Patienteninformation

gem. Art. 13 Abs. 1 DS-GVO und §§ 14, 15, 16 KDG

Sehr geehrte Patientinnen und Patienten,

Ihre Behandlung bzw. Versorgung in unserem Hause macht es erforderlich, personenbezogene und auch medizinische Daten über Ihre Person zu erfassen und zu verarbeiten. Die Vorgänge und Abläufe innerhalb unseres Krankenhauses als auch im Zusammenspiel mit weiteren an Ihrer Behandlung beteiligten Personen oder Institutionen des Gesundheitswesens sind nicht leicht zu überblicken. Wir haben deshalb für Sie nachfolgende Informationen zusammengestellt.

 

Begriffsbestimmungen

Wir verwenden in unserer Datenschutzerklärung und in dieser Patienteninformation Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DS-GVO) und durch das Erzbistum Köln beim Erlass des Gesetzes über den kirchlichen Datenschutz (KDG) verwendet wurden. Unsere Datenschutzerklärung und unsere Informationen sollen einfach lesbar und verständlich sein. Um dies zu gewährleisten möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

(Ausführlichere Aufführungen finden Sie in Art. 4 DS-GVO und § 4 KDG)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.

Besondere Kategorien personenbezogener Daten sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische und biometrische Daten, Daten zum Sexualleben oder Orientierung.

Verarbeitung beschreibt jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, Übermittlung usw.

Einschränkung der Verarbeitung bedeutet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten.

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen.

Anonymisierung ist die Verarbeitung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitsaufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind.

Verantwortliche/r ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andre Stelle, die personenbezogene Daten im Auftrag des/r Verantwortlichen verarbeitet.

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, diese Daten zu erarbeiten.

Einwilligung der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung.

Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt.

Genetische Daten sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern.

Biometrische Daten sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person.

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschl. der Erbringung von Gesundheitsdienst-leistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Drittland ist ein Land außerhalb der Europäischen Union.

Datenschutzaufsicht ist die von einem oder mehreren Diözesanbischöfen errichtete unabhängige, mit der Datenschutzaufsicht beauftragte kirchliche Behörde.

Diözesandatenschutzbeauftragter ist der Leiter der Datenschutzaufsicht.

Betrieblicher Datenschutzbeauftragter ist der vom Verantwortlichen oder vom Auftragsverarbeiter benannte Datenschutzbeauftragte.

 

Zwecke, für die Ihre personenbezogenen Daten verarbeitet werden:

Im Rahmen Ihrer Behandlung werden Daten über Ihre Person, Ihren sozialen Status sowie die für die Behandlung notwendigen medizinischen Daten erhoben, erfasst, gespeichert, verarbeitet, abgefragt, genutzt, übermittelt. Insgesamt spricht man hier von der „Verarbeitung“ Ihrer Daten. Der Begriff der „Verarbeitung“ bildet den Oberbegriff über alle diese Tätigkeiten. Die Verarbeitung von Patientendaten im Krankenhaus unterliegen aus Datenschutzgründen der Zweckbestimmung und ist nur möglich, wenn eine gesetzliche Grundlage dies vorschreibt bzw. erlaubt oder wenn Sie als Patient/Patientin hierzu Ihre schriftliche Einwilligung erteilt haben.

Für Ihre patientenbezogene Versorgung/Behandlung notwendig sind dabei insbesondere Verarbeitungen Ihrer Daten aus präventiven, diagnostischen, therapeutischen, kurativen (heilenden) und auch nachsorgenden Gründen. Ebenfalls erfolgen Verarbeitungen – im Sinne einer bestmöglichen Versorgung – im Hinblick auf interdisziplinäre Konferenzen zur Analyse und Erörterung von Diagnostik und Therapie, zur Vor-, Mit-, Weiterversorgung bzw. Diagnostik, Therapie, Befunden sowie Krankheits-/Vitalstatus. Daneben werden Arztbriefe bzw. Berichte geschrieben. Darüber hinaus erfolgen Verarbeitungen aus Qualitätssicherungsgründen, zum Erkennen und Bekämpfen von Krankenhausinfektionen sowie zur seelsorgerischen und sozialen Betreuung und zum Entlassmanagement.

