Brandenburgisches Vorschriftensystem

Auf Grund des § 28 Abs. 3 Satz 1 des Krankenhausgesetzes des Landes Brandenburg vom 11. Mai 1994 (GVBl. I S. 106) verordnet die Ministerin für Arbeit, Soziales, Gesundheit und Frauen mit Zustimmung der Ausschüsse für Arbeit, Gesundheit, Soziales und Frauen und für Inneres und nach Anhörung des Landesbeauftragten für den Datenschutz:

§ 1
Grundsatz

Patientendaten sind so zu behandeln, daß Patientinnen und Patienten nicht in unzulässiger Weise in ihrem Recht beeinträchtigt werden, über die Preisgabe und Verwendung der persönlichen Daten selbst zu bestimmen.

§ 2
Anwendungsbereich

(1) Diese Verordnung gilt für die Verarbeitung personenbezogener Daten in Krankenhäusern im Land Brandenburg. Das Recht der Religionsgemeinschaften, für die von ihnen betriebenen Krankenhäuser unter Berücksichtigung ihres Selbstverständnisses über die Bestimmungen dieser Verordnung hinausgehende eigene bereichsspezifische Regelungen zu erlassen, bleibt unberührt.

(2) Soweit in dieser Verordnung nichts anderes bestimmt ist, sind die jeweils geltenden Vorschriften über den Schutz personenbezogener Daten anzuwenden.

§ 3
Patientendaten

(1) Patientendaten im Sinne dieser Verordnung sind

1. alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patientinnen oder Patienten aus dem Bereich der Krankenhäuser,
2. personenbezogene Daten von Angehörigen und anderen Bezugspersonen der Patientin oder des Patienten sowie
3. personenbezogene Daten sonstiger Dritter,

die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden. Der Datenschutz endet nicht mit dem Tode der Patientin oder des Patienten.

(2) Patientendaten dürfen nur in Krankenakten, Dateien und anderen Unterlagen gespeichert werden, die eine Löschung und Sperrung von Patientendaten zulassen.

§ 4
Verarbeitung von Patientendaten

(1) Patientendaten dürfen nur verarbeitet werden, soweit

1. dies im Rahmen des Behandlungsverhältnisses erforderlich ist,
2. diese Verordnung oder eine andere Rechtsvorschrift es erlaubt oder
3. die Patientin oder der Patient eingewilligt hat.

(2) Sofern Patientendaten aus dem medizinischen Bereich durch die Verwaltung oder andere nichtmedizinische Stellen im Krankenhaus verarbeitet werden, ist dies nur zulässig

1. für die Geltendmachung von Ansprüchen des Krankenhauses sowie zur Abwehr von Ansprüchen oder die Verfolgung von Straftaten oder Ordnungswidrigkeiten oder
2. für Planungszwecke und Wirtschaftlichkeits- oder Organisationsuntersuchungen

und sofern der jeweilige Zweck mit anonymisierten Daten nicht erreichbar ist.

(3) Im Einzelfall dürfen Patientendaten zur Vermeidung mehrfacher Erhebung derselben Daten zusammengeführt werden, wenn sie vorher mit Ausnahme der Aufnahmenummer anonymisiert worden sind. Nach der Zusammenführung der Datensätze sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, zu löschen.

(4) Die Einwilligung nach Absatz 1 Nr. 3 bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Wird die Einwilligung mündlich oder auf andere Weise erteilt, ist dies in der Krankenakte schriftlich festzuhalten. Die Patientin oder der Patient ist in geeigneter Weise über die Bedeutung der Einwilligung, über den konkreten Zweck sowie die Art und den Umfang der Erhebung und der vorgesehenen Verarbeitung der Daten aufzuklären; sie sind darauf hinzuweisen, daß sie die Einwilligung verweigern und mit Wirkung für die Zukunft widerrufen können und daß ihnen deswegen keine rechtlichen Nachteile entstehen. Ist die Patientin oder der Patient aus tatsächlichen oder rechtlichen Gründen nicht in der Lage, die Einwilligung zu erteilen, so ist die Erklärung eines Vertreters, oder wenn ein solcher nicht erreichbar ist, eines Angehörigen einzuholen.

(5) Der Zugriff auf Patientendaten ist nur den dafür Zuständigen zu gestatten und zu ermöglichen. Dies gilt auch für Datenfernübertragungen von personenbezogenen Daten über öffentliche Netze. Der Krankenhausträger hat als Verantwortlicher für alle Daten und Verfahren die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich und angemessen sind, um die Beachtung der in dieser Verordnung enthaltenen Bestimmungen zu gewährleisten.

