Verordnung zum Schutz von Patientendaten
in kirchlichen Krankenhäusern¹#

( 1 ) Diese Verordnung gilt für alle kirchlichen Krankenhäuser und deren Tochtergesellschaften ohne Rücksicht auf deren Rechtsform.

( 2 ) 1 Diese Verordnung regelt den Schutz personenbezogener Daten von Patienten und Patientinnen eines Krankenhauses (Patientendaten), unabhängig von der Form ihrer Erhebung und der Art ihrer Verarbeitung und Nutzung. 2 Patientendaten sind Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patienten und Patientinnen des Krankenhauses. 3 Als Patientendaten gelten auch personenbezogene Daten von Angehörigen oder anderen Bezugspersonen des Patienten oder der Patientin sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden.

( 3 ) 1 Soweit in dieser Verordnung nichts anderes bestimmt ist, gelten das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD)³# und die zu seiner Durchführung ergangenen Vorschriften. 2 Weitergehende Rechtsvorschriften, insbesondere die der ärztlichen Schweigepflicht, bleiben unberührt.

( 1 ) Patientendaten dürfen nur erhoben, verarbeitet und genutzt werden, soweit

1. dies im Rahmen des Behandlungsverhältnisses, einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreits erforderlich ist, oder
2. diese Verordnung, eine andere kirchliche oder eine staatliche Rechtsvorschrift dies vorschreibt oder erlaubt oder der Patient oder die Patientin eingewilligt hat.

( 2 ) 1 Die Einwilligung bedarf grundsätzlich der Schriftform. 2 Im Falle eines automatisierten Abrufs von Patientendaten kann die Schriftform entfallen, wenn durch technische Maßnahmen sichergestellt ist, dass die Daten nur unter Mitwirkung des Patienten oder der Patientin freigegeben werden können. 3 Die Einwilligung kann mündlich erklärt werden, wenn dies wegen besonderer Umstände angemessen ist. 4 In diesem Fall sind die Erklärung und die besonderen Umstände aufzuzeichnen. 5 Wird die Einwilligung mit anderen Erklärungen schriftlich erteilt, so ist der Patient oder die Patientin hierauf schriftlich hinzuweisen. 6 Der Patient oder die Patientin sind in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über den Empfänger oder die Empfängerin der Daten, aufzuklären und darauf hinzuweisen, dass die Einwilligung verweigert werden kann und dass ihm oder ihr wegen einer Verweigerung der Einwilligung keine rechtlichen Nachteile entstehen. 7 Ist der Patient oder die Patientin aus tatsächlichen oder rechtlichen Gründen nicht in der Lage, die Einwilligung zu erteilen, ist die Erklärung im Wege gesetzlicher Vertretung oder, wenn eine solche nicht vorhanden ist, durch Angehörige abzugeben.

( 3 ) Die Angabe der Religionszugehörigkeit bei der Patientenaufnahme ist freiwillig.

( 4 ) Werden die Daten innerhalb eines Datennetzverbundes, an den auch ambulant tätige Angehörige eines Heilberufs oder Gesundheitsfachberufs angeschlossen werden können, durch automatisierten Abruf erhoben, hat der für den Abruf Verantwortliche zuvor die Einwilligung des Patienten oder der Patientin nach Maßgabe von Absatz 2 einzuholen.

( 5 ) 1 Patientendaten dürfen innerhalb eines Datennetzverbundes im Sinne von Absatz 4 mit der Möglichkeit des automatisierten Abrufs im Einzelfall gespeichert werden, wenn sichergestellt ist, dass der Abruf mit Einwilligung des Patienten oder der Patientin durch den behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs erfolgt, der Abruf dem Krankenhaus angezeigt wird und eine regelmäßige Weitergabekontrolle nach Anlage zu § 9 DSG-EKD⁴# stattfindet. 2 Die Daten dürfen nur abgerufen werden, soweit dies für die Behandlung des Patienten oder der Patientin erforderlich ist; § 3 Abs. 2 Satz 3 gilt entsprechend. 3 Das Krankenhaus hat die Gründe und den Zweck des Abrufverfahrens, die Arten der zu übermittelnden Patientendaten und die gebotenen technischen und organisatorischen Maßnahmen aufzuzeichnen.