Neben diesen patientenbezogenen Verarbeitungen bedarf es auch einer verwaltungsmäßigen Abwicklung Ihrer Behandlung. Dies bedingt im Wesentlichen die Verarbeitung Ihrer Daten zur Abrechnung Ihrer Behandlung, aus Gründen des Controllings/der Rechnungsprüfung, zur Geltendmachung, Ausübung sowie Verteidigung von Rechtsansprüchen usw.

Ferner erfolgen Datenverarbeitungen in anonymisierter Form (= die Daten sind nicht mehr einer Person zuzuordnen) oder pseudonymisiert (= Name wird durch ein anderes Identifikationsmerkmal ersetzt) zu Zwecken der Ausbildung, der Fort- und Weiterbildung von Ärzten und von Angehörigen anderer Berufe des Gesundheitswesens  oder zu gesetzlich vorgesehenen Meldepflichten (z.B. an die Polizei aufgrund des Melderechts, an staatliche Gesundheitsämter aufgrund des Infektionsschutzgesetzes, an Krebsregister) sowie nicht zuletzt aus Gründen der Betreuung und Wartung von IT-Systemen und Anwendungen usw.

 

Von wem erhalten wir Ihre Daten?

Die erforderlichen Daten erheben wir grundsätzlich – sofern möglich – bei Ihnen selbst. Teilweise kann es vorkommen, dass wir von anderen Krankenhäusern, die etwa Ihre Erst- oder Vorbehandlung durchgeführt haben, von niedergelassenen Ärzten, Fachärzten, Medizinischen Versorgungszentren (sogenannten MVZ) usw. Ihre Person betreffende personenbezogene Daten erhalten. Diese werden in unserem Krankenhaus im Sinne einer einheitlichen Dokumentation mit Ihren uns gegebenen Daten zusammengeführt.

 

Wer hat Zugriff auf Ihre Daten?

Ausschließlich die an Ihrer Behandlung beteiligten Personen haben Zugriff auf Ihre Daten, wozu auch Ärzte anderer Abteilungen zählen, die an einer fachübergreifenden Behandlung teilnehmen oder die Mitarbeiter/innen der Verwaltung, die mit der Abrechnung Ihrer Behandlung betraut sind. Ihre Daten werden von Fachpersonal oder unter dessen Verantwortung verarbeitet. Dieses Fachpersonal unterliegt entweder dem sogenannten Berufsgeheimnis oder einer Geheimhaltungspflicht. Der vertrauliche Umgang mit Ihren Daten wird gewährleistet!

 

Rechtsgrundlage für die Verarbeitung Ihrer Daten durch den Krankenhausträger

Die Grundlage dafür, dass der Krankenhausträger Ihre Daten datenschutzrechtlich verarbeiten darf, ergibt sich hauptsächlich daraus, dass der Krankenhausträger für die Versorgung und Behandlung von Patienten zuständig ist. Auf dieser Grundlage gibt es unterschiedliche Gesetze und Verordnungen, die dem Krankenhausträger eine Verarbeitung der Daten erlauben. Genannt seien hier insbesondere die EU Datenschutz-Grundverordnung (DS-GVO) und das Kirchliche Datenschutz-Gesetz (KDG). Daneben finden sich Grundlagen im deutschen Recht, etwa in dem Sozialgesetzbuch Fünftes Buch (SGB V), z.B. § 301 SGB V, in dem Bundesdatenschutzgesetz (BDSG), insbesondere § 22 BDSG und im Bürgerlichen Gesetzbuch (BGB) – u.a. in den §§ 630 ff BGB, die eine Verarbeitung Ihrer Daten voraussetzen. Als Rechtsgrundlage für die Verarbeitungen seien hier beispielhaft genannt:

Datenverarbeitungen zum Zwecke der Durchführung sowie Dokumentation des Behandlungsgeschehens einschl. des innerärztlichen und interprofessionellen Austauschs im Krankenhaus.

Datenübermittlung an „Externe“ im Sinne einer gemeinsamen Behandlung (im Team), Zuziehung externer Konsiliarärzte, Radiologen, Telemedizin, sowie Zuziehung externer Therapeuten, Laboreinrichtungen usw.

Datenübermittlung an die gesetzlichen Krankenkassen und privaten Krankenversicherungen zum Zwecke der Abrechnung

Datenübermittlung zu Zwecken der Qualitätssicherung

Daneben sind Verarbeitungen auch in Fällen zulässig, in denen Sie uns Ihre Einwilligung schriftlich erklärt haben.

