bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo

Auftragsdatenverarbeitung im Gesundheitswesen

Darüber, wie eine Auftragsdatenverarbeitung (ADV) nach § 11 BDSG gesetzeskonform umzusetzen ist, habe ich mich schon häufiger ausgelassen. Da § 11 BDSG die Verwendung der sogenannten besonderen Arten personenbezogener Daten (s. § 3 Abs. 9 BDSG) nicht explizit ausschließt, scheint die Vergabe von Dienstleistungen zur Auftragsdatenverarbeitung auch im Bereich Gesundheitswesen auf den ersten Blick problemlos möglich.

Das BDSG ist nicht alles

Allerdings betrifft diese Regelung nur den datenschutzrechtlichen Teil. Darüber hinaus unterliegen Ärzte und deren Mitarbeiter auch der Schweigepflicht nach § 203 StGB. Hierzu hatte ich in der Vergangenheit bereits einen kurzen Artikel verfasst.

Eine Schweigepflichtentbindungserklärung hilft…

Um nun der Strafbarkeit durch eine Schweigepflicht-Verletzung zu entgehen ist bei der Vergabe von Dienstleistungen zur ADV eine Schweigepflichtentbindungserklärung (SEE) einzuholen. In der Praxis kommt das beispielsweise in Frage für externe Abrechnungsdienste, IT-Dienstleister, Anbieter von Archivierungslösungen oder Entsorgungsunternehmen. Die SEE muss von allen Betroffenen erteilt werden, deren Daten von der ADV betroffen sind.

… wenn sie denn flächendeckend eingeholt wird …

Im Fall von IT-Dienstleistern, die einen Arzt oder ein Krankenhaus durch Wartungstätigkeiten, die Installation oder Konfiguration von Hard- und/oder Software oder bei der Fehlersuche unterstützen greift § 11 Abs. 5 BDSG, die sog. Kenntnisnahmemöglichkeit. Es werden also eigentlich gar keine personenbezogenen Daten im Auftrag durch den Dienstleister verarbeitet, aber es ist nicht auszuschließen, dass er auf solche Daten zugreifen kann. Auch in diesem Fall ist ein ADV-Vertrag zu schließen und von allen Patienten, deren Daten auf den betroffenen Systemen gespeichert oder verarbeitet werden eine Schweigepflichtentbindungserklärung einzuholen. Das scheint annähernd undurchführbar, es sei denn, man hat dies in der Vergangenheit für sämtliche Patienten einmal durchgeführt und auch in den Prozess für die Aufnahme neuer Patienten integriert.

Reicht ein Informationsblatt?

Eine sehr pragmatische Lösung schlägt die Aufsichtsbehörde in Rheinland-Pfalz vor. Die Arztpraxis soll dem Patienten vor der Behandlung ein Merkblatt mit Erläuterungen zum Einsatz von Fremdfirmen übergeben. Verlässt der Patient danach nicht die Praxis sondern nimmt die Behandlung wahr, hat er konkludent eingewilligt.

Ob diese Vorgehensweise einer gerichtlichen Überprüfung standhält muss sich noch zeigen. In meinen Augen besteht das Risiko, dass einige Patienten das Merkblatt ggf. nicht erhalten haben. Auch dass sie es wirklich gelesen und verstanden haben, muss sichergestellt werden. Die Beweislast liegt letztlich bei der Arztpraxis.

Und dann sind da noch die Krankenhausgesetze der Länder

Zusätzlich sieht die Gesetzeslage in Krankenhäusern teilweise unterschiedlich aus. Einige Bundesländer haben hier spezifische Regelungen erlassen, die in eng abgegrenzten Bereichen eine ADV zulassen und eine Befugnis zur Offenbarung im Sinne des § 203 StGB darstellen.

Insgesamt also eine unübersichtliche und bislang nicht eindeutig geklärte Lage, die viele Möglichkeiten bietet, in eine Falle zu tappen.

Sprechen Sie mich an, gerne unterstütze ich Sie bei der Vergabe von Dienstleistungen zur Auftragsdatenverarbeitung bei Daten, die ggf. einem besonderen Berufsgeheimnis unterliegen.