Bremisches Krankenhausdatenschutzgesetz (BremKHDSG)
DE - Landesrecht Bremen

Bremisches Krankenhausdatenschutzgesetz (BremKHDSG)

Bremisches Krankenhausdatenschutzgesetz (BremKHDSG) Vom 25. April 1989
Gesamtausgabe in der Gültigkeit vom 04.12.2015 bis 04.12.2020
G aufgeh. durch § 46 Satz 2 des Gesetzes vom 24. November 2020 (Brem.GBl. S. 1444)
Stand: letzte berücksichtigte Änderung: zuletzt geändert durch Artikel 1 Nr. 1 des Gesetzes vom 01.12.2015 (Brem.GBl. S. 522)
Der Senat verkündet das nachstehende von der Bürgerschaft (Landtag) beschlossene Gesetz:

§ 1 Anwendungsbereich

(1) Im Krankenhaus verarbeitete Patientendaten unterliegen unabhängig von der Art ihrer Verarbeitung dem Datenschutz. Patientendaten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Patienten und Patientinnen des Krankenhauses. Als Patientendaten gelten auch personenbezogene Daten von Angehörigen oder anderen Bezugspersonen des Patienten oder der Patientin sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden.
(2) Dieses Gesetz gilt für Krankenhäuser im Sinne des § 2 Nr. 1 des Krankenhausfinanzierungsgesetzes in der Fassung der Bekanntmachung vom 23. Dezember 1985 (BGBl. I 1986 S. 33) mit Ausnahme der Krankenhäuser, deren Träger der Bund oder eine bundesunmittelbare Körperschaft ist. Das Gesetz gilt nicht, soweit Krankenhäuser dem Straf- und Maßregelvollzug dienen.
(3) Dieses Gesetz gilt nicht für Krankenhäuser, die von öffentlich-rechtlichen Religionsgesellschaften oder diesen gleichgestellten oder ihnen zuzuordnenden Einrichtungen, ohne Rücksicht auf deren Rechtsform, betrieben werden, sofern die öffentlich-rechtlichen Religionsgesellschaften eigene bereichsspezifische Bestimmungen erlassen, die den Zielen dieses Gesetzes entsprechen.
(4) Soweit in diesem Gesetz nichts anderes bestimmt ist, gelten die Vorschriften des Ersten bis Vierten Abschnitts des
Bremischen Datenschutzgesetzes
mit Ausnahme des

§ 1 Abs. 5

entsprechend. Für Krankenhäuser privater Träger gilt anstelle des Vierten Abschnitts § 38 des Bundesdatenschutzgesetzes.

§ 2 Erhebung, Speicherung und Nutzung

(1) Patientendaten dürfen nur erhoben, gespeichert und genutzt werden, soweit dies erforderlich ist
1.
zur Erfüllung des mit dem Patienten oder der Patientin oder zu ihren Gunsten abgeschlossenen Behandlungsvertrages, einschließlich der Erfüllung der medizinischen Dokumentationspflicht,
2.
zur sozialen Betreuung und Beratung des Patienten oder der Patientin,
3.
zur Leistungsabrechnung
oder soweit dieses Gesetz oder eine andere Rechtsvorschrift dies vorschreibt oder erlaubt oder der Patient oder die Patientin im Einzelfall eingewilligt hat.
(2) Die Einwilligung bedarf grundsätzlich der Schriftform. Im Falle eines automatisierten Abrufs von Patientendaten kann die Schriftform entfallen, wenn durch technische Maßnahmen sichergestellt ist, dass die Daten nur unter Mitwirkung des Patienten oder der Patientin freigegeben werden können. Die Einwilligung kann mündlich erklärt werden, wenn dies wegen besonderer Umstände angemessen ist. In diesem Fall sind die Erklärung und die besonderen Umstände aufzuzeichnen. Der Patient oder die Patientin sind in geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über den Empfänger oder die Empfängerin der Daten, aufzuklären und darauf hinzuweisen, dass die Einwilligung verweigert werden kann und dass ihm oder ihr wegen einer Verweigerung der Einwilligung keine rechtlichen Nachteile entstehen. Ist der Patient oder die Patientin aus tatsächlichen oder rechtlichen Gründen nicht in der Lage, die Einwilligung zu erteilen, ist die Erklärung im Wege gesetzlicher Vertretung oder, wenn eine solche nicht vorhanden ist, durch Angehörige abzugeben.
(3) Werden die Daten innerhalb eines Datennetzverbundes, an den auch ambulant tätige Angehörige eines Heilberufs oder Gesundheitsfachberufs angeschlossen werden können, durch automatisierten Abruf erhoben, hat der für den Abruf Verantwortliche zuvor die Einwilligung des Patienten oder der Patientin nach Maßgabe von Absatz 2 einzuholen.
(4) Patientendaten dürfen innerhalb eines Datennetzverbundes im Sinne von Absatz 3 mit der Möglichkeit des automatisierten Abrufs im Einzelfall gespeichert werden, wenn sichergestellt ist, dass der Abruf mit Einwilligung des Patienten oder der Patientin durch den behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs erfolgt, der Abruf dem Krankenhaus angezeigt wird und eine regelmäßige Weitergabekontrolle nach