 

Notwendigkeit der Angabe Ihrer Personalien

Die ordnungsgemäße administrative Abwicklung Ihrer Behandlung bedingt die Aufnahme Ihrer Personalien. (Davon ausgenommen sind ausschließlich die Fälle der vertraulichen Geburt – gesetzlich geregelt seit 1. Mai 2014).

 

 

Mögliche Empfänger Ihrer Daten

Ihre Daten werden im Rahmen der Zweckbestimmung unter Beachtung der jeweiligen datenschutzrechtlichen Regelungen bzw. etwaiger vorliegender Einwilligungserklärungen erhoben und ggf. an Dritte übermittelt. Als derartige Dritte kommen insbesondere in Betracht:

- gesetzliche Krankenkassen, sofern Sie gesetzlich versichert sind

- private Krankenversicherungen, sofern Sie privat versichert sind

- Unfallversicherungsträger

- Hausärzte

- Konsiliarärzte

- Radiologen

- Laboreinrichtungen

- Krankentransporter /z.B. ASB Köln)

- weiter-, nach- bzw.  mitbehandelnde Ärzte

- andere Einrichtungen der Gesundheitsversorgung oder Behandlung, z.B. Rehabilitationseinrichtungen – Pflegeeinrichtungen

- Medizinische Versorgungszentren, z.B. Mikrobiologie, Infektionsepidemiologie, Virologie, Transfusionsmedizin, Humangenetik

- externe Datenverarbeiter (sogenannte Auftragsverarbeiter)

- Seelsorger (in kirchlichen Einrichtungen)

- Teilnahme an Plattformen wie z.B. Regionales TraumaRegister, Alters-TraumaRegister, Endoprothetik-Zentrum, DFS – Diabetisches Fußsyndrom, Hernien, interdisziplinäre Tumorkonferenz

 

Welche Daten werden im Einzelnen übermittelt?

Sofern Daten übermittelt werden, hängt es im Einzelfall vom jeweiligen Empfänger ab.  Bei der Übermittlung an Ihre Krankenkasse entsprechend § 301 SGB V handelt es sich z.B. um folgende Daten:

Name – Geburtsdatum – Anschrift – Krankenversicherungs-Nr. – Versichertenstatus.

Tag, Uhrzeit und Grund der Aufnahme sowie die Einweisungsdiagnose, die Aufnahmediagnose, bei einer Änderung der Aufnahmediagnose die nachfolgenden Diagnosen, die voraussichtliche Dauer der Krankenhausbehandlung sowie, falls diese überschritten wird, auf Verlangen der Krankenkasse die medizinische Begründung, bei Kleinkindern bis zu einem Jahr das Aufnahmegewicht.

Datum und Art der jeweils im Krankenhaus durchgeführten Operationen und sonstigen Prozeduren.

Tag, Uhrzeit und Grund der Entlassung oder der Verlegung sowie die für die Krankenhausbehandlung maßgebliche Hauptdiagnose und die Nebendiagnosen.

Angaben über die im jeweiligen Krankenhaus durchgeführten Rehabilitationsmaßnahmen sowie Aussagen zur Arbeitsfähigkeit und Vorschläge für die Art der weiteren Behandlung mit Angaben geeigneter Einrichtungen.

 

Behandlung aufgrund ästhetischer Operationen, Tätowierungen oder Piercings

Für den Fall, dass eine Krankheit vorliegt, für die der Verdacht besteht, dass sie Folge einer medizinisch nicht indizierten ästhetischen Operation, einer Tätowierung oder eines Piercings ist, muss auch diesbezüglich eine Meldung an die Krankenkasse erfolgen.

 

Widerruf erteilter Einwilligungen

Wenn die Verarbeitung Ihrer Daten auf einer Einwilligung beruht, die Sie dem Krankenghausträger gegenüber schriftlich erklärt haben, dann steht Ihnen das Recht zu, Ihre Einwilligung jederzeit schriftlich zu widerrufen. Einer Angabe von Gründen bedarf es dafür nicht. Ihr Widerruf gilt allerdings erst ab dem Zeitpunkt, zu dem Sie diesen aussprechen. Er hat keine Rückwirkung. Die Verarbeitung Ihrer Daten bis zu diesem Zeitpunkt bleibt rechtmäßig.

