Datenschutz für medizinische Informationen: Rechte und Pflichten von Arbeitgebern und Arbeitnehmern
Dieser Artikel erschien in der Januar/Februar-Ausgabe 2002 des Maryland Bar Journal.
EINFÜHRUNG
Arbeitgeber erhalten regelmäßig medizinische Informationen über Bewerber und Arbeitnehmer aus einer Vielzahl von Quellen, einschließlich Krankenversicherungsformularen, Berichten über die Entschädigung von Arbeitnehmern, Urlaubsanträgen, ärztlichen Notizen über Abwesenheiten und allgemeinen Gesprächen und Interaktionen mit Bewerbern und Arbeitnehmern. Obwohl den meisten Arbeitgebern klar ist, dass solche Informationen mit Vorsicht zu behandeln sind, ist vielen Arbeitgebern nicht bewusst, dass die medizinischen Informationen von Mitarbeitern und Bewerbern nach Bundes- und Landesrecht einem besonderen Schutz unterliegen können. Auf Bundesebene beziehen sich der Americans with Disabilities Act, der Family and Medical Leave Act, der Fair Credit and Reporting Act und die im Rahmen des Health Insurance Portability and Accountability Act erlassenen Verordnungen alle direkt oder indirekt auf medizinische Informationen, die sich im Besitz eines Arbeitgebers befinden. Auch die Gesetze und das Gewohnheitsrecht von Maryland erlegen Arbeitgebern Verpflichtungen und Beschränkungen auf.
ADA
Das Gesetz für Amerikaner mit Behinderungen (Americans with Disabilities Act, ADA), das für Arbeitgeber mit mindestens 15 Beschäftigten gilt, verbietet die Diskriminierung „einer qualifizierten Person mit einer Behinderung aufgrund der Behinderung“ in Bezug auf jeden Aspekt der Bewerbung oder Beschäftigung der Person. 42 USC §12112(a). Unterabschnitt (d) sieht vor, dass „das Verbot der Diskriminierung gemäß Unterabschnitt (a) auch medizinische Untersuchungen und Erhebungen umfasst“. Unterabschnitt (d) schränkt die medizinischen Untersuchungen ein, die Arbeitgeber bei Bewerbern und Arbeitnehmern durchführen dürfen, verpflichtet die Arbeitgeber, separate Formulare zu verwenden, um Informationen über den Gesundheitszustand oder die Krankengeschichte von Bewerbern und Arbeitnehmern zu sammeln, und verlangt von den Arbeitgebern, solche Informationen getrennt von anderen Personalakten aufzubewahren. Darüber hinaus verpflichtet das ADA die Arbeitgeber, solche Informationen vorbehaltlich bestimmter enger Ausnahmen vertraulich zu behandeln.
Gemäß dem Gesetz darf ein Arbeitgeber solche Informationen nur an folgende Personen weitergeben: (i) Vorgesetzte und Manager, wenn sie sich auf „notwendige Einschränkungen der Arbeit oder der Pflichten des Arbeitnehmers und notwendige Anpassungen“ beziehen; (ii) Erste-Hilfe- und Sicherheitspersonal, „wenn es angebracht ist, wenn die Behinderung eine Notfallbehandlung erfordern könnte“; und (iii) Regierungsbeamte, die die Einhaltung des ADA untersuchen, auf Anfrage. Die Equal Employment Opportunity Commission (EEOC), die das ADA durchsetzt, hat diese Bestimmungen in ihrem ADA Technical Assistance Manual und in Guidances interpretiert.
Der Leitfaden der EEOC über behinderungsbezogene Erkundigungen vor der Einstellung und ärztliche Untersuchungen im Rahmen des ADA (herausgegeben am 10. Oktober 1995) sieht vor, dass Arbeitgeber auch medizinische Informationen an Arbeiterunfallversicherungsträger und staatliche Arbeiterunfallbüros in Übereinstimmung mit den Arbeiterunfallgesetzen weitergeben können und „medizinische Informationen für Versicherungszwecke verwenden können“ – zum Beispiel, indem sie dem Versicherer des Arbeitgebers Informationen übermitteln, die für die Verwaltung eines Krankenversicherungsplans erforderlich sind. Der Leitfaden stellt auch fest, dass medizinische Informationen an Vertreter des Arbeitgebers weitergegeben werden können, die am Einstellungsverfahren oder an der Umsetzung eines Förderprogramms beteiligt sind, sofern diese Vertreter „die Informationen kennen müssen“
Derselbe EEOC-Leitfaden sieht vor, dass die Vertraulichkeitsverpflichtungen des Arbeitgebers gemäß dem ADA für medizinische Informationen gelten, die ein Bewerber oder Arbeitnehmer dem Arbeitgeber freiwillig offengelegt hat, zusätzlich zu den Informationen, die eine Person als Antwort auf medizinische Anfragen oder eine medizinische Untersuchung zur Verfügung gestellt hat. In den Leitlinien heißt es, dass die allgemeinen Personalakten der Mitarbeiter „kein medizinisches Material“ enthalten sollten. In diesem Zusammenhang wird in den Leitlinien unterschieden zwischen der bloßen Mitteilung, dass ein Mitarbeiter krankgeschrieben ist oder einen Arzttermin hatte, was nicht als medizinische Information gilt, und Unterlagen, die Informationen über die Diagnose oder Symptome des Mitarbeiters enthalten, was als medizinische Information gilt. Gemäß den Leitlinien enden die Vertraulichkeitsverpflichtungen nicht, wenn eine Person kein Bewerber oder Arbeitnehmer mehr ist.