( 6 ) Patientendaten dürfen auch gespeichert und genutzt werden

1. zur Qualitätssicherung in der stationären Versorgung,
2. zur Erkennung, Verhütung und Bekämpfung von Krankenhausinfektionen,
3. zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zu Organisationsuntersuchungen, zur Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung,
4. zur Aus-, Fort- und Weiterbildung von Angehörigen eines Heilberufs oder Gesundheitsfachberufs im Krankenhaus,

soweit diese Zwecke nicht mit pseudonymisierten oder anonymisierten Daten erreicht werden können und nicht überwiegende schutzwürdige Interessen des oder der Betroffenen entgegenstehen.

( 7 ) Patientendaten, die automatisiert gespeichert werden, sind zu anonymisieren, sobald der Verarbeitungszweck dies erlaubt.

( 8 ) Krankenhausmitarbeiter und -mitarbeiterinnen dürfen Patientendaten nur in Datenverarbeitungssystemen verarbeiten, die der ausschließlichen Verfügungsgewalt und Kontrolle des Krankenhauses unterstehen.

( 1 ) Die Übermittlung von Patientendaten innerhalb des Krankenhauses einschließlich der Krankenhausseelsorge und des Sozialdienstes im Krankenhaus sind nur zulässig, soweit dies zur jeweiligen Aufgabenerfüllung erforderlich ist.

( 2 ) 1 Für die Übermittlung von Patientendaten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen) gilt § 4 Abs. 1 entsprechend. 2 Die Freigabe der Übermittlung durch automatisierten Abruf erfolgt grundsätzlich durch die Behandlungseinrichtung. 3 Patientendaten über eine psychiatrische Behandlung dürfen mit Ausnahme der dabei erhobenen Diagnosen, besonderen Verhaltensauffälligkeiten sowie somatischen Erkrankungen nicht übermittelt werden.

( 3 ) Soweit Daten in automatisierten Verfahren mit der Möglichkeit des Abrufs gespeichert werden, ist auch ohne Freigabe durch die Behandlungseinrichtung eine Übermittlung von Patientendaten im Einzelfall für die Dauer von höchstens 24 Stunden zulässig, wenn der Abruf durch den behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs im Rahmen des § 2 Abs. 1 erfolgt, der Abruf der Behandlungseinrichtung angezeigt wird und eine regelmäßige Weitergabekontrolle nach Anlage zu § 9 DSG-EKD⁵# sichergestellt ist; Absatz 2 Satz 3 gilt entsprechend.

( 1 ) Die Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit dies erforderlich ist

