Datenschutz im Krankenhaus?
Der Forderung nach besserem Datenschutz im Krankenhaus wird immer mal wieder mit dem Einwand begegnet, das sei doch letztlich alles halb so schlimm. Wenn man im Krankenhaus sei, habe man doch wahrlich schwerwiegendere Sorgen als Datenschutz. Und überhaupt, Datenschutz hindere am schnellen und effektiven Arbeiten. Das dürfe insbesondere im Krankenhaus nicht sein, denn dort gehe es schließlich um den Schutz der Patienten.
Die folgenden Beispiele sind in den letzten vier Jahren alle so passiert, wie hier geschildert, in Hamburg und um Hamburg herum (mit Ausnahme des letzten). Man möge sich selbst ein Bild machen und entscheiden, ob Datenschutz im Krankenhaus wirklich so überflüssig ist.
Fall 1
Eine Anästhesistin behauptet, wenn man Datenschutz ernst nähme, könne man im Krankenhaus nicht mehr arbeiten. Sie müsse schließlich alle Informationen über Patienten in Sekundenschnelle zur Verfügung haben. Auf einmal fühlt sie sich jedoch bei dem Gedanken sehr unwohl, dass alle Kolleginnen und Kollegen die Berichte über die Geburten ihrer drei Töchter einsehen können, die in dem Krankenhaus zur Welt kamen, in dem sie heute arbeitet.
Fall 2
Ein Chefarzt kommt nach krankheitsbedingter Abwesenheit ins Stationszimmer und findet die diensthabenden Schwestern über die Röntgenaufnahmen seines im letzten Skiurlaub verletzten Knöchels gebeugt. „Haha, guckt mal! Der Chef kann nicht Ski laufen!“.
Fall 3
Eine Verwaltungsbeamtin wird von ihrer Gynäkologin für eine Unterleibsoperation in ein Krankenhaus überwiesen und dort vom Chefarzt der Gynäkologie operiert. Als sie von ihrer privaten Krankenversicherung die Rechnung erhält, stutzt sie bei einem Posten, der lautet: „Anfertigen und bearbeiten eines Videofilms“. Ihre Versicherung wundert sich ebenfalls und fragt im Krankenhaus nach. Es stellt sich heraus, dass der Chefarzt die ganze Operation der Frau gefilmt hat, um Ausschnitte daraus zukünftig bei Vorträgen auf Fachkongressen zu zeigen. Es bleibt unklar, ob der Film schon gezeigt wurde und ob die Frau identifizierbar war. Eine Schadensersatzklage gegen das Krankenhaus läuft noch.
Fall 4
Ein chronisch krankes Kind wird innerhalb eines Jahres in verschiedenen Kliniken untersucht. Seine Mutter findet durch eine Verkettung von Zufällen die Untersuchungsberichte, die ihren Sohn betreffen, bei einem externen Dienstleister wieder, der von einer der Kliniken mit dem Schreiben der Arztberichte beauftragt worden war. Weder wusste die Mutter, dass die Berichte dorthin übermittelt wurden, noch hatte sie dem zugestimmt. Eine Überprüfung ergibt, dass der Dienstleister tausende Arztberichte von einen guten Dutzend Kliniken speichert. Hinzu kommt eine mangelhafte Absicherung des Netzwerkes. Es ist der reine Zufall, dass die Berichte nicht nach einem Angriff im Internet landeten.
Fall 5
Zwei alte Frauen liegen zusammen in einem Zimmer, beide leiden unter bislang ungeklärten Problemen im Magen. Bei der Visite kommt der Chefarzt in Begleitung von zwei weiteren Ärzten und einer Studentin ins Zimmer und sagt zu der einen Frau: „Die Untersuchungen haben ergeben, dass Sie Magenkrebs haben“. Als die andere Frau bemerkt, sie fände solche Gespräche in ihrer Gegenwart unangemessen, sagt der Arzt, es stehe ihr jederzeit frei, das Zimmer verlassen. Die andere Frau hängt am Tropf und kann nur mit Unterstützung aufstehen.
Fall 6
Ein Kind soll ambulant operiert werden. Sein Vater weigert sich, eine Einwilligungserklärung zu unterschreiben, die dem Krankenhaus und der Krankenkasse die Nutzung der Daten seiner Tochter erlaubt. Er versteht trotz mehrmaligen Lesens die Erklärung mit der Überschrift „Integrierte Versorgung“ nicht und fragt sich, wer dann eigentlich genau welche Daten seiner Tochter verwenden kann. Die zuständige Ärztin sagt zu ihm: „Wenn Sie das nicht unterschreiben, kann ich ihre Tochter nicht operieren. Dann lohnt sich das nicht, weil ich für die Operation dann nur 50 statt 100 EUR bekomme“. Weder die Krankenkasse noch das Krankenhaus sind später in der Lage zu erklären, was mit der Einwilligungserklärung bezweckt war.
Fall 7
Der Datenschutzbeauftragte eines mittelgroßen Krankenhauses soll die Auslagerung des Schreibdienstes an einen externen Dienstleister prüfen. Im Gespräch mit dem Geschäftsführer des Dienstleisters wird klar, dass der Datenschutzbeauftragte nicht mal über das Minimum an juristischen Kenntnissen verfügt, um diese Beauftragung eines externen Dienstleisters datenschutzkonform zu organisieren. Er bedankt sich bei dem Geschäftsführer für weiterführende Hinweise und merkt an, er sei „Ingenieur für Umwelttechnik“ und im Krankenhaus hauptsächlich für die Abfallentsorgung zuständig.
Fall 8
Nachzulesen in der Entscheidung des Europäischen Gerichtshofes vom 17. Juli 2008, „I. v. Finland“. http://www.cl.cam.ac.uk/~rja14/Papers/echr-finland.pdf. Dies ist zugleich eine der wenigen Verfahren, die zu einer Verurteilung des Krankenhauses zu Schadensersatz an die betroffene Patientin geführt haben.