Abschnitt 6.5 des Technical Assistance Manual on the Employment Provisions of the ADA der EEOC (herausgegeben im Januar 1992) sieht vor, dass ein Arbeitgeber „Maßnahmen ergreifen sollte, um die Sicherheit der medizinischen Informationen zu gewährleisten“, einschließlich der Aufbewahrung der Informationen „in einer medizinischen Akte in einem separaten, verschlossenen Schrank, getrennt von den Personalakten“ und der Beschränkung des Zugangs zu solchen Akten auf eine bestimmte Person oder Personen. Das Handbuch erlaubt auch die Offenlegung gegenüber Regierungsbeamten, die die Einhaltung anderer Bundes- und Landesgesetze untersuchen, die eine Diskriminierung aufgrund einer Behinderung verbieten, und die Offenlegung gemäß „anderen Bundesgesetzen und -verordnungen kann ebenfalls die Offenlegung relevanter medizinischer Informationen erfordern“
Die EEOC’s Enforcement Guidance on Disability-Related Inquiries and Medical Examinations Under the ADA (herausgegeben am 26. Juli 2000) sieht vor, dass ein Arbeitgeber einen Angestellten, der sich für eine andere Stelle innerhalb des Unternehmens bewirbt, wie einen Bewerber behandeln sollte. Dementsprechend stellt die EEOC fest, dass ein derzeitiger Vorgesetzter, der von medizinischen Informationen über einen solchen Mitarbeiter weiß, diese Informationen nicht an eine Person weitergeben darf, die mit dem Mitarbeiter ein Vorstellungsgespräch für die neue Stelle führt, oder an einen Vorgesetzten für diese neue Stelle.
In dieser Leitlinie vertritt die EEOC die Position, dass die Einschränkungen für medizinische Untersuchungen und die Vertraulichkeitsverpflichtungen für „alle Mitarbeiter gelten, nicht nur für diejenigen mit Behinderungen“. Diese Position wird vom achten, neunten und zehnten Gerichtsbezirk unterstützt, steht aber im Gegensatz zur Position des fünften Gerichtsbezirks. Vergleichen Sie Griffin v. Steeltek, 160 F.3d 591 (10. Bezirk 1998); Fredenburg v. County of Contra Costa, 172 F. 3d 1176 (9. Bezirk 1999); und Cossette v. Minnesota Power and Light, 1888 F. 3d 964 (8. Bezirk 1999) mit Armstrong v. Turner Industries, Inc. 141 F. 3d 554 (5. Bezirk 1998). Der Dritte Bundesberufungsgerichtshof hat es kürzlich abgelehnt, über diese Frage zu entscheiden. Tice v. Centre Area Transportation Authority, 245 F. 3d 506 (3d Cir. April 23, 2001).
Zusätzlich zu den Rechtsstreitigkeiten darüber, ob eine nicht behinderte Person einen Anspruch nach §12112(d) geltend machen kann, haben sich die Gerichte mit dem Ausmaß des Schadens befasst, der für einen Anspruch nach dieser Bestimmung erforderlich ist. In neueren Entscheidungen von Berufungsgerichten wird von einem Kläger verlangt, dass er nachweist, dass die Verletzung von §12112(d) ihm einen Schaden zugefügt hat.
In Tice bestätigte das Dritte Bundesberufungsgericht die Gewährung eines Urteils im Schnellverfahren gegen einen Angestellten und entschied, dass ein Kläger keine Klage wegen Verletzung von §12112(d) erheben kann, ohne das Vorhandensein eines tatsächlichen Schadens nachzuweisen, „entweder durch einen tatsächlichen Schaden (emotionaler, finanzieller oder sonstiger Art) oder durch das Vorhandensein einer fortdauernden rechtswidrigen Praxis, der der Kläger ohne gerichtliche Intervention wahrscheinlich ausgesetzt sein wird“. Das Gericht befand, dass die bloßen Behauptungen des Klägers über „geistige/seelische Not, seelische Qualen, Stress und Unannehmlichkeiten“ nicht ausreichend waren. Das Gericht schloss mit einem Verweis auf die Entscheidung des Fifth Circuit in der Rechtssache Armstrong und stellte fest, dass „es weder im Text des ADA noch in seiner Geschichte einen Hinweis darauf gibt, dass ein technischer Verstoß gegen §12112(d) zu Schadenersatz führen soll“.
