ku-gesundheitsmanagement.de

Mark Rüdlin / Dirk Otto Mark Rüdlinist Rechtsanwalt und seit 2001 mit Datenschutz in medizinischen Einrichtungen befasst. Mit Schwerpunkt auf Krankenhäusern, aber auch Drogenhilfe-, Behinderten- und Altenpflegeeinrichtungen sowie medizinischen Servicebetrieben wie Rettungs- wachen, beschäftigt er sich ganz überwiegend mit Fragestellungen rund um das Thema Datenschutz im medizinischen Umfeld. Er ist betrieblicher Datenschutzbeauftragter in von ihm betreuten Häusern in Hamburg, Niedersachsen und Schleswig-Holstein. Außer-dem betreut er kirchliche Krankenhäuser und Einrichtungen.

www.markruedlin.de

Dirk Otto ist Rechtsanwalt/Fachanwalt für gewerblichen Rechtsschutz und Datenschutzbeauf-tragter. Seit mehr als 10 Jahren beschäftigt er sich in seiner anwaltlichen Praxis mit den Datenschutz in medizinischen und sozialen Einrichtungen. Seit 2009 auch als betrieb-licher Datenschutzbeauftragter.

www.kreativrecht.de

Datenschutz in sozialen Einrichtungen

Leseprobe

Datenschutz in sozialen Einrichtungen

Leitfaden mit 41 Fragen und Antworten

Mark Rüdlin und Dirk Otto

2. erweiterte Auflage 2016© 2016 Mediengruppe Oberfranken – Fachverlage GmbH & Co. KG, Kulmbach

Druck: Appel & Klinger Druck und Medien GmbH, Schneckenlohe

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Vervielfältigung, Übersetzung, Mikroverfilmung und Einspeicherung und Verarbeitung in elektronische Systeme ist unzulässig und strafbar.

www.ku-gesundheitsmanagement.de

Illustration: Jürgen Scheibe Titelbild: © Rainer Claus – Fotolia.com; © Robert Kneschke – Fotolia.com

ISBN: 978-3-946746-02-7

3

Inhaltsverzeichnis

Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1. Was bedeutet Datenschutz in medizinischen und sozialen Einrichtungen? . . . . 7

2. Was sind die Kerngedanken beim Datenschutz? . . . . . . . . . . . . . . . . . . . . . . . 8

3. Welche gesetzlichen Grundlagen gibt es? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

4. Welche Fachbegriffe zum Datenschutz sollten Sie kennen? . . . . . . . . . . . . . . . 10

5. Was ändert sich durch die EU Datenschutzgrundverordnung? . . . . . . . . . . . . . 12

6. Welche allgemeinen Maßnahmen zur Datensicherheit gibt es? . . . . . . . . . . . . 14

7. Wer ist für den Datenschutz verantwortlich? . . . . . . . . . . . . . . . . . . . . . . . . . . 15

8. Welche Aufgaben hat der betriebliche Datenschutzbeauftragte? . . . . . . . . . . . 16

9. Wer darf auf welche Daten zugreifen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

10. Wie stehen strafbewehrte Schweigepflicht und Datenschutz zueinander und wer sollte sich angesprochen fühlen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

11. Wer unterliegt der Schweigepflicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

12. Welche Informationen unterliegen der Schweigepflicht? . . . . . . . . . . . . . . . . . 20

13. Wem gegenüber besteht Schweigepflicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

14. Was ist über Einwilligungen zu wissen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

15. Wann bestehen Offenbarungspflichten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

16. Wann bestehen Offenbarungsrechte? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

17. Was ist bei Auskünften und Zwangsmaßnahmen in Bezug auf Polizei und Staatsanwaltschaft zu beachten? . . . . . . . . . . . . . . . . . . . . . . . 25