 

Wahrnehmung berechtigter Interessen des Krankenhausträgers

Sofern der Krankenhausträger zur Durchsetzung seiner Ansprüche gegen Sie selbst oder Ihre Krankenkasse gezwungen ist, anwaltliche oder gerichtliche Hilfe in Anspruch zu nehmen, da die vom Krankenhausträger gestellte Rechnung nicht beglichen wird, muss der Krankenhausträger (zu Zwecken der Rechteverfolgung) die dafür notwendigen Daten zu Ihrer Person und Ihrer Behandlung offenbaren.

 

Wie lange werden Ihre Daten gespeichert?

Der Krankenhausträger ist gemäß § 630f Bürgerliches Gesetzbuch (BGB) dazu verpflichtet, eine Dokumentation über Ihre Behandlung zu führen. Dieser Verpflichtung kann der Krankenhausträger in Papierform oder einer elektronisch geführten Patientenakte nachkommen. Diese Patientendokumentation wird auch nach Abschluss Ihrer Behandlung für lange Zeit vom Krankenhaus verwahrt. Auch dazu ist der Krankenhausträger gesetzlich verpflichtet. Mit der Frage, wie lange die Dokumente im Einzelnen im Krankenhaus aufzubewahren sind, beschäftigen sich viele spezielle Regelungen. Zu nennen sind z.B. die Röntgenverordnung (RöV), die Strahlenschutzverordnung (StrlSchV), die Apothekenbetriebsordnung (ApBetrO), das Transfusionsgesetz (TFG) und viele mehr. Diese gesetzlichen Regelungen schreiben unterschiedliche Aufbewahrungsfristen vor. Daneben ist zu beachten, dass Krankenhäuser Patientenakten auch aus Gründen der Beweissicherung bis zu 30 Jahre lang aufbewahren. Dies folgt daraus, dass Schadensersatzansprüche, die Patienten gegenüber dem Krankenhaus geltend machen, gemäß § 199 Abs. 2 Bürgerliches Gesetzbuch (BGB) spätestens in 30 Jahren verjähren. 

 

Sperrung Ihrer Daten

Nach der endgültigen Abrechnung Ihrer Patientenakte entfällt die Erforderlichkeit, auf Ihre personenbezogenen Daten zugreifen zu müssen. Zu diesem Zwecke werden Ihre Daten nach einer angemessenen Zeit nach dem Entlassdatum automatisch gesperrt und in einer sogenannten „Sperrzone“ abgelegt.

 

Recht auf Auskunft und Berichtigung

Ihnen stehen sogenannte Betroffenenrechte zu, d.h. Rechte, die Sie als im Einzelfall betroffene Person ausüben können. Diese Rechte können Sie gegenüber dem Krankenhausträger geltend machen. Diese Rechte ergeben sich aus der EU Datenschutz-Grundverordnung (DS-GVO) Art. 15 bis 21 und dem Kirchlichen Datenschutzgesetz (KDG) §§ 17 – 25.

 

Beschwerde bei der Aufsichtsbehörde wegen Datenschutzverstößen

Unabhängig davon, dass es Ihnen auch freisteht, gerichtliche Hilfe in Anspruch zu nehmen, haben Sie das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten datenschutzrechtlich nicht zulässig ist. Die Beschwerde bei der Aufsichtsbehörde kann formlos erfolgen. Die Kontaktdaten der zuständigen Aufsichtsbehörde lauten:

Katholisches Datenschutzzentrum – Körperschaft des öffentlichen Rechts

Brackeler Hellweg 144, 44309 Dortmund

Tel.: 0231 / 13 89 85 – 0         Fax: 0231 / 13 89 85 – 22

E-Mail: info@kdsz.de

 

Verantwortliche Stelle für die Datenverarbeitung

Die verantwortliche Stelle ist die Geschäftsführung des St. Antonius Krankenhauses.

Die Kontaktdaten lauten:

Frau Heidi Jansen

St. Antonius Krankenhaus gGmbH, Schillerstraße 23, 50968 Köln

Tel.: 0221 / 37 93 – 1020        Fax: 0221 / 37 93 - 1019

E-Mail: jansen@antonius-koeln.de

 

Datenschutzbeauftragter des Krankenhauses

Das Krankenhaus hat eine Datenschutzbeauftragte bestellt, die Ihnen für weitere Fragen gerne zur Verfügung steht. Die Kontaktdaten lauten:

Getrud Bockmann

Tel.: 0221 / 37 93 – 1023     Fax: 0221 / 37 93 – 1019

E-Mail: datenschutz@antonius-koeln.de