In der Rechtssache Cossette stellte der Eighth Circuit fest, dass ein Kläger als Voraussetzung für die Aufrechterhaltung einer Klage „eine greifbare Verletzung nachweisen muss, die durch die angebliche rechtswidrige Offenlegung verursacht wurde“. Frau Cossette behauptete, dass ihr Arbeitgeber unrechtmäßig vertrauliche medizinische Informationen sowohl innerhalb des Unternehmens als auch an eine unabhängige Stelle, bei der sie sich um eine Stelle beworben hatte, weitergegeben hatte. Das Gericht stellte fest, dass, wenn die unrechtmäßige Weitergabe an den zukünftigen Arbeitgeber dazu geführt hätte, dass ihr eine besser bezahlte Stelle verweigert worden wäre, sie einen realisierbaren ADA-Anspruch hätte. Das Gericht stellte dann fest, dass die interne Offenlegung „problematischer“ war. Das Gericht stellte fest, dass die herablassende und herablassende Behandlung durch Kollegen aufgrund der Offenlegung vertraulicher medizinischer Informationen „keine nachteilige Beschäftigungsmaßnahme darstellt, die erforderlich wäre, um einen Anscheinsbeweis für eine Diskriminierung aufgrund einer Behinderung gemäß §12112(a) zu erbringen“. Es verwies den Fall jedoch zurück, damit das Bezirksgericht feststellen konnte, ob eine solche Behandlung eine ausreichende Grundlage für eine Klage wegen unrechtmäßiger Offenlegung medizinischer Informationen gemäß §12112(d) darstellt.
In der Rechtssache Griffin gegen Steeltek setzte sich der Kläger bei seiner ersten Anrufung des Zehnten Bezirksgerichts durch, das entschied, dass er nicht behindert sein muss, um eine Klage gemäß §12112(d) zu erheben. Vor dem Bezirksgericht verlor Herr Griffin in der Sache selbst. Bei der Abweisung seiner zweiten Berufung entschied der Zehnte Bundesberufungsgerichtshof in der Rechtssache Griffin gegen Steeltek, 2001 U.S. App. LEXIS 18917 (22. August 2001), dass „die bloße Tatsache, dass eine unzulässige Frage gestellt wird, allein nicht ausreicht, um einen erkennbaren Schaden zu verursachen“, und dass Schadenersatz (auch nominaler Schadenersatz) nur dann geleistet werden kann, wenn der Kläger nachweist, dass der Arbeitgeber durch das Stellen einer verbotenen Frage „tatsächlich eine ungesetzliche vorsätzliche Diskriminierung“ begangen hat. Das Gericht bestätigte dann die Verweigerung der Anwaltskosten für den Kläger und berief sich dabei auf die jüngste Entscheidung des Obersten Gerichtshofs in der Rechtssache Buckannon Bd. & Care Home, Inc. v. West Va. Dept. of Health & Human Resources, 121 S. Ct. 1835 (2001). Der Tenth Circuit wies die Theorie des „Katalysators für Veränderungen“ zurück und entschied, dass ein Kläger, der in einem ADA-Fall nicht durch ein Urteil oder eine Einverständniserklärung in der Sache obsiegt, keinen Anspruch auf Anwaltsgebühren hat, „selbst wenn die Verfolgung des Rechtsstreits eine gewünschte und freiwillige Veränderung im Verhalten des Beklagten bewirkt hat“, wie die Einstellung unzulässiger Untersuchungen.
Die EEOC hat zahlreiche Klagen eingereicht, in denen ADA-Ansprüche gegen Arbeitgeber gemäß §12112(d) geltend gemacht werden, die auf unzulässigen Untersuchungen, der Vermischung medizinischer Informationen in Personalakten oder Verstößen gegen die Vertraulichkeit beruhen. In all diesen Fällen machte die EEOC jedoch auch andere Verstöße gegen das ADA oder andere Bürgerrechtsgesetze geltend. Von den 27 Fällen, die sich im September 2001 auf der aktiven Prozessliste des EEOC-Bezirksbüros in Baltimore befanden, enthält ein Fall die Behauptung, dass der Arbeitgeber es versäumt hat, medizinische Informationen in einer separaten Akte aufzubewahren, und ein anderer Fall enthält eine Klage wegen unrechtmäßiger Offenlegung vertraulicher medizinischer Informationen.