§ 7 Abs. 4 Nr. 4 des Bremischen Datenschutzgesetzes

stattfindet. Die Daten dürfen nur abgerufen werden, soweit dies für die Behandlung des Patienten oder der Patientin erforderlich ist;

§ 3 Abs. 2 Satz 3

gilt entsprechend.

§ 14 Abs. 5 Satz 1 des Bremischen Datenschutzgesetzes

findet keine Anwendung. Das Krankenhaus hat die Gründe und den Zweck des Abrufverfahrens, die Arten der zu übermittelnden Patientendaten und die nach

§ 7 des Bremischen Datenschutzgesetzes

gebotenen technischen und organisatorischen Maßnahmen aufzuzeichnen.
(5) Patientendaten dürfen auch gespeichert und genutzt werden
1.
zur Qualitätssicherung in der stationären Versorgung,
2.
zur Erkennung, Verhütung und Bekämpfung von Krankenhausinfektionen
3.
zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung, zu Organisationsuntersuchungen, zur Prüfung und Wartung von automatisierten Verfahren der Datenverarbeitung,
4.
zur Aus-, Fort- und Weiterbildung von Angehörigen eines Heilberufs oder Gesundheitsfachberufs im Krankenhaus,
soweit diese Zwecke nicht mit pseudonymisierten oder anonymisierten Daten erreicht werden können und nicht überwiegende schutzwürdige Interessen des oder der Betroffenen entgegenstehen.
(6) Patientendaten, die automatisiert gespeichert werden, sind zu anonymisieren, sobald der Verarbeitungszweck dies erlaubt.
(7) Krankenhausmitarbeiter und -mitarbeiterinnen dürfen Patientendaten nur in Datenverarbeitungssystemen verarbeiten, die der ausschließlichen Verfügungsgewalt des Krankenhauses unterstehen.
(8) Der Zugriff auf Patientendaten ist nur den dafür Zuständigen zu gestatten und zu ermöglichen.

§ 3 Übermittlung von Daten im Krankenhaus

(1) Krankenhausmitarbeiter und -mitarbeiterinnen dürfen Patientendaten nur für den zu ihrer jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck übermitteln.
(2) Für die Übermittlung von Patientendaten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen, medizinische Bereiche und Zentren, Institute) gilt

§ 4 Abs. 1

entsprechend. Die Freigabe der Übermittlung durch automatisierten Abruf erfolgt grundsätzlich durch die Behandlungseinrichtung. Patientendaten über eine psychiatrische Behandlung dürfen mit Ausnahme der dabei erhobenen Diagnosen, besonderen Verhaltensauffälligkeiten sowie somatischen Erkrankungen nicht übermittelt werden.
(3) Soweit Daten in automatisierten Verfahren mit der Möglichkeit des Abrufs gespeichert werden, ist auch ohne Freigabe durch die Behandlungseinrichtung eine Übermittlung von Patientendaten im Einzelfall für die Dauer von höchstens 24 Stunden zulässig, wenn der Abruf durch den behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs im Rahmen des

§ 2 Abs. 1

erfolgt, der Abruf der Behandlungseinrichtung angezeigt wird und eine regelmäßige Weitergabekontrolle nach

§ 7 Abs. 4 Nr. 4 des Bremischen Datenschutzgesetzes

sichergestellt ist; Absatz 2 Satz 3 gilt entsprechend.

