Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW)

Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz - GDSG NW)

Vom 22. Februar 1994 (Fn 1)

Erster Teil Allgemeine Grundsätze

§ 1 Ziel

Das Gesetz hat zum Ziel, das Recht auf informationelle Selbstbestimmung im Bereich des Gesundheitswesens zu gewährleisten.

§ 2 (Fn 6) Geltungsbereich

(1) Dieses Gesetz gilt für die Verarbeitung der personenbezogenen Daten

1. von Personen, die, auch aufgrund eines gesonderten ärztlichen Behandlungsvertrages, in einem zugelassenen Krankenhaus im Sinne von § 107 Abs. 1, § 108 und in einer Vorsorge- und Rehabilitationseinrichtung gemäß § 107 Abs. 2, § 111 des Sozialgesetzbuches, Fünftes Buch - Gesetzliche Krankenversicherung - (SGB V) vom 20. Dezember 1988 (BGBl. I S. 2477) in der jeweils geltenden Fassung, deren Träger nicht der Bund oder eine bundesunmittelbare Körperschaft gemäß Artikel 87 Abs. 2 des Grundgesetzes ist, (Einrichtung) ambulant oder stationär untersucht oder behandelt werden,

2. von Personen, für die Maßnahmen aufgrund des Gesetzes über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG) vom 17. Dezember 1999 (GV. NW. S. 662) in der jeweils geltenden Fassung getroffen werden,

3. von Personen, die vom Gesundheitsamt untersucht oder von dessen Maßnahmen betroffen werden.

(Patientendaten). Den Patientendaten sind gleichgestellt personenbezogene Daten Dritter, die bei Tätigkeiten nach Satz 1 den dort genannten Stellen bekannt werden. Den Untersuchungen nach Nummer 3 gleichgestellt sind Untersuchungen, die von Vollzugsärztinnen und Vollzugsärzten im Rahmen von § 118 Absatz 3 des Landesbeamtengesetzes vom 21. April 2009 (GV. NRW. S. 224), das zuletzt durch Artikel 1 des Gesetzes vom 9. Dezember 2014 (GV. NRW. S. 874) geändert worden ist, durchgeführt werden.

(2) Dieses Gesetz gilt, soweit nichts anderes bestimmt ist, nicht für die Verarbeitung von personenbezogenen Daten von Gefangenen und Sicherungsverwahrten sowie von Personen, die nach §§ 63, 64 des Strafgesetzbuches, nach §§ 81, 126a der Strafprozeßordnung oder nach § 73 des Jugendgerichtsgesetzes untergebracht sind.

(3) Kirchen und Religionsgemeinschaften treffen für Krankenhäuser und Einrichtungen im Sinne dieses Gesetzes, die ihrem Bereich zuzuordnen sind, eigene Regelungen, die den Zielen dieses Gesetzes entsprechen.

§ 3 Subsidiaritätsklausel

Soweit dieses Gesetz nichts anderes bestimmt, gilt das Datenschutzgesetz Nordrhein-Westfalen (DSG NW) vom 15. März 1988 (GV. NW. S. 160) (Fn 2) in der jeweils geltenden Fassung. Für Krankenhäuser und Einrichtungen privater Träger gilt anstelle des Zweiten Teils des DSG NW § 38 des Bundesdatenschutzgesetzes (BDSG) vom 20. Dezember 1990 (BGBl. I S. 2954) in der jeweils geltenden Fassung.

§ 4 Einwilligung

(1) Eine Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Eine mündlich erteilte Einwilligung muß schriftlich dokumentiert werden. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben. Der Patient ist über Art, Umfang und Zweck der beabsichtigten Erhebung und Speicherung der Daten schriftlich zu unterrichten.

(2) Patienten sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihrer rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen. Ist der Patient aus tatsächlichen oder rechtlichen Gründen nicht in der Lage, die Einwilligung zu erteilen, ist die Erklärung durch seinen gesetzlichen Vertreter abzugeben.

(3) Auch mit Einwilligung dürfen unzumutbare oder sachfremde Angaben weder erhoben noch gespeichert werden.

