Wer kann auf Ihre Krankenakten zugreifen?

ByDr. J. K. Hartmann

Wichtige Erkenntnisse

  • Ihre privaten Krankenakten können von Ärzten, Gesundheitseinrichtungen und Versicherungen ohne vorherige Rückfrage eingesehen werden.
  • Sie können eine Kopie Ihrer eigenen Krankenakten anfordern und sich dafür entscheiden, diese weiterzugeben, wenn Sie ein Entlassungsformular unterzeichnen.
  • Es verstößt gegen das Gesetz, personenbezogene Gesundheitsdaten gemäß HIPAA weiterzugeben, wenn Sie nicht eingewilligt haben.

Auf Ihre privaten Gesundheitsdaten kann sowohl Ihr Gesundheitsdienstleister als auch die Personen, denen Sie Zugriff gewähren, zugreifen. Beispielsweise können Sie Ihren Familienangehörigen die Erlaubnis erteilen, Zugang zu Ihren Krankenakten zu erhalten.

In den Vereinigten Staaten legt der Health Insurance Portability and Accountability Act (HIPAA) Regeln darüber fest, wer die Krankenakten von Patienten einsehen darf. Es kann jedoch einige Ausnahmen von den HIPAA-Rechten geben. Sie werden überrascht sein, wenn Sie erfahren, dass andere Personen und Organisationen Ihre Krankenakten ohne Ihre Erlaubnis einsehen können.

In diesem Artikel wird erläutert, wie der Datenschutz in Krankenakten funktioniert. Obwohl die Liste nicht vollständig ist, enthält sie einige gängige Beispiele dafür, wer auf Ihre Unterlagen zugreifen kann. Außerdem erfahren Sie, warum sie Ihre Informationen haben möchten und wofür sie diese verwenden können.

Wer kann auf Patientenakten zugreifen?

Dutzenden Personen und Organisationen ist es gesetzlich gestattet, Ihre Krankenakten einzusehen. Sie können eine Anfrage stellen oder den Zugang dazu erwerben.

In einigen Fällen müssen Sie ihnen die Erlaubnis erteilen, auf Ihre Unterlagen zuzugreifen. Ihre Zustimmung ist jedoch nicht immer erforderlich. Manchmal haben Sie jemandem die Erlaubnis erteilt, auf Ihre Daten zuzugreifen, ohne es zu merken – zum Beispiel durch die Unterzeichnung einer Einverständniserklärung.

Zwar gibt es Sicherheitsvorkehrungen, um Datenverstöße zu verhindern, dennoch können Einzelpersonen oder Gruppen manchmal illegal auf Krankenakten zugreifen.

Nach Angaben des US-Gesundheitsministeriums gab es zwischen 2009 und 2023 mindestens 5.887 große Datenschutzverletzungen im Gesundheitswesen. Die meisten Datenschutzverletzungen im Jahr 2023 waren auf einen erheblichen Anstieg von Hacking- und Ransomware-Angriffen zurückzuführen.

Arten des Zugriffs auf Krankenakten

Es gibt zwei allgemeine Arten von Krankenakten, die geteilt oder gekauft werden: individuell identifizierbare Akten und aggregierte Akten.

  • Individuell identifizierbarer Datensatz: Diese Art von Datensatz enthält personenbezogene Daten wie den Namen einer Person, Ärzte, Versicherer, Diagnosen, Behandlungen und mehr. Dies ist die Akte, die Sie anfordern, um Ihre Krankenakten einzusehen. Diese Informationen können auch als geschützte Gesundheitsinformationen (PHI) bezeichnet werden.
  • Aggregierte Krankenakte: Bei diesem Datensatztyp handelt es sich um eine Datenbank, die viele verschiedene Daten, sogenannte Attribute, enthält. Diese Art von Aufzeichnung dient nicht der Identifizierung einer Person. Stattdessen werden Hunderte oder sogar Tausende von Datensätzen in Listen zusammengefasst. Alle diese Listen zusammen bilden eine große aggregierte Liste. Dieser Vorgang wird als „Data Mining“ bezeichnet.