§ 4 Übermittlung von Daten an Personen und Stellen außerhalb des Krankenhauses

(1) Die Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit dies erforderlich ist
1.
zur Erfüllung des Behandlungsvertrages,
2.
zur Durchführung einer Mit- , Weiter- oder Nachbehandlung, soweit der Patient oder die Patientin nicht anderes bestimmt hat,
3.
zur Abwehr einer gegenwärtigen Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit des Patienten oder der Patientin oder Dritter, wenn diese Rechtsgüter das Geheimhaltungsinteresse des Patienten oder der Patientin wesentlich überwiegen,
4.
zur Unterrichtung von Angehörigen oder anderen Bezugspersonen, für die Übermittlung medizinischer Daten jedoch nur, falls die Einwilligung des Patienten oder der Patientin nicht rechtzeitig erlangt werden kann, der Patient oder die Patientin nicht einen gegenteiligen Willen kundgetan hat oder sonstige Anhaltspunkte dafür bestehen, daß eine Übermittlung nicht angebracht ist,
5.
zur Erfüllung einer Behandlungspflicht oder einer gesetzlich vorgeschriebenen Mitteilungspflicht, soweit diese der ärztlichen Schweigepflicht vorgeht,
6.
zu Forschungszwecken nach Maßgabe des

§ 7

,
7.
zur Durchführung eines mit der Behandlung zusammenhängenden gerichtlichen Verfahrens,
8.
zur Feststellung der Leistungspflicht der Sozialleistungsträger und zur Abrechnung mit diesen,
9.
zur Rechnungsprüfung durch den Krankenhausträger, einen von ihm beauftragten Wirtschaftsprüfer oder den Rechnungshof und zur Überprüfung der Wirtschaftlichkeit durch Beauftragte im Rahmen des Pflegesatzverfahrens nach der Bundespflegesatzverordnung,
10.
zur sozialen Betreuung der Patienten und Patientinnen, soweit eine Einwilligung wegen offenkundiger Hilflosigkeit oder mangelnder Einsichtsfähigkeit bei ansonsten bestehender Geschäftsfähigkeit nicht erlangt werden kann und der mutmaßliche Wille des Patienten oder der Patientin nicht entgegensteht,
11.
zur Bearbeitung von Patientenbeschwerden,
12.
zur Kontrolle der Qualität der Erbringung der Leistungen im Rettungsdienst an den Ärztlichen Leiter Rettungsdienst nach Maßgabe des

§ 62 des Bremischen Hilfeleistungsgesetzes

,
13.
zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung, wenn bei der beabsichtigten Maßnahme das Interesse der Allgemeinheit an der Durchführung die schutzwürdigen Belange des Patienten erheblich überwiegt.
Im Übrigen ist eine Übermittlung nur nach Maßgabe eines anderen Gesetzes oder mit Einwilligung des Patienten oder der Patientin zulässig.
(2) Personen oder Stellen, denen nach diesem Gesetz Patientendaten übermittelt werden, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen befugt übermittelt worden sind. Im übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfang geheimzuhalten wie das Krankenhaus selbst.
(3) Soweit die Vorschriften dieses Gesetzes auf die Empfänger und Empfängerinnen keine Anwendung finden, ist eine Übermittlung in den Fällen des Absatzes 1 und des Absatzes 4 nur zulässig, wenn sich diese zur Einhaltung der Vorschriften des Absatzes 2 verpflichten. Im Falle einer Übermittlung an öffentliche Stellen außerhalb des Geltungsbereichs des Grundgesetzes gilt

§ 18 des Bremischen Datenschutzgesetzes

entsprechend.
(4) Zur überbetrieblichen Auswertung dürfen nur anonymisierte Daten übermittelt werden.

§ 5 Auskunft und Akteneinsicht

(1) Dem Patienten oder der Patientin ist auf Antrag kostenfrei Auskunft über die zu ihrer Person gespeicherten Daten zu erteilen und Einsicht in die Krankenakte zu gewähren. Dieses Recht erstreckt sich auch auf Angaben über die Personen und Stellen, denen Patientendaten übermittelt worden sind. Die Auskunfts- und Einsichtsansprüche können im Interesse der Gesundheit des Patienten begrenzt werden; durch berechtigte Geheimhaltungsinteressen Dritter werden sie eingeschränkt.
(2) Das Krankenhaus soll die Auskunft über die zur Person des Patienten oder der Patientin gespeicherten Daten oder die Einsicht in die Krankenakte durch einen Arzt oder eine Ärztin vermitteln lassen, sofern andernfalls eine unverhältnismäßige Beeinträchtigung der psychischen oder physischen Gesundheit des Patienten oder der Patientin zu befürchten ist. Die Notwendigkeit der Vermittlung ist zu begründen.

§ 6 Löschung und Sperrung von Daten

(1) Patientendaten sind zu löschen, wenn sie zur Erfüllung des Verarbeitungszwecks nach diesem Gesetz nicht mehr erforderlich sind, die durch Rechtsvorschrift oder durch die ärztliche Berufsordnung vorgeschriebenen Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange des Patienten oder der Patientin beeinträchtigt werden. Patientendaten in Krankenakten sind nach Abschluß der Behandlung zu sperren und spätestens nach Ablauf von 30 Jahren zu löschen.

