§ 12 HKHG 2011 – Datenschutz im Krankenhaus, Sicherung von Patientenunterlagen

(1) Für Krankenhäuser gelten die Bestimmungen der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1, Nr. L 314 S. 72) in der jeweils geltenden Fassung sowie des Hessischen Datenschutz- und Informationsfreiheitsgesetzes in der jeweils geltenden Fassung abweichend von dessen § 2 Abs. 2 uneingeschränkt nach Maßgaben der Abs. 2 bis 5.

(2) Die Übermittlung von Patientendaten an Personen oder Stellen außerhalb des Krankenhauses ohne die Einwilligung der oder des Betroffenen ist zulässig, soweit dies erforderlich ist zur

1. 1.

   Erfüllung des mit der Patientin oder dem Patienten oder für diese geschlossenen Behandlungsvertrages einschließlich der Durchsetzung oder Abwehr von Schadensersatzansprüchen,

2. 2.

   Durchführung einer Mit- oder Nachbehandlung, soweit die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nichts anderes bestimmt hat,

3. 3.

   Abwehr einer gegenwärtigen, nicht anders abwendbaren Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit der Patientin oder des Patienten oder eines Dritten, soweit nicht im Einzelfall ein überwiegendes schutzwürdiges Interesse der Patientin oder des Patienten entgegensteht,

4. 4.

   Unterrichtung von Angehörigen, soweit die Patientin oder der Patient nicht ihren gegenteiligen Willen kundgetan hat und diese Erklärung nicht unbeachtlich ist oder objektive Anhaltspunkte dafür vorliegen, dass eine Übermittlung nicht in ihrem oder seinem mutmaßlichen Interesse liegt,

5. 5.

   Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- oder Mitteilungspflicht,

6. 6.

   Erfüllung der Aufgaben der Sozialleistungsträger und privaten Krankenversicherungen zur Feststellung der Leistungspflicht, zur Abrechnung und zur Überprüfung der Wirtschaftlichkeit, soweit dies gesetzlich vorgesehen ist,

7. 7.

   Qualitätssicherung in der stationären Versorgung, wenn der Empfänger eine Ärztin oder ein Arzt oder eine ärztlich geleitete Stelle ist und der genannte Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und nicht überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen,

8. 8.

   Erfüllung der Aufgaben der Träger der Notfallversorgung zur Ermittlung der Wirksamkeit rettungsdienstlicher Maßnahmen im Rahmen von Qualitätsmanagement-Systemen nach § 19 des Hessischen Rettungsdienstgesetzes; die Übermittlung der Daten erfolgt in anonymisierter oder pseudonymisierter Form, soweit dies für die Zwecke ausreicht; ist eine Übermittlung personenbezogener Daten erforderlich, sind die Daten beim Träger der Notfallversorgung zu anonymisieren, sobald der Zweck der Übermittlung es erlaubt; nicht anonymisierte oder pseudonymisierte Daten dürfen nur von der Ärztlichen Leiterin Rettungsdienst oder dem Ärztlichen Leiter Rettungsdienst verarbeitet werden,

9. 9.

   krankenhausbasierten Erfassung, Überwachung und Bewertung von Erkrankungen, bei denen kurzfristige Änderungen in der Häufigkeit des Auftretens die zeitnahe Bereitstellung von Daten erfordern, zum Beispiel im Rahmen von Influenza-Epidemien, Pandemien, Hitzewellen oder bioterroristischen Anschlägen; die Übermittlung der Daten erfolgt in anonymisierter oder pseudonymisierter Form, soweit dies für die Zwecke ausreicht; ist eine Übermittlung personenbezogener Daten erforderlich, sind die Daten zu anonymisieren, sobald der Zweck der Übermittlung dies erlaubt.

(3) Abs. 2 und § 24 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes gelten in Krankenhäusern mit Behandlungseinrichtungen verschiedener Fachrichtungen auch zwischen diesen.

(4) ¹Das Krankenhaus kann die Auskunft sowie die Einsichtnahme in die Krankenakte durch eine Ärztin oder einen Arzt vermitteln lassen, soweit dies mit Rücksicht auf den Gesundheitszustand der Patientin oder des Patienten dringend geboten ist. ²Auskunfts- und Einsichtsrecht der Patientin oder des Patienten werden durch das Verfahren nach Satz 1 nicht beschränkt.

(5) ¹Der Krankenhausträger hat Maßnahmen zu treffen, die sicherstellen, dass im Falle der Schließung eines Krankenhauses, insbesondere aufgrund einer drohenden Zahlungsunfähigkeit, oder einer Betriebsstätte eines Krankenhauses die dort geführten Patientenunterlagen entsprechend ihrer individuellen Aufbewahrungsdauer unter Beachtung der datenschutzrechtlichen Vorgaben, insbesondere zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit aufbewahrt werden können, und dass Ansprüche der Patientinnen und Patienten auf jederzeitige Durchsetzung ihrer Rechte nach der Verordnung (EU) 2016/679 sowie ihrer Rechte nach dem Bürgerlichen Gesetzbuch nicht beeinträchtigt werden. ²Maßnahmen im Sinne des Satz 1 sind insbesondere Sicherungsmaßnahmen, die einen Zugang zu, einen Zugriff auf und die Kenntnisnahme von Patientenunterlagen durch unbefugte Personen verhindern sowie die in regelmäßigen Abständen durchgeführte Prüfung, ob Patientenunterlagen vernichtet werden können. ³Der Krankenhausträger weist die getroffenen Sicherungsmaßnahmen entsprechend der individuellen Aufbewahrungsdauer ab dem 1. Mai 2022 und sodann alle zwei Jahre gegenüber dem für das Krankenhauswesen zuständigen Ministerium nach.

(6) Die Religionsgemeinschaften oder die diesen gleichgestellten oder ihnen zugeordneten Einrichtungen treffen für ihre Krankenhäuser in eigener Zuständigkeit Datenschutzregelungen, die denen der Abs. 1 bis 4 entsprechen.