Drucksache 18 / 18 387 Schriftliche Anfrage 18. Wahlperiode Schriftliche Anfrage des Abgeordneten Marcel Luthe (FDP) vom 27. März 2019 (Eingang beim Abgeordnetenhaus am 01. April 2019) zum Thema: Schweigen ist Gold XII und Antwort vom 11. April 2019 (Eingang beim Abgeordnetenhaus am 18. April 2019) Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Der Regierende Bürgermeister von Berlin Senatskanzlei - Wissenschaft und Forschung - Herrn Abgeordneten Marcel Luthe (FDP) über den Präsidenten des Abgeordnetenhauses von Berlin über Senatskanzlei - G Sen - A n t w o r t auf die Schriftliche Anfrage Nr. 18/18 387 vom 27. März 2019 über Schweigen ist Gold XII ___________________________________________________________________ Im Namen des Senats von Berlin beantworte ich Ihre Schriftliche Anfrage wie folgt: Vorbemerkung der Verwaltung: Die Anfrage betrifft Sachverhalte, die der Senat nicht ohne Beiziehung der Charité – Universitätsmedizin Berlin (Charité) beantworten kann. Sie wurde daher um Stellungnahme auch zu den erneut gestellten Fragen ersucht. In den nachfolgenden Antworten wird jeweils angegeben, wenn es sich um eigene Erkenntnisse der Senatskanzlei – Wissenschaft und Forschung als Aufsichtsbehörde nach dem Berliner Hochschulgesetz handelt; ansonsten beruhen die Antworten auf den Angaben der Charité. Der Senat weist daraufhin, dass nach § 8 Abs. 1 Satz 1 Berliner Datenschutzgesetz (BlnDSG) für den Datenschutz die Berliner Beauftragte für Datenschutz und Informationssicherheit Aufsichtsbehörde für die öffentlichen Stellen des Landes Berlin ist. Vorbemerkung des Abgeordneten: Nachfrage zur A n t w o r t auf die Schriftliche Anfrage Nr. 18/18149 Soweit der Senat als Aufsichtsbehörde Fragen an die Charité weiterleitet, bitte ich jeweils zu jeder Antwort klarzustellen, welcher Teil auf ungeprüften Angaben der beaufsichtigten Einrichtung und welcher auf eigenen Erkenntnissen der Aufsichtsbehörde beruht. Da ein erheblicher Teil der Fragen nicht beantwortet worden ist, frage ich in Erfüllung einer etwaigen Konfrontationsobliegenheit erneut: 1) Auf meine Anfrage 18/15365, dort zu 3) hat der Senat mitgeteilt: „Mitarbeiterinnen und Mitarbeiter können auch auf personenbezogene Daten von Patientinnen und Patienten zugreifen, an deren Behandlung sie nicht beteiligt sind. Sie werden vor diesem Zugriff gewarnt. Sie sind darüber informiert, dass alle nicht berechtigten Zugriffe dokumentiert werden und ggf. bei Verstößen arbeitsrechtliche Schritte nach sich ziehen.“ - - 2 a) Werden den Patienten auf Wunsch von der Charité unverzüglich die Zugriffsprotokolle offengelegt? Wie sonst wird sichergestellt, dass die allein zur Stellung eines Strafantrags berechtigten Patienten bei einem Schweigepflichtverstoß diesen auch anzeigen können? Zu 1 a).: Die Charité verweist zur ersten Frage darauf, dass interne Zugriffsprotokolle vom Auskunftsanspruch des Art. 15 Datenschutz-Grundverordnung (DS-GVO) nicht umfasst sind. Der Senat verweist darauf, dass die zweite Frage einen anderen Sachverhalt als den des unberechtigten Zugriffs auf Daten betrifft und damit in den Zugriffsprotokollen nicht dokumentiert wird. Bei unberechtigtem Zugriff auf Daten sind die §§ 202 a – d Strafgesetzbuch (StGB) relevant. Ein Schweigepflichtverstoß nach § 203 StGB wird dagegen von denjenigen Personen begangen, denen ein Geheimnis anvertraut ist, die es sich also nicht unberechtigt erschlichen haben. b) Bedeutet dies, dass die Charité die höchstrichterliche Rechtsprechung zur Schweigepflicht - etwa gegenüber Schweigepflichtigen anderer Abteilungen oder der Klinikverwaltung - beachtet? Falls ja, weshalb ist ein Zugriff auf diese Daten durch Nichtberechtigte dennoch möglich und wird nur protokolliert? Zu 1 b): Es ist der Charité und dem Senat weiterhin unklar, welche konkrete „höchstrichterliche Rechtsprechung“ hier in Bezug genommen wird. Die Frage ist in der Schriftlichen Anfrage 18/18149 zu 1) b) umfassend