4.

   zur Abwehr einer gegenwärtigen Gefahr für Leben, Gesundheit oder persönliche Freiheit der Patientin oder des Patienten oder eines Dritten, wenn diese Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten überwiegen und die Abwendung der Gefahr ohne die Weitergabe nicht möglich ist,

5. 5.

   zur Erfüllung der gesetzlichen Aufgaben der Kostenträger,

6. 6.

   zur gerichtlichen Durchsetzung von Ansprüchen aus dem Behandlungsverhältnis,

7. 7.

   zur Unterrichtung von Angehörigen, soweit die Patientin oder der Patient nicht einen gegenteiligen Willen kundgetan hat oder sonstige Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist,

8. 8.

   zum Zweck der Rechnungsprüfung durch den Krankenhausträger und der gesetzlich vorgeschriebenen Rechnungsprüfung durch den Rechnungshof,

9. 9.

   zur Wahrnehmung der Krankenhausaufsicht nach §§ 15 und 15a,

10. 10.

    zur Qualitätssicherung in der stationären Versorgung, wenn der Empfänger eine Ärztin oder ein Arzt oder eine ärztlich geleitete Stelle ist und der genannte Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und nicht überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen,

11. 11.

    zur Erfüllung der Aufgaben des Trägers der Notfallversorgung zur Ermittlung der Wirksamkeit rettungsdienstlicher Maßnahmen im Rahmen der Qualitätssicherung auf Anforderung der Ärztlichen Leiterin Rettungsdienst oder des Ärztlichen Leiters Rettungsdienst.

Personen oder Stellen, denen nach dieser Vorschrift Patientendaten übermittelt worden sind, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen übermittelt wurden. Im Übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfang geheim zu halten wie das Krankenhaus selbst nach diesem Gesetz.

(4a) Bei Betriebsaufgabe oder Umwandlung eines Krankenhauses oder eines Teils davon in eine nicht akutstationäre örtliche Versorgungseinrichtung wird die Patientendokumentation abgeschlossen. In diesen Fällen hat das Krankenhaus die Patientendaten aufzubewahren oder dafür Sorge zu tragen, dass sie in gehörige Obhut gegeben werden und dabei der Geheimnisschutz gewahrt bleibt.

(5) Patientendaten sind zu löschen, wenn sie zur Erfüllung der Aufgaben nach den Absätzen 2 bis 4a nicht mehr erforderlich und die durch Rechtsvorschriften oder die ärztliche, psychotherapeutische oder zahnärztliche Berufsordnung vorgeschriebenen Aufbewahrungsfristen abgelaufen sind.

(6) Nach Abschluss der Behandlung unterliegen personenbezogene Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, dem alleinigen Zugriff der jeweiligen Fachabteilung. Dies gilt nicht für diejenigen Daten, die für das Auffinden der sonstigen Patientendaten erforderlich sind. Die Eröffnung des Direktzugriffs auf den Gesamtdatenbestand für andere Stellen im Krankenhaus ist unter den Voraussetzungen des Absatzes 2 nur mit Zustimmung der Fachabteilung zulässig.

(7) Die Patientin oder der Patient kann kostenfreie Auskunft über die gespeicherten persönlichen Daten und Einsicht in die Behandlungsdokumentation verlangen. Das kostenfreie Auskunftsrecht erstreckt sich auch auf Angaben über Personen und Stellen, an die Daten übermittelt wurden. Zu diesem Zweck sind die Tatsache der Datenübermittlung und die datenempfangende Stelle aufzuzeichnen. Die Auskunft über medizinische Daten oder die Gewährung der Einsichtnahme in die Behandlungsdokumentation hat unter der Verantwortung der behandelnden Ärztin oder des behandelnden Arztes zu erfolgen.

(8) Jedes Krankenhaus bestellt schriftlich eine oder einen oder mehrere Datenschutzbeauftragte. Zu Datenschutzbeauftragten darf nur bestellt werden, wer dadurch keiner Pflichtenkollision mit sonstigen Aufgaben ausgesetzt wird und die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Datenschutzbeauftragte unterstehen der Krankenhausleitung unmittelbar. Sie sind bei Anwendung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Sie dürfen wegen der Erfüllung ihrer Aufgaben nicht benachteiligt werden. Die Aufgaben der Beauftragten für Datenschutz im Krankenhaus ergeben sich aus dem Bundesdatenschutzgesetz vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 5 Absatz 3 des Gesetzes vom 10. März 2017 (BGBl. I S. 410) in der jeweils geltenden Fassung.