HmbKHG - Hamburgisches Krankenhausgesetz
HmbKHG - Hamburgisches Krankenhausgesetz |
| Sektor | Gesundheit |
|---|---|
| Branche | Medizinische Versorgung |
| Ebene | Landesrecht |
| Bundesland | Hamburg |
| Rechtsakt | Gesetzlich |
§ 8 Erhebung und Speicherung von Patientendaten
(1) 1 Patientendaten darf das Krankenhaus erheben und speichern, soweit dies
1. im Zusammenhang mit der Behandlung der Patientin bzw. des Patienten einschließlich der Erfüllung der ärztlichen Dokumentationspflicht,
2. zur sozialen Betreuung und Beratung der Patientin bzw. des Patienten nach § 6 durch den krankenhausinternen Sozialdienst, oder
3. zur Abwicklung von Ansprüchen, die mit der Behandlung im Zusammenhang stehen,
erforderlich ist. 2 Außerdem können mit Einverständnis der Patientin bzw. des Patienten Daten für ihre bzw. seine seelsorgerische Betreuung erhoben und gespeichert werden.
(2) Patientendaten sind so zu speichern, dass nur solche Mitarbeiterinnen und Mitarbeiter Kenntnis nehmen können, die die Patientendaten zur rechtmäßigen Erfüllung der ihnen obliegenden Aufgaben benötigen.
§ 10 Verwendung von Patientendaten innerhalb des Krankenhauses
(1) In dem Krankenhaus dürfen Patientendaten verwendet werden, soweit dies erforderlich ist für
1. die Behandlung der Patientin bzw. des Patienten,
2. die Behandlung anderer Patientinnen und Patienten des Krankenhauses durch Mitarbeiterinnen und Mitarbeiter, denen diese Daten bereits bekannt sind,
3. die soziale Betreuung und Beratung der Patientin bzw. des Patienten nach § 6 durch den krankenhausinternen Sozialdienst,
4. die Geltendmachung von Ansprüchen des Krankenhauses sowie zur Abwehr von Ansprüchen oder Verfolgung von Straftaten oder Ordnungswidrigkeiten, die gegen das Krankenhaus oder seine Mitarbeiterinnen und Mitarbeiter gerichtet sind,
5. die Auswertung der Tätigkeit des Krankenhauses zu organisatorischen oder statistischen Zwecken,
6. die Überprüfung der Tätigkeit der Mitarbeiterinnen und Mitarbeiter des Krankenhauses,
7. die Qualitätskontrolle der Leistungen des Krankenhauses,
8. die Aus-, Fort- und Weiterbildung der in dem Krankenhaus tätigen Mitarbeiterinnen und Mitarbeiter, soweit dies mit anonymisierten Daten nicht möglich ist und im Einzelfall überwiegende Interessen der betroffenen Person nicht entgegenstehen.
(2) 1 Die in dem Krankenhaus tätigen Mitarbeiterinnen und Mitarbeiter dürfen Patientendaten nur einsehen, soweit dies zur rechtmäßigen Erfüllung der ihnen obliegenden Aufgaben erforderlich ist. 2 Sie dürfen Patientendaten anderen Mitarbeiterinnen und Mitarbeitern nur mitteilen, soweit diese die Daten zur rechtmäßigen Erfüllung der ihnen obliegenden Aufgaben benötigen. 3 Sind mit den benötigten Daten andere personenbezogene Daten so verbunden, dass sie nur mit unvertretbarem Aufwand getrennt werden können, so dürfen auch die anderen Daten mitgeteilt werden, soweit nicht berechtigte Interessen der betroffenen Person an deren Geheimhaltung offensichtlich überwiegen. 4 Eine Verarbeitung dieser Daten ist unzulässig.