beantwortet. Auch bei medizinischem Fachpersonal handelt es sich um Gehilfen i.S.v. § 203 Abs. 3 Satz 1 StGB; eine Offenbarung ist also zulässig. Auch das bloße Einstellen von Daten in eine sehr große Datenbank stellt alleine noch kein tatbestandliches „Offenbaren“ i.S.v. § 203 StGB dar. Über die bloße Zugriffsmöglichkeit hinaus müsste hinzukommen, dass der Dritte von dem Geheimnis sich entweder konkret Kenntnis oder sich die Verfügungsgewalt hierüber etwa durch eine gesonderte Speicherung oder die Fertigung eines Ausdrucks verschafft. Diese Grundsätze werden in der Charité berücksichtigt. Insoweit greifen Mitarbeiterinnen und Mitarbeiter der Klinikverwaltung nicht regelhaft auf medizinische Daten zu. Im Rahmen des dienstlich Notwendigen werden Abfragen aus dem klinischen Informationssystem vorgenommen. c) Wie werden "nicht berechtigte Zugriffe" im Sinne der oben genannten Formulierung technisch erfasst? Wenn eine solche Erfassung möglich ist, weshalb wird trotzdem ein Zugriff zugelassen? Zu 1 c): Wie bereits in der Schriftlichen Anfrage 18/18149 zu 1) c) beantwortet, werden an der Charité alle Zugriffe auf Patientendaten im klinischen Informationssystem SAP protokolliert. Die Zugriffsprotokolle werden in Einzelfällen ausgewertet, wenn Anhaltspunkte vorliegen, dass ggf. unberechtigt auf Patientendaten zugegriffen wurde. Die Auswertung erfolgt anlassbezogen durch den Geschäftsbereich Informationstechnologie (IT) auf Anforderung der Stabsstelle Datenschutz unter Beteiligung des Ärztlichen Direktorates. Der Zugriff wird zugelassen - wie u.a. in der Schriftlichen Anfrage 18/18149 ausgeführt -, da bei Behandlungen unterschiedliche Ärztinnen und Ärzte in unterschiedlichen Kliniken und nach einer Erstbehandlung – etwa an einer Rettungsstelle – gewährleistet sein muss, dass Informationen auch aus anderen Abteilungen nicht nur vollständig, sondern auch schnell zur Verfügung stehen. d) Wie werden nur "nicht berechtigte Zugriffe" im Sinne der oben genannten Formulierung dokumentiert? Werden nicht vielmehr alle Zugriffe dokumentiert? - - 3 Zu 1 d) Wie bereits in der Schriftlichen Anfrage 18/18149 unter 1) d) beantwortet, werden an der Charité alle Zugriffe auf Patientendaten im klinischen Informationssystem SAP protokolliert. e) Welche Stelle bei der Charité wertet wie nach welchen Vorgaben die erfassten Zugriffe danach aus, welche Zugriffe "nicht berechtigt" waren? Zu 1 e) Wie bereits in der Schriftlichen Anfrage 18/18149 zu 1) e) beantwortet, erfolgt die Auswertung anlassbezogen durch den Geschäftsbereich IT auf Anforderung der Stabsstelle Datenschutz unter Beteiligung des Ärztlichen Direktorates. f) Was bedeutet „ggf. bei Verstößen arbeitsrechtliche Schritte"? Wird in jedem Fall eines unberechtigten Zugriffs a) eine arbeitsrechtliche Maßnahme ergriffen und b) wie geht die Charité mit der strafrechtlichen Folge des Verstoßes um? Zu 1 f) Wie bereits in der Schriftlichen Anfrage 18/18149 zu 1) f) beantwortet, werden Verstöße gegen arbeitsvertragliche Pflichten unter Berücksichtigung aller Umstände des Einzelfalls geprüft. Erst im Anschluss werden - abhängig vom Prüfungsergebnis - arbeitsrechtliche Maßnahmen ergriffen. Sollte ein einzelner Verstoß auch strafrechtlich relevant sein, wird auch dies im Rahmen der arbeitsrechtlichen Prüfung berücksichtigt. g) Wird der geschädigte Patient informiert? Zu 1 g) Wie bereits in der Schriftlichen Anfrage 18/18149 zu 1) g) beantwortet, prüft die Charité in jedem Einzelfall, ob eine gesetzliche Informationspflicht besteht. Sollte eine solche Informationspflicht bestehen, wird dies von der Charité erfüllt. h) Wie oft sind Mitarbeiter der Charité wegen Verstößen im Sinne der Frage in den Jahren 2014 bis heute jährlich abgemahnt worden? Wie viele Kündigungen sind deshalb erfolgt? Zu 1 h) Wie bereits in der Schriftlichen Anfrage 18/18149 zu 1) h) beantwortet, sind die jeweiligen Pflichtenverstöße für Abmahnungen nicht verschlagwortet aufbereitet und nicht in der Personalverwaltungssoftware elektronisch auswertbar. Eine händische Auswertung aller Personalakten der letzten fünf Jahre ist aufgrund des damit verbundenen Aufwands nicht leistbar. Der Senat wird die Charité zur Dokumentation der Verletzungen des Schutzes personenbezogener Daten gemäß § 51 Abs. 5 BlnDSG veranlassen. 