Zugriff auf Behandlungsakte auf Behandelnde beschränkt?!
Die datenschutzrechtlichen Pflichten aus dem Behandlungsvertrag schränken den Zugriff auf die Behandlungsdokumentation ein.
Vor dem Landgericht Flensburg klagte ein Chefarzt gegen das Krankenhaus, in dem er angestellt war, auf Schadenersatz und Schmerzensgeld i.H.v. 20.000,00 € wegen unzulässigem Zugriff auf seine Behandlungsunterlagen (Urt. v. 19.11.2021 – 3 O 227/19).
Behandlung des Chefarztes beim Arbeitgeber
Der Chefarzt war nach einem Herzinfarkt im Hause seines Arbeitgebers behandelt worden.
Während des Behandlungsverhältnisses wurde circa 150x durch Mitarbeiter auf seine Patientendaten zugegriffen. Der Chefarzt griff mit der Klage konkret den Zugriff durch zwei Chefärzte, einer Assistenzärztin und einem Pfleger an.
Der Chefarzt hatte bei Wiederaufnahme seiner Tätigkeit nach der Arbeitsunfähigkeit von dem Zugriff erfahren.
Der eingeschaltete betriebliche Datenschutzbeauftragte kam nach Analyse der Zugriffe zu dem Ergebnis, dass diese Zugriffe der vier Personen als „fraglich“ einzustufen seien.
Der Chefarzt forderte das Klinikum dazu auf Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Zudem wurde das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit der Überprüfung des Sachverhalts beauftragt, welches die Zugriffe als unzulässig einstufte.
Anspruch war verjährt
Die Klage des Chefarztes blieb im Ergebnis erfolglos, da die Ansprüche im Zeitpunkt der Klagerhebung bereits verjährt waren.
Dennoch wies das LG Flensburg in seiner Urteilsbegründung auf die Notwendigkeit der Beschränkung der Zugriffsrechte hin.
Zugriff nur durch tatsächlich behandelnde Personen
Das Gericht führte aus, dass eine selbständige Nebenpflicht aus dem Behandlungsvertrag besteht, wonach der Behandelnde dafür Sorge zu tragen hat, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben.
Dies bedeutet, dass nur solche Ärzte und Mitarbeiter eines Klinikums Zugriff auf die Patientenakte haben dürfen, die an der Behandlung des Patienten beteiligt sind und soweit es für den konkreten Behandlungsfall notwendig ist.
Dieser Zugriff muss durch ein entsprechendes Rechte- und Zugriffs-Management sichergetellt und entsprechend dokumentiert werden.
Kliniken müssen Zugriffsrechte prüfen
Kliniken und Krankenhäusern ist zu empfehlen, die Zugriffsrechte und deren Dokumentation zu überprüfen.
Das Problem dürfte sich bei einer „Papierakte“ – wie einer Pflegedokumentation die nur auf der jeweiligen Station „liegt“ – in Grenzen halten.
Bei der rein elektronisch geführten Behandlungsdokumentation tritt das Problem der Zugriffsrechte wehementer zu Tage.
Hier muss sichergestellt sein, dass nicht alle Mitarbeiter aus allen Abteilungen uneingeschränkt auf die Inhalte der Patientenakte zugreifen können, sondern nur solche Mitarbeiter die an der konkreten Behandlung beteiligt sind.
Wichtig ist, dass Kliniken auch Jahre später nachweisen können, wer zu welchem Zeitpunkt Zugriff auf elektronisch geführte Dokumentation hatte und welche Sicherungsvorkehrungen ergriffen wurden, um nicht an der Behandlung beteiligten, unberechtigten Mitarbeitern den Zugriff zu verwehren.
RAin Alexa Frey, Rechtsanwältin für Medzin- und IT-Recht