§ 5
Übermittlung von Patientendaten

(1) Eine Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit sie erforderlich ist

1. zur Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- oder Mitteilungspflicht,
2. 1. zur Entscheidungsfindung der Kosten- und Leistungsträger, ob und inwieweit Präventions-, Rehabilitations- oder andere komplementäre Maßnahmen angezeigt sind,
   2. zur Durchführung des Behandlungsvertrages einschließlich der Nachbehandlung,
      soweit die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas anderes bestimmt hat,
3. zur Abwehr von gegenwärtigen Gefahren für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder eines Dritten, sofern diese Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten deutlich überwiegen,
4. zur Durchführung qualitätssichernder Maßnahmen in der stationären Versorgung, wenn das Interesse der Allgemeinheit an der Durchführung der beabsichtigten Maßnahme die schutzwürdigen Belange der Patientin oder des Patienten erheblich überwiegt,
5. zur Durchführung eines mit der Behandlung zusammenhängenden gerichtlichen Verfahrens,
6. zur Feststellung der Leistungspflicht, zur Abrechnung und zur Überprüfung der Wirtschaftlichkeit durch die Kosten- und Leistungsträger,
7. sie in einem Gesetz oder dieser Verordnung geregelt ist.

In anderen Fällen ist eine Übermittlung von Daten nur mit Einwilligung der Patientin oder des Patienten zulässig. § 4 Abs. 4 gilt entsprechend.

(2) Die Ärztin oder der Arzt kann Angehörige oder andere Bezugspersonen über den Krankenhausaufenthalt unterrichten, wenn die Patientin oder der Patient aus tatsächlichen oder rechtlichen Gründen nicht in der Lage ist, hierzu die Einwilligung zu erteilen oder die Einholung der Einwilligung für die Patientin oder den Patienten gesundheitlich nachteilig ist und soweit die Unterrichtung zur Wahrung der berechtigten Interessen der Angehörigen oder anderer Bezugspersonen erforderlich ist und schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden.

(3) Das Krankenhaus ist berechtigt, Angehörigen und Besuchern der Patientin oder des Patienten Auskunft über den Aufenthalt im Krankenhaus zu geben, sofern dem Auskunftsverlangen im Einzelfall nicht schutzwürdige Interessen der Patientin oder des Patienten entgegenstehen. Wenn die Patientin oder der Patient einer Auskunftserteilung ausdrücklich widersprochen hat, ist das Krankenhaus nicht auskunftsberechtigt.

(4) Stellen oder Personen, denen nach dieser Vorschrift personenbezogene Daten befugt übermittelt worden sind, dürfen diese nur zu dem Zweck verwenden, der die Befugnis begründet. Das Krankenhaus kann die Datenübermittlung mit Auflagen versehen, die den Datenschutz beim Empfänger in demselben Umfang sicherstellen, wie dies für das Krankenhaus selbst gilt.

§ 6
Datenverarbeitung im Auftrag

(1) Patientendaten sind grundsätzlich in dem Krankenhaus selbst oder im Auftrag dieses Krankenhauses durch ein anderes Krankenhaus als Auftragnehmer zu verarbeiten.

(2) Die Verarbeitung von Patientendaten durch andere Personen oder Stellen im Auftrag des Krankenhauses ist nur zulässig, wenn

1. beim Auftraggeber sonst Störungen im Betriebsablauf nicht vermieden werden können oder
2. lediglich Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger besorgt werden können, wobei der überwiegende Teil der Speicherung des gesamten Datenbestandes beim Auftraggeber verbleiben muß.

(3) Für die Verarbeitung von Patientendaten durch andere Personen oder Stellen im Auftrag des Krankenhauses gilt § 11 Abs. 1 und 3 Brandenburgisches Datenschutzgesetz entsprechend, soweit er nicht unmittelbar Anwendung findet. Im Falle der Verarbeitung von Patientendaten durch andere Personen oder Stellen im Auftrag des Krankenhauses hat der Auftragnehmer seinen Mitarbeitern, soweit ihnen aus zwingenden Gründen eine Zugriffsberechtigung auf Patientendaten eingeräumt wird, unter Hinweis auf § 203 Strafgesetzbuch eine Schweigepflicht aufzuerlegen.

§ 7
Auskunft und Akteneinsicht

(1) Der Patientin oder dem Patienten oder von diesen beauftragten Dritten ist auf Antrag kostenfrei

1. Auskunft über die zu ihrer oder seiner Person gespeicherten Daten sowie über die Person und Stellen zu erteilen, an die personenbezogene Daten übermittelt wurden und
2. Einsicht in ihre oder seine Krankenakten einschließlich ärztlicher und pflegerischer Dokumentationen zu gewähren.