2) Mit welcher Begründung verweigert die Charité Patienten gegenüber die Offenlegung der Zugriffsprotokolle und verweigert die Beantwortung von Fragen? Nur so könnten Patienten ja selbstständig eine Prüfung oder gerichtliche Schritte einleiten. Zu 2.: Zur Verweigerung der Offenlegung von Zugriffsprotokollen wird auf die Antwort zu 1 a) verwiesen. Im Übrigen verweigert die Charité keine Beantwortung von Fragen. Allein der Beschäftigtendatenschutz gebietet es, keine internen Zugriffsprotokolle zur Kenntnis zu geben. - - 4 3) Was befürchtet die Charité im Falle von Offenlegungen von Protokollen den Patienten gegenüber, warum tut sie es nicht einfach, (ob mit oder ohne Namen der Zugreifenden)? Die Charité schreibt: „Greifen Mitarbeiterinnen und Mitarbeiter der Charité unberechtigt auf personenbezogenen Daten von Patientinnen und Patienten zu, ohne dass ihnen dabei Patientengeheimnisse unmittelbar durch aktives Tun oder Unterlassen trotz Handlungspflicht derjenigen Mitarbeiterinnen und Mitarbeiter der Charité offenbart werden, welche ihrerseits tatbestandlich der strafgesetzlich geregelten Verschwiegenheitspflicht unterworfen sind, liegt regelmäßig noch kein strafrechtlich relevantes Verhalten vor.“ Zu 3.: Auch hier wird nochmals auf die oben genannten Bemerkungen unter 1 a) und 2. verwiesen. Unter anderem aus Gründen des Beschäftigtendatenschutzes werden entsprechende Zugriffsprotokolle nicht offengelegt. 4) Dieser Satz ist nicht verständlich und widersprüchlich: Entspricht es nicht immer einem aktiven tun, wenn Daten mit Gesundheitsinformationen ohne Einverständnis des Patienten in ein Computersystem eingespeist werden und entspricht es nicht auch immer einem aktiven tun, wenn diese ohne Einverständnis des Patienten gelesen werden? Es kann ja nicht ein Zugreifender Leser nicht für sein Handeln verantwortlich sein? Ist die Charité der Auffassung, dass alle Mitarbeiter auf Patientendaten zugreifen dürfen? Wenn nein, wie viele unerlaubte Zugriffe gab es bei einem Patienten höchstenfalls? Zu 4.: Das Einstellen von Informationen in ein Computersystem ist ein aktives Tun. Wie in der Schriftlichen Anfrage 18/18149 bereits beantwortet, stellt allerdings das bloße Einstellen von Daten in eine sehr große Datenbank alleine noch kein tatbestandliches „Offenbaren“ i.S.v. § 203 StGB dar. Erfolgt dann im Einzelfall ein Zugriff auf Patientendaten, scheidet ein tatbestandliches Offenbaren von vornherein aus, wenn die Mitteilung befugt, bspw. innerhalb einer Funktionseinheit zu Behandlungszwecken, erfolgt. Erst wenn in einem konkreten Einzelfall jemand, der nicht zum „Kreis der zum Wissen Berufenen“ gehört, auf einen konkreten Datenbankeintrag zugreift, indem er diesen tatsächlich zur Kenntnis nimmt oder durch Speichern oder Ausdrucken gesondert sichert, kann also ein tatbestandliches Offenbaren vorliegen. In diesem Falle ist zu prüfen, ob ein Unterlassungsdelikt (§ 13 StGB) vorliegt. Strafbar ist dann nicht das allgemeine Einstellen von Patientendaten in die Datenbank, sondern ggf. das Nicht-Verhindern eines unberechtigten Zugriffs im Einzelfall, was auf Seiten des Schweigepflichtigen insbesondere mit Vorsatz hinsichtlich des unbrechtigten Zugriffs erfolgen muss. Hingegen ist der Zugriff auf Patienteninformationen, wie bereits unter 1) a) dargestellt, kein nach § 203 StGB strafbarer Verschwiegenheitsverstoß. 