§ 5 Übermittlung, Zweckbindung

(1) Die Übermittlung von Patientendaten ist, soweit in diesem Gesetz nichts anderes bestimmt ist, nur zulässig, soweit sie zur Erfüllung einer gesetzlichen Pflicht erforderlich ist, eine Rechtsvorschrift sie erlaubt oder der Betroffene im Einzelfall eingewilligt hat. Als Übermittlung gilt auch die Weitergabe von Patientendaten an Personen in anderen Organisationseinheiten innerhalb der Einrichtung oder öffentlichen Stelle, sofern diese Organisationseinheiten nicht unmittelbar mit Untersuchungen, Behandlungen oder sonstigen Maßnahmen nach § 2 Abs. 1 befaßt sind. Wenn mehrere Ärzte, Ärztinnen, Zahnärzte und Zahnärztinnen gleichzeitig oder nacheinander denselben Patienten untersuchen oder behandeln, so sind sie untereinander von der Schweigepflicht insoweit befreit, als das Einverständnis des Patienten vorliegt oder anzunehmen ist.

(2) Personen oder Stellen, denen Patientendaten übermittelt werden, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen zulässigerweise übermittelt worden sind. Im übrigen haben sie die Daten unbeschadet sonstiger Datenschutzvorschriften in demselben Umfang geheimzuhalten wie die übermittelnde Einrichtung oder öffentliche Stelle selbst.

§ 6 Datenverarbeitung für wissenschaftliche Zwecke

(1) Die Übermittlung von Patientendaten und die Verarbeitung sind zu Zwecken der wissenschaftlichen Forschung nur zulässig, soweit der Patient eingewilligt hat.

(2) Ohne Einwilligung des Patienten darf das wissenschaftliche Personal zu Zwecken der wissenschaftlichen Forschung Patientendaten nutzen, auf die es in den Einrichtungen oder öffentlichen Stellen aufgrund seiner Tätigkeiten nach § 2 Abs. 1 ohnehin Zugriff hat. Der Einwilligungdes Patienten bedarf es ferner nicht, wenn

1. der Zweck eines bestimmten Forschungsvorhabens nicht auf andere Weise erreicht werden kann,

2. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse des Patienten erheblich überwiegt und

3. es entweder nicht möglich ist oder dem Patienten aufgrund seines derzeitigen Gesundheitszustandes nicht zugemutet werden kann, ihn um seine Einwilligung zu bitten.

(3) Die übermittelnde Stelle hat den Empfänger, die Art der übermittelten Daten, den Namen des Patienten und das Forschungsvorhaben aufzuzeichnen.

(4) Sobald der Forschungszweck es gestattet, sind die Patientendaten so zu verändern, daß ein Bezug auf eine bestimmte natürliche Person nicht mehr erkennbar ist. Merkmale, mit deren Hilfe ein Personenbezug wieder hergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies gestattet.

(5) Veröffentlichungen von Forschungsergebnissen dürfen keinen Rückschluß auf die Person zulassen, deren Daten verarbeitet wurden, es sei denn, der Patient hat in die Veröffentlichung ausdrücklich eingewilligt.

(6) Einem Dritten dürfen Patientendaten nur übermittelt werden, wenn er sich schriftlich verpflichtet,

1. die Daten nur für das von ihm genannte Forschungsvorhaben zu verwenden,

2. die Bestimmungen der Absätze 4 und 5 einzuhalten und

3. der für die übermittelnde Stelle zuständigen Datenschutzkontroll- oder Aufsichtsbehörde auf Verlangen Einsicht zu gewähren

und die technischen und organisatorischen Voraussetzungen zur Erfüllung dieser Verpflichtungen nachweist.

§ 7 Datenverarbeitung im Auftrag

(1) Patientendaten sind grundsätzlich in der Einrichtung oder öffentlichen Stelle zu verarbeiten; eine Verarbeitung im Auftrag ist nur nach Maßgabe der Absätze 2 bis 4 zulässig.

(2) Die Verarbeitung von Patientendaten im Auftrag ist nur zulässig, wenn sonst Störungen im Betriebsablauf nicht vermieden oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können.