Hier ist ein Beispiel für Data Mining: Ein Krankenhaus kann beschließen, die Daten aller Datensätze von Patienten zu analysieren, die sich einer Herzbypass-Operation unterzogen haben.

Der aggregierte Datensatz könnte Hunderte von Patienten enthalten. Sie werden alle anhand unterschiedlicher Faktoren kategorisiert, beispielsweise nach der Art ihrer Versicherung oder nach der Person ihres Gesundheitsdienstleisters.

HIPAA und Zugang zu Krankenakten

Bestimmte Personen und Organisationen haben das Recht, auf Ihre Krankenakten zuzugreifen.Sie werden gemäß HIPAA als abgedeckte Unternehmen eingestuft. Dies bedeutet, dass sie gemäß bestimmten behördlichen Richtlinien das Recht haben, auf Ihre Unterlagen zuzugreifen.

Zu den abgedeckten Unternehmen gehören:

  • Ärzte und verwandte medizinische Fachkräfte
  • Gesundheitseinrichtungen (z. B. Krankenhäuser, Labore, Pflegeheime)
  • Kostenträger (z. B. Medicare, Krankenkassen)
  • Technologieanbieter, die elektronische Gesundheitsakten führen
  • Die Regierung

Als betroffene Unternehmen haben sie sehr strenge Regeln, die sie befolgen müssen. Eine der wichtigsten Regeln besagt, wann für die Weitergabe Ihrer Unterlagen eine schriftliche Genehmigung von Ihnen eingeholt werden muss. Allerdings sind betroffene Unternehmen nicht verpflichtet, eine schriftliche Genehmigung zur Weitergabe Ihrer Daten einzuholen, wenn sie Aktivitäten im Zusammenhang mit Behandlung, Zahlung oder Gesundheitsversorgung durchführen.

Hier sind die anderen von der HIPAA festgelegten Regeln:

  • Dueinen gesetzlichen Anspruch auf Kopien haben Ihrer eigenen Krankenakten.
  • Ein geliebter Mensch oder BetreuerMöglicherweise haben Sie das Recht, Kopien Ihrer Krankenakten zu erhalten, wenn Sie ihnen die Erlaubnis dazu erteilen.
  • Ihre GesundheitsdienstleisterSie haben das Recht, Ihre Aufzeichnungen einzusehen und mit jedem zu teilen, dem Sie die Erlaubnis dazu erteilt haben. Wenn Ihr Hausarzt Sie beispielsweise an einen Facharzt überweist, werden Sie möglicherweise gebeten, ein Formular zu unterschreiben, das besagt, dass er Ihre Unterlagen an diesen Facharzt weitergeben darf.
  • Ihre Kostenträger im Gesundheitswesenhaben das Recht, Kopien Ihrer Krankenakten zu erhalten und diese gemäß den HIPAA-Gesetzen zu verwenden. Versicherungsgesellschaften, Medicare, Medicaid, Arbeitnehmerentschädigung, Invaliditätsversicherung der Sozialversicherung, das Department of Veterans Affairs oder jede institutionelle Einrichtung, die für einen Teil Ihrer Gesundheitsversorgung aufkommt, müssen möglicherweise Ihre Unterlagen überprüfen.
  • Bundes- und LandesregierungenMöglicherweise haben Sie Anspruch auf Ihre Krankenakten. Zusätzlich zur medizinischen Bezahlung haben möglicherweise auch andere Agenturen Zugriff auf Ihre Unterlagen. Beispielsweise könnten Strafverfolgungs- und Kinderschutzdienste Ihre Unterlagen einsehen, wenn eine Vorladung erwirkt wird. Wenn Sie einen Arbeitsunfall haben, muss die Bundesbehörde für Sicherheit und Gesundheitsschutz am Arbeitsplatz (OSHA) möglicherweise Ihre Unterlagen überprüfen.