§ 11 Offenlegung von Patientendaten
(1) Das Krankenhaus darf Patientendaten Dritten durch Übermittlung offenlegen, wenn die Patientin bzw. der Patient eingewilligt hat oder dies durch Rechtsvorschrift zugelassen ist oder soweit dies erforderlich ist
1. zur Durchführung der Behandlung der Patientin bzw. des Patienten in dem Krankenhaus,
2. zur Durchführung einer Mit-, Weiter- oder Nachbehandlung der Patientin bzw. des Patienten durch den Dritten, wenn die Patientin bzw. der Patient nach Hinweis auf die beabsichtigte Offenlegung durch Übermittlung nicht etwas anderes bestimmt,
3. zur sozialen Betreuung der Patientin bzw. des Patienten nach § 6, wenn deren bzw. dessen Einwilligung wegen offensichtlicher Hilflosigkeit oder mangelnder Einsichtsfähigkeit nicht eingeholt werden kann und deren bzw. dessen mutmaßlicher Wille nicht entgegensteht,
4. zum Schutz gewichtiger Rechtsgüter der Patientin bzw. des Patienten gegen schwer wiegende Beeinträchtigungen oder zur Verfolgung einer gegen die Patientin bzw. den Patienten gerichteten Handlung, wenn ihre bzw. seine Einwilligung nicht eingeholt werden kann, den Umständen nach aber mit der Erteilung der Einwilligung zu rechnen ist,
5. zur Geltendmachung von Ansprüchen des Krankenhauses sowie zur Abwehr von Ansprüchen oder Verfolgung von Straftaten oder Ordnungswidrigkeiten, die gegen das Krankenhaus oder seine Mitarbeiterinnen und Mitarbeiter gerichtet sind,
6. zur Unterrichtung von Angehörigen, Seelsorgerinnen und Seelsorgern, Partnerinnen und Partnern gleich- oder verschiedengeschlechtlicher Lebensgemeinschaften und bevollmächtigten Personen, soweit die Patientin bzw. der Patient nicht einen gegenteiligen Willen kundgetan hat oder sonstige Anhaltspunkte dafür bestehen, dass eine Offenlegung durch Übermittlung nicht angebracht ist,
7. zur Unterrichtung der für die Patientin bzw. den Patienten zuständigen konsularischen Vertretung oder einer entsprechenden Stelle, wenn die Patientin bzw. der Patient nach Hinweis auf die beabsichtigte Offenlegung durch Übermittlung nicht etwas anderes bestimmt oder wenn, falls ein solcher Hinweis nicht möglich ist, keine Anhaltspunkte für einen gegenteiligen Willen der Patientin bzw. des Patienten bestehen,
8. zur Rechnungs-, Krankenhausentgelt- und Pflegesatzprüfung,
9. zur Ausübung einer dem Dritten über das Krankenhaus oder seine Mitarbeiterinnen und Mitarbeiter obliegenden Aufsicht.
(1a) Das Krankenhaus darf zum Zwecke der Qualitätssicherung zertifizierenden Stellen während des Besuchs des Krankenhauses auf Verlangen Einsicht in die Patientendaten gewähren, soweit dies zur Wahrnehmung der Aufgaben dieser Stellen erforderlich ist. Die Einsichtnahme darf nur durch eine Person erfolgen, die einem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegt, was dem Krankenhaus vor der Einsicht in die Patientendaten nachzuweisen ist. § 22 Absatz 2 des Bundesdatenschutzgesetzes vom 30. Juni 2017 (BGBl. I S. 2097) gilt entsprechend.
(2) Werden Daten in automatisierten Verfahren übermittelt oder sonst Daten an bestimmte Empfängerinnen bzw. Empfänger regelmäßig durch Übermittlung offengelegt, so hat das Krankenhaus dies aufzuzeichnen.
(3) Die Empfängerinnen und Empfänger dürfen die Daten nur für die Zwecke verarbeiten, zu deren Erfüllung sie ihnen offengelegt worden sind.
§ 12 Forschungsvorhaben und Sammlungen von Proben
(1) Ergänzend zu den Vorschriften der Verordnung (EU) 2016/679 darf ein Krankenhaus oder eine Krankenhausgruppe die dort im Zusammenhang mit der Behandlung der Patientin oder des Patienten erhobenen Patientendaten ohne Einwilligung für eigene wissenschaftliche Forschung weiterverarbeiten und -sammeln, und zwar auch dann, wenn das Krankenhaus diese Patientendaten zuvor für wissenschaftliche Forschungszwecke an Dritte weitergegeben hat und sie dort erneut erhebt. Darüber hinaus darf ein Krankenhaus besondere Kategorien personenbezogener Daten ohne Einwilligung für wissenschaftliche Forschung dann verarbeiten und sammeln, wenn die Verarbeitung und Sammlung zu diesem Zweck erforderlich ist und das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schützenswerten Interessen der betroffenen Person überwiegt. Sätze 1 und 2 gelten auch für das Verarbeiten und Sammeln von Proben zu wissenschaftlichen Forschungszwecken und für die Übernahme bereits vorhandener Proben. Einer Einwilligung bedarf es auch dann nicht, wenn die behandelnde Krankenhauseinheit die Patientendaten und die zu Behandlungszwecken aufbewahrten Proben vor der Weitergabe zu einer Sammlung dergestalt verändert, dass dort die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können (Anonymisierung). Dies gilt auch für Proben, die bei klinischen und rechtsmedizinischen Sektionen entnommen wurden.
