Datenschutz

Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt. Insgesamt spricht man von der „Verarbeitung“ Ihrer Daten. Dieser Begriff der „Verarbeitung“ bildet den Oberbegriff über alle diese Tätigkeiten. Die Verarbeitung von Patientendaten im Krankenhaus ist aus Datenschutzgründen nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder Sie als Patient hierzu Ihre Einwilligung erteilt haben.

Für Ihre patientenbezogene Versorgung / Behandlung notwendig sind dabei insbesondere die Verarbeitung Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen und auch nachsorgenden Gründen. Ebenso erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzgl. Diagnostik, Therapie, Befunden sowie Krankheits- / Vitalstatus. Daneben werden Arztbriefe / Berichte geschrieben und es erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassmanagement.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings / der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen usw. Ferner erfolgt die Verarbeitung von Daten zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen.

Die entsprechenden Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es jedoch auch vorkommen, dass wir von anderen Krankenhäusern, die etwa Ihre Erst- oder Vorbehandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sog. MVZ) oder anderen Einrichtungen die betreffende personenbezogene Daten erhalten. Diese werden in unserem Krankenhaus im Sinne einer einheitlichen Dokumentation mit Ihren übrigen Daten zusammengeführt.

Die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu etwa auch Ärzte anderer Abteilungen zählen, die an einer fachübergreifenden Behandlung teilnehmen, oder die Verwaltung, welche die Abrechnung Ihrer Behandlung vornimmt.

Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sog. Berufsgeheimnis oder einer Geheimhaltungspflicht.

Der vertrauliche Umgang mit Ihren Daten wird gewährleistet!

Die Grundlage dafür, dass der Krankenhausträger Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass der Krankenhausträger für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben.

Genannt sei hier insbesondere das Gesetz über den Kirchlichen Datenschutz (KDG) und hier z.B. die §§ 6, 11 KDG, die ausdrücklich regeln, dass Daten von Patienten verarbeitet werden dürfen. Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Sozialgesetzbuch Fünftes Buch (SGB V), z.B. § 301 SGB V und im Bürgerlichen Gesetzbuch (BGB) sowie in den §§ 630 ff. BGB, die eine Verarbeitung Ihrer Daten voraussetzen.

Als Rechtsgrundlagen für die Verarbeitung seien hier beispielhaft genannt:

• Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschließlich des innerärztlichen und interprofessionellen Austauschs im Krankenhaus über den Patienten für die Behandlung (§ 11 Abs. 2 h, Abs. 3, Abs. 4 KDG i. V. m. §§ 630a ff, 630f BGB i. V. m. entsprechenden landesrechtlichen Regelungen, sofern vorhanden),
• Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, z.B. Labor, Telemedizin, sowie Zuziehung externer Therapeuten (§ 11 Abs. 2 h, Abs. 3, Abs.4 KDG i. V. m. entsprechenden landesrechtlichen Regelungen, sofern vorhanden),
• Datenübermittlung an die gesetzlichen Krankenkassen zum Zwecke der Abrechnung (§ 11 Abs. 2 h, Abs. 3, Abs. 4 KDG i. V. m. § 301 SGB V),
• Datenübermittlung zu Zwecken der Qualitätssicherung (§ 11 Abs. 2 i KDG i. V. m. § 299 SGB V i. V. m. § 136 SGB V bzw. den Richtlinien des G-BA) usw.

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung erklärt haben.

Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt.

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen daten-schutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:

• gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind,
• private Krankenversicherungen, sofern Sie privat versichert sind,
• Unfallversicherungsträger,
• Hausärzte,
• weiter-, nach- bzw. mitbehandelnde Ärzte,
• andere Einrichtungen der Gesundheitsversorgung oder Behandlung; hier sind insbesondere (keine abschließende Aufzählung) zu nennen:
• Labor Dr. Wisplinghoff, Horbeller Str. 18-20, 50858
• Röntgenpraxis Bergheim, Klosterstraße 2, 50126 Bergheim
• Rehabilitationseinrichtungen, • Pflegeeinrichtungen, • externe Datenverarbeiter (sog. Auftragsverarbeiter); hier sind insbesondere (keine abschließende Aufzählung) zu nennen:
• PVS pria GmbH, Remscheider Str. 16, 45481 Mülheim an der Ruhr
• PVS rhein-ruhr GmbH, Remscheider Str. 16, 45481 Mülheim an der Ruhr
• Seelsorger (in kirchlichen Einrichtungen).

Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab, welche Daten dies sind. Bei einer Übermittlung entsprechend § 301 SGB V an Ihre Krankenkasse handelt es sich zum Beispiel um folgende Daten:

1. Name des Versicherten
2. Geburtsdatum
3. Anschrift
4. Krankenversichertennummer
5. Versichertenstatus
6. Tag, Uhrzeit und Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, bei einer Änderung der Aufnahmediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese über-schritten wird, auf Verlangen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht
7. Datum und Art der jeweils im Krankenhaus durchgeführten Operationen und sonstigen Prozeduren
8. Tag, Uhrzeit und Grund der Entlassung oder der Verlegung sowie die für die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen
9. Angaben über die im jeweiligen Krankenhaus durchgeführten Rehabilitationsmaß-nahmen sowie Aussagen zur Arbeitsfähigkeit und Vorschläge für die Art der weiteren Behandlung mit Angabe geeigneter Einrichtungen.

Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Krankenhausträger gegenüber erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit zu widerrufen. Diese Erklärung können Sie – schriftlich / per E-Mail / Fax – an den Krankenhausträger richten. Einer Angabe von Gründen bedarf es dafür nicht.

Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Krankenhausträger gestellte Rechnung nicht beglichen wird, muss der Krankenhausträger (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

Der Krankenhausträger ist gem. § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann der Krankenhausträger in Form einer in Papierform oder elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für lange Zeit vom Krankenhaus verwahrt. Auch dazu ist der Krankenhausträger gesetzlich verpflichtet.

Mit der Frage, wie lange die Dokumente im Einzelnen im Krankenhaus aufzubewahren sind, beschäftigen sich viele spezielle gesetzliche Regelungen. Zu nennen sind hier etwa die Röntgenverordnung (RöV), die Strahlenschutzverordnung (StrlSchV), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG) und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor.

Daneben ist zu beachten, dass Krankenhäuser Patientenakten auch aus Gründen der Beweissicherung bis zu 30 Jahre lang aufbewahren. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Abs. 2 Bürgerliches Gesetzbuch (BGB) spätestens in 30 Jahren verjähren. Ein Haftungsprozess könnte also erst Jahrzehnte nach Beendigung der Behandlung gegen den Krankenhausträger anhängig gemacht werden. Würde das Krankenhaus mit der Schadensersatzforderung eines Patienten wegen eines behaupteten Behandlungsfehlers konfrontiert und wären die entsprechenden Krankenunterlagen inzwischen vernichtet, könnte dies zu erheblichen prozessualen Nachteilen für das Krankenhaus führen.

Aus diesem Grunde wird Ihre Patientenakte bis zu 30 Jahre lang aufbewahrt.

Ihnen stehen sog. Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Krankenhausträger geltend machen. Sie ergeben sich aus dem Gesetz über den Kirchlichen Datenschutz (KDG):

Recht auf Auskunft, § 17 KDG
Sie haben das Recht auf Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten.

Recht auf Berichtigung, § 18 KDG
Wenn Sie feststellen, dass unrichtige Daten zu Ihrer Person verarbeitet werden, können Sie Berichtigung verlangen. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.

Recht auf Löschung, § 19 KDG
Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, wenn bestimmte Löschgründe vorliegen. Dies ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.

Recht auf Einschränkung der Verarbeitung, § 20 KDG
Sie haben das Recht auf Einschränkung der Verarbeitung Ihrer Daten. Dies bedeutet, dass Ihre Daten zwar nicht gelöscht, aber gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

Recht auf Widerspruch gegen unzumutbare Datenverarbeitung, § 23 KDG
Sie haben grundsätzlich ein allgemeines Widerspruchsrecht gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen.

