Viele Krankenhäuser streben auf Empfehlunge ihrer Datenschutzbeauftragten das Minimalprinzip an: Zugriffe auf Personendaten wird auf so wenig Personen wie möglich begrenzt und auf die Inhalte beschränkt, die zur Aufgabenwahrnehmung benötigt werden. Das ist auch grundsätzlich die richtige Strategie. Doch findet diese Strategie mit zunehmender Komplexität der Systeme und Subsysteme immer mehr ihre Grenzen. Und diese Grenzen werden noch enger, wenn im Rahmen von Kooperationen zwischen Krankenhäusern und medizinischen Dienstleistern wie Radiologen, Laboren oder Pathologien Daten ungegehindert fließen sollen. Hier wird die Umsetzung des datenschutzrechtlich vorgegebenen Minimalprinzips schnell zur zeitraubenden Sisyphosarbeit. Doch es gibt auch wirksamere und befreiende Strategien.
Oft ist es schon innerhalb eines Hauses schwer möglich, die im Krankenhausinformationssystem (KIS) mühsam erarbeiteten Berechtigungen und Zugriffsbeschränkungen auch automatisiert auf die medizinischen Subsysteme auszudehnen. Typisches Beispiel dafür ist die Kommunikation zwisch KIS und RIS/PACS. Und wenn diese Subsysteme auch noch mit denen der externen Kooperationspartner Daten austauschen sollen, wird entweder hoher Zusatzaufwand in jedem Einzelfall der Datenübertragung generiert oder automatisierbar nur mit Öffnung vieler Tore im Rechtemanagement möglich. Hier gibt es einige Ansätze für Ausweichstrategien:
Eine der gängigen Strategien für eine flexible Lösung einer Kooperation des Krankenhauses mit externen medizinischen Dienstleistern ist die Deutung dieser Partnerschaft als Auftragsdatenverarbeitung oder Funktionsübertragung. Wenn alle Bedingungen für eine derartige Deutung zweifelsfrei vorhanden wären, könnte dies durchaus als erfolgversprechender Weg beschritten werden. Denn im Rahmen einer derartigen Zusammenarbeit wird nur ein Vertrag zwischen den Parteien benötigt und es können ziemlich ungehindert Daten ausgetauscht werden, auch ohne Zustimmung durch Patienten. Die bloße Information der Patienten über dieses Verfahren reicht hier aus.
Nun gab es mit der Reform des § 203 StGB die leise Hoffnung, dass hier auch eine Öffnung der gesetzlichen Schweigepflicht gegenüber Dienstleistern zu erwarten sei. Leider ist diese Öffnung jedoch auf Dienstleister begrenzt, deren Tätigkeit außerhalb des medizinischen Kompetenzspektrums liegt. Das sind beispielsweise IT-Dienstleister aber leider keine medizinischen Dienstleister wie Labore oder Radiologen.
Analog zu dieser Möglichkeit behelfen sich Krankenhäuser oft auch mit der Auslegung der Ärzteordnung zu ihren Gunsten, so dass ungehindert Daten an Kooperationspartner weitergeleitet werden können. Die Ärzteordnung eines jeweiligen Bundeslandes geht für Ärzte von einer Offenbarungsbefugnis aus, "wenn das Einverständns von Patienten anzunehmen ist" oder "wenn die Weitergabe von Patientendaten zum Schutz eines höherwertigen Rechtsgutes erforderlich ist". Juristisch gesehen ist die bloße Annahme des Arztes, das Patienten wohl einverstanden wären, hier nicht gemeint. Vielmehr muss eine nachvollziehbare Handlung oder Äußerung der Patienten erkennbar sein, die als Zustimmung angenommen werden kann. Auch die Auslegung der Rangfolge von Rechtsgütern müsste in jedem Einzelfall geprüft und entschieden werden und kann kaum für definierte Kommunikationsprozesse grundsätzlich angenommen werden.
Sowohl alle deutschen Datenschutzgesetze als auch die neue EU-Datenschutzgrundverordnung sehen das Grundrecht auf informationelle Selbstbestimmung im Zentrum der meisten Paragrafen. Wer gerade dieses informationelle Selbstbestimmungsrecht in das Zentrum der Stragetie stellt, erreicht nicht nur das Höchstmaß an Achtsamkeit gegenüber hilfebedürftigen Menschen sondern auch an organisatorischer Flexibilität. Gemeint ist die Zustimmung der Patienten, ihre Einwilligung. Krankenhäuser sehen es jedoch oft als organisatorische Hürde, den Patienten neben den vielen Aufklärungspflichten auch noch mit seitenlangen Informationsschriften zum Datenschutz zu belästigen oder gar eine Einwilligung einzufordern. Auch möchte man Patienten ungern mit den Folgen einer Verweigerung der Einwilligung konfontrieren, obwohl dies im Datenschutzreecht obligatorisch ist. Obwohl dies datenschutzrechtlich der aufwendigste und zugleich anspruchvollste Weg ist, sehe ich diesen Weg als den Königsweg unter den vielen möglichen an, da er nicht nur allen ethischen Ansprüchen entgegenkommt, sondern auch für das Krankenhaus das Höchstmaß an Flexibilität schafft.