§ 7 Abs. 4

bleibt unberührt.
(2) Patientendaten sind zu sperren, sobald die Behandlung abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgeschlossen sind und das Krankenhaus den Bericht über die Behandlung erstellt hat.
(3) Gesperrte Daten sind gesondert zu speichern. Soweit dies nicht möglich ist, sind die Daten mit einem Sperrvermerk zu versehen. Gesperrte Daten dürfen vor Ablauf der Sperrfrist nicht verändert oder gelöscht werden. Zur Erschließung der Akten ist im Krankenhausarchiv ein Nachweis zu führen, zu dem kein direkter Zugriff anderer Bereiche besteht.
(4) Die Sperrung kann nur auf Veranlassung des behandelnden Angehörigen eines Heilberufs oder Gesundheitsfachberufs aufgehoben werden für die Durchführung einer Behandlung, mit der die frühere Behandlung in einem medizinischen Sachzusammenhang steht, zur Behebung einer Beweisnot, für eine spätere Übermittlung nach

§ 4 Abs. 1

oder wenn der Patient oder die Patientin einwilligt. Die Aufhebung der Sperrung ist zu begründen und zu dokumentieren.
(5) Nach Abschluss der Behandlung unterliegen nach Absatz 2 gesperrte Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, grundsätzlich dem alleinigen Zugriff der Behandlungseinrichtung nach

§ 3 Abs. 2

.
(6) Andere Behandlungseinrichtungen des Krankenhauses dürfen bei der Wiederaufnahme eines Patienten oder einer Patientin gesperrte Daten nach Maßgabe von Absatz 4 abrufen. Der erste Zugriff ist auf die Daten zu begrenzen, die für das Auffinden der Dokumentation zur medizinischen Behandlung erforderlich sind. Der behandelnde Angehörige eines Heilberufs oder Gesundheitsfachberufs einer anderen Behandlungseinrichtung ist unter den Voraussetzungen von

§ 2 Abs. 1

auch berechtigt, auf gesperrte Patientendaten zuzugreifen;

§ 3 Abs. 2 Satz 3

gilt entsprechend. Die Gründe hierfür sind zu dokumentieren. Eine regelmäßige Weitergabekontrolle nach

§ 7 Abs. 4 Nr. 4 des Bremischen Datenschutzgesetzes

ist sicherzustellen.
(7) Werden gesperrte Patientendaten innerhalb eines Datennetzverbundes im Sinne von

§ 2 Abs. 3

mit der Möglichkeit des automatisierten Abrufs gespeichert, so gelten für die Speicherung

§ 2 Abs. 4 Satz 1

und für den Abruf im Einzelfall Absatz 6 und

§ 2 Abs. 4 Satz 2

entsprechend.

§ 7 Datenverarbeitung für Forschungszwecke

(1) Die Verarbeitung von Patientendaten, die im Rahmen von

§ 2 Abs. 1

gespeichert worden sind, ist für wissenschaftliche medizinische Forschungsvorhaben von Angehörigen eines Heilberufs oder Gesundheitsfachberufs der Behandlungseinrichtung im Krankenhaus sowie Hochschulen und anderen mit wissenschaftlicher Forschung beauftragten Stellen zulässig, wenn der Patient oder die Patientin eingewilligt hat.
(2) Der Einwilligung des Patienten oder der Patientin bedarf es nicht, soweit schutzwürdige Belange, insbesondere wegen der Art der Daten, wegen ihrer Offenkundigkeit oder wegen der Art der Verarbeitung nicht beeinträchtigt werden oder wenn das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange des Patienten oder der Patientin erheblich überwiegt und der Zweck der Forschung nicht auf andere Weise oder nur mit unverhältnismäßigem Aufwand erreicht werden. Soweit Patientendaten unter diesen Voraussetzungen an Hochschulen oder andere mit wissenschaftlicher Forschung beauftragte Stellen übermittelt werden, hat das Krankenhaus die empfangende Stelle, die Art der zu übermittelnden Daten, den Kreis der betroffenen Patienten oder Patientinnen, das von der empfangenden Stelle genannte Forschungsvorhaben sowie das Vorliegen der Voraussetzungen des Satzes 1 aufzuzeichnen. Der oder die Datenschutzbeauftragte des Krankenhauses ist zu beteiligen.
(3) Jede weitere Verwertung der Patientendaten unterliegt den Anforderungen der Absätze 1 und 2. Die übermittelnde Stelle hat sich vor der Übermittlung davon zu überzeugen, daß die empfangende Stelle bereit und in der Lage ist, diese Vorschriften einzuhalten.
(4) Sobald der Forschungszweck dies erlaubt, sind die Merkmale, mit deren Hilfe ein Patientenbezug hergestellt werden kann, gesondert zu speichern. Die Merkmale sind zu löschen, sobald der Forschungszweck dies gestattet.
(5) Soweit die Vorschriften dieses Gesetzes auf die empfangende Stelle keine Anwendung finden, dürfen Patientendaten nur übermittelt werden, wenn diese sich verpflichtet, die Vorschriften der Absätze 2 und 4 einzuhalten und sich insoweit der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.