Unabhängig davon, dass es Ihnen freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Dies ergibt sich aus § 48 KDG. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Die Kontaktdaten der zuständigen Aufsichtsbehörde lauten:

Katholisches Datenschutzzentrum – Körperschaft des öffentlichen Rechts
Brackeler Hellweg 144
44309 Dortmund
Telefon: 0231/13 89 85-0
Telefax: 0231/13 89 85-22
E-Mail: info@kdsz.de

Umfang der Datenverarbeitung
Für die Terminverwaltung setzen wir das Terminmanagementsystem von Doctolib ein. Doctolib bietet uns einerseits ein modernes Kalendersystem und andererseits unseren Patient*innen die Möglichkeit, auf der Seite www.doctolib.de mit uns Termine online zu vereinbaren. 

Die Doctolib GmbH (Mehringdamm 51, 10961 Berlin) ist in Bezug auf die Terminverwaltung und die Verwaltung der Patientendaten unser Auftragsverarbeiter gemäß § 29 KDG bzw. Art. 28 DSGVO. Dies bedeutet, dass Doctolib die Daten ausschließlich in unserem Auftrag und nach unseren Weisungen verarbeitet. Die Datenverarbeitung ist in einem Auftragsverarbeitungsvertrag detailliert geregelt.

Doctolib verarbeitet die im Auftrag erhobenen Daten nicht für eigene Zwecke und ist vertraglich zur Einhaltung der ärztlichen Schweigepflicht gemäß §§ 203, 204 StGB verpflichtet. Diese Verpflichtung wird auch an Mitarbeitende und Unterauftragsverarbeiter weitergegeben.

Alle für die Anwendung von Doctolib erforderlichen Daten werden ausschließlich bei speziell für das Hosting von Gesundheitsdaten zertifizierten Hostern gespeichert (sogenanntes Health Data Hosting). Doctolib implementiert umfassende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten. 

Optionales Nutzerkonto
Um Termine selbstständig online zu buchen, können Sie ein persönliches Doctolib-Nutzerkonto anlegen. Dies ist jedoch nicht zwingend erforderlich, um von uns behandelt zu werden. Für das Nutzerkonto ist Doctolib selbst datenschutzrechtlich verantwortlich, und Sie stimmen bei der Registrierung den Allgemeinen Nutzungsbedingungen von Doctolib zu.

Das Nutzerkonto bietet Ihnen folgende Vorteile:
•    Selbstständige Online-Buchung von Terminen
•    Einsicht, Stornierung und Verschiebung von Terminen
•    Empfang von Terminerinnerungen
•    Verwaltung von medizinischen Dokumenten (sofern diese Funktion von uns aktiviert wurde)

Bei der Erstellung eines Nutzerkontos wird eine Zwei-Faktor-Authentifizierung durchgeführt, um die Sicherheit Ihrer Daten zu gewährleisten.

Zwecke der Datenverarbeitung
Wir nutzen die Doctolib Kalendersoftware für alle unsere Patient*innen, um Termine einheitlich zu verwalten. Doctolib verarbeitet sämtliche Daten nach allen geltenden Datenschutzvorschriften und wendet höchste Sicherheitsstandards an.

Für die Terminvereinbarung werden folgende Daten in den Doctolib Kalender eingetragen: Name, Vorname, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Hausarzt, Krankenkassenstatus, überweisender Arzt, Besuchsgrund und Terminhistorie.

Rechtsgrundlage
Rechtsgrundlage für die Verarbeitung Ihrer Daten sind § 6 Abs. 1 lit. c) KDG (der Behandlungsauftrag, den Sie uns erteilen), § 6 Abs. 1 lit. b) KDG (Einwilligung für Terminerinnerungen per SMS und E-Mail) und § 11 Abs. 2 lit. h) KDG (die Zwecke der Gesundheitsvorsorge). Es erfolgt keine Weiterleitung der Daten durch Doctolib an kommerzielle Anbieter. Doctolib ist genau wie Ihr*e Arzt*Ärztin an die Schweigepflicht gebunden. Eine Entbindung von der Schweigepflicht ist nicht erforderlich.