(3) Vor der Vergabe eines Auftrages zur Verarbeitung von Patientendaten hat sich der Auftraggeber zu vergewissern, daß beim Auftragnehmer die Wahrung der Datenschutzbestimmungen dieses Gesetzes und der ärztlichen Schweigepflicht sichergestellt ist. Patientendaten aus dem ärztlichen Bereich sind vom Auftragnehmer auf physisch getrennten Dateien zu verarbeiten. Der Auftragnehmer darf Patientendaten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Der Auftraggeber hat erforderlichenfalls dem Auftragnehmer Weisungen zur Ergänzung seiner technischen und organisatorischen Einrichtungen und Maßnahmen zu erteilen.

(4) Sofern Auftragnehmer eine nichtöffentliche Stelle ist, hat der Auftraggeber sicherzustellen, daß der Auftragnehmer sich, sofern die Datenverarbeitung im Geltungsbereich dieses Gesetzes durchgeführt wird, der Kontrolle durch den Landesbeauftragten für den Datenschutz unterwirft. Bei einer Auftragsdurchführung außerhalb des Geltungsbereichs dieses Gesetzes ist die zuständige Datenschutzkontrollbehörde zu unterrichten.

§ 8 Löschung von Daten

Patientendaten sind zu löschen, wenn ihre Speicherung unzulässig ist, sie zur Erfüllung der in diesem Gesetz genannten Zwecke nicht mehr erforderlich sind, die durch Rechtsvorschriften oder durch die ärztliche Berufsordnung vorgeschriebenen Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, daß durch die Löschung schutzwürdige Belange der Patienten beeinträchtigt werden. § 6 Abs. 4 bleibt unberührt.

§ 9 Rechte des Patienten

(1) Dem Patienten ist auf Verlangen unentgeltlich Auskunft über die zu seiner Person gespeicherten Daten sowie über die Personen und Stellen zu erteilen, von denen seine Patientendaten stammen und an die sie übermittelt wurden. Auf Wunsch ist ihm Einsicht in die über seine Person geführten Akten zu gewähren.

(2) Auskunftsanspruch und Akteneinsichtsrecht gelten für alle Aufzeichnungen über objektive physische Befunde und Berichte über Behandlungsmaßnahmen. Im Falle einer Gesundheitsgefährdung hat ein Arzt, eine Ärztin, ein Zahnarzt oder eine Zahnärztin (Arzt/Ärztin) die Auskunft über die gespeicherten Patientendaten oder die Einsicht in die Patientenakte zu vermitteln. Soweit eine unverhältnismäßige Beeinträchtigung der Gesundheit des Patienten zu befürchten ist, ist der Arzt/die Ärztin berechtigt, Angaben nach Satz 1 zurückzuhalten. Dem Patienten ist gleichwohl auf Verlangen uneingeschränkt Auskunft zu erteilen und Akteneinsicht zu gewähren; dies gilt nicht in den Fällen des § 2 Abs. 1 Nr. 2.

(3) Subjektive Daten und Aufzeichnungen im Rahmen der Behandlung können nach ärztlichem Ermessen zurückgehalten werden.

(4) Ein Recht auf Auskunft oder Akteneinsicht steht dem Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen des Patienten aufgezeichnet werden, überwiegen.

(5) Soweit die Akteneinsicht zu gestatten ist, kann der Patient Auszüge oder Abschriften selbst fertigen oder sich Ablichtungen gegen Kostenerstattung erteilen lassen.

Zweiter Teil 1. Abschnitt

Schutz von Patientendaten im Krankenhaus und in Vorsorge- oder Rehabilitationseinrichtungen

§ 10 Erhebung und Speicherung

(1) Patientendaten dürfen im Krankenhaus oder in der Einrichtung nur erhoben und gespeichert werden, soweit

a) dies zur Durchführung der Behandlung und Pflege einschließlich der Leistungsabrechnung oder zur Erfüllung der ärztlichen Dokumentationspflicht erforderlich ist oder

b) eine andere Rechtsvorschrift dies erlaubt.

Dies gilt unabhängig von den rechtlichen Beziehungen mit dem Patienten für alle im Krankenhaus oder der Einrichtung tätigen Personen (z.B. Personal des Trägers, liquidationsberechtigte Ärzte, Belegärzte, Konsiliarärzte).