18. Wie sind Anfragen von Gerichten, Rechtsanwälten etc. zu beantworten? . . . . 27

19. Schweigepflicht im Prozess? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

20. Welche Informationen dürfen Mitarbeiterinnen untereinander austauschen? . . 28

21. Was ist bei Verstorbenen zu beachten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

22. Was ist bei Minderjährigen zu beachten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

23. Welche Rechte haben die Betroffenen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

24. Wie behandle ich Akteneinsichtswünsche? . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

25. Was ist unfreiwillige Akteneinsicht? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

4

26. Wie werden vertrauliche Gespräche mit Betroffenen geführt? . . . . . . . . . . . . . 34

27. Wie sieht eine datenschutzkonforme Poststelle aus? . . . . . . . . . . . . . . . . . . . . 34

28. Wie ist das Verhältnis Arbeitsplatz und Datenschutz? . . . . . . . . . . . . . . . . . . . 36

29. Was ist das gefährlichste Möbelstück am Arbeitsplatz? . . . . . . . . . . . . . . . . . . 37

30. Wie sieht die datenschutzkonforme Arbeit mit dem Arbeitsplatz-Computer aus? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

31. Wie lassen sich ganz einfach sichere Passwörter verwenden? . . . . . . . . . . . . . 39

32. Wie lassen sich E-Mail und Internet sicher nutzen? . . . . . . . . . . . . . . . . . . . . . 41

33. Worauf muss ich beim Umgang mit sozialen Netzwerken achten? . . . . . . . . . . 42

34. Wie telefoniere ich datenschutzkonform? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

35. Wie funktioniert datenschutzkonformes Faxen? . . . . . . . . . . . . . . . . . . . . . . . 46

36. Was ist bei namentlichen Beschriftungen zu beachten? . . . . . . . . . . . . . . . . . . 47

37. Was ist wichtig beim Mitarbeiterdatenschutz? . . . . . . . . . . . . . . . . . . . . . . . . . 48

38. Was ist bei Publikationen zu beachten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

39. Was ist Auftragsdatenverarbeitung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

40. Was ist ein Verfahrensverzeichnis? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

41. Wo finde ich weitere Informationen zum Datenschutz? . . . . . . . . . . . . . . . . . . 52

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

5

Abkürzungsverzeichnis

EU-DSGVO Datenschutzgrundverordnung

bDSB betrieblicher Datenschutzbeauftragte

BDSG Bundesdatenschutzgesetz

DSG EKD Datenschutzgesetz der evangelischen Kirche Deutschlands

CRPD Übereinkommen über die Rechte von Menschen mit Behinderungen (UN-Behindertenrechtskonvention)

DSG NRW Datenschutzgesetz Nordrhein Westfalen

EDV Elektronische Datenverarbeitung

GmbH Gesellschaft mit beschränkter Haftung

InfektionsschutzG Infektionsschutzgesetz

IT Informationstechnologie

KDO Katholische Datenschutzordnung

Krhs. Krankenhaus

LDSG Landesdatenschutzgesetz

LKHG Landeskrankenhausgesetz

RFID Radio Frequency Identification

SMS Short Message Service (Mobiltelefon)

StGB Strafgesetzbuch

StPO Strafprozessordnung

Erläuterung

Je nach Einrichtungsform wird von Bewohnern, Klienten, Patienten oder Ratsu-chenden gesprochen. Manchmal werden auch noch weitere Begrifflichkeiten ver-wendet. In dieser Broschüre verwenden wir zur Vereinfachung meist den Begriff der „Betroffenen“.

Die vorliegenden Texte verwenden im freien Wechsel weibliche und männliche For-mulierungen. Gemeint sind stets Frauen und Männer.

6

Behandeln Sie die Geheimnisse anderer Menschen so,

wie Sie sich wünschen, dass Ihre eigenen Geheimnisse behandelt werden sollen.

Die wichtigste Daten schützende

Person sind SIE!

14

6. Welche allgemeinen Maßnahmen zur Datensicherheit gibt es?

In allen Datenschutzgesetzen wird eine Reihe von technischen und organisatorischen Maßnahmen benannt, deren Umsetzung ein gutes Datenschutzniveau gewährleisten sollen. Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, so muss die Struktur des Rettungsdienstes so gestaltet sein, dass diese Vorgaben umge-setzt werden. Die Systematik der Maßnahmen zeigt sich wie folgt:

Der Grundsatz der Zutrittskontrolle hat zum Inhalt, Unbefugten den Zutritt zu allen Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder ge-nutzt werden, zu verwehren.

Die Zugangskontrolle soll gewährleisten, dass Unbefugten der Zugang zu Datenverar-beitungssystemen verwehrt sein muss, diese sich also nicht in einem System einloggen können.

