--- name: datenschutz-krankenhaus-patientenakte-forschung description: "Datenschutz im Krankenhaus: DSGVO, BDSG, Landeskrankenhausgesetze, Patientenakte, ePA-Anbindung, Forschungsdaten, Auftragsverarbeitung Cloud/KI, Betroffenenrechte und Datenpannen im Krankenhausrecht." --- # Datenschutz Krankenhaus Patientenakte Forschung ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: die im Plugin-Kontext einschlägigen Normen über gesetze-im-internet.de, dejure.org, eur-lex.europa.eu und die amtlichen Bundes-/Landesportale live prüfen — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Fachkern: Datenschutz Krankenhaus Patientenakte Forschung - **Normen-/Quellenanker:** KHG/KHEntgG, SGB V, Krankenhausplanung der Länder, Qualitätsvorgaben, Vergütung, MD-Prüfung, Haftung, Datenschutz und Arbeits-/Medizinprodukterecht. - **Entscheidende Weiche:** Planung/Zulassung, Vergütung, Behandlungspflicht, Organisation, Qualität, Datenschutz, Haftung und Behördenkommunikation trennen. - **Arbeitsprodukt:** Erzeuge eine konkrete Prüf- oder Entscheidungsmatrix mit Norm, Tatbestand, Beleg, Einwand, Risikoampel und nächstem Schritt; Anschluss-Skills nur bei echter Vertiefung nennen. ## Worum geht es konkret Patientendaten sind besonders schutzwuerdig (Art. 9 DSGVO Gesundheitsdaten). Im Krankenhaus uberlagern sich DSGVO, BDSG, Landeskrankenhausgesetze, § 203 StGB, SGB X, MBO-Aerzte. Sekundaerthemen: ePA-Anbindung, Forschung, KI-Tools, Cloud-Auftragsverarbeitung, Datenpannen-Meldepflicht. ## Wann dieses Modul hilft / Kaltstart-Fragen - Welcher Verarbeitungszweck: Behandlung, Abrechnung, Forschung, Qualitaetssicherung, ePA? - Liegt Auftragsverarbeitungsvertrag (AVV, Art. 28 DSGVO) vor? - Wird KI eingesetzt (Diagnoseunterstuetzung, OCR, Spracherkennung)? - Auskunfts-/Loeschungsbegehren eines Patienten? - Datenpanne (Verlust, Diebstahl, Fehlversand)? ## Rechtlicher Rahmen - **DSGVO Art. 5, 6, 9, 12-22, 32, 33, 34** Grundprinzipien, Gesundheitsdaten, Betroffenenrechte, TOM, Meldepflicht. - **BDSG §§ 22, 23** Verarbeitung Gesundheitsdaten. - **Landeskrankenhausgesetze** patientendatenschutz (z. B. § 9 KHG NRW). - **SGB X §§ 67, 76 ff.** Sozialdatenschutz, Datenweitergabe. - **§ 203 StGB** strafrechtliche Schweigepflicht. - **MBO-Aerzte § 9** aerztliche Schweigepflicht. - **PatientendatenSchutzG (PDSG)** ePA-Anbindung. ## / Schritt für Schritt 1. **Rechtsgrundlage je Verarbeitung:** Art. 6/9 DSGVO; Behandlung Art. 9 Abs. 2 lit. h; Forschung Art. 9 Abs. 2 lit. j + § 27 BDSG; Abrechnung gesetzliche Pflicht. 2. **Patienteninformation Art. 13/14 DSGVO:** Verstaendlich, schriftlich, für jeden Hauptzweck. 3. **Einwilligungen separat:** Behandlung (gesetzlich nicht erforderlich), Forschung (i. d. R. erforderlich), Werbung/Sekundaerzweck. 4. **AVV bei Auftragsverarbeitung** (Cloud, IT, KI-Anbieter): Inhalt § 28 DSGVO; technische und organisatorische Massnahmen. 5. **Patientenakte/Einsichtsrecht:** §§ 630g BGB, Art. 15 DSGVO; unverzueglich, ggf. Gebuehr für Kopien. 6. **Forschungsprojekt:** Konzept, Ethikkommission, DSGVO-Pruefung, Pseudonymisierung/Anonymisierung. 7. **Datenpanne:** Innerhalb 72h Meldung Aufsicht (Art. 33), bei hohem Risiko Betroffene informieren (Art. 34). ## Trade-off-Matrix | Vorhaben | Rechtsgrundlage | Risiko | |---|---|---| | Behandlung | Art. 9 Abs. 2 lit. h DSGVO | niedrig, Information noetig | | Abrechnung | gesetzliche Pflicht | Sozialdatenschutz pruefen | | Qualitaetssicherung | Art. 9 Abs. 2 lit. h/i | Pseudonymisierung empfohlen | | Forschung | Einwilligung / § 27 BDSG | Ethikkommission, DSFA | | KI-Diagnose | Art. 6/9, ggf. DSFA | sektorale Risiken | | Cloud | AVV + Art. 44 ff. DSGVO | Drittlandsthematik | ## Praxistipps - Patientendatenschutz hat zwei Schutzebenen: DSGVO/BDSG zivil-/oeffentlichrechtlich; § 203 StGB strafrechtlich. - AVV im Cloud-Kontext muss Subunternehmer, Loeschpflichten, Audit-Rechte enthalten. - ePA-Anbindung verlangt PDSG-konforme Schnittstellen. - KI-Anwendungen mit Patientendaten: Datenschutz-Folgenabschaetzung (DSFA, Art. 35). - Forschungsdaten meist pseudonymisiert; vollanonymisierte Daten fallen aus DSGVO heraus. - Datenpanne-Meldung 72h ist Frist, kein Soll. ## Mustertexte **Patienteninformation Art. 13 DSGVO (Auszug):** > Verantwortlich: [Klinik]. Zwecke: Behandlung, Abrechnung, Qualitaetssicherung. Rechtsgrundlagen: Art. 9 Abs. 2 lit. h DSGVO; gesetzliche Pflichten. Empfaenger: Kassen, MD, Aufsichtsbehoerden. Rechte: Auskunft, Berichtigung, Loeschung (eingeschraenkt), Beschwerde. Datenschutzbeauftragter: … **Datenpanne-Meldung (Skizze):** > An Landesdatenschutzbeauftragten. Wir melden gemaess Art. 33 DSGVO eine Datenpanne. Ereignis: [Datum/Zeit]. Betroffene: [Anzahl]. Daten: [Kategorien]. Ursache: …. Massnahmen: …. Ansprechpartner: … ## Typische Fehler - AVV fehlt oder ist unvollstaendig. - Patientendaten in unverschluesselten E-Mails an Externe. - Forschung ohne Ethik-/Datenschutzfreigabe. - Datenpannen-Frist 72h versaeumt. - KI-Tools ohne DSFA und ohne Pseudonymisierungspruefung. ## Quellen Stand 06/2026 - DSGVO. - BDSG §§ 22, 23, 27. - Landeskrankenhausgesetze 16 Länder (Live-Check Landesministerien). - SGB X §§ 67, 76. - StGB § 203. - PatientendatenSchutzG (PDSG) zur ePA. - BfDI- und Landesdatenschutzaufsicht-Hinweise (Live-Check bfdi.bund.de). - BGH, staend. Rspr. zur aerztlichen Schweigepflicht.