(2) Darüber hinaus sind Erhebung und Speicherung zulässig, soweit der Patient im Einzelfall eingewilligt hat.

§ 11 Übermittlung und Nutzung von Daten

(1) Die Übermittlung und Nutzung von Patientendaten ist außer in den Fällen des § 5 Abs. 1 auch zulässig, soweit dies erforderlich ist zur

a) jeweiligen Aufgabenerfüllung im Sinne von § 10 Satz 1 Buchstabe a,

b) Nachbehandlung oder Rehabilitation, soweit der Patient nach Hinweis auf die beabsichtigte Übermittlung nichts anderes bestimmt hat,

c) Abwehr einer gegenwärtigen Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit des Patienten oder eines Dritten,

d) Abrechnung und Durchsetzung von Ansprüchen aufgrund der Behandlung,

e) Rechnungs- und Pflegesatzprüfung.

(2) Für die Qualitätssicherung und die Aus-, Fort- und Weiterbildung im Krankenhaus ist der Zugriff auf Patientendaten nur insoweit zulässig, als diese Zwecke nicht mit anonymisierten Daten erreicht werden können.

§ 12 Beauftragter für den Datenschutz

(1) Der Träger hat für die von ihm betriebenen Krankenhäuser oder Einrichtungen einen Datenschutzbeauftragten oder mehrere Datenschutzbeauftragte zu bestellen.

(2) Zum Datenschutzbeauftragten darf nur bestellt werden, wer dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt wird und die zur Erfüllung seiner Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzt. § 36 Abs. 3 Satz 1 bis 3 und Abs. 5 sowie § 37 des Bundesdatenschutzgesetzes vom 20. Dezember 1990 (BGBl. I S. 2954) gelten entsprechend.

2. Abschnitt

Schutz von Patientendaten im Rahmen von Maßnahmen nach dem PsychKG außerhalb von Einrichtungen nach dem 1. Abschnitt

§ 13 Erhebung und Speicherung

Patientendaten dürfen im Rahmen von Maßnahmen nach dem PsychKG nur erhoben und gespeichert werden, soweit

a) dies zur Durchführung der Maßnahmen erforderlich ist,

b) eine Rechtsvorschrift dies erlaubt oder

c) der Patient eingewilligt hat.

§ 14 Übermittlung von Daten

Die Übermittlung von Patientendaten ist außer in den Fällen des § 5 Abs. 1 auch zulässig, soweit dies erforderlich ist

a) zur Vorbereitung und Durchführung konkreter Maßnahmen nach dem PsychKG,

b) zur Abwehr einer gegenwärtigen Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit des Patienten oder eines Dritten oder

c) zur Abrechnung und Durchsetzung von Ansprüchen aufgrund von Maßnahmen nach dem PsychKG einschließlich der Feststellung der Leistungspflicht von Kostenträgern sowie zur Abrechnung mit diesen.

Dritter Teil (Fn 7) Krebsregister

§§ 15 - 22 (gestrichen)

Vierter Teil Gesundheitsämter

§ 23 Allgemeine Vorschriften

(1) Bei der Durchführung von Untersuchungen und sonstigen Maßnahmen durch Ärzte und andere Bedienstete der Gesundheitsämter dürfen Patientendaten nur erhoben und gespeichert werden, soweit

a) dies zur jeweiligen Aufgabenerfüllung erforderlich ist,

b) eine andere Rechtsvorschrift dies erlaubt oder

c) der Patient eingewilligt hat.

(2) Die Übermittlung der Daten an Dritte ist außer in den Fällen des § 5 Abs. 1 nur zulässig, soweit dies erforderlich ist zur Abwehr einer gegenwärtigen Gefahr für Leben, körperliche Unversehrtheit oder persönliche Freiheit des Betroffenen oder eines Dritten.

(3) Sofern dem Gesundheitsamt Patientendaten übermittelt wurden, darf das Verlangen auf Auskunft oder Akteneinsicht nur insoweit erfüllt werden, als es von der übermittelnden Einrichtung oder öffentlichen Stelle hätte erfüllt werden dürfen.