Durch die Zugriffskontrolle sollen nur die personenbezogene Daten (Patienten- u. Mitarbeiterdaten) für Berechtigte verfügbar sein, für die sie eine Zugriffsberechtigung haben (sollen). Weiter soll sicher gestellt sein, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, ver-ändert oder entfernt werden können.

Die Weitergabekontrolle hat zum Ziel zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speiche-rung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt wer-den können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Mittels der Eingabekontrolle soll gewährleistet werden, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenver-arbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Die Auftragskontrolle hat zum Gegenstand zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auf-traggebers verarbeitet werden können.

Mit der Verfügbarkeitskontrolle soll sichergestellt werden, dass personenbezogene Da-ten gegen zufällige Zerstörung oder Verlust geschützt sind.

Das Trennungsgebot schließlich soll gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Mit diesen Grundsätzen im Kopf haben Sie sich bei Ihrer täglichen Arbeit alle entschei-denden Aufhänger verfügbar um zu prüfen, ob Sie sich in einem Datenschutz kon-

15

formen Arbeitsumfeld bewegen. Sind Sie mit einzelnen Fragen im Zweifel, wenden Sie sich an den betrieblichen Datenschutzbeauftragten.

7. Wer ist für den Datenschutz verantwortlich?

Das Thema Datenschutz obliegt zuerst einmal der Geschäftsführung. Diese ergreift alle notwendigen Maßnahmen, die erforderlich sind, um eine datenschutzkonforme Orga-nisation zu gewährleisten. Von zentraler Bedeutung ist in diesem Zusammenhang die Bestellung eines betrieblichen Datenschutzbeauftragten. Dieser ist direkt der Geschäfts-führung untergeordnet. Der betriebliche Datenschutzbeauftragte hat verschiedene Auf-gaben. Unter anderem soll er kontrollieren und der Geschäftsführung alle notwendigen Informationen liefern, die diese in die Lage versetzt geeignete Anordnungen zu treffen. Leitungskräfte kommen als betriebliche Datenschutzbeauftragte nicht in Frage. Denn Ge-schäftsführer, EDV-Leiter, Pflegedienstleitung oder Justitiare können sich aufgrund ihrer Position nicht selbst kontrollieren und sei es auch nur in datenschutzrechtlicher Hinsicht.

Eine enge Zusammenarbeit zwischen dem betrieblichen Datenschutzbeauftragten, der Geschäftsführung, der verantwortlichen Person für Qualitätsmanagement sowie der EDV-Leitung bieten die Grundlage für guten Datenschutz.

Die wichtigsten Daten schützenden Personen sind die Mitarbeiter. Wer in einer medizi-nischen oder sozialen Einrichtung arbeitet, sollte die relevanten Eckpunkte des Daten-schutzes kennen. Schulungen – und z. B. die Lektüre dieser Broschüre – sollen helfen, das notwendige Wissen zu erlangen. Nur dann kann verantwortlich und gesetzeskonform mit Betroffenendaten umgehen werden.

Da Betroffenendatenschutz einen sehr hohen Stellenwert hat, wird seine Umsetzung von einer Aufsichtsbehörde kontrolliert. Es gibt einen Bundesdatenschutzbeauftragte und alle Bundesländer verfügen über einen Landesdatenschutzbeauftragten. Diese arbeiten mit einem Stab spezialisierter Mitarbeiter. Kirchliche Einrichtungen unterfallen kirchlichen Aufsichtsbehörden.

Zuständig für die Aufsicht und bei Fragen sowie Beschwerden ist in der Regel die Auf-sichtsbehörde des Bundeslandes, in dem sich der Hauptsitz des Trägers einer medizi-nischen oder sozialen Einrichtung befindet. Einzelne Einrichtungen des Trägers können dann durchaus in anderen Bundesländern angesiedelt sein.

Die Aufsichtsbehörden stehen für Anfragen zur Verfügung. Sie prüfen aber auch aus eigener Veranlassung. Meist werden ausgewählte Bereiche eines Hauses einer Prüfung unterzogen, wie zum Beispiel die Zugriffsrechteverwaltung. Es wird dann gefragt, ob es eine Systematik mit geordneter Rechteverwaltung gibt und geprüft, ob diese auch so umgesetzt wurde.

