Fast jedes Unternehmen lagert heutzutage bestimmte Bereiche aus – entweder an ein Unternehmen im Unternehmensverband oder an einen sonstigen Dienstleister. Dies kann aus wirtschaftlicher Sicht sinnvoll oder sogar notwendig sein. Gerade im Gesundheitswesen können dabei aber Schwierigkeiten entstehen.
Der Inhalt im Überblick
Was bedeutet Outsourcing?
Mit Outsourcing ist gemeint, dass bestimmte Bereiche eines Betriebs an Auftragnehmer bzw. Dienstleister ausgelagert werden, um Kosten zu sparen und Prozesse zu optimieren.
Damit die Dienstleister ihre Aufgaben wahrnehmen können, muss das Ursprungsunternehmen ihnen Informationen zur Verfügung stellen. Das kann sowohl die Übermittlung von personenbezogenen Daten verschiedener Kategorien als auch Betriebs- und Geschäftsgeheimnisse beinhalten.
Im Gesundheitswesen werden oft externe Rechenzentren oder Abrechnungsstellen eingebunden.
Auftragsdatenverarbeitung als Rechtsgrundlage?
Wir haben bereits in anderen Artikeln auf die Voraussetzungen einer Auftragsdatenverarbeitung hingewiesen und deren Gestaltung erläutert. Zu beachten ist dabei, dass nicht alles, was datenschutzrechtlich erlaubt ist, auch strafrechtlich erlaubt ist.
Zwar findet bei der Auftragsdatenverarbeitung juristisch keine Übermittlung von Daten und somit keine Bekanntgabe gegenüber Dritten statt. Daher ist in diesen Fällen aus datenschutzrechtlicher Sicht keine weitere Rechtsgrundlage erforderlich.
Die Offenbarung von Daten, die besonderen Geheimhaltungsinteressen gemäß § 203 StGB unterliegen, ist dadurch jedoch nicht abgedeckt. Offenbaren bedeutet, dass einem Dritten, der die geheimzuhaltende Tatsache (einschließlich der Person, auf die sie sich bezieht) noch nicht kannte, diese mitgeteilt wird. Die Privilegierung des BDSG entfaltet hier keine Wirkung.
Für die Praxis bedeutet das, dass Gesundheitsdaten bzw. Patientendaten nicht bereits dann problemlos an ein anderes Unternehmen übermittelt werden dürfen, wenn ein Vertrag zur Auftragsdatenverarbeitung vorliegt.
Externe Dienstleister als „Gehilfen“ der Berufsgeheimnisträger?
Gelegentlich hört man, dass externe Dienstleister als „Gehilfen“ i.S.d. § 203 Abs. 3 S. 2 StGB angesehen werden könnten. Damit würden den Sachbearbeiter in der privaten Verrechnungsstelle die gleichen Rechte und Pflichten treffen wie die in der Praxis tätige Arzthelferin.
Eine Datenübermittlung ohne Einwilligung des Patienten im Rahmen des Outsourcings bzw. der Auftragsdatenverarbeitung an externe Dienstleister wäre damit für den Arzt straflos.
Dieser Ansicht sollte jedoch nicht gefolgt werden. Der Gesetzestext wird dabei zu weit ausgelegt und stellt eine unzulässige Analogie zu Lasten des externen Dienstleisters dar – ihn sollen eben nicht die gleichen Pflichten (insb. Schweigepflicht) wie den Berufsgeheimnisträger treffen.
Verschlüsselung
Teilweise wird auch die Meinung vertreten, dass personenbezogene Daten nicht offenbart würden, wenn sie ausreichend verschlüsselt übermittelt würden. Die Daten müssten dann bereits beim Auftraggeber derart verschlüsselt werden, dass eine Kenntnisnahme des Inhalts der Datensätze durch den Auftragnehmer ausgeschlossen wäre und nur eine Verarbeitung der verschlüsselten Daten erfolgt.