1. zur Behandlung einschließlich der Mit-, Weiter- und Nachbehandlung, wenn nicht der Patient oder die Patientin nach Hinweis auf die beabsichtigte Übermittlung etwas anderes bestimmt hat,
2. zur Erfüllung einer Behandlungspflicht oder einer gesetzlich vorgeschriebenen Mitteilungspflicht, soweit diese der ärztlichen Schweigepflicht vorgeht,
3. zur Abwehr einer gegenwärtigen Gefahr für das Leben, die Gesundheit oder die persönliche Freiheit des Patienten oder der Patientin oder Dritter, sofern diese Rechtsgüter das Geheimhaltungsinteresse des Patienten oder der Patientin erheblich überwiegen und die Abwendung der Gefahr ohne die Übermittlung nicht möglich ist,
4. zur Durchführung qualitätssichernder Maßnahmen in der Krankenhausversorgung, wenn bei der beabsichtigten Maßnahme das Interesse der Allgemeinheit an der Durchführung die schutzwürdigen Belange des Patienten oder der Patientin erheblich überwiegt,
5. zur Abrechnung und Durchsetzung von Ansprüchen auf Grund der Behandlung,
6. zur Rechnungsprüfung durch den Krankenhausträger, einen von ihm beauftragten Wirtschaftsprüfer und zur Überprüfung der Wirtschaftlichkeit durch Beauftragte im Rahmen des Pflegesatzverfahrens nach dem Krankenhausentgeltgesetz und der Bundespflegesatzverordnung,
7. zu Forschungszwecken nach Maßgabe des § 7,
8. zur Unterrichtung des Seelsorgers oder der Seelsorgerin der für den Patienten oder die Patientin zuständigen Gemeinde, sofern der Patient oder die Patientin der Übermittlung nicht widersprochen hat oder Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist. Der Patient oder die Patientin ist bei der Aufnahme ausdrücklich auf die Möglichkeit hinzuweisen, der Übermittlung zu widersprechen,
9. zur sozialen Betreuung der Patienten und Patientinnen, soweit eine Einwilligung wegen offenkundiger Hilflosigkeit oder mangelnder Einsichtsfähigkeit bei ansonsten bestehender Geschäftsfähigkeit nicht erlangt werden kann und der mutmaßliche Wille des Patienten oder der Patientin nicht entgegensteht,
10. zur Unterrichtung von Angehörigen, soweit es zur Wahrung ihrer berechtigten Interessen erforderlich ist, schutzwürdige Belange des Patienten oder der Patientin nicht beeinträchtigt werden und die Einholung der Einwilligung für den Patienten oder die Patientin gesundheitlich nachteilig wäre. Im Übrigen ist eine Übermittlung nur mit Einwilligung des Patienten oder der Patientin zulässig.

( 2 ) 1 Personen oder Stellen, an die Patientendaten weitergegeben worden sind, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen übermittelt wurden. 2 Im Übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfang geheim zu halten wie das Krankenhaus selbst.

( 3 ) Soweit die Vorschriften dieser Verordnung auf die Empfänger und Empfängerinnen keine Anwendung finden, ist eine Übermittlung in den Fällen des Absatzes 1 und des Absatzes 4 nur zulässig, wenn diese zur Verschwiegenheit verpflichtet sind oder sich zur Einhaltung der Vorschriften des Absatzes 2 verpflichten.

( 4 ) Zur überbetrieblichen Auswertung dürfen nur anonymisierte Daten übermittelt werden.

( 1 ) 1 Patientendaten sind zu löschen, wenn sie zur Erfüllung des Verarbeitungszwecks nach dieser Verordnung nicht mehr erforderlich sind, die durch Rechtsvorschrift oder durch die ärztliche Berufsordnung vorgeschriebenen Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange des Patienten oder der Patientin beeinträchtigt werden. 2 Patientendaten in Krankenakten sind nach Abschluss der Behandlung zu sperren und spätestens nach Ablauf von 30 Jahren zu löschen. 3 § 7 Abs. 4 bleibt unberührt.

( 2 ) Patientendaten sind zu sperren, sobald die Behandlung abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgeschlossen sind und das Krankenhaus den Bericht über die Behandlung erstellt hat.

( 3 ) 1 Gesperrte Daten sind gesondert zu speichern. 2 Soweit dies nicht möglich ist, sind die Daten mit einem Sperrvermerk zu versehen. 3 Gesperrte Daten dürfen vor Ablauf der Sperrfrist nicht verändert oder gelöscht werden. 4 Zur Erschließung der Akten ist im Krankenhausarchiv ein Nachweis zu führen, zu dem kein direkter Zugriff anderer Bereiche besteht.

( 4 ) 1 Die Sperrung kann nur auf Veranlassung des behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs aufgehoben werden für die Durchführung einer Behandlung, mit der die frühere Behandlung in einem medizinischen Sachzusammenhang steht, zur Behebung einer Beweisnot, für eine spätere Übermittlung nach § 4 Abs. 1 oder wenn der Patient oder die Patientin einwilligt. 2 Die Aufhebung der Sperrung ist zu begründen und zu dokumentieren.

( 5 ) Nach Abschluss der Behandlung unterliegen nach Absatz 2 gesperrte Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, grundsätzlich dem alleinigen Zugriff der Behandlungseinrichtung nach § 3 Abs. 2.