16

Wie immer wenn gute Worte nichts gefruchtet haben, hat auch diese Aufsichtsbehörde die Möglichkeit, Sanktionen in Form von Bußgeldzahlungen oder gar strafrechtlichen Folgen zu veranlassen.

8. Welche Aufgaben hat der betriebliche Datenschutzbeauftragte?

Der betriebliche Datenschutzbeauftragte kann entweder aus dem eigenen Unterneh-men/Einrichtung rekrutiert (Beachte: Persönliche Eignung. Bestimmte Positionen im Unternehmen/Einrichtung sind ausgeschlossen. Siehe Erläuterungen weiter unten) oder mit einer externen Fachkraft besetzt werden (externer betrieblicher Datenschutz-beauftragter).

Die Anforderung an einen betrieblichen Datenschutzbeauftragten sind Fachkunde und Zuverlässigkeit. Die zur Erfüllung seiner Aufgaben erforderliche Fachkunde gründet sich zum einen auf die erforderlichen rechtlichen und technischen Grundkenntnisse. Zum anderen werden betriebsspezifische Kenntnisse vorausgesetzt. Das heißt, dass der betriebliche Datenschutzbeauftragte grundlegende Kenntnisse der betriebswirtschaft-lichen und organisatorischen Zusammenhänge sowie der Verfahren und Techniken der EDV des jeweiligen Trägers und der daran hängenden Einrichtungen besitzen sollte. Darüber hinaus bestimmt sich das Maß der Fachkunde an den Gegebenheiten des Unternehmens. Der Umgang mit Betroffenendaten erfordert insbesondere gute Kennt-nisse der zersplitterten rechtlichen Grundlagen.

Die erforderliche Zuverlässigkeit bedeutet vor allen Dingen, dass die als betrieblicher Datenschutzbeauftragter ausgewählte Person die datenschutzrechtlichen Belange auch um- und durchsetzen können muss, auch gegenüber der Geschäftsleitung. Im Üb-rigen darf diese Person in der Vergangenheit nicht negativ aufgefallen sein. Strafver-setzungen von auf anderen Stellen ungeeigneter und für diese Aufgabe unqualifizierter Mitarbeiter scheiden daher aus. Die Aufgabe des betrieblichen Datenschutzbeauftrag-ten darf auch nicht zu einer Interessenkollision mit anderen Aufgaben führen. Insbe-sondere Geschäftsführer, EDV- und Personalleiter sowie Justitiare kommen daher nicht in Betracht.

Die betriebliche Datenschutzbeauftragte ist in der Ausübung ihrer Fachkunde weisungs-frei, kann aber in der Regel keine eigenen Entscheidungen treffen. Vielmehr berät sie die Geschäftsführung und bereitet für diese Entscheidungen vor. Rechtlich abgesichert ist sie außerdem durch das Benachteiligungsverbot und die Unterstützungspflicht in Bezug auf die Geschäftsführung. Folgende Aufgaben fallen in ihren Tätigkeitsbereich:

· Vorschlagsrecht gegenüber der Geschäftsführung

· Überwachung der DV Programme

17

· Umfassende Einsichtsrechte in die EDV Prozesse des Hauses

· Mitwirken bei datenverarbeitungsbezogenen Projekten

· Hinwirken auf die Einhaltung von Gesetzen und Vorschriften

· Mitarbeiterinformation und Schulungen

· Verfügbar machen von Verfahrensverzeichnissen

· Vorabkontrollen bei kritischer Datenverarbeitung

· Mitarbeit in einschlägigen Gremien

· Beratung interner Gremien

· Routinekontrollen

· Erstellung interner Handlungsleitfäden und Datenschutz

· Dienstanweisungen

· Erstellen von Datenschutz- und Sicherheitskonzepten für die Verwaltung von Patienten- und Mitarbeiterdaten