(2) § 27 Absätze 2 und 4 des Bundesdatenschutzgesetzes gilt entsprechend.
(3) § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend. Werden personenbezogene Daten zur wissenschaftlichen Forschung nach der Verordnung (EU) 2016/679 oder nach Absatz 1 verarbeitet und erfordert der Zweck der Forschung die Möglichkeit einer Zuordnung, sind die Merkmale, mit denen ein Personenbezug hergestellt werden kann, gesondert zu speichern und die Daten soweit möglich zu pseudonymisieren (Artikel 4 Nummer 5 der Verordnung (EU) 2016/679). Sie dürfen mit den Einzelangaben zusammengeführt werden, soweit der Forschungszweck dies erfordert oder der Betroffene auf sein Recht auf Nichtwissen verzichtet hat. Der Forschungsbereich, in dem grundsätzlich nur anonymisierte oder pseudonymisierte Proben und Daten verarbeitet werden dürfen, ist vom Behandlungsbereich organisatorisch zu trennen. Ergänzend zu Satz 1 ist vor einer Weitergabe von Proben und der Offenlegung durch Übermittlung von Daten aus einer Sammlung die Möglichkeit der Zuordnung zur betroffenen Person aufzuheben oder, wenn der konkrete Forschungszweck dem entgegensteht, eine weitere Pseudonymisierung vorzunehmen. Ergänzend zu Satz 1 ist die Zuordnungsmöglichkeit aufzuheben, sobald die Forschung es erlaubt, im Falle eines konkreten Forschungsvorhabens vorbehaltlich Satz 7 spätestens mit Beendigung des konkreten Forschungsvorhabens, sofern aus konkreten Gründen eine Löschung der Daten nicht in Betracht kommt. Ist eine identifizierbare Speicherung über das Ende eines konkreten Forschungsvorhabens hinaus für Zwecke der Wissenschaftskontrolle erforderlich, ist dies nur in pseudonymisierter Form für einen Zeitraum bis zu zehn Jahren zulässig.
(4) Bei genetischer Forschung ist zu prüfen, ob die Sicherheit der betroffenen Personen vor einer unbefugten Zuordnung ihrer Proben und Daten es erfordert, dass die Pseudonymisierung durch eine unabhängige externe Datentreuhänderin oder einen unabhängigen externen Datentreuhänder erfolgt.
(5) Die Einrichtung von Proben- und Datensammlungen zu Forschungszwecken ist der für die Datenschutzkontrolle zuständigen Behörde anzuzeigen. Die Anzeige ist jeweils nach fünf Jahren mit einer Begründung für die weitere Speicherung zu erneuern.
§ 13 Auskunft und Akteneinsicht
(1) 1 Neben dem Auskunftsrecht der Patientin oder des Patienten nach Artikel 15 der Verordnung (EU) 2016/679 ist dieser oder diesem auf Antrag unentgeltlich Einsicht in die sie bzw. ihn betreffenden Aufzeichnungen des Krankenhauses zu gewähren. 2 Anträge auf Auskunftserteilung und Akteneinsicht können abgelehnt werden, soweit eine Verletzung schutzwürdiger Belange anderer Personen möglich ist oder erhebliche therapeutische Gründe entgegenstehen. 3 Bevor keine Auskunft erteilt wird, weil erhebliche therapeutische Gründe entgegenstehen, hat das Krankenhaus zu prüfen, ob diese Gründe dadurch ausgeräumt werden können, dass es die Auskunft durch eine Ärztin bzw. einen Arzt, eine Psychologische Psychotherapeutin bzw. einen Psychologischen Psychotherapeuten oder eine Kinder- und Jugendlichenpsychotherapeutin bzw. einen Kinder- und Jugendlichenpsychotherapeuten vermitteln lässt. 4 Entsprechendes gilt für die Einsicht in die Aufzeichnungen.