5) Nennt die Charité Patienten gegenüber die Zahl unerlaubter Zugriffe und entschädigt sie diese oder wie sollen sich die Patienten gegen unerlaubte Zugriffe zur Wehr setzen können? Ein Mitarbeiter der Berliner Datenschutzbeauftragten, Herr Dr. Ulrich Vollmer, sagten dazu laut dem Wortprotokoll der Öffentliche Sitzung des Unterausschusses für Datenschutz, Informationsfreiheit und zur Umsetzung von Artikel 13 Abs. 6 GG sowie § 25 Abs. 10 ASOG des Innenausschusses, am 3. April 2017 https://www.parlament-berlin.de/ados/18/UADatG13/protokoll/udg18-003-wp.pdf Dr. Ulrich Vollmer (BlnBDI): "Ich möchte auf drei Punkte eingehen, zum einen auf den Zugriff auf Patientendaten innerhalb der Charité. Nur ganz kurz: Wir waren mit der Charité in einem sehr ausführlichen Dialog. Es wurde von Seiten der Charité ein entsprechendes Zugriffskonzept entwickelt. Wir waren damit nicht 100-prozentig, aber zu 90 Prozent glücklich. Es wurde allerdings leider nicht umgesetzt." - - 5 Die Charité schreibt: „Die Möglichkeit von Patientinnen und Patienten sicherzustellen, Verstöße gegen die Verschwiegenheitspflicht zur Anzeige zu bringen, ist grundsätzlich Aufgabe der zuständigen Strafverfolgungsbehörden.“ Zu 5.: Der Senat erwartet, dass die Charité die gesetzlichen Meldepflichten bei Datenschutzverstößen erfüllt und alle Vorgaben der Berliner Beauftragten für Datenschutz und Informationsfreiheit umsetzt.. 6) Die Möglichkeit von Patienten und Patientinnen Delikte zur Anzeige zu bringen, besteht laut Gesetz. a) Möchte die Charité damit sagen, dass jeder Patient, der Auskunft zu Datenzugriffen erhalten möchte, „auf Verdacht“ Strafanzeige gegen die Charité erstatten muss? Zu 6 a) Nein. Die Klärung des Sachverhaltes ist Aufgabe der Ermittlungsbehörden. b) Welches Delikt sollte aus Sicht des Senats dazu angezeigt werden? Zu 6 b) Aus Sicht des Senats kommen je nach Einzelfall die Straftatbestände gemäß §§ 202 a-d, 203 StGB in Betracht. c) Wie bewertet der Senat diese Haltung er Charité aus Sicht des Verbraucherschutzes? Zu 6 c): Wie bereits dargelegt, geht der Senat davon aus und erwartet, dass die Charité den gesetzlichen Meldepflichten nach §§ 51,52 BlnDSG nachkommt und damit den Interessen der Betroffenen gerecht wird. Schadensersatzansprüche können die Betroffenen gegenüber der Charité erheben, sodass dem Verbraucherschutz hinreichend Rechnung getragen wird. 7. a) Die Charité schreibt: „Wie in der Antwort zu Frage 3 der Schriftlichen Anfrage Nr. 18/15365 mitgeteilt wurde, kann es im Einzelfall für eine umfassende medizinische Versorgung zwingend notwendig sein, unverzüglich Zugriff auf die notwendigen Daten nehmen zu können.“ (…)Gleichwohl muss bei Behandlungen unterschiedlicher Ärztinnen und Ärzte in unterschiedlichen Kliniken (…) gewährleistet werden, dass Daten (auch aus anderen Abteilungen) nicht nur vollständig, sondern auch schnell zur Verfügung stehen.“ Laut der Rechtsprechung darf ein Patient eine medizinische Behandlung ablehnen, selbst wenn das seinen Tod bedeutet. Auf welcher Rechtsgrundlage ist es aus Sicht der Charité erlaubt bei einem mündigen und einwilligungsfähigen Patienten gegen seinen Willen auf Daten aus anderen Abteilungen zuzugreifen? Zu 7 a): Innerhalb der Charité ist es im derzeitigen Behandlungsvertrag möglich, den Zugriff auf Patientendaten aus vorherigen Behandlungen abzulehnen. Es wird diesbezüglich eine Einwilligungserklärung eingeholt. Verweigert der Patient die Abgabe einer solchen Einwilligungserklärung, wird dies in der Akte dokumentiert. b) "Es ist ein Irrglaube, dass Mitteilungen an andere Ärzte, Pflegende oder Mitarbeiter von Krankenkassen etc. keinen Geheimnisbruch darstellen, da diese Personen auch einer Schweigepflicht unterliegen. Eine Ausnahme von diesem strengen Grundsatz wurde in der Rechtslehre nur für Mitteilungen innerhalb des sog. therapeutischen Teams, (Ärzte und Pflegende einer Station) entwickelt." Schönke/Schröder, StGB, § 203, Rn. 19. „Die ärztliche Schweigepflicht gilt grundsätzlich auch gegenüber Klinikverwaltungen". Dt. Ärzteblatt,Jg. 102, Heft 5, 4. Februar 2005 In A. Fischer: Servicequalität und Patientenzufriedenheit im - - 6 Krankenhaus: Konzepte, Methoden, Implementierung, 2015 ist sogar von einem "unausrottbarem Irrglauben" die Rede. Wie bewertet der Senat vor diesem Hintergrund die Praxis der Charité? Was unternimmt der Senat, um diesen „Irrglauben“ abzustellen? Zu 7 b): Nach Auffassung des Senats kann ein genereller „Irrglaube“ in der Charité nicht festgestellt werden, sondern es ist jeweils eine Frage des Einzelfalls, ob ein Geheimnisbruch vorliegt. 