· Begleitung von Forschungsprojekten

· Mitwirken bei Kontrollen der Aufsichtsbehörde

9. Wer darf auf welche Daten zugreifen?

Die Frage nach den Zugriffsrechten innerhalb der Struktur der elektronischen Daten-verarbeitung bezieht sich zuerst einmal auf eine Einrichtung, erweitert auf alle Funkti-onseinheiten und Einrichtungen eines Trägers. Niemand, kein Betroffener geht davon aus, dass alle in einer Einrichtung oder gar alle Mitarbeiter eines Trägers Zugriff auf alle Dateien und Unterlagen der Betroffenen haben. Es wird von einem arbeitsteiligen Vor-gehen ausgegangen. Das bedeutet aber nicht, dass alle in einer Einrichtung arbeiten-den Personen Zugriff auf alle Betroffenendaten haben dürfen. Vielmehr ist nach dem jeweiligen Aufgabenbereich zu unterscheiden. In der Regel werden die Zugriffsrechte in einem Rollenkonzept festgelegt. Dies sieht ungefähr wie folgt aus:

Die mit der Behandlung und Betreuung befassten Mitarbeiterinnen und Mitarbeiter sollen Zugriff auf „ihre“ Bewohner, Klienten, Patienten und Ratsuchenden haben, mit denen sie auch arbeiten oder für die sie Vertretungsdienste erbringen.

In der Verwaltung arbeitende Mitarbeiterinnen und Mitarbeiter sollen nur Zugriff auf administrative Daten der Betroffenen erhalten, sofern sie nicht nachvollziehbare Grün-de für einen erweiterten Zugriff haben.

Werden einrichtungsübergreifende Zugriffsrechte vergeben, dann muss es dafür nach-vollziehbare Gründe geben. Sind beispielsweise Mitarbeiterinnen mit mehreren Betrof-fenen verschiedener Einrichtungen eines Trägers befasst, dann liegt ein solcher Grund

18

vor. Qualitätssicherung oder Controlling können weitere Beispiele für ausgeprägtere Zugriffsrechte sein.

Im Grundsatz gilt also: jede in einer medizinischen oder sozialen Einrichtung arbeitende Person soll nur Zugriff auf die Betroffenendaten haben, deren Kenntnis für ihre Arbeit notwendig ist.

10. Wie stehen strafbewehrte Schweigepflicht und Datenschutz zueinander und wer sollte sich angesprochen fühlen?

Steht beim Datenschutz das Verhältnis medizinische und soziale Einrichtung einerseits und Betroffener andererseits im Vordergrund, beschreibt die strafbewehrte Schweige-pflicht die Offenbarung der persönlichen Geschichte durch den Betroffenen gegenüber der schweigepflichtigen Person. Die besondere Vertrauensbeziehung steht dabei im Vordergrund.

Zu den der Schweigepflicht unterliegenden Personen in medizinischen und sozialen Einrichtungen gehören unter anderem: Ärztinnen; Apotheker oder Angehörige eines anderen Heilberufs, für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert; Berufspsychologen mit staatlich aner-kannter wissenschaftlicher Abschlussprüfung; Ehe-, Familien-, Erziehungs- oder Ju-gendberaterinnen sowie Berater für Suchtfragen in einer Beratungsstelle, die von einer Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist; Mitglieder oder Beauftragte einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktgesetzes; staatlich anerkannte Sozialarbeiterinnen oder staatlich anerkannte Sozialpädagoginnen.

Die strafbewehrte Schweigepflicht basiert auf mehreren Säulen. Alle landesrechtlichen berufsständischen Regelungen der Ärzte und Psychotherapeuten beschreiben ausführ-lich, dass alles, was ihnen in ihrer Eigenschaft als Arzt oder Psychotherapeutin anver-traut oder bekannt geworden ist, der Verschwiegenheit unterliegt. Eine Befugnis zur Offenbarung liegt nur vor, wenn eine Schweigepflichtentbindung des Betroffenen vor-liegt, es zum Schutz eines höherwertigen Rechtsguts notwendig ist oder eine gesetz-liche Grundlage vorliegt. Die Verschwiegenheitspflicht resultiert auch aus den neben-vertraglichen Pflichten des Behandlungsvertrages sowie des Arbeitsvertrages zwischen Rettungsdienst und Arzt.