§ 24 Amtsärztliche Untersuchungen für den öffentlichen Dienst

(1) Amtsärztliches Gesundheitszeugnis ist die gutachtliche Stellungnahme des Gesundheitsamtes über den Gesundheitszustand von Bediensteten oder von Bewerbern/Bewerberinnen für eine Tätigkeit im öffentlichen Dienst.

(2) Bei der Durchführung von amtsärztlichen Untersuchungen für die Ausstellung eines ärztlichen Gesundheitszeugnisses dürfen Patientendaten nur erhoben und gespeichert werden, soweit dies zur Durchführung der Untersuchung für den jeweils angegebenen Untersuchungszweck erforderlich ist.

(3) Die die Untersuchung veranlassende Stelle darf in der Regel nur die Übermittlung des Ergebnisses der Untersuchung und dabei festgestellter Risikofaktoren verlangen. Die Weitergabe von Einzelergebnissen der Anamnese, der Untersuchung, von ergänzenden Befunden und Diagnosen an die die Untersuchung veranlassende öffentliche Stelle ist zulässig, soweit deren Kenntnis zur Entscheidung über die konkrete Maßnahme, zu deren Zweck die Untersuchung durchgeführt worden ist, erforderlich ist. Im übrigen gilt § 23 Abs. 2.

(4) Die Weiterverarbeitung der zum Zwecke der Eingehung eines Dienst- oder Arbeitsverhältnisses erhobenen Daten ist nur mit schriftlicher Einwilligung der Bewerber/Bewerberinnen zulässig.

(5) Das für das Gesundheitswesen zuständige Ministerium wird ermächtigt, durch Rechtsverordnung im einzelnen zu bestimmen:

1. Form und Inhalt des amtsärztlichen Gesundheitszeugnisses,

2. die erforderlichen Angaben zur Vorgeschichte des Untersuchten,

3. die erforderlichen Angaben im Untersuchungsbefund und

4. Form und Inhalt der Einwilligungserklärung des Betroffenen.

§ 25 Untersuchungen von Kindern im Kindergarten und von Schülern durch das Gesundheitsamt

(1) Bei der Untersuchung von Kindern, die in den Kindergarten aufgenommen oder eingeschult werden sollen, sowie von Kindern im Kindergarten und von Schülern durch Ärzte des Gesundheitsamtes dürfen Patientendaten nur erhoben und gespeichert werden, soweit dies zur Durchführung der Untersuchung erforderlich ist oder die Erziehungsberechtigten oder andere Personensorgeberechtigte eingewilligt haben.

(2) Die Anwesenheit Dritter bei der ärztlichen oder zahnärztlichen Untersuchung nach Absatz 1 ist nur zulässig, soweit es zur ordnungsgemäßen Durchführung der Untersuchung erforderlich ist.

(3) Zur Durchführung der Untersuchung von Kindern im Kindergarten oder zur Aufnahme in den Kindergarten zulässigerweise erhobene und gespeicherte Daten dürfen für die Einschulungsuntersuchung und für die Untersuchung von Schülern nur weitergegeben werden, wenn die Erhebung und Speicherung auch zu diesem Zweck nach Absatz 1 zulässig wäre.

(4) Die Weitergabe des Untersuchungsergebnisses an die Schulleitung ist nur zulässig, soweit dies zur rechtmäßigen Erfüllung der Aufgaben der Schule erforderlich ist. Den Erziehungsberechtigten oder anderen Personensorgeberechtigten ist eine Kopie der an die Schulleitung übersandten Mitteilung zu übersenden.

Fünfter Teil

§ 26 (Fn 3) Berichtspflicht

Die Landesregierung berichtet dem Landtag bis zum 31. Dezember 2009 über die Auswirkungen dieses Gesetzes.

Sechster Teil Schlußbestimmung

§ 27 (Fn 4) Inkrafttreten

Dieses Gesetz tritt am Tage nach der Verkündung in Kraft (Fn 5).

Die Landesregierung Nordrhein-Westfalen

Der Ministerpräsident

Der Innenminister zugleich für den Justizminister

Der Kultusminister

Die Ministerin für Wissenschaft und Forschung

Der Minister für Arbeit, Gesundheit und Soziales

Fussnoten