8. Aus den Antworten auf die Schriftliche Anfrage Nr. 18/18149 ergibt sich, dass die Charité regelmäßig dagegen verstößt und Patienten gleichzeitig die Offenlegung von Zugriffsprotokollen verweigert. „Die Auswertung erfolgt anlassbezogen durch den Geschäftsbereich IT auf Anforderung der Stabsstelle Datenschutz unter Beteiligung des Ärztlichen Direktors.“ Auf welcher Rechtsgrundlage darf der Patient diese Auswertung zu seiner eigenen Person nicht sehen? Zu 8.: Aus den Antworten auf die Schriftliche Anfrage 18/18149 ergibt sich nicht, dass die Charité regelmäßig gegen gesetzliche Vorgaben verstößt. Ansonsten im Einzelnen: 8.1. Wie oft wurde eine solche Auswertung in den letzten 10 Jahren vorgenommen? Zu 8.1. Die Protokollierung ist seit Oktober 2012 im Einsatz, also erst 7 ½ Jahre. In dieser Zeit gab es ca. acht Anfragen des Datenschutzes pro Jahr. Da die entstehenden Auswertung im GB IT nach 3 Monaten gelöscht werden, ist eine genauere Aussage leider nicht möglich. 8.2. Wie viele Datenzugriffen gab es ohne Einverständnis des Patienten höchstenfalls? Zu 8.2. Wie bereits unter 1 h) und in der Schriftlichen Anfrage 18/18149 beantwortet, sind die jeweiligen Pflichtenverstöße für Abmahnungen nicht verschlagwortet aufbereitet und nicht in der Personalverwaltungssoftware elektronisch auswertbar. 8.3. Wie viele Datenzugriffe gab es ohne medizinische Notwendigkeit höchstenfalls? Zu 8.3. siehe Antwort zu 8.2. 8.4. In wie vielen Fällen hat die Charité/der ärztliche Direktor, in den letzten 10 Jahren, je Jahr, Abmahnungen oder andere arbeitsrechtliche Schritte wegen unerlaubter Datenzugriffe vorgenommen? Zu 8.4. siehe Antwort zu 8.2. Personaldaten werden ausschließlich zentral im Geschäftsbereich Personal vorgehalten. 9. Nach dem Urteil des Bundesgerichtshofs vom 11.04.1989 zu VI ZR 293/88 ist die Verbreitung von Fehldiagnosen grundsätzlich schmerzensgeldpflichtig. Wie soll aus Sicht des Senats ein Patient eine solche Entschädigung, geltend machen, wenn die Charité die Offenlegung von Zugriffsprotokollen verweigert? So kann ja nicht beurteilt werden, wie oft etwaige Fehldiagnosen verbreitet wurden. - - 7 Zu 9.: Bei Verdacht auf Verbreitung von Fehldiagnosen steht nach Auffassung des Senats für die Erhebung von Schmerzensgeld und Schadensersatzansprüchen der ordentliche Rechtsweg offen. 10. Die Angabe der Charité, dass sie Millionen Patientendaten sperrt und pseudonymisiert, die sie, wenn die Speicherfristen abgelaufen sind, angeblich nicht löschen kann, ist nicht nachvollziehbar. a) Kann das Datenverarbeitungssystem der Charité (um welche Software welchen Herstellers in welcher Version handelt es sich?) Daten löschen? Ja oder nein? Zu 10 a): Bei dem Datenverarbeitungssystem der Charité für Patientendaten handelt es sich um das System der Firma SAP. Bei dieser in einer Vielzahl anderer deutscher Krankenhäuser eingesetzten Software bestehen derzeit technische Schwierigkeiten, die Löschung vollständig umzusetzen. Es wurde hierzu ein Pilotverfahren innerhalb der Charité implementiert, in welchem das Thema Löschen mit Nachdruck verfolgt wird. a) Kann das Datenverarbeitungssystem der Charité Daten unwiderruflich unkenntlich machen? Ja oder Nein? Zu 10 b): Ja, dies ist mit hohem manuellem Aufwand im Einzelfall möglich. 