( 6 ) 1 Andere Behandlungseinrichtungen des Krankenhauses dürfen bei der Wiederaufnahme eines Patienten oder einer Patientin gesperrte Daten nach Maßgabe von Absatz 4 abrufen. 2 Der erste Zugriff ist auf die Daten zu begrenzen, die für das Auffinden der Dokumentation zur medizinischen Behandlung erforderlich sind. 3 Der behandelnde Angehörige eines Heilberufs oder Gesundheitsfachberufs einer anderen Behandlungseinrichtung ist unter den Voraussetzungen von § 2 Abs. 1 auch berechtigt, auf gesperrte Patientendaten zuzugreifen; § 3 Abs. 2 Satz 3 gilt entsprechend. 4 Die Gründe hierfür sind zu dokumentieren. 5 Eine regelmäßige Weitergabekontrolle nach Anlage zu § 9 DSG-EKD⁶# ist sicherzustellen.

( 7 ) Werden gesperrte Patientendaten innerhalb eines Datennetzverbundes im Sinne von § 2 Abs. 4 mit der Möglichkeit des automatisierten Abrufs gespeichert, so gelten für die Speicherung § 2 Abs. 5 Satz 1 und für den Abruf im Einzelfall Absatz 6 und § 2 Abs. 5 Satz 2 entsprechend.

( 1 ) 1 Patientendaten sind grundsätzlich im Krankenhaus zu verarbeiten. 2 Eine Verarbeitung im Auftrag ist nur zulässig, wenn die Wahrung der Datenschutzbestimmungen dieser Verordnung bei der verarbeitenden Stelle sichergestellt ist und diese sich insoweit der Kontrolle des oder der Datenschutzbeauftragten des Krankenhauses unterwirft.

( 2 ) Die besondere Schutzbedürftigkeit von Patientendaten aus dem medizinischen Bereich ist im Rahmen der nach Anlage zu § 9 DSG-EKD⁷# zu treffenden Maßnahmen zu berücksichtigen.

( 3 ) Der Zugriff auf Patientendaten durch Auftragnehmer ist im Rahmen der Prüfung oder Wartung von Datenverarbeitungsanlagen und von automatisierten Verfahren nur zulässig, wenn das Krankenhaus im Einzelfall zuvor die Daten zum Zugriff freigegeben hat.

( 4 ) 1 Im Rahmen der nach Anlage zu § 9 DSG-EKD⁸# zu treffenden Maßnahmen ist auch sicherzustellen, dass Auftragnehmer bei der Administration technischer Vorkehrungen zur Abwehr von Angriffen auf das Datenverarbeitungssystem so weit möglich nicht Zugriff auf Patientendaten nehmen können. 2 Für die Erledigung von Wartungsaufgaben gilt Absatz 3 entsprechend.

( 1 ) Die Verarbeitung von Patientendaten, die im Rahmen von § 2 Abs. 1 gespeichert worden sind, ist für wissenschaftliche medizinische Forschungsvorhaben von Angehörigen eines Heilberufs oder Gesundheitsfachberufs der Behandlungseinrichtung im Krankenhaus sowie Hochschulen und anderen mit wissenschaftlicher Forschung beauftragten Stellen zulässig, wenn der Patient oder die Patientin eingewilligt hat.

( 2 ) 1 Der Einwilligung des Patienten oder der Patientin bedarf es nicht, soweit schutzwürdige Belange, insbesondere wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verarbeitung nicht beeinträchtigt werden oder wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Patienten oder der Patientin erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden. 2 Soweit Patientendaten unter diesen Voraussetzungen an Hochschulen oder andere mit wissenschaftlicher Forschung beauftragte Stellen übermittelt werden, hat das Krankenhaus die empfangende Stelle, die Art der zu übermittelnden Daten, den Kreis der betroffenen Patienten oder Patientinnen, das von der empfangenden Stelle genannte Forschungsvorhaben sowie das Vorliegen der Voraussetzungen des Satzes 1 aufzuzeichnen. 3 Der oder die Datenschutzbeauftragte des Krankenhauses ist zu beteiligen.