  • Medical Information Bureau (die MIB Group) ist eine gemeinnützige Organisation, die vor mehr als 125 Jahren gegründet wurde. Es stellt Lebensversicherungsunternehmen Informationen zur Verfügung, um die Versicherungsberechtigung einer Person zu beurteilen. Die MIB Group verfügt möglicherweise über eine persönliche Aufzeichnung über Sie, die nicht den HIPAA-Gesetzen unterliegt.
  • Rezeptdatenbankenwie IntelliScript (Milliman) und MedPoint (Ingenix) verfügen höchstwahrscheinlich über datenbasierte Aufzeichnungen aller verschreibungspflichtigen Medikamente, die Sie in den letzten fünf oder mehr Jahren gekauft haben. Diese Informationen werden von Lebensversicherungs- oder Berufsunfähigkeitsversicherungsunternehmen verwendet, um zu bestimmen, ob sie Ihnen eine Versicherung verkaufen oder nicht.

Wie HIPAA persönliche medizinische Daten schützt

HIPAA regelt, wie und mit wem Ihre persönlichen medizinischen Daten geteilt werden können.

Gemäß HIPAA haben Sie einen gesetzlichen Anspruch auf Kopien Ihrer Krankenakten. Sie haben außerdem das Recht, Ihre Dokumente an jeden Ihrer Wahl weiterzugeben, sofern Sie eine Einverständniserklärung oder ein Freigabeformular unterzeichnen.

Mit HIPAA können Kostenträger auch Ihre Krankenakten einsehen. Versicherungsgesellschaften, Medicare, Medicaid, Workers Comp, Invalidity, die VA oder jede andere Institution, die einen Teil Ihrer Gesundheitsversorgung bezahlt, können Ihre Unterlagen anfordern.

Auch Lebensversicherungs- und Rezeptdatenbanken können auf Ihre Unterlagen zugreifen. Unter bestimmten Umständen kann sogar die Regierung Ihre Krankenakten einsehen.

Wer ist nicht durch HIPAA abgedeckt?

Arbeitgeber unterliegen nicht dem HIPAA. Auch wenn er Ihre Versicherung oder medizinische Versorgung aus eigener Tasche bezahlt, gestattet HIPAA Ihrem Arbeitgeber keinen Zugriff auf Ihre Krankenakten oder Versicherungsansprüche, da dies zu Diskriminierung führen könnte.

Ausnahmen von HIPAA

Es gibt einige Ausnahmen vom HIPAA, die je nach Bundesstaat unterschiedlich sein können, beispielsweise wenn ein Elternteil auf die Krankenakten eines Minderjährigen zugreifen möchte. Zu den Fällen, in denen die Krankenakten eines Minderjährigen den Eltern vorenthalten werden können, gehören:

  • Wenn die Zustimmung der Eltern nach staatlichen oder anderen geltenden Gesetzen nicht erforderlich ist und der Minderjährige derjenige ist, der der Betreuung zugestimmt hat
  • Wenn ein Minderjähriger aufgrund einer gerichtlichen Anordnung oder auf Weisung einer vom Gericht bestellten Person betreut wird
  • Wenn ein Elternteil zugestimmt hat, dass zwischen dem Minderjährigen und dem Gesundheitsdienstleister eine vertrauliche Beziehung bestehen darf

Illegale Offenlegung

In einigen Fällen ist der unbefugte Zugriff auf Krankenakten vorsätzlich und strafbar. In anderen Fällen ist die Offenlegung das Ergebnis der Nachlässigkeit einer anderen Person – auch Ihrer.

Es ist illegal, geschützte Gesundheitsinformationen gemäß HIPAA weiterzugeben. Dieses Gesetz erlaubt es jedoch nicht, nach einem Datenschutzverstoß Schadensersatz zu verlangen.

Wenn Sie glauben, dass Ihre Gesundheitsdaten illegal weitergegeben wurden, können Sie beim US-Gesundheitsministerium eine Beschwerde einreichen.

Hacker

Sie hören oft von Hackern, die sich illegal Zugang zu Tausenden von privaten Daten verschafft haben, seien es Gesundheitsdaten, Kreditkartendaten oder andere Informationsquellen.

Medizinische Informationen sind ein Hauptziel für Hacker, da Diebe mit dem Diebstahl medizinischer Identität viel Geld verdienen.

Allerdings suchen Hacker nicht nach den Aufzeichnungen einer bestimmten Person. Stattdessen möchten sie einfach so viele nicht aggregierte Datensätze wie möglich erhalten.