In § 203 StGB ist die Verletzung der strafbewehrten Schweigepflicht beschrieben. Dort heißt es:

Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbe-reich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart,

19

das ihm als Arzt, Psychotherapeut, So-zialarbeiter, Therapeut (... etc.), anver-traut worden oder sonst bekanntgewor-den ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.Wird die strafbewehrte Schweigepflicht missachtet, dann kommen nicht nur die vorgenannten Berufsträger als Täter in Betracht, sondern auch alle anderen Per-sonen, die innerhalb der Einrichtung als Angestellte arbeiten. Das Gesetz spricht dabei von den berufsmäßig tätigen Ge-hilfen. Das sind alle Personen von der

Sekretärin bis zum Geschäftsführer, die mit Betroffenendaten in Berührung kommen oder direkt damit arbeiten.

Die strafbewehrte Schweigepflicht ist also die ganz persönliche Pflicht ALLER in einer medizinischen oder sozialen Einrichtung Arbeitenden, die durch und über Betroffene in Erfahrung gebrachten Geheimnisse als solche zu wahren.

In allen Datenschutzgesetzen wird verlangt, dass alle Mitarbeiterinnen und Mitarbeiter, die mit Betroffenen- oder Mitarbeiterdaten zu tun haben, auf das Datengeheimnis verpflichtet werden. Das heißt, dass alle in den Einrichtungen Arbeitenden bei ihrer Einstellung über die Bedeutung der strafbewehrten Schweigepflicht aufgeklärt werden müssen. Sinnvollerweise sollte diese Aufklärung im Rahmen einer Schulung erfolgen. Begleitende Unterlagen, wie diese Broschüre, vertiefen das Verständnis für die daten-schutzrechtlichen Belange. Zu Beweiszwecken soll die Verpflichtung auf das Datenge-heimnis schriftlich aufgenommen und zur Personalakte genommen werden.

11. Wer unterliegt der Schweigepflicht?

Die Schweigepflicht in medizinischen und sozialen Einrichtungen leitet sich aus den bei-den ersten Artikeln des Grundgesetzes ab. Demnach sind sämtliche höchstpersönlichen Informationen über Betroffene vor der Kenntnisnahme durch unberechtigte Dritte ge-schützt.

Sinn und Zweck der Schweigepflicht ist es also das Vertrauen in jegliche Art von Be-handlung herzustellen. Gesetzlich geregelt und strafbewehrt ist die Schweigepflicht in den §§ 203, 204 StGB. Ärztinnen; Apotheker oder Angehörige eines anderen Heilbe-rufs, für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert; Berufspsychologinnen mit staatlich anerkannter wis-

20

senschaftlicher Abschlussprüfung; Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Beraterinnen für Suchtfragen in einer Beratungsstelle, die von ei-ner Behörde oder Körperschaft, Anstalt oder Stiftung des öffentlichen Rechts anerkannt ist; Mitglieder oder Beauftragte einer anerkannten Beratungsstelle nach den §§ 3 und 8 des Schwangerschaftskonfliktge-setzes; staatlich anerkannte Sozialarbeiterinnen oder staatlich anerkannte Sozialpädagogen gehören zu den der Schweigepflicht unterliegenden Personen.

Ebenso sind alle berufsmäßigen Gehilfen der vorge-nannten Personengruppen ebenfalls der Schweige-pflicht unterworfen, egal ob es sich um haupt- oder ehrenamtliche Mitarbeiter oder Praktikantinnen han-delt – sofern sie in irgendeiner Form mit Betroffenen oder deren Daten zu tun haben.

Faktisch gibt es also kaum jemanden, der oder die nicht der Schweigepflicht unterliegt.

12. Welche Informationen unterliegen der Schweigepflicht?

Das Gesetz spricht von „fremden Geheimnissen“. Darunter wird jede Tatsache verstan-den, die nicht allgemein bekannt ist, sondern die nur einem beschränkten Personen-kreis zugänglich war oder ist. Außerdem muss ein nachvollziehbares schutzwürdiges Interesse der Betroffenen an der Geheimhaltung bestehen. Bei allen mit Gesundheit im Zusammenhang stehenden Informationen und deren Hintergründe ist dies für alle nachvollziehbar.

Nicht darunter fallen hingegen offenkundige, also öffentlich bekannte Tatsachen. Sie unterliegen nicht der Schweigepflicht. Aber schnell stellt sich die Frage, was ist offen-kundig? So mag der Name eines Patienten/Klienten offenkundig sein, nicht aber der

Umstand, dass er sich bei Ihnen in der Einrichtung aufhält. Das bedeutet nicht nur Details, sondern bereits der Umstand, dass es sich um einen Patienten, Bewohner oder Klienten handelt unterliegt der Schweigepflicht.