( 3 ) 1 Jede weitere Verwertung der Patientendaten unterliegt den Anforderungen der Absätze 1 und 2. 2 Die übermittelnde Stelle hat sich vor der Übermittlung davon zu überzeugen, dass die empfangende Stelle bereit und in der Lage ist, diese Vorschriften einzuhalten.

( 4 ) 1 Sobald der Forschungszweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Patientenbezug hergestellt werden kann, gesondert zu speichern. 2 Die Merkmale sind zu löschen, sobald der Forschungszweck dies gestattet.

( 5 ) Soweit die Vorschriften dieses Gesetzes auf die empfangende Stelle keine Anwendung finden, dürfen Patientendaten nur übermittelt werden, wenn diese sich verpflichtet, die Vorschriften der Absätze 2 und 4 einzuhalten und sich insoweit der Kontrolle des oder der Datenschutzbeauftragten des Krankenhauses unterwirft.

( 1 ) In allen Fällen des § 4 Abs. 1 hat die übermittelnde Stelle den Empfänger oder die Empfängerin, die Art der übermittelten Daten und die betroffenen Patienten und Patientinnen zu dokumentieren.

( 2 ) 1 Dem Patienten oder der Patientin ist auf Verlangen unentgeltlich

1. Auskunft über die zu seiner Person gespeicherten Daten sowie über Personen und Stellen zu erteilen, an die personenbezogene Daten weitergegeben wurden und
2. Einsicht in die Krankenakte zu gewähren.

2 Soweit Einsicht zu gewähren ist, kann der Patient oder die Patientin Auszüge oder Abschriften selbst fertigen oder sich gegen angemessenen Ersatz der Aufwendungen Kopien durch das Krankenhaus herstellen lassen.

( 3 ) 1 Das Krankenhaus soll die Auskunft über die zur Person des Patienten oder der Patientin gespeicherten Daten oder die Einsicht in die Krankenakte durch einen Arzt oder eine Ärztin vermitteln lassen, sofern andernfalls eine unverhältnismäßige Beeinträchtigung der psychischen oder physischen Gesundheit des Patienten oder der Patientin zu befürchten ist. 2 Die Notwendigkeit der Vermittlung ist zu begründen.

( 4 ) 1 Ein Anspruch auf Auskunft oder Einsicht steht dem Patienten oder der Patientin nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen des Patienten oder der Patientin aufgezeichnet sind, überwiegen. 2 Die Verweigerung ist auf Wunsch des Patienten oder der Patientin schriftlich zu begründen. 3 Der oder die Datenschutzbeauftragte des Krankenhauses ist über die Verweigerung zu unterrichten.

1 Angehörige eines Heilberufs oder Gesundheitsfachberufs dürfen für eigene Diagnose-, Behandlungs-, Qualitätssicherungs-, Abrechnungs- oder Forschungszwecke Dateien anlegen. 2 Sie haben entsprechend der Anlage zu § 9 DSG-EKD⁹# insbesondere sicherzustellen, dass Dritte keinen Zugriff auf die Daten haben, soweit sie diese nicht zur Mitbehandlung benötigen. 3 Sobald es der Verarbeitungszweck erlaubt, sind die Daten zu anonymisieren.

( 1 ) 1 Jedes Krankenhaus hat unverzüglich einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte schriftlich zu bestellen. 2 Das Krankenhaus ist verpflichtet, seinem oder seiner Datenschutzbeauftragten die Aktualisierung des Fachwissens in angemessenen Zeitabständen zu ermöglichen.

( 2 ) 1 Die Datenschutzbeauftragten haben insbesondere die Einhaltung der patientenbezogenen Schutzvorschriften nach diesem Gesetz zu überwachen. 2 Zu Datenschutzbeauftragten dürfen nur Personen bestellt werden, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden und die zur Erfüllung ihrer Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzen. 3 § 22 Abs. 3 bis 6 DSG-EKD¹⁰# gilt entsprechend.

( 1 ) Diese Verordnung tritt am 1. April 2008 in Kraft.

( 2 ) Gleichzeitig tritt die Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern vom 15. März 1990 außer Kraft.