§ 8 Medizinische Dateien

Angehörige eines Heilberufs oder Gesundheitsfachberufs dürfen für eigene Diagnose-, Behandlungs-, Qualitätssicherungs-, Abrechnungs- oder Forschungszwecke Dateien anlegen. Sie haben entsprechend

§ 7 Abs. 3 des Bremischen Datenschutzgesetzes

insbesondere sicherzustellen, daß Dritte keinen Zugriff auf die Daten haben, soweit sie diese nicht zur Mitbehandlung benötigen. Sobald es der Verarbeitungszweck erlaubt, sind die Daten zu anonymisieren.

§ 9 Beauftragte für den Datenschutz

(1) Jedes Krankenhaus hat unverzüglich, bereits bestehende Krankenhäuser haben bis spätestens ein Jahr nach Inkrafttreten dieses Gesetzes mindestens einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte schriftlich zu bestellen. Das Krankenhaus ist verpflichtet, seinen Datenschutzbeauftragten die Aktualisierung ihres Fachwissens in angemessenen Zeitabständen zu ermöglichen.
(2) Die Datenschutzbeauftragten haben insbesondere die Einhaltung der patientenbezogenen Schutzvorschriften nach diesem Gesetz zu überwachen. Zu Datenschutzbeauftragten dürfen nur Personen bestellt werden, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden und die zur Erfüllung ihrer Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzen.

§ 7 a Abs. 2 bis 5 des Bremischen Datenschutzgesetzes

gilt entsprechend.

§ 10 Datenverarbeitung im Auftrag

(1) Patientendaten sind grundsätzlich im Krankenhaus zu verarbeiten. Eine Verarbeitung im Auftrag ist nur zulässig, wenn die Wahrung der Datenschutzbestimmungen dieses Gesetzes bei der verarbeitenden Stelle sichergestellt ist und diese sich insoweit der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.
(2) Die besondere Schutzbedürftigkeit von Patientendaten aus dem medizinischen Bereich ist im Rahmen der nach

§ 7 Abs. 4 des Bremischen Datenschutzgesetzes

zu treffenden Maßnahmen zu berücksichtigen.
(3) Der Zugriff auf Patientendaten durch Auftragnehmer ist im Rahmen der Prüfung oder Wartung von Datenverarbeitungsanlagen und von automatisierten Verfahren abweichend von

§ 9 Abs. 4 des Bremischen Datenschutzgesetzes

nur zulässig, wenn das Krankenhaus im Einzelfall zuvor die Daten zum Zugriff freigegeben hat.
(4) Im Rahmen der nach

§ 7 Abs. 4 des Bremischen Datenschutzgesetzes

zu treffenden Maßnahmen ist auch sicherzustellen, dass Auftragnehmer bei der Administration technischer Vorkehrungen zur Abwehr von Angriffen auf das Datenverarbeitungssystem so weit möglich nicht Zugriff auf Patientendaten nehmen können. Für die Erledigung von Wartungsaufgaben gilt Absatz 3 entsprechend.

§ 11 Straftaten

Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, personenbezogene Daten entgegen den Vorschriften dieses Gesetzes
1.
erhebt, speichert, verändert, übermittelt, zum Abruf bereithält, löscht oder nutzt,
2.
abruft, einsieht oder einem Dritten verschafft, wird mit einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar.

§ 12 Ordnungswidrigkeiten

(1) Ordnungswidrig handelt, wer personenbezogene Daten entgegen den Vorschriften dieses Gesetzes erhebt, speichert, übermittelt, löscht, zum Abruf bereithält, abruft oder nutzt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 25 000 Euro geahndet werden.

§ 13

(aufgehoben)
(aufgehoben)

§ 14 Inkrafttreten

Dieses Gesetz tritt am Tage nach seiner Verkündung in Kraft. Für Krankenhäuser im Sinne von

§ 1 Abs. 3

gilt dieses Gesetz ab 1. April 1990.
Bremen, den 25. April 1989
Der Senat
Markierungen
Leseansicht