Es gibt keine Entscheidungen des Fourth Circuit oder des Bundesbezirksgerichts für den Bezirk Maryland, die sich mit der Haftung eines Arbeitgebers für die Verletzung der ADA-Bestimmungen befassen, die eine vertrauliche Behandlung medizinischer Informationen vorschreiben. Die EEOC bemüht sich weiterhin um die Durchsetzung dieser Bestimmungen. Darüber hinaus haben Einzelpersonen ein privates Klagerecht im Rahmen des ADA. Das Ausmaß des Risikos für Arbeitgeber, die gegen die Vertraulichkeitsbestimmungen des ADA verstoßen, muss noch ermittelt werden.
FMLA
Auch andere Bundesgesetze schützen medizinische Informationen im Zusammenhang mit der Beschäftigung. Das Familien- und Medizinurlaubsgesetz (Family and Medical Leave Act, FMLA), 29 U.S.C. §§ 2601 et seq., bietet indirekt Schutz für medizinische Informationen von Arbeitnehmern, indem es das Recht des Arbeitgebers einschränkt, solche Informationen anzufordern oder zu hinterfragen. Arbeitgeber können von Arbeitnehmern, die FMLA-Urlaub aufgrund ihres eigenen schweren Gesundheitszustands oder des schweren Gesundheitszustands eines Angehörigen nehmen, eine ärztliche Bescheinigung des Gesundheitsdienstleisters verlangen. Nach den Vorschriften des Arbeitsministeriums kann ein Arbeitgeber jedoch nicht die Diagnose des Arbeitnehmers oder eines Angehörigen verlangen. 29 CFR § 825.306. Sobald die ärztliche Bescheinigung vorliegt, darf der Arbeitgeber außerdem keine weiteren Informationen vom Gesundheitsdienstleister anfordern. Der Arbeitgeber kann sich zwar mit dem Gesundheitsdienstleister des Arbeitnehmers in Verbindung setzen, um die ärztliche Bescheinigung zu klären oder zu bestätigen, aber der Kontakt muss von einem Gesundheitsdienstleister, der den Arbeitgeber vertritt, und nur mit der Erlaubnis des Arbeitnehmers hergestellt werden. 29 CFR § 825.307. Befindet sich der Arbeitnehmer hingegen in einer Workers‘ Compensation Abwesenheit, die gleichzeitig mit dem FMLA-Urlaub läuft, und erlauben die Bestimmungen des Workers‘ Compensation Statuts dem Arbeitgeber einen direkten Kontakt mit dem Workers‘ Compensation Arzt des Arbeitnehmers, dann kann der Arbeitgeber weiterhin einen solchen Kontakt haben. 29 CFR § 825.307 (a)(1).
FCRA
Das Bundesgesetz über faire Kreditwürdigkeit und Berichterstattung (Fair Credit and Reporting Act, FCRA), 15 U.S.C. §§ 1681-1681u, bietet ebenfalls Schutz für medizinische Informationen über Arbeitnehmer. Das FCRA regelt den Zugang eines Arbeitgebers zu „Verbraucherberichten“ von einer „Verbraucherauskunftei“. 15 U.S.C. § 1681. Das Gesetz verpflichtet einen Arbeitgeber, einem Bewerber oder Mitarbeiter mitzuteilen, dass er Informationen von einer Auskunftei einholen wird, um die Einstellung der betreffenden Person zu prüfen. 15 U.S.C. § 1681d. Abschnitt 604(g) des FCRA verbietet es Verbrauchermeldeagenturen, Berichte, die medizinische Informationen enthalten, zu Beschäftigungszwecken oder in Verbindung mit Kredit- oder Versicherungsgeschäften ohne die ausdrückliche vorherige Zustimmung des Verbrauchers, der Gegenstand des Berichts ist, zu erstellen. Wenn medizinische Informationen zu Beschäftigungszwecken eingeholt werden, muss der Verbraucher ausdrücklich in die Freigabe der medizinischen Informationen einwilligen, zusätzlich zur Ermächtigung des Arbeitgebers, eine allgemeine Verbraucherauskunft einzuholen. Abschnitt 603(i) definiert „medizinische Informationen“ als „Informationen oder Aufzeichnungen, die mit Zustimmung der Person, auf die sie sich beziehen, von zugelassenen Ärzten oder Heilpraktikern, Krankenhäusern, Kliniken oder anderen medizinischen oder medizinisch verwandten Einrichtungen erhalten wurden“. Informationen aus nicht-medizinischen Quellen, wie z. B. von Arbeitgebern, sind keine „medizinischen Informationen“.