11. Was bedeutet aus Sicht der Charité „pseudonymisieren“ im Falle von Daten, deren Löschfrist abgelaufen ist? Kann dann niemand mehr in der Charité diese Daten auf einen Namen zurückverfolgen? Zu 11.: Wenn niemand eine Zuordnung einer Information zu einer natürlichen Person vornehmen könnte, sind die Daten „anonymisiert“. Im Falle der „Pseudonymisierung“ ist eine solche Zuordnung zwar im Einzelfall noch möglich; es werden aber technisch und organisatorische Maßnahmen gemäß Art. 4 Nr. 5 DS-GVO implementiert, die gewährleisten, dass die Daten im Regelfall nicht einer identifizierbaren natürlichen Person zugewiesen werden können. 12. Zu wie vielen Patienten speichert die Charité Datensätze, die gelöscht sein müssten, (gesperrt) mit Klarnamen der Patienten, ohne dass diese dazu ihr schriftliches Einverständnis gegeben haben? Zu 12.: Die der Frage zugrundeliegende Annahme ist nach Auffassung der Charité nicht zutreffend. Die Charité ist gesetzlich verpflichtet, im Rahmen von Archivierungsfristen die Behandlungsdokumentation entsprechend der vorgegebenen Fristen aufzubewahren. Ein Anspruch auf Datenlöschen innerhalb der vorgegebenen Fristen besteht nicht. 13. Werden an das Berliner Institut für Gesundheitsforschung / Berlin Institute of Health (BIH) Patientendaten aus der Charité (elektronisch) übermittelt? Zu 13.: Bei Patienten- bzw. Gesundheitsdaten sind Forschungsdaten und Versorgungsdaten zu unterscheiden. Forschungsdaten werden von Mitarbeiterinnen und Mitarbeitern des Berliner Instituts für Gesundheitsforschung (BIG) auf Basis der Erlaubnisgrundlage - - 8 „Information und Einwilligung“ verarbeitet. Versorgungsdaten, also Gesundheitsdaten, die in der Charité , anderen Universitätsklinika und weiteren Gesundheitsinstitutionen primär für die Versorgung erhoben werden, dürfen in der Regel – solange keine gesonderte Informierte Einwilligung eingeholt wurde - nur von den jeweilig behandelnden Ärztinnen und Ärzten sekundär in der sogenannten „Eigenen Forschung“ verarbeitet werden. Das BIG erhält nur anonym-aggregierte Teil- oder Endergebnisse. 14 Wie viele Patienten haben bisher eine vollständige Auskunft nach DSGVO bei der Charité Berlin gestellt und dabei keine Abrechnungsdaten aus der Finanzabteilung, nach Altdaten erhalten? Zu 14.: Es wurden bisher neun vollständige Auskunftsersuchen nach DS-GVO mit dem Hinweis auf Übermittlung der Abrechnungsdaten an die jeweiligen Krankenkassen beauskunftet, allerdings ohne Kopien der Abrechnungsdaten. 17. Wie viele Patienten haben bisher eine vollständige Auskunft nach DSGVO bei der Charité Berlin gestellt und dabei keine Ausdrucke aus dem elektronischen System zu Ihrer Person erhalten? Zu 17.: Kein Patient hat keine Ausdrucke erhalten. 18. Wie viele Patienten haben bisher eine vollständige Auskunft nach der DSGVO gestellt und dabei keine Daten von der Charité erhalten, die schon gelöscht sein müssten, aber noch einem Namen zugeordnet werden können? Zu 18.: Der Charité ist bis zum heutigen Zeitpunkt ein derartiger Fall bekannt. Von den bisher gestellten 49 Auskunftsersuchen nach DSGVO werden derzeit noch sieben Ersuchen bearbeitet. 19. Die Berliner Datenschutzbeauftragte behauptet laut dem Zitat der Charité in der Antwort auf die Schriftliche Anfrage 18/18149 , dass die Charité das Einverständnis zur Einholung von Vorbehandlungsdaten aus anderen Abteilungen im Rahmen des Behandlungsvertrages bei Patienten einholt. Sind Fälle aus den letzten 5 Jahren bekannt, in denen das nicht geschehenen ist? Wenn ja, wie viele? Zu 19.: Derzeit ist ein Fall bekannt, der noch bearbeitet wird und bei dem ggf. eine Einwilligung nicht vorlag. 20. „Welche Chefärzte (in allgemeinen Ambulanzen, Spezialambulanzen, Abteilungen etc.) gehen mit ambulanten Privatpatienten einen direkten Behandlungsvertrag ein oder gilt das für alle Chefärzte der Charité?