Datenübermittlung an krankenhausfremde Personen und Einrichtungen

175

Es beschwerte sich eine Petentin bei der Aufsichtsbehörde darüber, dass sie im Rahmen einer Untersuchung in einem Krankenhaus ohne weitere Information und ohne ihre vorherige Einwilligung zu einer nicht im Krankenhaus beschäftigten Person geführt wurde. Von dieser Person wurde die Petentin untersucht und hinsichtlich ihres Krankheitsbildes beraten.

Aufgrund datenschutzrechtlicher Bedenken gegen dieses Vorgehen wurde das betroffene Krankenhaus zur Stellungnahme aufgefordert. Dieses teilte mit, die fragliche Person sei tatsächlich Angestellte einer Fremdfirma, welche im Bereich der Medizintechnik tätig sei und das Krankenhaus diesbezüglich bereits seit einigen Jahren unterstütze. Im Kern gehe es darum, dass sie im Rahmen der Anfertigung von medizinischen Diagnosen eine fachliche Beratung für die behandelnden Ärzte anbiete. Die Entscheidung darüber, welche medizinische Maßnahme bei einem bestimmten Krankheitsbild angewendet werden solle (sog. Indikation), treffe aber weiterhin der behandelnde Arzt. Für den Fall, dass eine bestimmte Indikation als sinnvollste Maßnahme empfohlen werde, werde auf die Firma, bei der die Kooperationspartnerin angestellt ist, verwiesen.

Die Klinik gab zu verstehen, dass sie es in der Vergangenheit versäumt habe, die
Patienten über den Status der Kooperationspartnerin ausführlich zu informieren und
sicherte Abhilfe zu.

Aus datenschutzrechtlicher Sicht war zu kritisieren, dass Patienten ohne vorherige Information und Einwilligung an eine Person weitergeleitet wurden, die nicht Mitarbeiter des betreffenden Krankenhauses war. Davon ausgehend, dass die Daten zur weiteren Behandlung an die Fremdfirma übermittelt wurden, wurde das Krankenhaus aufgefordert, eine Einwilligungserklärung samt Informationsblatt für die Patienten zu diesem Vorgang zu erstellen, das den betroffenen Patienten vor der Übergabe an die Fremdfirma ausgehändigt wird, um die Datenübermittlung über eine informierte Einwilligung der Patienten im Sinne des § 4a Bundesdatenschutzgesetz (BDSG) legitimieren zu können. Alternativ müsste auf die Einbindung der Fremdfirma verzichtet werden.

Quelle: Datenschutzaufsicht Saarland