HIPAA
Als der Kongress den Health Insurance Portability and Accountability Act, 42 U.S.C. § 1320d, et seq. („HIPAA“), enthielt er Bestimmungen zur „Verwaltungsvereinfachung“, die darauf abzielten, die „Effizienz und Effektivität des Gesundheitssystems … durch die Festlegung von Standards und Anforderungen für die elektronische Übermittlung bestimmter Gesundheitsinformationen zu verbessern.“ P.L. 104-191 § 261. Die Betonung der elektronischen Übermittlung von Gesundheitsdaten gab Anlass zu Bedenken hinsichtlich des Datenschutzes, und das Gesetz verpflichtete den Minister für Gesundheit und Humandienste („HHS“), dem Kongress Empfehlungen zum Datenschutz von Gesundheitsdaten vorzulegen, und sah vor, dass der Minister Verordnungen zum Schutz des Datenschutzes von Gesundheitsdaten erlassen musste, falls der Kongress nicht innerhalb von drei Jahren ein Gesetz verabschiedete. P.L. 104-191 § 264. Der Kongress verabschiedete kein Gesetz, und das HHS erließ die endgültigen HIPAA-Datenschutzbestimmungen im Dezember 2000. 65 Fed. Reg. 82526 (28.12.00). Die Einhaltung der Vorschriften ist bis zum 14. April 2003 erforderlich, obwohl kleine Gesundheitspläne (definiert als solche mit jährlichen Einnahmen von 5 Millionen Dollar oder weniger, 45 C.F.R. § 160.103) ein zusätzliches Jahr Zeit haben.
Die HIPAA-Datenschutzbestimmungen gelten direkt für „abgedeckte Einrichtungen“: Gesundheitspläne, Verrechnungsstellen für das Gesundheitswesen und Anbieter von Gesundheitsleistungen, die sich dafür entscheiden, bestimmte Transaktionen elektronisch durchzuführen. 45 C.F.R. § 160.103. Die einzigen Gesundheitspläne, die nicht abgedeckt sind, sind diejenigen, die weniger als 50 Teilnehmer haben und vom Plansponsor verwaltet werden. Id. Obwohl die Verordnungen nicht direkt für Arbeitgeber gelten, werden die meisten Arbeitgeber, die Gesundheitsleistungen anbieten, durch die Bestimmungen, die für Gesundheitspläne gelten, und die Bestimmungen, die für „Geschäftspartner“ gelten, betroffen sein.
Die Verordnungen verlangen von den betroffenen Einrichtungen, dass sie von ihren „Geschäftspartnern“ Vereinbarungen über die Einhaltung derselben Datenschutzverpflichtungen einholen, die für die betroffenen Einrichtungen gelten. 45 C.F.R. § 164.502(e). Ein Geschäftspartner ist jede Einrichtung, an die eine betroffene Einrichtung geschützte Gesundheitsinformationen weitergibt, wenn diese Einrichtung Funktionen wie die Bearbeitung von Ansprüchen, die Rechnungsstellung oder die Verwaltung von Leistungen durchführt oder dabei hilft oder Rechts-, Versicherungs-, Buchhaltungs-, Beratungs-, Verwaltungs- oder Finanzdienstleistungen erbringt. 45 C.F.R. § 160.103. Wenn ein Arbeitgeber Funktionen ausübt oder Dienstleistungen erbringt, die ihn zu einem Geschäftspartner eines von ihm gesponserten Gesundheitsplans machen, muss der Arbeitgeber eine Geschäftspartnervereinbarung unterzeichnen und die gleichen HIPAA-Datenschutzanforderungen erfüllen wie der Gesundheitsplan. Viele Arbeitgeber erbringen beispielsweise Verwaltungsdienstleistungen für ihre Gesundheitspläne, indem sie die Einschreibung und die Prämienzahlung abwickeln.
Die Einbeziehung von Anbietern juristischer Dienstleistungen in die Definition von „Geschäftspartnern“ bedeutet, dass Anwälte, die betroffene Einrichtungen oder Geschäftspartner von betroffenen Einrichtungen (wie Arbeitgeber, die Gesundheitspläne sponsern) vertreten, feststellen sollten, ob sie geschützte Gesundheitsinformationen von ihren Mandanten erhalten und ob sie Geschäftspartnervereinbarungen unterzeichnen müssen.
Die HIPAA-Datenschutzbestimmungen gelten für „geschützte Gesundheitsinformationen“ („PHI“), die sich im Besitz von betroffenen Einrichtungen befinden. PHI sind Informationen, die individuell identifizierbar sind und sich auf einen Gesundheitszustand, eine Behandlung oder die Bezahlung von Gesundheitsleistungen beziehen. 45 C.F.R. § 164.501. Alle PHI werden erfasst, unabhängig davon, ob sie mündlich, auf Papier oder in elektronischer Form vorliegen, 45 C.F.R. § 160.103, und PHI dürfen nur mit Genehmigung des Teilnehmers oder gemäß den Vorschriften verwendet oder offengelegt werden. Die Aufnahme von Beschränkungen für die Verwendung von PHI bedeutet, dass die Vorschriften für die interne Verwendung der Informationen gelten, nicht nur für die Offenlegung der Informationen gegenüber Außenstehenden.