Gezielter illegaler Zugriff

Eine weitere illegale Form des Zugriffs betrifft die Akten eines einzelnen Patienten.

Beispielsweise könnte ein Unternehmen jemanden dafür bezahlen, die Krankenakte eines potenziellen Mitarbeiters einzuholen. In einer anderen Situation könnte ein Ehepartner nach den Unterlagen einer Person suchen, von der er sich scheiden lässt. Manchmal werden die Krankenakten von Prominenten gestohlen.

Versehentliche Lecks

Es gibt andere Möglichkeiten, wie Ihre privaten medizinischen Daten unbeabsichtigt öffentlich werden könnten.

Wenn Ihre Arztpraxis beispielsweise ein Kopiergerät mietet, werden in ihrem Speicher Tausende von kopierten Krankenakten in Papierform gespeichert. Wenn die Maschine an das Unternehmen zurückgeht, gehen möglicherweise auch die Unterlagen mit.

Das Gleiche kann passieren, wenn Computerfestplatten ausfallen. Sie könnten davon ausgehen, dass auf die Datensätze nicht zugegriffen werden kann, wenn der Computer nicht funktioniert.

Allerdings bedeutet die Tatsache, dass Laufwerke nicht mehr mit einem Computer funktionieren, nicht, dass jemand nicht an die darauf befindlichen Daten gelangen kann.

Wenn Sie Ihre Privatsphäre aufgeben

Sie erteilen Unternehmen oft die Erlaubnis, auf Ihre Unterlagen zuzugreifen, ohne es zu wissen. Hier sind einige häufige Beispiele, an die Sie vielleicht noch nicht gedacht haben:

  • Lebensversicherung:Die Formulare, die Sie beim Abschluss einer Lebensversicherung unterschreiben, erteilen dem Unternehmen in der Regel die Erlaubnis, auf Ihre Unterlagen zuzugreifen.
  • DNA- oder Gesundheitstests zu Hause:Wenn Sie häusliche Gesundheitstests in Anspruch nehmen, können die Unternehmen Ihre Gesundheitsinformationen nach Belieben nutzen.

Aggregierte Datensätze

Krankenakten in aggregierter Form werden aus vielen verschiedenen Gründen verwendet. Sobald die Informationen anonymisiert wurden (was bedeutet, dass kein Patient mehr identifizierbar ist), haben Organisationen das Recht, die Informationen zu aggregieren und sie dann weiterzugeben oder zu verkaufen.

Forschung

In der Forschung werden häufig aggregierte Daten verwendet. Die Studien, die die Daten verwenden, könnten Patienten in Zukunft helfen.

Daten verkaufen

Manchmal verkaufen Krankenhäuser und andere abgedeckte Einrichtungen aggregierte Daten.

Beispielsweise könnte ein Krankenhaus seine Daten von 1.000 Patienten, die sich einer Rückenoperation unterzogen hatten, an ein Unternehmen verkaufen, das Rollstühle verkauft.

In einem anderen Beispiel könnte eine Apotheke ihre Daten von 5.000 Kunden, die Rezepte für Cholesterinmedikamente abgegeben haben, an das örtliche Herzzentrum verkaufen.

Aggregierte Daten können auch für Marketingzwecke verwendet werden. Für viele Organisationen, die mit Patienten arbeiten, ist es eine große Einnahmequelle.

Öffentlichkeitsarbeit und Fundraising

Gemeinnützige und Wohltätigkeitsorganisationen können aggregierte Daten nutzen, um sie bei der Mittelbeschaffung zu unterstützen.

Lokale Organisationen können mit Krankenhäusern oder anderen Einrichtungen zusammenarbeiten, die Patientendaten sammeln. Staatliche, nationale oder internationale Organisationen finden andere Möglichkeiten, auf die Daten zuzugreifen.

Wenn Sie sich für die Anliegen einer Organisation interessieren, stehen Sie möglicherweise auf deren Spendenlisten. Dann werden Sie einbezogen, wenn sie ihre Daten zusammenfassen, um sie an eine andere Organisation zu verkaufen, die wissen möchte, wer an der Organisation interessiert ist.