(2) 1 Dritte können vom Krankenhaus Auskunft über die zu ihrer Person gespeicherten Daten verlangen, soweit schutzwürdige Belange der Patientin bzw. des Patienten dadurch nicht gefährdet werden. 2 Die Auskunft braucht nur erteilt zu werden, wenn im Auskunftsverlangen der Name der Patientin bzw. des Patienten angegeben worden ist. 3 Ferner kann die Auskunft verweigert werden, soweit derjenige, der die Daten dem Krankenhaus mitgeteilt hat, ein schutzwürdiges Interesse an deren Geheimhaltung hat.
(3) Anträge auf Auskunftserteilung nach Artikel 15 der Verordnung (EU) 2016/679 können auch abgelehnt werden, soweit und solange
1. die Auskunft die öffentliche Sicherheit gefährden würde,
2. die Auskunft dazu führen würde, dass Sachverhalte, die nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind, aufgedeckt werden,
3. dies zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderlich ist.
Die Ablehnung einer Auskunft nach Satz 1 bedarf keiner Begründung, soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. In diesem Fall sind die wesentlichen Gründe für die Entscheidung zu dokumentieren.
§ 13a Beschränkung der Informationspflicht
(1) Eine Information gemäß Artikel 13 oder 14 der Verordnung (EU) 2016/679 erfolgt nicht, soweit und solange
1. die Information die öffentliche Sicherheit gefährden würde,
2. die Tatsache der Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten ist,
3. dies zur Verfolgung von Straftaten und Ordnungswidrigkeiten erforderlich ist oder
4. dies die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.
Wird von einer Information der betroffenen Person abgesehen, hat der Verantwortliche die Gründe hierfür zu dokumentieren.
§ 13b Beschränkung der Benachrichtungspflicht
(1) Der Verantwortliche kann von der Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Artikel 34 der Verordnung (EU) 2016/679 absehen, soweit und solange die Benachrichtigung
1. die öffentliche Sicherheit gefährden würde, oder
2. dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist, oder
3. dazu führen würde, dass Sachverhalte, personenbezogene Daten oder die Tatsache ihrer Verarbeitung, die nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind, aufgedeckt würden.
(2) Wenn nach Absatz 1 von einer Benachrichtigung abgesehen wird, ist die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zu informieren.
§ 14 Löschung von Patientendaten
1 Im Krankenhaus gespeicherte Patientendaten sind zu löschen, wenn sie zur Erfüllung der Aufgaben nach § 10 Absatz 1 nicht mehr in personenbezogener Form erforderlich sind und sich aus § 4a oder anderen Rechtsvorschriften keine längere Aufbewahrungsfrist ergibt; Krankenhäuser, die vom Anwendungsbereich des Hamburgischen Archivgesetzes (HmbArchG) vom 21. Januar 1991 (HmbGVBl. S. 7), zuletzt geändert am 16. Juni 2005 (HmbGVBl. S. 233, 239), erfasst sind, haben Daten, die zulässig gespeichert sind, vor einer Löschung dem zuständigen öffentlichen Archiv nach Maßgabe des § 3 HmbArchG anzubieten. 2 Bei Patientendaten, die in Akten oder auf Karteikarten gespeichert sind, kann die Anonymisierung oder Löschung durch eine Sperrung ersetzt werden, solange andere in der Akte oder auf der Karteikarte enthaltene Patientendaten noch zur Aufgabenerfüllung benötigt werden oder aufgrund von Rechtsvorschriften aufzubewahren sind. 3 Bei Daten, die in automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, ist die Möglichkeit des Direktabrufs zu sperren, sobald die Behandlung der Patientin bzw. des Patienten in dem Krankenhaus abgeschlossen ist, die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind und das Krankenhaus den Bericht über die Behandlung erstellt hat.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Brönneke/Kipker, GesR 2015, 211 (Medizinische IT-Innovationen und Datenschutz)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hanika, PflR 2008, 572 (RFID im Gesundheitswesen)
