Datenschutz ist Führungsaufgabe (II)

- Januar 12, 2016

Foto: BKA

Das Szenario: Ein fast 16-jähriges Mädchen mit einer chronischen Erkrankung suchte auf den Rat ihrer Hausärztin hin eine Spezialklinik für eine gründliche Diagnostik auf. Dort erfolgte seitens der Klinik die Empfehlung, sie dort über mehrere Wochen hinweg vor allem auch psychotherapeutisch zu behandeln. Das Mädchen war nach dem Tod ihrer Eltern bei ihrer Tante und ihren Onkel aufgewachsen, die seit mehreren Jahren in Scheidung lebten, das Mädchen lebte seither bei ihrem Onkel. In der Klinik gab sie gegenüber dem für sie zuständigen Oberarzt an, dass sie nicht wolle, dass ihrer Tante Auskunft über ihren Zustand erteilt werde, weder mündlich noch schriftlich. Die Antwort des Arztes auf diese Bitte: das ginge auf keinen Fall, die Tante sei schließlich trotz der Trennung von ihrem Mann gemeinsam mit ihm für das Mädchen sorgeberechtigt und deshalb müsse das Krankenhaus ihr Auskunft geben. Der später zugezogene Chefarzt versuchte sich gegenüber dem aufgebrachten Teenager mit einem Kompromissvorschlag. Wenn die Tante anrufe könne man ihr ja am Telefon keine Auskunft geben, das sei von Seiten des Krankenhauses zu rechtfertigen. Eine im Krankenhaus ansässige Psychologin, die das Mädchen mitbehandeln sollte, folgte ebenfalls dieser Linie und bestand darauf, dass die ärztliche Schweigepflicht keinesfalls gegenüber Minderjährigen gelte. Das Mädchen brach die vorgesehene stationäre Behandlung daraufhin ab, bevor sie begonnen hatte. Ihr fehle unter diesen Umständen das nötige Vertrauen.

Schweigepflicht gilt auch für Minderjährige

An diesem Beispiel sind gleich mehrere Problemfelder in der Organisation von Datenschutz und Informationssicherheit zu besichtigen – die im Übrigen auf jedes andere Unternehmen übertragbar sind: anstelle von Patientendaten kann man auch „Kundendaten“ einsetzen, und „Einhaltung der ärztlichen Schweigepflicht“ durch „Compliance“ ersetzen.

Zunächst zum inhaltlichen Hintergrund. Es ist unstreitig, dass die ärztliche Schweigepflicht auch gegenüber Minderjährigen gilt, sobald diese über eine ausreichende Einsichtsfähigkeit verfügen, siehe dazu die am Ende dieses Artikels eingefügten Links. Eine ausreichende Einsichtsfähigkeit beginnt in der Regel ab einem Alter von 15 oder 16 Jahren.

Es kommt dabei nicht darauf an, ob die Entscheidung einer Minderjährigen bei neutraler Beurteilung als richtig oder falsch, vernünftig oder unvernünftig anzusehen ist. Genauso wie man Erwachsenen jederzeit das Recht auf unvernünftige Entscheidungen in Bezug auf ihren Körper oder ihr Leben zugesteht, muss dies auch für Minderjährige gelten, sofern sie über die nötige Einsicht hinsichtlich möglicher Folgen verfügen.

In dem geschilderten Fall konnte man ohne weiteres von der Einsichtsfähigkeit des Teenagers ausgehen.

Schwachpunkt Datenschutzmanagement

Hier lag also der erste Schwachpunkt des Krankenhauses in der Organisation des Datenschutzes. Es war den beteiligten Ärzten offensichtlich nicht bekannt, wie sich die formale Lage in einem solchen Fall darstellt. Soweit ersichtlich gab es weder im Rahmen des Qualitätsmanagements noch durch den Datenschutzbeauftragten eine entsprechende Vorgabe, die den Ärzten auch vermittelt worden wäre. Ein weiterer Schwachpunkt lag darin, dass es ebenso offenkundig keinen vorab definierten und etablierten Ablauf für den Umgang mit Streitfällen in Bezug auf die ärztliche Schweigepflicht gab.

Wie es besser geht?

Die Klinikleitung muss im Rahmen ihrer Organisationsverantwortung dafür sorgen, dass das ärztliche wie auch das pflegerische Personal um seine Pflichten im Zusammenhang mit ärztlicher Schweigepflicht weiß und entsprechend handeln kann. Es müssen krankenhausintern Anweisungen erstellt werden, die regeIn, wie in Bezug auf die Übermittlung von Patientendaten an dritte Stellen und Personen vorzugehen ist. Das Qualitätsmanagement bietet in diesem Zusammenhang den formalen Rahmen, um die entsprechenden Prozesse zu definieren und die nötigen Leitlinien für die Compliance vorzugeben. Es würde sich anbieten, in diesem Rahmen nach der Definition der Prozesse zur Umsetzung eine interne Richtlinie zu erlassen, die genau festlegt, welche Informationen mit oder ohne Einwilligung des Patienten an welche Stellen übermittelt werden dürfen und in welcher Form: Elektronisch, in Papierform, telefonisch. Insofern kann die Klinikleitung ihre diesbezügliche Verantwortung an die Qualitätsmanager und die Datenschutzbeauftragten delegieren. In Frage kommt weiterhin die Einbeziehung der Rechtsabteilung für die Klärung von Rechtsfragen und der IT-Verantwortlichen. Letztere müssen für die technische Umsetzung der rechtlichen und organisatorischen Vorgaben in der IT-Infrastruktur des Krankenhauses sorgen (Verschlüsselungsverfahren bei elektronischer Übermittlung etc.).