(2) Soweit Auskunfts- und Einsichtsansprüche medizinische Daten der Patientin oder des Patienten betreffen, sind diese Ansprüche unter Vermittlung einer Ärztin oder eines Arztes des Krankenhauses zu erfüllen. Die Auskunfts- und Einsichtsansprüche können im Interesse der Gesundheit der Patientin oder des Patienten begrenzt werden. In diesen Fällen ist einer Vertrauensperson der Patientin oder des Patienten Auskunft zu erteilen und Einsicht zu gewähren. Die Hinzuziehung einer Vertrauensperson und die Gründe hierfür sind in der Krankenakte zu dokumentieren.

§ 8
Löschung und Sperrung

(1) Patientendaten sind zu sperren, sobald die Behandlung abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind und das Krankenhaus den Bericht über die Behandlung erstellt hat. Sie sind zu löschen, wenn

1. sie zur Erfüllung der in § 4 Abs. 1 genannten Zwecke nicht mehr erforderlich und
2. vorgeschriebene Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange der Betroffenen beeinträchtigt werden.

Sie sind spätestens nach Ablauf von 30 Jahren zu löschen oder zu anonymisieren. Eine Anonymisierung muß sicherstellen, daß der Personenbezug in keiner Weise wiederhergestellt werden kann.

(2) Gesperrte Daten sind gesondert zu speichern. Soweit dies nicht möglich ist, sind die Daten mit einem Sperrvermerk zu versehen. Gesperrte Daten dürfen vor Ablauf der Sperrfrist nicht verändert oder gelöscht werden. Zur Erschließung der Akten ist im Krankenhausarchiv ein Nachweis zu führen, zu dem kein direkter Zugriff anderer Bereiche besteht.

(3) Soweit Patientendaten in automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert werden, ist nach Abschluß der Behandlung die Möglichkeit des Direktabrufs der medizinischen Daten zu sperren. Dafür sind zuvor die medizinischen Daten von den Identifikationsdaten zu trennen.

(4) Die Sperrung kann nur aufgehoben werden

1. für die Durchführung einer Behandlung, mit der die frühere Behandlung in einem medizinischen Sachzusammenhang steht,
2. zur Behebung einer Beweisnot,
3. für eine spätere Übermittlung nach § 5,
4. zu Forschungszwecken nach § 10 von Hochschulen und anderen mit wissenschaftlicher Forschung beauftragten Stellen oder
5. wenn die Patientin oder der Patient einwilligt.

Die Aufhebung der Sperrung erfordert eine Begründung sowie einen Vermerk in der Krankenakte. Die Begründung kann im Einzelfall nach Aufhebung der Sperrung erfolgen, soweit der Zugriff auf die gesperrten Daten zur Abwehr einer gegenwärtigen Gefahr für das Leben oder die Gesundheit der Patientin oder des Patienten erforderlich ist.

§ 9
Wartung und Fernwartung

(1) Im Rahmen einer Wartung oder Fernwartung von Kliniksystemen ist technisch und organisatorisch sicherzustellen, daß eine unbefugte Offenbarung von Patientendaten verhindert wird. Eine Fernwartung darf nur mit Einverständnis des Krankenhauses und im Einzelfall erfolgen.

(2) Wartungsverträge zwischen dem Krankenhaus und der wartenden Stelle müssen mit folgendem Regelungsinhalt abgeschlossen werden:

1. Das Krankenhaus muß das Wartungspersonal eindeutig als autorisiert identifizieren, bevor der Verbindungsaufbau ausschließlich durch das Krankenhaus erfolgt.
2. Das Krankenhaus hat durch geeignete Maßnahmen grundsätzlich sicherzustellen, daß das Wartungspersonal keinen Zugriff auf Patientendaten nehmen kann. Soweit ein solcher Zugriff zur Fehlerbehebung unerläßlich ist, sind die Patientendaten ausschließlich für Zwecke der Wartung zu verwenden.
3. Alle Aktivitäten innerhalb eines Wartungsvorganges sind in einer Protokolldatei im Krankenhaus festzuhalten.
4. Das Einspielen von Änderungen in das Betriebssystem ist im Rahmen der Fernwartung für jeden Einzelfall mit dem Krankenhaus zu vereinbaren und in geeigneter Form zu beaufsichtigen.

§ 10
Datenschutz bei Forschungsvorhaben

(1) Ärztinnen und Ärzte dürfen Patientendaten, die innerhalb ihrer Fachabteilung gespeichert sind, für eigene wissenschaftliche Forschungsvorhaben verarbeiten, wenn dabei schutzwürdige Belange der Betroffenen nicht gefährdet werden. Satz 1 gilt entsprechend für sonstiges wissenschaftliches Personal dieser Fachabteilung, soweit es der Geheimhaltungspflicht des § 203 Strafgesetzbuch unterliegt.

