1. Aktuelle Seite:  
  2. Prinz-Blog
  3. Krankenhausfalldatenbank unerlaubt genutzt

Krankenhausfalldatenbank unerlaubt genutzt

Sensible Patientendaten

Als IT-Dienstleister hat sich das Tübinger Unternehmen BinDoc darauf spezialisiert, im Auftrag von Kliniken und anderen medizinischen Unternehmen aus dem medizinischen Bereich Krankenhausdaten zu analysieren. Das Unternehmen pflegt eine große Datenbank und stellt die Daten auf seiner Plattform „BinDoc Meta" zur Verfügung, über die diese Daten aus unterschiedlichen Perspektiven ausgewertet und – so das Unternehmen – für die Forschung und für kommerzielle Zwecke genutzt werden.

Falldatensätze wurden bereithalten

Krankenhäuser können die Datenbank nutzen, um sich mit anderen Kliniken zu vergleichen oder um mithilfe der Vergleichsdaten Verbesserungsmöglichkeiten für die eigene Arbeit zu finden. Im Gegenzug stellen sie BinDoc ihre eigenen Daten zur Verfügung. Weil alle Informationssysteme, die in Krankenhäusern eingesetzt werden, den Vorgaben von § 21 Krankenhausentgeltgesetz gerecht werden müssen, ist es ein Leichtes, Falldatensätze in der gesetzlich vorgegebenen Form für andere Bedarfsträger parat zu halten. Entsprechend dieser Vorgabe wurden die folgenden Daten der Patientinnen und Patienten verarbeitet:

  • Krankenversichertennummer
  • Geburtsjahr
  • Geschlecht
  • Postleitzahl und Wohnort
  • Bei Stadtstaaten der Stadtteil
  • Bei Kindern im 1. Lebensjahr: Geburtsmonat
  • Datum, Grund und Anlass der Aufnahme
  • Fachabteilung
  • Bei Verlegung: weitere Fachabteilungen
  • Dazu die jeweiligen Zeiträume
  • Datum und Grund von Entlassung oder Verlegung
  • Bei Kindern im 1. Lebensjahr: Gewicht bei der Aufnahme
  • Diagnosen
  • Datum und Art von Operationen
  • Bei Beatmungsfällen: Beatmungszeit
  • Angabe, ob Belegoperateur, -anästhesist oder -hebamme
  • Abgerechnete Entgelte und deren Höhe


Alle diese Daten unterliegen dem Patientengeheimnis

Alle nach § 21 Krankenhausentgeltgesetz zu erfassenden Daten fallen unter das Patientengeheimnis. Ihre Weitergabe ist nicht nur standesrechtlich verboten, sondern kann auch strafrechtlich geahndet werden. Insbesondere die Beauftragung externer Dienstleister mit der Auswertung dieser Daten für Wirtschaftlichkeits- und Marktanalysen kann nicht als erforderlich für ärztliche Behandlungen angesehen werden. Selbst wenn man hier noch eine Mitwirkung unterstellen könnte, so wäre es auch im Kontext solcher Analysen unabdingbar, dass die Daten im Rahmen einer konkreten Analyse erforderlich wären. Die Daten dem Unternehmen BinDoc pauschal bereitzustellen, ist als strafbar einzustufen. Zudem wären die behandelnden Ärzte zur Geheimhaltung verpflichtet.

Anonymisierung versus Pseudonymisierung

Zudem handelt es sich bei diesen Fällen um Datensätze von außerordentlicher Sensibilität, weil sie patientenbezogene Angaben, auch zum Grund und zum Verlauf des Krankenhausaufenthalts, umfassen. BinDoc gab vor, dass die Daten anonymisiert wurden.

Ein Gutachten des Netzwerkes Datenschutzexpertise kam nun zu dem Schluss, dass BinDoc die gesetzlichen Regeln des Datenschutzes wie auch das Patientengeheimnis verletzte, indem es pseudonymisierte Daten weitervermarktete. Der Unterschied zwischen anonymisierten und pseudonymisierten Daten liegt darin, dass nach einer Anonymisierung von personenbezogenen Daten die betroffenen Personen, um deren Daten es sich handelt, weder indirekt noch direkt identifiziert werden können. Bei der Pseudonymisierung hingegen wird der Datensatz einer betroffenen Person unter einem Pseudonym abgespeichert. Allerdings ist in diesem Fall die Identität der Betroffenen grundsätzlich feststellbar – auch wenn dazu Zusatzwissen erforderlich ist. Aus diesem Grunde sind anonymisierte Daten nicht Gegenstand der Datenschutzgrundverordnung, wohl aber pseudonymisierte Daten.

Eklatanter Datenschutzverstoß

Sowohl bekannte Krankenhäuser als auch staatliche Organisationen, unter ihnen sogar das

Bundesgesundheitsministerium, nutzten die Dienstleistung von BinDoc, ohne die Darstellung des Unternehmens zu verifizieren, dass es ausschließlich anonymisierte Datensätze verarbeite. Dabei war nur geringes Zusatzwissen nötig, um die Betroffenen identifizieren zu können. Somit handelte es sich um lediglich pseudonymisierte Datensätze. Nach Ansicht von Karin Schuler, Netzwerk Datenschutzexpertise, haben die Verantwortlichen in den Kliniken die ärztliche Schweigepflicht verletzt und sich damit strafbar gemacht. Mit der Speicherung in der Datenbank von BinDoc sind ihrer Meinung nach die Patientinnen und Patienten massiv gefährdet. Thilo Weichert, Co-Autor des Netzwerks Datenschutzexpertise, fordert, dass das illegale Vorgehen von BinDoc geändert werden und die Weitergabe der Daten durch die Krankenhäuser beendet werden müsse. Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit wurde aufgefordert, sich einzuschalten.

Infos über den Umgang mit Patientendaten

Sie möchten mehr wissen über den Umgang mit sensiblen Patientendaten? Dann stellen Sie uns Ihre Fragen! Wir stellen Ihnen gern unsere Expertise zur Verfügung und beraten Sie umfassend. Vereinbaren Sie Ihren Termin unter 09122 6937302 oder senden Sie uns Ihre Nachricht! Wir freuen uns darauf, von Ihnen zu hören!

Ihr Team von Datenschutz Prinz



Kennzahlen und KPIs im ISMS und DSMS: Wie Sie Ihre...
Zwischenbilanz 2024: Bußgelder des HmbBfDI in Höhe...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.