Die Definition von PHI ist sehr weit gefasst und geht weit über das hinaus, was man sich normalerweise unter dem Begriff „geschützte Gesundheitsinformationen“ vorstellt. Informationen über Prämienzahlungen, Ansprüche, Vorerkrankungen, Regresse und die Koordinierung von Leistungen können alle zu den PHI gehören. Die Informationen müssen keine Identifikatoren wie Name, Adresse oder Sozialversicherungsnummer enthalten, um individuell identifizierbar zu sein. So kann beispielsweise ein Bericht über eine hohe Schadenssumme, der nur Diagnosen oder Verfahren und gezahlte Beträge enthält, personenbezogene Daten enthalten, wenn es eine vernünftige Grundlage für die Annahme gibt, dass die Daten zur Identifizierung der versicherten Personen verwendet werden können. 45 C.F.R. § 164.501.
Gesundheitspläne, die unter die Vorschriften fallen, müssen:
– schriftliche Datenschutzrichtlinien und -verfahren annehmen und umsetzen, die den Anforderungen der Vorschriften entsprechen, 45 C.F.R 164.503(i);
– jedem Teilnehmer einen Hinweis auf die Datenschutzrichtlinien und -verfahren geben, 45 C.F.R. 164.520;
– Mitarbeiter in den Datenschutzrichtlinien und -verfahren zu schulen, 45 C.F.R. 164.530(b);
– einen Datenschutzbeauftragten zu ernennen, 45 C.F.R. 164.530(a);
– eine Genehmigung zur Verwendung von PHI für andere Zwecke als die Zahlung und Gesundheitsversorgung einzuholen, 45 C.F.R. 164.508(a); und
– Offenlegung nur der minimal notwendigen PHI, 45 C.F.R. § 164.502(b).
Darüber hinaus geben die Vorschriften den Planteilnehmern das Recht, ihre PHI einzusehen und eine Kopie davon zu erhalten, 45 C.F.R. § 164.524, eine Änderung ihrer PHI zu verlangen, 45 C.F.R. § 164.526, eine Buchführung über die Offenlegung von PHI zu erhalten, 45 C.F.R. 164.528, und verlangen, dass die Verwendung und Weitergabe von PHI eingeschränkt wird, 45 C.F.R. 164.522(a).
Die HIPAA-Datenschutzbestimmungen betonen die Unterscheidung zwischen dem Arbeitgeber, der einen Gesundheitsplan sponsert, und dem Gesundheitsplan selbst und legen Beschränkungen dafür fest, was der Gesundheitsplan dem Arbeitgeber offenlegen darf. Ein Gesundheitsplan darf PHI nur dann an den Arbeitgeber weitergeben, wenn der Arbeitgeber bescheinigt, dass die Plandokumente gemäß den HIPAA-Datenschutzbestimmungen, 45 C.F.R. § 164.504(f), geändert wurden, einschließlich der folgenden Bestimmungen:
– Verbot für den Arbeitgeber, PHI auf andere Weise zu verwenden oder weiterzugeben, als in den Plandokumenten erlaubt oder vorgeschrieben oder gesetzlich vorgeschrieben, 45 C.F.R. § 164.504(f)(2)(ii)(A);
– Verbot der Verwendung oder Offenlegung von PHI für beschäftigungsbezogene Maßnahmen oder in Verbindung mit einem anderen vom Arbeitgeber gesponserten Leistungsplan, 45 C.F.R. § 164.504(f)(2)(ii)(C);
– Verpflichtung des Arbeitgebers, dem Plan jede unzulässige Verwendung oder Offenlegung von PHI zu melden, 45 C.F.R. § 164.504(f)(2)(ii)(D);
– Verpflichtung des Arbeitgebers, PHI nach Beendigung der erlaubten Nutzung zurückzugeben oder zu vernichten, 45 C.F.R. § 164.504(f)(2)(ii)(I); und
– Beschreibung, welche Mitarbeiter Zugang zu PHI haben werden, 45 C.F.R. § 164.504(f)(2)(iii)(A), und die Beschränkung dieses Zugangs auf die Verwaltungsfunktionen des Plans, die der Arbeitgeber durchführt, 45 C.F.R. § 164.504(f)(2)(iii)(B).
Arbeitgeber, die Gesundheitspläne sponsern und in der Vergangenheit nicht zwischen Informationen, die dem Arbeitgeber gehören, und Informationen, die dem Plan gehören, unterschieden haben, müssen diese Unterscheidung nun anerkennen und die Verwendung von und den Zugang zu den Informationen des Plans einschränken.