Weiter unterliegen nur „fremde Geheimnisse“ der Schweige-pflicht, die den Mitarbeitern des Rettungsdienstes im Zusam-menhang mit der Dienstausübung bekannt geworden sind. Nicht davon umfasst sind privat in Erfahrung gebrachte Infor-mationen.

21

Die Schweigepflicht umfasst alle Lebenshintergründe, die Betroffene über sich offen-baren, erzählen und kundtun. Dazu zählen alle Angaben zu den Hintergründen des „Miteinanderzutunhabens“ wie alle darüber hinaus gehenden Angaben zu den per-sönlichen, beruflichen, wirtschaftlichen und finanziellen Verhältnissen. Auch Kennt-nisse über Dritte fallen hierunter. Und: selbst die Information, dass der Betroffene

überhaupt „Kunde“ der Einrichtung geworden ist, ist ein „fremdes Geheimnis“. Bei einer Sucht- oder Jugendhilfeeinrichtung ist das leicht verständlich, kann alleine die Kenntnis über den Aufenthaltsort die betreffende Person in Schwierigkeiten bringen.

13. Wem gegenüber besteht Schweigepflicht?

Die Schweigepflicht besteht gegenüber allen Dritten! Es ist völlig egal, ob es sich da-bei um nahe Angehörige oder Freunde, Verwandte, Kinder oder Ehepartner oder die Polizei handelt (siehe Frage 17 „Was ist bei Auskünften und Zwangsmaßnahmen in Bezug auf Polizei und Staatsanwaltschaft zu beachten“). Gibt es weder eine gesetz-

liche Grundlage für den Bruch der Schweigepflicht und hat ein Betroffener die Mitar-beiterinnen und Mitarbeiter nicht von ihrer Schweigepflicht entbunden (Einwilligung), dürfen diese Dritten keine Auskunft geben.

14. Was ist über Einwilligungen zu wissen?

Gibt es keine gesetzliche Grundlage bestimmte Daten von einem Klienten oder Bewohner zu erheben, zu verarbeiten oder sonst zu nutzen, dann wird eine Einwilligung des Betroffenen benötigt. Dabei sollte die erste Überlegung dahin gehend angestellt werden, ob vielleicht eine stillschweigende oder mutmaßliche Ein-

willigung vorliegen könnte. Fehlt es hieran, dann könnte eine ausdrückliche Einwilligung notwendig sein. Das bedeutet, dass Betroffene ausdrücklich gefragt werden müssen, ob sie mit einem Handeln einverstanden sind.

Diese Einwilligung sollte dann schriftlich eingeholt werden. In einigen Fällen – wie der Datenübermittlung eines Arztes (in der Regel der Entlass-Bericht) an den behandelnden Hausarzt – ist die schriftliche Einwilligung sogar gesetzlich vorgeschrieben.

ku-gesundheitsmanagement.de

Mark Rüdlin / Dirk Otto Mark Rüdlinist Rechtsanwalt und seit 2001 mit Datenschutz in medizinischen Einrichtungen befasst. Mit Schwerpunkt auf Krankenhäusern, aber auch Drogenhilfe-, Behinderten- und Altenpflegeeinrichtungen sowie medizinischen Servicebetrieben wie Rettungs- wachen, beschäftigt er sich ganz überwiegend mit Fragestellungen rund um das Thema Datenschutz im medizinischen Umfeld. Er ist betrieblicher Datenschutzbeauftragter in von ihm betreuten Häusern in Hamburg, Niedersachsen und Schleswig-Holstein. Außer-dem betreut er kirchliche Krankenhäuser und Einrichtungen.

www.markruedlin.de

Dirk Otto ist Rechtsanwalt/Fachanwalt für gewerblichen Rechtsschutz und Datenschutzbeauf-tragter. Seit mehr als 10 Jahren beschäftigt er sich in seiner anwaltlichen Praxis mit den Datenschutz in medizinischen und sozialen Einrichtungen. Seit 2009 auch als betrieb-licher Datenschutzbeauftragter.

www.kreativrecht.de

Datenschutz in sozialen Einrichtungen