LKHG-RP - Landeskrankenhausgesetz
LKHG-RP - Landeskrankenhausgesetz |
| Sektor | Gesundheit |
|---|---|
| Branche | Medizinische Versorgung |
| Ebene | Landesrecht |
| Bundesland | Rheinland-Pfalz |
| Rechtsakt | Gesetzlich |
Landeskrankenhausgesetz des Landes Rheinland-Pfalz
LKG-RP
§§ 36; 37
§ 36 Datenschutz
(1) Die datenschutzrechtlichen Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1) in der jeweils geltenden Fassung, unmittelbar gilt. Auf die ergänzenden Vorschriften des Landesdatenschutzgesetzes (LDSG) wird verwiesen. Sofern im Rahmen der Aufgabenerfüllung genetische oder biometrische Daten oder Gesundheitsdaten verarbeitet werden, sind die Anforderungen des Artikels 9 der Verordnung (EU) 2016/679 und des § 19 LDSG zu beachten. Patientendaten im Sinne der folgenden Bestimmungen sind auch personenbezogene Daten von Angehörigen oder anderen Bezugspersonen der Patientin oder des Patienten sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekanntwerden.
(2) Patientendaten dürfen nur verarbeitet werden, soweit
1. dies im Rahmen des Behandlungsverhältnisses auf vertraglicher Grundlage erforderlich ist,
2. dies zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung oder zur Ausbildung oder Fortbildung erforderlich ist und dieser Zweck nicht in vertretbarer Weise mit anonymisierten oder pseudonymisierten Daten erreicht werden kann,
3. eine Rechtsvorschrift es erlaubt oder
4. die Patientin oder der Patient eingewilligt hat.
Die Einwilligung nach Satz 1 Nr. 4 bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Wird die Einwilligung mündlich erteilt, ist dies aufzuzeichnen. Im Übrigen regelt Artikel 7 der Verordnung (EU) 2016/679 die Bedingungen für die Einwilligung und, soweit genetische oder biometrische Daten oder Gesundheitsdaten betroffen sind, § 19 LDSG .
(3) Eine Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit sie erforderlich ist
1. zur Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- oder Mitteilungspflicht,
2. zur Durchführung des Behandlungsvertrages einschließlich der Nachbehandlung, soweit nicht die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung etwas anderes bestimmt hat,
3. zur Abwehr von gegenwärtigen Gefahren für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder von Dritten, sofern die genannten Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten deutlich überwiegen,
4. zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung, wenn dieser Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und keine überwiegenden schutzwürdigen Belange der Patientin oder des Patienten der Übermittlung entgegenstehen,
5. zur Durchführung eines mit der Behandlung zusammenhängenden gerichtlichen Verfahrens,
6. an die Sozialleistungsträger zur Feststellung der Leistungspflicht und zur Abrechnung,
7. an Personen, denen die gesetzliche Vertretung obliegt, soweit dies für die Wahrnehmung der damit zusammenhängenden Aufgaben erforderlich ist und
8. an Angehörige nur durch die Ärztin, den Arzt, die Psychologische Psychotherapeutin, den Psychologischen Psychotherapeuten, die Kinder- und Jugendlichenpsychotherapeutin oder den Kinder- und Jugendlichenpsychotherapeuten, soweit es zur Wahrung der berechtigten Interessen der Angehörigen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung der Patientin oder des Patienten nicht möglich ist oder für sie oder ihn gesundheitlich nachteilig wäre.
Im übrigen ist eine Übermittlung nur mit Einwilligung der Patientin oder des Patienten zulässig. Absatz 2 Satz 2 bis 4 gilt entsprechend.
(4) Stellen oder Personen, denen nach dieser Vorschrift personenbezogene Daten übermittelt worden sind, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen befugt übermittelt worden sind. Im übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfange geheimzuhalten wie das Krankenhaus selbst.
(5) Der Patientin oder dem Patienten ist auf Antrag kostenfrei
1. Auskunft über die zu ihrer oder seiner Person gespeicherten Daten sowie über die Personen und Stellen zu erteilen, an die personenbezogene Daten weitergegeben wurden, und
2. Einsicht in ihre oder seine Krankenakten zu gewähren.
Soweit Auskunfts- und Einsichtsansprüche medizinische Daten der Patientin oder des Patienten betreffen, dürfen sie nur von der behandelnden Ärztin, vom behandelnden Arzt, von der behandelnden Psychologischen Psychotherapeutin, vom behandelnden Psychologischen Psychotherapeuten, von der behandelnden Kinder- und Jugendlichenpsychotherapeutin oder vom behandelnden Kinder- und Jugendlichenpsychotherapeuten erfüllt werden. Die Auskunfts- und Einsichtsansprüche können im Interesse der Gesundheit der Patientin oder des Patienten begrenzt werden; durch berechtigte Geheimhaltungsinteressen Dritter werden sie eingeschränkt.