Zu dieser Definition der Anforderungen gehört auch die Definition eines Verfahrens des Umgangs mit Konfliktfeldern. So wäre im oben geschilderten Fall denkbar gewesen, dass der zuständige Arzt mangels eigener Sachkenntnis verpflichtet ist, die Rechtsabteilung des Krankenhauses für eine Entscheidung hinzuzuziehen, anstatt diese selber zu treffen. Auch das muss im Wege einer verbindlichen Vorgabe seitens der Klinikleitung geregelt werden.

Verlässliche Abläufe etablieren

Sind die Anforderungen definiert, müssen die Abläufe etabliert werden, die sicherstellen, dass die Anforderungen in der Praxis auch umgesetzt werden. So ist denkbar, einen Ablauf dahingehend zu etablieren, dass jeder Patient beziehungsweise die Sorgeberechtigten bei der Aufnahme oder im Erstgespräch gefragt werden, welcher Angehörige und oder Verwandte Auskunft über den Zustand des Kindes oder des Jugendlichen erhalten darf – oder eben auch nicht und dieses dann in der Patientenakte vermerkt wird. Damit sollte auch eine allgemeine Übersicht über die Weitergabe von Informationen z.B. an mitbehandelnde Ärzte verbunden werden und die Erteilung ggfls. notwendiger Einwilligungserklärungen. Ein solches Vorgehen lässt sich relativ problemlos in die übrigen Formalien einbinden, die bei der Aufnahme in einem Krankenhaus Routine sind. Felder, die in diesem Zusammenhang mitbearbeitet werden müssen, sind u.a. die Festlegung von Verantwortlichkeiten für die Erstellung der Unterlagen, die Bereitstellung der Unterlagen in das Kliniknetzwerk und die Schaffung der Möglichkeit für verschiedene Stellen, auf diese auch zuzugreifen.

Führungsaufgabe!

Auch der Aufbau solcher Strukturen für rechtskonforme Abläufe liegt in der Verantwortung der Leitung des Krankenhauses; für die Umsetzung müssen dann andere Stellen eingebunden werden.

Im nächsten Schritt müssen die Anweisungen und die vorgegebenen Abläufe unter dem ärztlichen und pflegerischen Personal bekannt gemacht werden. Jede noch so gut gemachte Anweisung nützt nichts, wenn diejenigen, die sie umsetzen, nichts davon wissen. Nach unserer langjährigen Erfahrung eignen sich regelmäßige Schulungen am besten dazu, ein Bewusstsein für die Notwendigkeit von Datenschutz und Informationssicherheit zu vermitteln. Wichtig ist dabei, dass die Darstellung anhand von Beispielen aus der Praxis erfolgt und einmal jährlich erfolgt. Praktikabel ist auch das Andocken dieser Themen an ohnehin stattfindende Schulungen zum Qualitätsmanagement, Hygiene, Arbeitssicherheit o.ä.

Nach erfolgreichem Aufbau dieser Schritte geht es dann noch darum, das System auch lebendig zu halten und in Abständen auf das Funktionieren zu überprüfen. Ebenso muss überprüft werden, ob Änderungen an der formalen Gestaltung erforderlich sind, etwa weil sich Gesetze geändert haben.

Fazit

Es mag ein seltener Einzelfall sein, dass ein Teenager auf der Nichtweitergabe von ärztlichen Informationen an einen Angehörigen besteht. Die finanziellen Folgen für die Klinik waren aber in dem Behandlungshonorar für einen sechswöchigen Aufenthalt messbar. Müßig ist es zu erwähnen, dass das Vertrauen der Patienten ein entscheidendes Qualitätsmerkmal eines Krankenhauses ist. Müßig ist es auch zu erwähnen, dass sich die Etablierung eines qualitativ guten Datenschutzmanagements nicht nur auf Fragen der ärztlichen Schweigepflicht bezieht, sondern auf alle Themenfelder, die in der Organisation eines Behandlungsverhältnisses eine Rolle spielen.

Die hier dargestellte Vorgehensweise lässt sich im Grunde auf alle Bereiche des Aufbaus eines Datenschutz- und Informationssicherheitsmanagements übertragen. Immer kommt es darauf an, zunächst die Prozesse zu beleuchten, diese sofern nötig umzustellen und dann die Vorgaben für einen rechtskonformen und/oder technisch sicheren Ablauf zu definieren, die nachfolgend umgesetzt werden. Entscheidend ist auch das Zusammenspiel verschiedener Stellen in einem Unternehmen, die die einzelnen Bausteine aufeinander abgestimmt entwickeln und umsetzen.

Auswahl weiterführender Links zum Thema

http://www.aerztekammer-berlin.de/10arzt/30_Berufsrecht/08_Berufsrechtliches/06_Behandlung_von_Patienten_Pflichten_Empfehlungen/35_Merkblatt_Schweigepflicht.pdf

https://www.aerztekammer-bw.de/10aerzte/40merkblaetter/10merkblaetter/schweigepflicht.pdf

http://www.info-krankenhausrecht.de/Rechtsanwalt_Arztrecht_Medizinrecht_Schweigepflicht_Schweigepflicht_01.html#tocitem9

http://www.arzt-wirtschaft.de/schweigepflicht-gilt-auch-fuer-minderjaehrige-patienten/

Wir erarbeiten Sicherheitskonzepte und übernehmen für Sie den externen betrieblichen Datenschutz.