Die HIPAA-Bestimmungen zur Verwaltungsvereinfachung sehen sowohl straf- als auch zivilrechtliche Sanktionen für Verstöße vor. Bei wissentlichen Verstößen, die auf einen kommerziellen Vorteil oder böswillige Schädigung abzielen, sehen die strafrechtlichen Sanktionen Geldstrafen von bis zu 250.000 US-Dollar und zehn Jahre Gefängnis vor. 42 U.S.C. § 1320d-6. Es können zivilrechtliche Strafen von bis zu 100 Dollar pro Verstoß verhängt werden, bis zu einem Höchstbetrag von 25.000 Dollar pro Jahr für Verstöße gegen dieselbe Anforderung oder dasselbe Verbot. 42 U.S.C. § 1320d-5. Bei mehr als 50 separaten Anforderungen und Verboten in den Datenschutzbestimmungen könnten die zivilrechtlichen Strafen bis zu 1,25 Millionen Dollar pro Jahr betragen.
Die Bestimmungen sehen keinen privaten Klagegrund vor, aber die Standards in den Bestimmungen könnten zum Maßstab dafür werden, was unter „angemessener Sorgfalt“ im Umgang mit Gesundheitsdaten von Mitarbeitern zu verstehen ist, und staatliche Gerichte könnten die Bestimmungen heranziehen, um zu beurteilen, ob Arbeitgeber und Gesundheitspläne im Umgang mit Gesundheitsdaten von Mitarbeitern angemessen gehandelt haben. Dies könnte dazu führen, dass Arbeitgeber nach staatlichem Deliktsrecht verklagt werden können.
Die Datenschutzbestimmungen legen eine Untergrenze fest, keine Obergrenze. Wenn die HIPAA-Datenschutzanforderungen strenger sind als das staatliche Recht, gelten die Bundesnormen. Wenn andererseits das staatliche Recht den Teilnehmern des Gesundheitsplans mehr Schutz bietet, gilt das staatliche Recht. 45 C.F.R § 160.203.
MARYLAND LAW
Im Jahr 1990 erließ Maryland den Confidentiality of Medical Records Act, Md. Code Ann., Health-Gen. I, § 3-401, et seq, „um die Vertraulichkeit von Krankenakten zu gewährleisten und allgemein die Rechte der Patienten auf Privatsphäre zu stärken“. Warner v. Lerner, 115 Md. App. 428, 693 A.2d 394 (1997). Das Gesetz legt eng die Fälle fest, in denen medizinisches Personal Informationen ohne die Genehmigung der betroffenen Person weitergeben darf. Id., § 4-305. Es gibt keine Bestimmung für eine unbefugte Weitergabe an einen Arbeitgeber oder zu Beschäftigungszwecken. Ähnliche gesetzliche Beschränkungen bestehen in Bezug auf die Freigabe medizinischer Informationen durch einen Versicherer oder eine Versicherungsdienstleistungsorganisation und machen den Zugang eines Arbeitgebers zu solchen Informationen von der Zustimmung des versicherten Arbeitnehmers abhängig. Siehe Md. Ins. Code Ann., §4-403; 63 Op. Att’y Gen. 432 (1978).
Maryland hat ein seit langem bestehendes gesetzliches Verbot, von einem Bewerber um eine Stelle Informationen über einen Gesundheitszustand zu verlangen, es sei denn, der Zustand hat eine „direkte, wesentliche und zeitnahe Beziehung zu der Fähigkeit oder Eignung des Bewerbers, die Arbeit ordnungsgemäß auszuführen.“ Md. Ann. Code, Lab. & Empl., § 3-701. Außerdem ist das Maryland’s Occupational Safety and Health Act, Md. Ann. Code, Lab. & Empl., § 5-101 et. seq. verbietet es einem Arbeitgeber, nachteilige Beschäftigungsmaßnahmen gegen einen Arbeitnehmer oder Bewerber zu ergreifen, die auf Informationen beruhen, die er aufgrund der Teilnahme des Betreffenden an der Gruppen-Krankenversicherung des Arbeitgebers erhalten hat, es sei denn, es liegt ein vergleichbarer Nachweis der Relevanz oder einer betrügerischen Falschdarstellung des Arbeitnehmers in Bezug auf einen medizinischen Zustand vor. Id., § 5-604.
Eine kürzlich erlassene staatliche Gesetzgebung schränkt das Recht eines Arbeitgebers ein, genetische Informationen im Zusammenhang mit Beschäftigungsentscheidungen zu verwenden. Seit dem 1. Oktober 2001 ist es eine ungesetzliche Beschäftigungspraxis für einen Arbeitgeber, eine Person aufgrund ihrer genetischen Informationen oder ihrer Weigerung, sich einem Gentest zu unterziehen oder die Ergebnisse eines Gentests zur Verfügung zu stellen, nicht einzustellen oder zu entlassen oder eine Person anderweitig zu diskriminieren. Für diese Zwecke bedeutet „genetische Information“ Information: (i) über Chromosomen, Gene, Genprodukte oder vererbte Merkmale, die von einer Person oder einem Familienmitglied stammen können; (ii) die zu diagnostischen oder therapeutischen Zwecken gewonnen werden; und (iii) die zu einem Zeitpunkt gewonnen werden, zu dem die Person, auf die sich die Informationen beziehen, für die Krankheit asymptomatisch ist, jedoch nicht (a) routinemäßige körperliche Messungen; (b) chemische Untersuchungen, Blut- und Urinanalysen, die in der klinischen Praxis allgemein anerkannt und gebräuchlich sind; oder (c) Tests für den Gebrauch von Medikamenten. Ein „genetischer Test“ ist ein Labortest von menschlichen Chromosomen, Genen oder Genprodukten, der dazu dient, das Vorhandensein oder Fehlen von vererbten oder angeborenen Veränderungen des genetischen Materials festzustellen, die mit einer Krankheit oder einem Leiden in Verbindung stehen.