(6) Patientendaten sind zu löschen, wenn
1. sie zur Erfüllung der in Absatz 2 genannten Zwecke nicht mehr erforderlich und
2. vorgeschriebene Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange der oder des Betroffenen beeinträchtigt werden.
(7) Nach Abschluß der Behandlung unterliegen personenbezogene Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, dem alleinigen Zugriff der jeweiligen Fachrichtung oder sonstigen medizinischen Betriebseinheit. Dies gilt nicht für diejenigen Daten, die für das Auffinden der sonstigen Patientendaten erforderlich sind. Die Eröffnung des Direktzugriffs auf den Gesamtdatenbestand für andere Stellen im Krankenhaus ist unter den Voraussetzungen des Absatzes 2 nur mit Zustimmung der Fachrichtung oder sonstigen medizinischen Betriebseinheit zulässig.
(8) Der Krankenhausträger hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich und angemessen sind, um die Beachtung der in den Absätzen 1 bis 7 enthaltenen Bestimmungen zu gewährleisten. Er bestellt nach den für ihn geltenden datenschutzrechtlichen Bestimmungen eine Beauftragte oder einen Beauftragten für den Datenschutz.
(9) Das Krankenhaus kann sich zur Verarbeitung von Patientendaten anderer Personen oder Stellen bedienen. Die Ausgestaltung der Auftragsverarbeitung durch den Auftragsverarbeiter regelt Artikel 28 der Verordnung (EU) 2016/679.
§ 37 Datenschutz bei Forschungsvorhaben
(1) Patientendaten dürfen im Rahmen von Forschungsvorhaben durch das Krankenhaus verarbeitet werden, wenn die Patientin oder der Patient eingewilligt hat. Eine Einwilligung ist nicht erforderlich, wenn
1. es nicht zumutbar ist, die Einwilligung einzuholen und schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden,
2. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt oder
3. im Rahmen der Krankenhausbehandlung erhobene und gespeicherte Patientendaten vor ihrer weiteren Verarbeitung anonymisiert werden.
(2) Ärztinnen, Ärzte, Psychologische Psychotherapeutinnen, Psychologische Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeutinnen und Kinder- und Jugendlichenpsychotherapeuten dürfen Patientendaten, die im Rahmen der Krankenhausbehandlung innerhalb ihrer Fachrichtung oder sonstigen medizinischen Betriebseinheit erhoben und gespeichert worden sind, für eigene wissenschaftliche Forschungsvorhaben nutzen. Satz 1 gilt entsprechend für sonstiges wissenschaftliches Personal an diesen Einrichtungen, soweit es der Geheimhaltungspflicht des § 203 StGB unterliegt.
(3) Zu Zwecken der wissenschaftlichen Forschung ist die Übermittlung von Patientendaten an Dritte und die Verarbeitung durch sie zulässig, wenn die Patientin oder der Patient eingewilligt hat; § 36 Abs. 2 Satz 2 bis 4 gilt entsprechend. Eine Einwilligung ist nicht erforderlich, wenn der Zweck eines bestimmten Forschungsvorhabens nicht auf andere Weise, besonders durch Übermittlung anonymisierter Daten, erfüllt werden kann und die Voraussetzungen des Absatzes 1 Satz 2 Nr. 1 oder Nr. 2 vorliegen. Die übermittelnde Stelle hat die Empfängerin oder den Empfänger, die Art der zu übermittelnden Daten, die betroffenen Patientinnen und Patienten und das Forschungsvorhaben aufzuzeichnen.
(4) Die personenbezogenen Daten sind zu anonymisieren oder, solange eine Anonymisierung noch nicht möglich ist, zu pseudonymisieren, sobald es der Forschungszweck erlaubt.