(2) Zu Zwecken der wissenschaftlichen Forschung ist die Übermittlung von Patientendaten an Dritte und die Verarbeitung durch sie zulässig, soweit die Patientin oder der Patient eingewilligt hat. § 4 Abs. 4 gilt entsprechend.

(3) Der Einwilligung der Patientin oder des Patienten bedarf es nicht, wenn der Zweck eines bestimmten Forschungsvorhabens nicht auf andere Weise erfüllt werden kann und

1. die nach § 11 Krankenhausgesetz des Landes Brandenburg zuständige Aufsichtsbehörde nach Anhörung des Landesbeauftragten für den Datenschutz festgestellt hat, daß das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Gemeinhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt oder
2. es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden.

Die übermittelnde Stelle hat den Empfänger, die Art der zu übermittelnden Daten, die betroffenen Patientinnen oder Patienten und das Forschungsvorhaben aufzuzeichnen.

(4) Sobald es der Forschungszweck erlaubt, sind die personenbezogenen Daten derart zu verändern, daß sie keine Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person mehr sind. Soweit dies nicht möglich ist, sind die Merkmale, mit deren Hilfe ein Personenbezug hergestellt werden kann, gesondert zu speichern, sobald es der Forschungszweck erlaubt; die Merkmale sind zu löschen, sobald der Forschungszweck erreicht ist.

(5) Soweit die Bestimmungen dieser Verordnung auf den Empfänger von Patientendaten keine Anwendung finden, dürfen sie nur übermittelt werden

1. wenn sich der Empfänger verpflichtet,
   1. die Daten nur für das von ihm genannte Forschungsvorhaben zu verwenden,
   2. die Bestimmungen des Absatzes 4 einzuhalten und
   3. dem Landesbeauftragten für den Datenschutz auf Verlangen Einsicht und Auskunft zu gewähren, und
2. wenn der Empfänger nachweist, daß die technischen und organisatorischen Voraussetzungen vorliegen, um der Verpflichtung nach Nummer 1 Buchstabe b zu entsprechen.

§ 11
Klinisches Krankheitsregister

(1) Im Krankenhaus dürfen personenbezogene Daten in einem Krankheitsregister, das neben Behandlungszwecken regelmäßig auch nicht behandlungsbezogenen Aufgaben der wissenschaftlichen Erforschung einer bestimmten Krankheit dient (Klinisches Krankheitsregister), nur mit Genehmigung des für das Gesundheitswesen zuständigen Ministeriums und nach Anhörung des Landesbeauftragten für den Datenschutz verarbeitet werden. Die Genehmigung muß die Zweckbestimmung des Krankheitsregisters, die Art der zu speichernden Daten sowie den Kreis der betroffenen Patientinnen und Patienten enthalten.

(2) Die behandelnde Stelle hat die Betroffenen vor der Übermittlung personenbezogener Daten an die registerführende Stelle zu unterrichten und über den Zweck des Registers aufzuklären. Personenbezogene Patientendaten des registerführenden Krankenhauses dürfen nur dann gespeichert werden, wenn die Betroffenen nicht widersprochen haben. Erhebt eine Stelle außerhalb des registerführenden Krankenhauses personenbezogene Daten, dürfen diese Daten nur mit Einwilligung der Betroffenen gespeichert werden.

(3) Die Unterrichtung der Betroffenen nach Absatz 2 kann ausnahmsweise unterbleiben, wenn

1. keine Nachsorgemaßnahmen mit Hilfe des Krankheitsregisters durchgeführt werden,
2. eine ernste nicht behebbare Gesundheitsverschlechterung eintreten kann und
3. kein Grund zu der Annahme besteht, daß die Patientin oder der Patient der Speicherung widersprochen hätte.

Die Gründe sind von der übermittelnden Stelle aufzuzeichnen.

(4) Die Registerdaten dürfen nur im Rahmen der Zweckbestimmung genutzt werden. Die behandelnde Stelle im registerführenden Krankenhaus darf nur die von ihr übermittelten personenbezogenen Daten nutzen; neben der registerführenden Stelle ist sie für die Führung der Krankheitsregister verantwortlich. Die Übermittlung personenbezogener Daten an Stellen außerhalb des Krankenhauses ist nur mit Einwilligung der Betroffenen zulässig. § 5 Abs. 1 Nr. 2 b und Nr. 7 bleiben unberührt.

§ 12
Inkrafttreten

Diese Verordnung tritt am Tage nach der Verkündung in Kraft.

Potsdam, den 4. Januar 1996

Die Ministerin für Arbeit, Soziales, Gesundheit und Frauen
Dr. Regine Hildebrandt