Schließlich würde das allgemeine Recht von Maryland einen weiteren Schutz in dem Maße bieten, in dem der Zugang eines Arbeitgebers zu den medizinischen Informationen eines Arbeitnehmers einen „Eingriff in die Privatsphäre“ darstellen würde. Maryland kennt einen Klagegrund für das „Eindringen in die Privatsphäre“ und die „Veröffentlichung privater Tatsachen“. Siehe Allen vs. Bethlehem Steel Corp. 76 Md. App. 642, 547 A.2d 1105, cert. denied, 314 Md. 458, 550 A.2d 1168 (1988). Ersteres erfordert ein „absichtliches Eindringen in die Einsamkeit oder Abgeschiedenheit einer anderen Person in ihre privaten Angelegenheiten oder Belange, das für eine vernünftige Person höchst beleidigend wäre“. Siehe Furman vs. Sheppard, 130 Md. App. 67, 73, 744 A.2d 583 (2000). Der letztgenannte Anspruch besteht, wenn jemand eine Angelegenheit, die das Privatleben eines anderen betrifft, öffentlich macht und die veröffentlichte Angelegenheit von einer Art ist, die (a) für eine vernünftige Person höchst beleidigend wäre und (b) für die Öffentlichkeit nicht von legitimem Interesse ist. Id. bei 77. Das Element der Veröffentlichung erfordert eine Verbreitung über eine „kleine Gruppe von Personen“ hinaus. Id. at 78.
Es gibt zwar keine berichteten Entscheidungen von Gerichten in Maryland, die sich mit einer Klage wegen Verletzung der Privatsphäre auf der Grundlage des Erwerbs, der Verwendung oder der Verbreitung medizinischer Informationen befassen, aber die Frage ist in anderen Gerichtsbarkeiten aufgetreten. Siehe z. B. Knecht v. Vandalia Med. Ctr., Inc., 470 N.E. 230 (Ohio Ct. App. 1984) (stellt fest, dass die unbefugte Offenlegung von Krankenakten einen Anspruch auf Verletzung der Privatsphäre begründen kann). Derartige Klagen haben jedoch nur dann Erfolg, wenn der Kläger nachweisen kann, dass die medizinischen Informationen ohne sein Wissen oder seine Genehmigung erlangt wurden oder dass die Informationen in großem Umfang an Personen weitergegeben wurden, die kein berechtigtes Interesse an den Informationen haben. Das Berufungsgericht von Missouri in der Rechtssache St. Anthony’s Med. Ctr. v. HSH, 974 S.W. 2d 606 (Mo. Ct. App. 1998) wies die Behauptung zurück, dass die Offenlegung von Aufzeichnungen durch das Krankenhaus ohne die Zustimmung oder das Wissen des Klägers entweder ein rechtswidriges „Eindringen in die Privatsphäre“ oder eine „Veröffentlichung privater Tatsachen“ darstellte, da die Aufzeichnungen nicht durch Täuschung oder andere unangemessene Methoden erlangt worden waren und die Veröffentlichung nicht an „die Öffentlichkeit im Allgemeinen oder an eine große Anzahl von Personen“ erfolgte); siehe auch , 633 N.E. 2d 280 (Ind. Ct. App. 1994) (dasselbe); Luedtke v. Nabors Alaska Drilling, Inc, 768 P.2d 1123 (Alaska 1989) (mit der Feststellung, dass die Klage des Klägers wegen Verletzung der Privatsphäre aufgrund eines vom Arbeitgeber verlangten Urintests scheiterte, weil weder eine „unangemessene Art des Eindringens noch ein Eindringen zu einem ungerechtfertigten Zweck“ nachgewiesen wurde).
ZUSAMMENFASSUNG
Arbeitgeber, die medizinische Informationen über Bewerber oder Angestellte einholen oder aufbewahren, müssen sich der verschiedenen staatlichen und bundesstaatlichen Schutzmaßnahmen und Beschränkungen bewusst sein, die für diese Informationen gelten, und sollten Richtlinien und Verfahren entwickeln, um sicherzustellen, dass solche Informationen nur in Übereinstimmung mit dem Gesetz eingeholt, gespeichert, verwendet und weitergegeben werden.