(5) Soweit die Bestimmungen dieses Gesetzes auf die Empfängerin oder den Empfänger keine Anwendung finden, dürfen Patientendaten nur übermittelt werden, wenn
1. die Empfängerin oder der Empfänger sich verpflichtet
a) die Daten nur für das von ihr oder ihm genannte Forschungsvorhaben zu verwenden,
b) die Bestimmungen des Absatzes 4 einzuhalten und
c) der oder dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit auf Verlangen Einsicht und Auskunft zu gewähren und
2. die Empfängerin oder der Empfänger nachweist, dass bei ihr oder ihm die technischen und organisatorischen Voraussetzungen vorliegen, um die Verpflichtung nach Nummer 1 Buchst. b zu erfüllen.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Brönneke/Kipker, GesR 2015, 211 (Medizinische IT-Innovationen und Datenschutz)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hanika, PflR 2008, 572 (RFID im Gesundheitswesen)
- Herkenhöner/Fischer/de Meer, DuD 2011, 870 (Outsourcing im Pflegedienst)
- Hornung/Sixt, CR 2015, 828 (IT-Enhancement im Gesundheitswesen)
- Huneke/Hanzelmann, RDG 2009, 256 (Transsektoraler Datentransfer)
- Jandt/Hohmann, K&R 2015, 694 (Medizinische Apps und Datenschutz)
- Jandt/Roßnagel/Wilke, NZS 2011, 641 (Outsourcing Datenverarbeitung Patientendaten)
- Kingreen/Kühling, Gesundheitsdatenschutzrecht, Studienband zum öffentlichen Recht Band 13, Baden-Baden 2015;
- Kircher, Der Schutz personenbezogener Daten im Gesundheitswesen, Baden-Baden 2016
- Kremer, CR 2017, 367 (Neues BDSG)
- Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
- Liedke, DuD 2015, 806 (Datenschutzrechtliche Fragen der digitalisierten Pflegedokumentation)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
- Menzel, RDV 2013, 59 (Auftragsdatenverarbeitung im Gesundheitswesen)
- Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
- Orientierungshilfe des BFDI: Datenschutz und Telemedizin Anforderungen an Medizinnetze
- Paul/Gendelev, ZD 2012, 315 (Outsourcing von Krankenhausinformationssystemen (KIS))
- Peil, WzS 2014, 174 (Datenschutz in der Pflege)
- Pitschas, NZS 2009,177 (Elektronische Gesundheitskarte)
- Rehmann/Heimhalt, A&R 2014, 250 (Rechtliche Aspekte von Health-Apps)
- Roßnagel, NJW 2014,3686 (Sichere elektronische Transaktionen)
- Schallbruch, CR 2017, 648 (IT-Sicherheit)
- Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
- Schütze/Kamler, DMW 2007, 453 (Probleme der Telemedizin)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer, RDG 2012, 272 (Datenverarbeitung und Datenschutz im Gesundheitswesen, technische Möglichkeiten, rechtliche Grundlagen)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VG Gelsenkirchen, B. v. 14.10.2013 – 17 L 304/13 (Sammlung von Patientendaten, Datenschutz)
- Vedder, DuD 2014, 821 (Datenschutz in Arztpraxen)
- Weichert, DuD 2014, 831 (Big Data im Gesundheitswesen)
- Winandy, DuD 2012, 419 (Informationssicherheit in der Arztpraxis)
-
Ergebnis 1
DIN EN 14484:2004-03
Deutsch: Medizinische Informatik - Internationaler Austausch von unter die EU-Datenschutzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements; Deutsche Fassung EN 14484:2003, Text Englisch
Englisch: Health informatics - International transfer of personal health data covered by the EU data protection directive - High level security policy; German version EN 14484:2003, text in English
Ergebnis 2
DIN EN 14485:2004-03
Deutsch: Medizinische Informatik - Anleitung zur Verwendung von persönlichen Gesundheitsdaten in internationalen Anwendungen vor dem Hintergrund der EU-Datenschutzrichtlinie; Deutsche Fassung EN 14485:2003, Text Englisch
Englisch: Health informatics - Guidance for handling personal health data in international applications in the context of the EU data protection directive; German version EN 14485:2003, text in English
Ergebnis 3
ISO TS 21547:2010-02
Deutsch: Medizinische Informatik - Archivierung elektronischer Gesundheitsakten - Teil 1: Prinzipien und Anforderungen
Englisch: Health informatics - Security requirements for archiving of electronic health records - Principles
Ergebnis 4
BSI TR 03106
Deutsch: eHealth - Zertifizierungskonzept für Karten der Generation G2; Version 1.2
Englisch: —
Ergebnis 5
BSI TR 03143
Deutsch: eHealth - G2-COS Konsistenz-Prüftool; Version 1.1
Englisch: —
Ergebnis 6
BSI TR 03144
Deutsch: eHealth - Konformitätsnachweis für Karten-Produkte der Kartengeneration G2; Version 1.2
Englisch: —
Ergebnis 7
BSI TR 03144 Anhang
Deutsch: eHealth - Sicherungsmechanismen im Umfeld der TR-Zertifizierung von G2-Karten-Produkten; Version 1.2
Englisch: —
Ergebnis 8
BSI TR 03114
Deutsch: Technische Richtlinie - Stapelsignatur mit dem Heilberufsausweis; Version 2.0
Englisch: —
Ergebnis 9
BSI TR 03115
Deutsch: Technische Richtlinie - Komfortsignatur mit dem Heilberufsausweis; Version 2.0
Englisch: —
Ergebnis 10
IEEE 11073-00103-2012
Deutsch: —
Englisch: Health informatics - Personal health device communication Part 00103: Overview