§ 24 LKG – Verarbeitung von genetischen Daten und Gesundheitsdaten

(1) Der Verantwortliche stellt sicher, dass bei der Verarbeitung von genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in den Krankenhäusern datenschutzrechtliche Regelungen und das Gebot der ärztlichen Schweigepflicht eingehalten werden. Bei Sachverhalten, die in diesem Gesetz nicht oder nicht abschließend geregelt sind, gelten die Bestimmungen des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097), das durch Artikel 12 des Gesetzes vom 20. November 2019 (BGBl. I S. 1626) geändert worden ist, in der jeweils geltenden Fassung oder des Berliner Datenschutzgesetzes vom 13. Juni 2018 (GVBl. S. 418), das durch Artikel 13 des Gesetzes vom 12. Oktober 2020 (GVBl. S. 807) geändert worden ist, in der jeweils geltenden Fassung, soweit sie auf Krankenhäuser Anwendung finden. Gesetzlich vorgeschriebene Auskunfts- und Mitteilungspflichten gehen den Vorschriften dieses Gesetzes vor.

(2) Die Verarbeitung von genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist in den Krankenhäusern nur zulässig, wenn

1. 1.

   die Verarbeitung auf einer Rechtsgrundlage beruht, die sich aus der Verordnung (EU) 2016/679, dem Bundesdatenschutzgesetz, dem Berliner Datenschutzgesetz oder den Regelungen dieses Gesetzes ergibt, und

2. 2.

   bei der Verarbeitung die Anforderungen des § 14 Absatz 3 und des § 26 des Berliner Datenschutzgesetzes erfüllt sind.

(3) Die Verarbeitung von genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist darüber hinaus zulässig für Zwecke der Qualitätssicherung der Behandlung im Krankenhaus, soweit der Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und nicht überwiegende schutzwürdige Interessen der Patientin oder des Patienten entgegenstehen. Der krankenhausinterne Sozialdienst darf genetische Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke der sozialen Betreuung und Beratung im Sinne des § 3 Absatz 4 Nummer 3 nutzen.

(4) Das Offenlegen von genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 durch Übermittlung an Stellen außerhalb des Krankenhauses ist zulässig

1. 1.

   für Zwecke der Mit- oder Weiterbehandlung oder einer sich der Behandlung anschließenden häuslichen Krankenpflege, soweit nicht die Patientin oder der Patient etwas anderes bestimmt hat,

2. 2.

   für Zwecke der Erfüllung der für die Krankenhausbehandlung erforderlichen Leistungen, insbesondere zur Durchführung der Speisenversorgung und des Krankentransports durch Dritte, soweit der Zweck nicht mit pseudonymisierten Daten erreicht werden kann,

3. 3.

   zur Geltendmachung von Ansprüchen des Krankenhauses und zur Abwehr von Ansprüchen, die gegen das Krankenhaus oder dessen Personal gerichtet sind, soweit schutzwürdige Interessen der Patientin oder des Patienten am Ausschluss der Übermittlung nicht überwiegen, oder

4. 4.

   für Zwecke der Qualitätssicherung der Behandlung im Krankenhaus an eine Ärztin, einen Arzt oder eine ärztlich geleitete Stelle, soweit der Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und nicht überwiegende schutzwürdige Interessen der Patientin oder des Patienten entgegenstehen.

(5) Die Verarbeitung von pseudonymisierten genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für die in den Absätzen 3 und 4 genannten Zwecke ist zulässig, soweit diese Zwecke nicht mit anonymisierten Daten erreicht werden können.

(6) Für Zwecke von Wartungs- und Administrationstätigkeiten bei medizintechnischen und informationstechnischen Geräten, mit denen auch genetische Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet werden, ist der Zugriff auf genetische Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 nur in dem für den Zweck der Wartungs- und Administrationstätigkeiten erforderlichen Umfang und unter Beachtung der Anforderungen des § 26 Absatz 3 des Berliner Datenschutzgesetzes durchzuführen.

(7) Genetische Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 sind grundsätzlich durch ein Krankenhaus oder im Auftrag durch ein anderes Krankenhaus oder durch mehrere Krankenhäuser als gemeinsam Verantwortliche im Sinne des Artikels 26 der Verordnung (EU) 2016/679 zu verarbeiten. Die Erteilung eines Auftrages im Sinne des Artikels 28 der Verordnung (EU) 2016/679 zum Zwecke der Verarbeitung von genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist nur zulässig, wenn

1. 1.

   der Auftragsverarbeiter sicherstellt, dass die Verarbeitung der genetischen Daten oder Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 in einem Mitgliedstaat der Europäischen Union, des Europäischen Wirtschaftsraums, der Schweiz oder, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, in einem Drittstaat erfolgt und die Daten darüber hinaus nicht in Drittstaaten offengelegt werden,

2. 2.

   gewährleistet ist, dass die Verarbeitung der genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ausschließlich durch Personen erfolgt, die nach dem jeweils anwendbaren Recht in Bezug auf den Schutz der Geheimnisse einer strafbewährten Verschwiegenheitspflicht und einem Zeugnisverweigerungsrecht, das dem Schutz im Inland vergleichbar ist, unterliegen, und

3. 3.

   der Verantwortliche der für Gesundheit zuständigen Senatsverwaltung rechtzeitig vor der Auftrags- beziehungsweise Unterauftragserteilung

   1. a)

      den Auftragsverarbeiter, die bei diesem vorhandenen technischen und organisatorischen Maßnahmen sowie ergänzenden Weisungen,

   2. b)

      die Art und Menge der genetischen Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679, die im Auftrag verarbeitet werden sollen, und

   3. c)

      den Zweck, zu dessen Erfüllung die Verarbeitung dieser personenbezogenen Daten im Auftrag erfolgen soll,

schriftlich oder elektronisch anzeigt. Im Falle einer Auftragsverarbeitung in derselben Unternehmensgruppe im Sinne des Artikels 4 Nummer 19 der Verordnung (EU) 2016/679 entfällt die Anzeigepflicht, soweit genehmigte verbindliche interne Datenschutzvorschriften nach Artikel 47 der Verordnung (EU) 2016/679 vorliegen. Darüber hinaus dürfen genetische Daten und Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 durch andere Stellen im Auftrag des Krankenhauses nur verarbeitet werden, wenn durch technische Schutzmaßnahmen sichergestellt ist, dass der Auftragnehmer keine Möglichkeit hat, beim Zugriff auf Patientendaten den Personenbezug herzustellen.

(8) Bei Daten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufes gespeichert sind, ist die Möglichkeit des Direktabrufes auf das erforderliche Maß einzuschränken, sobald die Behandlung der Patientin oder des Patienten im Krankenhaus abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind und das Krankenhaus den Bericht über die Behandlung erstellt hat, spätestens jedoch ein Jahr nach Abschluss der Behandlung der Patientin oder des Patienten.