- Herkenhöner/Fischer/de Meer, DuD 2011, 870 (Outsourcing im Pflegedienst)
- Hornung/Sixt, CR 2015, 828 (IT-Enhancement im Gesundheitswesen)
- Huneke/Hanzelmann, RDG 2009, 256 (Transsektoraler Datentransfer)
- Jandt/Hohmann, K&R 2015, 694 (Medizinische Apps und Datenschutz)
- Jandt/Roßnagel/Wilke, NZS 2011, 641 (Outsourcing Datenverarbeitung Patientendaten)
- Kingreen/Kühling, Gesundheitsdatenschutzrecht, Studienband zum öffentlichen Recht Band 13, Baden-Baden 2015;
- Kircher, Der Schutz personenbezogener Daten im Gesundheitswesen, Baden-Baden 2016
- Kremer, CR 2017, 367 (Neues BDSG)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Liedke, DuD 2015, 806 (Datenschutzrechtliche Fragen der digitalisierten Pflegedokumentation)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Menzel, RDV 2013, 59 (Auftragsdatenverarbeitung im Gesundheitswesen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Orientierungshilfe des BFDI: Datenschutz und Telemedizin Anforderungen an Medizinnetze
- Paul/Gendelev, ZD 2012, 315 (Outsourcing von Krankenhausinformationssystemen (KIS))
- Peil, WzS 2014, 174 (Datenschutz in der Pflege)
- Pitschas, NZS 2009,177 (Elektronische Gesundheitskarte)
- Rehmann/Heimhalt, A&R 2014, 250 (Rechtliche Aspekte von Health-Apps)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
- Schütze/Kamler, DMW 2007, 453 (Probleme der Telemedizin)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer, RDG 2012, 272 (Datenverarbeitung und Datenschutz im Gesundheitswesen, technische Möglichkeiten, rechtliche Grundlagen)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VG Gelsenkirchen, B. v. 14.10.2013 – 17 L 304/13 (Sammlung von Patientendaten, Datenschutz)
- Vedder, DuD 2014, 821 (Datenschutz in Arztpraxen)
- Weichert, DuD 2014, 831 (Big Data im Gesundheitswesen)
- Winandy, DuD 2012, 419 (Informationssicherheit in der Arztpraxis)
-
Ergebnis 21
IEEE 11073-10417-2015
Deutsch: —
Englisch: IEEE Health informatics -- Personal health device communication Part 10417: Device Specialization -- Glucose Meter
Ergebnis 22
IEEE 11073-10418-2011
Deutsch: —
Englisch: IEEE Standard - Health informatics--Personal health device communication Part 10418: Device specialization--International Normalized Ratio (INR) monitor
Ergebnis 23
IEEE 11073-10419
Deutsch: —
Englisch: IEEE Draft International Standard - Health informatics- Personal health device communication- Part 10419: Device Specialization- Insulin Pump
Ergebnis 24
IEEE 11073-10419-2017
Deutsch: —
Englisch: IEEE Health informatics--Personal health device communication - Part 10419: Device Specialization--Insulin Pump
Ergebnis 25
IEEE 11073-10420-2020
Deutsch: —
Englisch: IEEE Draft Standard - Health Informatics - Personal Health Device Communication Part 10420: Device Specialization - Body Composition Analyzer
Ergebnis 26
IEEE 11073-10420-2020
Deutsch: —
Englisch: IEEE Draft Standard - Health Informatics - Personal Health Device Communication Part 10420: Device Specialization - Body Composition Analyzer
Ergebnis 27
IEEE 11073-10421-2010
Deutsch: —
Englisch: IEEE Standard - Health informatics--Personal health device communication Part 10421: Device specialization--Peak expiratory flow monitor (peak flow)
Ergebnis 28
IEEE 11073-10422-2016
Deutsch: —
Englisch: Health informatics--Personal health device communication Part 10422: Device Specialization--Urine Analyzer
Ergebnis 29
IEEE 11073-10424-2014
Deutsch: —
Englisch: IEEE Standard - Health informatics--Personal health device communication - Part 10424: Device Specialization--Sleep Apnoea Breathing Therapy Equipment (SABTE)
Ergebnis 30
IEEE 11073-10425-2017
Deutsch: —
Englisch: IEEE Health informatics--Personal health device communication - Part 10425: Device Specialization--Continuous Glucose Monitor (CGM)