(1) Die datenschutzrechtlichen Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU Nr. L 119 S. 1) in der jeweils geltenden Fassung, unmittelbar gilt. Auf die ergänzenden Vorschriften des Landesdatenschutzgesetzes (LDSG) wird verwiesen. Sofern im Rahmen der Aufgabenerfüllung genetische oder biometrische Daten oder Gesundheitsdaten verarbeitet werden, sind die Anforderungen des Artikels 9 der Verordnung (EU) 2016/679 und des § 19 LDSG zu beachten. Patientendaten im Sinne der folgenden Bestimmungen sind auch personenbezogene Daten von Angehörigen oder anderen Bezugspersonen der Patientin oder des Patienten sowie sonstiger Dritter, die dem Krankenhaus im Zusammenhang mit der Behandlung bekannt werden.

(2) Patientendaten dürfen nur verarbeitet werden, soweit

1. 1.

   dies im Rahmen des Behandlungsverhältnisses auf vertraglicher Grundlage erforderlich ist,

2. 2.

   dies zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung oder zur Ausbildung oder Fortbildung erforderlich ist und dieser Zweck nicht in vertretbarer Weise mit anonymisierten oder pseudonymisierten Daten erreicht werden kann,

3. 3.

   eine Rechtsvorschrift es erlaubt oder

4. 4.

   die Patientin oder der Patient eingewilligt hat.

Die Einwilligung nach Satz 1 Nr. 4 bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Wird die Einwilligung mündlich erteilt, ist dies aufzuzeichnen. Im Übrigen regelt Artikel 7 der Verordnung (EU) 2016/679 die Bedingungen für die Einwilligung und, soweit genetische oder biometrische Daten oder Gesundheitsdaten betroffen sind, § 19 LDSG.

(3) Eine Übermittlung von Patientendaten an Personen und Stellen außerhalb des Krankenhauses ist nur zulässig, soweit sie erforderlich ist

1. 1.

   zur Erfüllung einer gesetzlich vorgeschriebenen Behandlungs- oder Mitteilungspflicht,

2. 2.

   zur Durchführung des Behandlungsvertrages einschließlich der Nachbehandlung, soweit nicht die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung etwas anderes bestimmt hat,

3. 3.

   zur Abwehr von gegenwärtigen Gefahren für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder von Dritten, sofern die genannten Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten deutlich überwiegen,

4. 4.

   zur Durchführung qualitätssichernder Maßnahmen in der Krankenversorgung, wenn dieser Zweck nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann und keine überwiegenden schutzwürdigen Belange der Patientin oder des Patienten der Übermittlung entgegenstehen,

5. 5.

   zur Durchführung eines mit der Behandlung zusammenhängenden gerichtlichen Verfahrens,

6. 6.

   an die Sozialleistungsträger zur Feststellung der Leistungspflicht und zur Abrechnung,

7. 7.

   an Personen, denen die gesetzliche Vertretung obliegt, soweit dies für die Wahrnehmung der damit zusammenhängenden Aufgaben erforderlich ist und

8. 8.

   an Angehörige nur durch die Ärztin, den Arzt, die Psychologische Psychotherapeutin, den Psychologischen Psychotherapeuten, die Kinder- und Jugendlichenpsychotherapeutin oder den Kinder- und Jugendlichenpsychotherapeuten, soweit es zur Wahrung der berechtigten Interessen der Angehörigen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung der Patientin oder des Patienten nicht möglich ist oder für sie oder ihn gesundheitlich nachteilig wäre.

Im Übrigen ist eine Übermittlung nur mit Einwilligung der Patientin oder des Patienten zulässig. Absatz 2 Satz 2 bis 4 gilt entsprechend.

(4) Stellen oder Personen, denen nach dieser Vorschrift personenbezogene Daten übermittelt worden sind, dürfen diese nur zu dem Zweck verwenden, zu dem sie ihnen befugt übermittelt worden sind. Im Übrigen haben sie diese Daten unbeschadet sonstiger Datenschutzbestimmungen in demselben Umfange geheim zu halten wie das Krankenhaus selbst.

(5) Der Patientin oder dem Patienten ist auf Antrag kostenfrei

1. 1.

   Auskunft über die zu ihrer oder seiner Person gespeicherten Daten sowie über die Personen und Stellen zu erteilen, an die personenbezogene Daten weitergegeben wurden, und

2. 2.

   Einsicht in ihre oder seine Krankenakten zu gewähren.

Soweit Auskunfts- und Einsichtsansprüche medizinische Daten der Patientin oder des Patienten betreffen, dürfen sie nur von der behandelnden Ärztin, vom behandelnden Arzt, von der behandelnden Psychologischen Psychotherapeutin, vom behandelnden Psychologischen Psychotherapeuten, von der behandelnden Kinder- und Jugendlichenpsychotherapeutin oder vom behandelnden Kinder- und Jugendlichenpsychotherapeuten erfüllt werden. Die Auskunfts- und Einsichtsansprüche können im Interesse der Gesundheit der Patientin oder des Patienten begrenzt werden; durch berechtigte Geheimhaltungsinteressen Dritter werden sie eingeschränkt.

(6) Patientendaten sind zu löschen, wenn

1. 1.

   sie zur Erfüllung der in Absatz 2 genannten Zwecke nicht mehr erforderlich und

2. 2.

   vorgeschriebene Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange der oder des Betroffenen beeinträchtigt werden.

(7) Nach Abschluss der Behandlung unterliegen personenbezogene Daten, die in automatisierten Verfahren gespeichert und direkt abrufbar sind, dem alleinigen Zugriff der jeweiligen Fachrichtung oder sonstigen medizinischen Betriebseinheit. Dies gilt nicht für diejenigen Daten, die für das Auffinden der sonstigen Patientendaten erforderlich sind. Die Eröffnung des Direktzugriffs auf den Gesamtdatenbestand für andere Stellen im Krankenhaus ist unter den Voraussetzungen des Absatzes 2 nur mit Zustimmung der Fachrichtung oder sonstigen medizinischen Betriebseinheit zulässig.

(8) Der Krankenhausträger hat die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich und angemessen sind, um die Beachtung der in den Absätzen 1 bis 7 enthaltenen Bestimmungen zu gewährleisten. Er bestellt nach den für ihn geltenden datenschutzrechtlichen Bestimmungen eine Beauftragte oder einen Beauftragten für den Datenschutz.

(9) Das Krankenhaus kann sich zur Verarbeitung von Patientendaten anderer Personen oder Stellen bedienen. Die Ausgestaltung der Auftragsverarbeitung durch den Auftragsverarbeiter regelt Artikel 28 der Verordnung (EU) 2016/679.