Patientenakten: Urteil regelt Zugriffsrechte neu

Dieser Beitrag wird vertreten von Alexa Frey, Fachanwältin für Medizinrecht.

In der eigenen Klinik behandelt

Der Chefarzt war nach einem Herzinfarkt im Hause seines Arbeitgebers behandelt worden.

Während des Behandlungsverhältnisses wurde circa 150 Mal durch Mitarbeiter auf seine Patientendaten zugegriffen. Der Chefarzt griff mit der Klage konkret den Zugriff durch zwei Chefärzte, eine Assistenzärztin und einen Pfleger an.

Der Chefarzt hatte bei Wiederaufnahme seiner Tätigkeit nach der Arbeitsunfähigkeit von dem Zugriff erfahren. Der eingeschaltete betriebliche Datenschutzbeauftragte kam zu dem Ergebnis, dass diese Zugriffe der vier Personen als „fraglich“ einzustufen seien.

Der Chefarzt forderte das Klinikum dazu auf, Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Zudem wurde das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit der Überprüfung des Sachverhalts beauftragt, welches die Zugriffe als unzulässig einstufte.

Anspruch war verjährt

Die Klage des Chefarztes blieb im Ergebnis erfolglos, da die Ansprüche im Zeitpunkt der Klagerhebung bereits verjährt waren. Dennoch wies das LG Flensburg in seiner Urteilsbegründung auf die Notwendigkeit der Beschränkung der Zugriffsrechte hin. 

Zugriff nur für tatsächlich behandelnde Personen

Das Gericht führte aus, dass eine selbständige Nebenpflicht aus dem Behandlungsvertrag besteht, wonach der Behandelnde dafür Sorge zu tragen hat, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben.

Dieser Zugriff muss durch ein entsprechendes Rechte- und Zugriffs-Management sichergestellt und entsprechend dokumentiert werden.

Kliniken müssen Zugriffsrechte prüfen

Kliniken und Krankenhäusern ist zu empfehlen, die Zugriffsrechte und deren Dokumentation zu überprüfen.

Das Problem dürfte sich bei einer „Papierakte“ –  wie einer Pflegedokumentation die nur auf der jeweiligen Station „liegt“ – in Grenzen halten. Bei der rein elektronisch geführten Behandlungsdokumentation tritt das Problem der Zugriffsrechte vehementer zu Tage.

Hier muss sichergestellt sein, dass nicht alle Mitarbeiterinnen und Mitarbeiter aus allen Abteilungen uneingeschränkt auf die Inhalte der Patientenakte zugreifen können, sondern nur diejenigen, die an der konkreten Behandlung beteiligt sind.

Wichtig ist, dass Kliniken auch Jahre später nachweisen können, wer zu welchem Zeitpunkt Zugriff auf elektronisch geführte Dokumentation hatte und welche Sicherungsvorkehrungen ergriffen wurden, um nicht an der Behandlung beteiligten, unberechtigten Mitarbeitern den Zugriff zu verwehren.

Einige Fragen bleiben offen

Die Klarstellung des Landgerichts Flensburg wirft in der Praxis offene Fragen auf.

Wie wird festgelegt, wer an einer Behandlung beteiligt ist? Wer vergibt die entsprechenden Rechte? Wie wird sichergestellt, dass während eines Krankenhauses weitere Ärztinnen und Ärzte oder Abteilungen auf die Akte zugreifen können?

Der datenschutzrechtiche Grundsatz der Datensparsamkeit gilt somit auch in Bezug auf den Zugriff auf Daten durch die ärztlichen und nichtärztlichen Mitarbeiterinnen und Mitarbeiter einer Klinik oder Arztpraxis. Insoweit dürfte weniger, mehr sein. Dennoch muss zu jeder Zeit die effektive und sichere Behandlung gewährleistet sein.

Fazit für die Praxis: Kliniken und Arztpraxen sollten das Urteil zum Anlass nehmen und überprüfen, welche Rollen- und Rechteverwaltung bereits vorhanden und etabliert ist. Dann kann geprüft werden, ob die Vorgaben des Urteils bereits – ganz oder teilweise – umgesetzt sind oder hier Bedarf für Nachbesserungen besteht.