“ Bitte um namentliche Benennung. Zu 20: Der Begriff des Chefarztes ist gesetzlich nicht eindeutig definiert. An der Charité sind derzeit 47 Ärztinnen und Ärzte tätig, die das Recht zur Eingehung eines ambulanten Behandlungsvertrages mit Privatpatienten haben. Namen und damit Details zu Vertragsverhältnissen nennt die Charité unter Verweis auf den Datenschutz nicht. - - 9 21. Wie kann es bei ambulanten Privatpatienten "Wahlärzte" geben? Zu 21: Wahlärztinnen und -ärzte werden von Krankenhäusern für die Erbringung stationärer Wahlleistungen benannt. Diese Wahlärztinnen und -ärzte halten gelegentlich auch ambulante Sprechstunden ab. Üblicherweise wird diese Behandlung als „privatärztliche“ Behandlung bezeichnet und unterliegt anderen rechtlichen Rahmenbedingungen. 22. Wie viele Fälle sind der Charité bekannt, in denen Patienten Rechnungen für Laboruntersuchungen von Ärzten erhalten haben, die Sie nicht selbst gewählt haben? Auf welcher Rechtsgrundlage entscheidet die Charité frei, mal durch den einen, mal durch den anderen Arzt dies oder jenes abrechnen zu lassen, obwohl diese Leistungen nicht von diesen Personen, sondern vom Labor Berlin, erbracht wurden? Die Charité schreibt: „Nur sogenannte Altvertraglerinnen und Altvertragler mit eigenem, fortbestehendem Liquidationsrecht gehen einen direkten Behandlungsvertrag mit den Patientinnen und Patienten ein.“ Zu 22.: Üblicherweise haben Patientinnen und Patienten keinen direkten Kontakt zu den Laborärztinnen und -ärzten, denn Laborärztinnen und -ärzte werden im Rahmen der sogenannten „Wahlarztkette“ (stationäre Behandlung) oder durch Privatzuweisung tätig. Die Patientin oder der Patient hat keine Wahlmöglichkeit für die Leistungserbringer innerhalb der Wahlarztkette . Bei der Privatzuweisung gäbe es ein Widerspruchsrecht. Im Regelfall stimmt die Patientin oder der Patient jedoch durch konkludentes Verhalten (z.B. Blutentnahme) zu. Spezielle Einwilligungen werden üblicherweise nicht eingeholt. Die Ärztin oder der Arzt wird nach allgemeiner Auffassung – so der Bundesgerichtshof - in der Regel als Stellvertreterin oder Stellvertreter des Patienten tätig und begründet hiermit ein weiteres Behandlungsverhältnis , jetzt zwischen Patient und Laborärztin oder -arzt. Es gibt wenige Fälle, bei denen ein die Patientin oder den Patienten direkt behandelnde Ärztin oder behandelnder Arzt die Qualifikation und Abrechnungsgenehmigung für die Erbringung von speziellen Laborleistungen hat. Grundsätzlich entscheidet die Charité nicht „frei“, von welcher Laborärztin oder welchem Laborarzt die Leistung erbracht wird. Je nach Untersuchung und einsendender Einrichtung gibt es eine Festlegung, welche Ärztin oder welcher Arzt privat- und wahlärztliche Laborleistungen erbringen darf. Die Festlegung wird danach getroffen, welche Laborärztin oder welcher Laborarzt die höchste Kompetenz bei der Beurteilung der Laborwerte hat. Diese Charité-Ärztinnen und -ärzte bedienen sich überwiegend delegierbarer technischer Dienstleistungen von LaborBerlin. Bestimmte Laborleistungen werden auch von externen Laboren (inkl. LaborBerlin) komplett erbracht. 23. Die Charité äußert die Vorstellung, Sie selbst dürfte bestimmen, mit welchem Arzt ein Privatpatient ein Behandlungsverhältnis eingeht? Die Rechtsprechung sieht es vor, so z. B. BGH-Urteil vom 20.09.1988, Az: VI ZR 296/87, dass der Privatpatient, der sich im Krankenhaus ambulant behandeln lässt, grundsätzlich in vertragliche Beziehungen zu dem Chefarzt tritt, der die Ambulanz betreibt und aufgrund einer Abmachung mit dem Krankenhausträger die in der Ambulanz erbrachten privatärztlichen Leistungen liquidieren kann. Ist aus Sicht der Aufsichtsbehörde die Praxis der Charité mit der o.g. Rechtsprechung des Bundesgerichtshofs in Einklang zu bringen, nach der ein Privatpatient regelmäßig ein Behandlungsverhältnis mit dem Arzt direkt eingeht? - - 10 Zu 23.: Ja. 24. Die Charité gibt an mit 9 Patienten eine außergerichtliche Einigung eingegangen zu sein. Wurden diese 9 Patienten von der Charité über die Inhalte der Vereinbarung zum Schweigen verpflichtet, wenn ja, warum? Zu 24.: Die Charité erteilt zu Details solcher Vereinbarungen keine Auskunft. 