standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Wird die Verschwiegenheitspflicht im Gesundheitswesen auf IT-Dienstleister ausgeweitet?

Dass die Berufe im Gesundheitswesen besonderen Verschwiegenheitspflichten unterliegen ist nicht nur bekannt, sondern auch sehr vernünftig. Gemeint ist hier insbesondere der § 203 StGB, welcher die Strafbarkeit der Verletzung von sog. Privatgeheimnissen regelt. Aus dieser Verschwiegenheitspflicht resultiert bislang auch das Problem, dass es für Angehörige der Heilberufe annähernd unmöglich ist, IT-Dienstleistungen von Dritten in Anspruch zu nehmen. Vorangehende Artikel hierzu finden Sie hier und hier.

Im E-Health-Gesetz nichts Neues…

Am 27.05.2015 hat das Bundeskabinett nun den Gesetzentwurf für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (das sog. E-Health-Gesetz) beschlossen. Nicht, dass dieses Gesetz auch nur ein Wort zum Thema IT-Dienstleister und deren Verschwiegenheitspflicht enthalten würde. Allerdings hat Bundesgesundheitsminister Herrmann Gröhe im Rahmen einer Veranstaltung („Ärzte im Gespräch„) erklärt, dass ihm bewusst sei, dass die Bedeutung der IT im ärztlichen Alltag weiter zunehmen werde. Auch Ärzte müssten sich entsprechender IT-Dienstleister bedienen können, was aktuell eben nicht möglich sei.

Arbeitsauftrag für Herrn Maas

Aus diesem Grund habe Minster Gröhe Bundesjustizminister Heiko Maas gebeten, zu prüfen, inwieweit die Verschwiegenheitspflicht der Heilberufe auf deren IT-Dienstleister ausgedehnt, bzw. übertragen (z. B. im Rahmen einer Auftragsdatenverarbeitung gem. § 11 BDSG) werden könne.

Sollte der Minister hier zu einem positiven Ergebnis kommen, wäre m. E. ein großer Schritt in Richtung Realitätsnähe des BDSG getan. Dass ein Mediziner sozusagen nebenbei seine IT vollständig selber wartet und absichert ist in meinen Augen unrealistisch. Jemanden hierfür fest einzustellen (das ist aktuell die einzige Alternative) werden sich die wenigsten Praxen wirklich leisten können. Schließlich wollen auch und gerade die Administratoren angemessen bezahlt werden. Des Weiteren benötigen sie regelmäßig Fortbildungen. Vermutlich ist es auch gar nicht sinnvoll einen „Vollzeit-Administrator“ einzustellen, denn auch wenn es sich um eine Dauertätigkeit handelt, so ist nach einer Initialisierungsphase der laufende Aufwand vermutlich recht gering. Bliebe noch die Lösung mit einer sog. 400-Euro-Kraft, also einer Aushilfe. Diese würde vermutlich die datenschutzrechtlichen Bedingungen erfüllen, da es sich um ein in den Betrieb eingegliedertes Anstellungsverhältnis handelt. Allerdings stellt sich hier die Frage sowohl bezüglich der Fachkunde als auch der Zuverlässigkeit. 400-Euro-Kräfte fühlen sich verständlicher Weise den Unternehmen gegenüber häufig nicht so verbunden, wie z. B. Vollzeitangestellte.

Die beste Lösung verbietet das Gesetz

Gerade kleinere Praxen sind also auf den Einsatz von Dienstleistern angewiesen, dürfen das aber derzeit nicht.

Es bleibt spannend.

Sprechen Sie mich an, gerne berate ich Sie zur datenschutzkonformen Vergabe von IT-Dienstleistungen


Diesen Beitrag teilen