Speicherdauer
Die Speicherdauer Ihrer Daten richtet sich nach den gesetzlichen Aufbewahrungspflichten für medizinische Dokumentationen sowie nach dem Zweck der Verarbeitung. Doctolib hat entsprechende Verfahren zur Löschung implementiert, die in unserem Auftragsverarbeitungsvertrag festgelegt sind.

Widerrufs- bzw. Beseitigungsmöglichkeit
Wenn Ihre Daten auf Grundlage einer Einwilligung verarbeitet wurden, haben Sie jederzeit das Recht, diese zu widerrufen. Den Widerruf können Sie direkt über die App von Doctolib sowie die Ansprechpartner der Klinik übermitteln. Eine weitere Nutzung von Doctolib ist dann unter Umständen nicht mehr möglich. Beachten Sie außerdem, dass die Datenverarbeitung, die vor dem Widerruf rechtmäßig stattgefunden hat, weiterhin rechtmäßig ist.

Unser Unternehmen führt anonyme Patientenbefragungen durch, um zu erfahren, wie die betroffenen Personen den Aufenthalt in der Einrichtung erlebt haben. Außerdem besteht die Möglichkeit Hinweise zum Aufenthalt über ein Online-Formular an unser Unternehmen zu richten.

Wir verarbeiten Ihre Angaben im Rahmen der Patientenzufriedenheitsbefragung, um die Qualität unserer medizinischen und pflegerischen Versorgung sowie unserer Serviceangebote zu bewerten, zu sichern und weiter zu verbessern. Ihre Teilnahme ist freiwillig. Rechtsgrundlage der Verarbeitung ist Ihre Einwilligung durch die freiwillige Teilnahme an der Befragung (§ 6 Abs. 1 lit. b KDG) sowie das berechtigte Interesse des Krankenhauses an der Evaluation und Steigerung der Qualität nach (§ 6 Abs. 1 lit. g KDG). Die Auswertung erfolgt in der Regel anonym, sodass kein Rückschluss auf Ihre Person möglich ist.

Die im Rahmen der Patientenzufriedenheitsbefragung erhobenen Daten werden ausschließlich von dem hierfür zuständigen Bereich des Unternehmens (z. B. Qualitäts- und Risikomanagement) ausgewertet. Es werden anonyme Auswertungen (z. B. Zufriedenheitsquoten, statistische Übersichten) an die betroffenen Organisationseinheiten des Unternehmens sowie – soweit erforderlich – an Trägergremien oder externe Dienstleister zur Qualitätssicherung weitergegeben. Ein Personenbezug ist dabei nicht mehr möglich. Für die Durchführung der Befragungen erfolgt die Einbindung von Dienstleistern mit denen ein Vertrag über die Auftragsverarbeitung nach § 29 KDG geschlossen worden ist.

Die Fragebögen bzw. elektronischen Eingaben mit etwaigen personenbezogenen Daten werden nur so lange gespeichert, wie dies für die Durchführung und Auswertung der Befragung erforderlich ist, und anschließend datenschutzkonform vernichtet bzw. gelöscht. Die erstellten Auswertungen enthalten keine personenbezogenen Daten und werden ausschließlich in anonymisierter Form zu Zwecken der Qualitätsmessung und -verbesserung weiterverwendet.

Die verantwortliche Stelle für die Datenverarbeitung ist die Geschäftsführung des Krankenhauses. Die Kontaktdaten lauten:
Herr Oliver Bredel
Maria-Hilf-Krankenhaus, Bergheim/Erft, gGmbH
Klosterstraße 2
50126 Bergheim
Telefon 02271 87-0
info.kh-mariahilf(at)cellitinnen.de 

Das Cellitinnen-Krankenhaus Maria-Hilf hat einen Datenschutzbeauftragten bestellt. Die Kontaktdaten lauten:

Herr Stefan Strüwe
CURACON GmbH
Am Mittelhafen 14
48155 Münster
Telefon 0251 92208-209
datenschutz@curacon.de