25. Wie viele Vergleichsangebote, die nicht zum Abschluss kamen, sind dem Ärztlichen Direktor noch in Erinnerung? In welcher Höhe wurde den Patienten in diesen Fällen Geld geboten, für was? Zu 25. Die Charité erteilt zu Einzellfällen keine Auskunft. 26. Die Charité behauptet, dass der Ärztliche Direktor im Zuge äußerst umfassenden Schriftwechsel von einer Patientin den Hinweis auf eine fehlerhafte Institutsbezeichnung erhalten zu haben, „verbunden mit dem Vorwurf des Abrechnungsbetrugs“. Weshalb und auf Tatsachengrundlage ist dieser Vorwurf als "fernliegend" bewertet worden? Sind die Aufsichtsbehörde oder die Ermittlungsbehörden über den Sachverhalt informiert worden? Zu 26.: Wie bereits in der Schriftlichen Anfrage 18/18148 mitgeteilt wurde, befindet sich die Charité in einer langandauernden Auseinandersetzung mit einer Patientin über datenschutzrechtliche Fragen, die zu einem immensen Schriftwechsel – über 200 teils mehrseitige Schreiben und E-Mails – geführt hat. Die Patientin trug dabei ihre Rechtsauffassung vor und verband diese teilweise mit aus Sicht der Charité nicht näher benannten Vermutungen und Anschuldigungen. Im Zuge dessen wurde auch ein Hinweis auf eine fehlerhafte Institutsbezeichnung gegeben, verbunden mit dem Vorwurf des Abrechnungsbetrugs. Da die Charité zu der Auffassung gelangte, mit teilweise kaum begründeten Vorhalten konfrontiert zu werden, die den besonders beachtlichen Kern der Auseinandersetzung – Datenschutz – verließen, gelangte sie zu der Überzeugung, sich auf diesen zu konzentrieren und mit der gebotenen Sorgfalt aufzuklären. Angesichts dessen sah die Charité auch im Hinweis auf die fehlerhafte Institutsbezeichnung keinen Sachverhalt, der strafrechtliche Relevanz impliziert und damit keine Veranlassung, andere Behörden in Kenntnis zu setzen. Charité und Senat haben bereits vorgetragen, dass aus der fehlerhaften Institutsbezeichnung nicht zwangsläufig eine weitergehende Unrichtigkeit der Rechnungen folgt, da es bisher keine Hinweise gibt, dass die abgerechneten Leistungen nicht erbracht worden sind. Die Charité sah insofern keine Veranlassung für eine Anzeige bei den Strafverfolgungsbehörden. Die Aufsichtsbehörde kam bisher zu keinem anderen Resultat. 27. Kann die Charite heute ausschließen, dass über dieses Institut Leistungen abgerechnet wurden, die nicht erbracht wurden? - - 11 Zu 27.: Der Charité liegen bisher keine Anhaltspunkte vor, dass über dieses Institut Leistungen abgerechnet wurden, die nicht erbracht wurden. Im Rahmen von Rechnungslegungen sind Rechnungskorrekturen geschäftsmäßig nicht unüblich. Wie bereits in der Schriftlichen Anfrage 18/18148 in Antwort zu Frage 2. mitgeteilt wurde, hat die Aufsichtsbehörde die Charité angewiesen, eine externe Wirtschaftsprüfung zu beauftragen, um weitere Erkenntnisse zu der Abrechnungspraxis zu gewinnen und hierbei auch die datenschutzrechtlichen Belange zu betrachten und zu bewerten. Das Ergebnis der Prüfung ist abzuwarten. 28. Wie viele Rechnungen gibt/gab es, auf denen Leistungen, z. B. GOÄ-Ziffer 3922, wiederholt zu oft aufgelistet waren, ohne dass dies berechtigt war? Zu 28.: Siehe Antwort zu Frage 27. 29. In wie vielen Fällen konnte die Charité auf Nachfrage keine Einverständniserklärung vorlegen? Das wären doch dann nachgewiesene Fälle? Oder wie soll aus Sicht der Charité das Fehlen einer Einverständniserklärung anderes nachgewiesen werden, als dass sie seitens der Charité nicht vorgelegt werden kann? Zu 29.: Es wird innerhalb der Charité keine Statistik geführt, die eine Auswertung jeder einzelnen Auseinandersetzung mit Patienten ermöglichen würde. Lediglich in einem Einzelfall führten die von der Charité vorgelegten Informationen, Nachweise, Auskünfte und Unterlagen nicht zu einer Befriedung und rechtlich annehmbaren Lösung der Situation. Es handelt sich insoweit um einen Einzelfall. Berlin, den 11. April 2019 In Vertretung Steffen Krach Der Regierende Bürgermeister von Berlin Senatskanzlei - Wissenschaft und Forschung –