Darüber hinaus könne eine Verschlüsselung zur Anonymisierung personenbezogener Daten führen. Nach dem absoluten Datenbegriff, den auch die Aufsichtsbehörden vertreten, kann eine Verschlüsselung jedoch nicht zur Anonymisierung führen, da der Schlüssel jedenfalls irgendwo vorhanden ist und der Personenbezug somit wieder hergestellt werden kann.
Praxistauglichkeit?
Jedenfalls für private Abrechnungsstellen ist diese Vorgehensweise jedoch nicht praktikabel. Der Dienstleister braucht für die Aufgabenerfüllung regelmäßig entschlüsselte Daten.
Ob bei anderen externen Dienstleistern eine Verschlüsselung als taugliche Maßnahme eingesetzt werden kann, muss im Einzelfall überprüft werden. Der richtige Ansprechpartner dafür ist der betriebliche (externe oder interne) Datenschutzbeauftragte.
Einwilligung als Rechtsgrundlage
Möglich ist, eine Einwilligung des Patienten gemäß § 4a Abs. 1 BDSG einzuholen. Dazu müssen folgende Voraussetzungen erfüllt sein:
- Die Einwilligung muss bewusst und eindeutig erteilt werden.
- Die Einwilligung kann nur für einen bestimmten Zweck erteilt werden und nicht pauschal für alle möglichen zukünftigen Behandlungen durch einen Arzt oder ein Krankenhaus.
- Die Einwilligung und damit auch die Übermittlung der Daten muss freiwillig erteilt werden.
- Die Einwilligung muss schriftlich erfolgen.
- Die Einwilligung muss vor der ersten Datenübermittlung erteilt werden.
- Die Einwilligung muss mit Wirkung für die Zukunft jederzeit widerrufbar sein.
Bei Einhaltung dieser Voraussetzungen ist die Einwilligung sowohl strafrechtlich als auch datenschutzrechtlich zulässig.
Praxistauglichkeit?
Problematisch ist jedoch die Praxistauglichkeit. Aus den oben aufgezeigten Voraussetzungen der Einwilligung zeigt sich, dass ihre Erteilung regelmäßig ungewiss ist. Der Bestand der Einwilligung als Rechtsgrundlage für eine Datenweitergabe ist unsicher, da die Einwilligung jederzeit widerrufbar ist. Des Weiteren bringt es einen hohen bürokratischen Aufwand mit sich, für jeden Patienten einzeln eine Einwilligung einzuholen.
Mögliche Lösungen
Um dem aufgezeigten Dilemma zu entgehen, können Sie natürlich auf Outsourcing verzichten und die Organisation der betroffenen Bereiche in Ihr eigenes Unternehmen eingliedern.
Ansonsten bleibt Ihnen als sicherer Weg derzeit einzig die Einwilligung Ihrer Patienten einzuholen.
Im Rahmen der Nutzung des Hausnotrufs geben Mieter Daten an Ihren Vertragspartner (Vermieter) weiter, die dann an einen Fremddienstleister weitergelangen. Diese Daten betreffen neben persönlichen Daten (Name, Wohnort) auch Daten, die den Gesundheitszustand laienhaft beschreiben (Schwerhörigkeit, Herzinsuffizienz, etc.). Diese Daten werden nicht im Rahmen eines ärztlichen/pflegerischen Behandlungsverhältnis eingeholt, sondern es handelt sich um grundsätzliche Angaben zum Hausnotruf, die im Rahmen einer Auftragsdatenverarbeitung eingeholt werden.
Frage:
Dem Betreiber des Hausnotrufzentrale werden im Rahmen seiner Tätigkeit neben den persönlichen Daten auch Gesundheitsdaten bekannt.
Handelt es sich dabei um Auftragsdatenverarbeitung, die keine besonderen Einwilligung bedarf oder unterliegen die beschriebenen Daten gesonderten Geheimhaltungsinteressen (§ 203 StGB), so dass hierzu eine gesonderte Einwilligung erforderlich ist?
Im ersten Schritt geben die Mieter freiwillig ihre personenbezogenen Daten auch besonderer Art an den Vermieter heraus. Hier sollte eine Einwillligungserklärung der Mieter eingeholt werden, die einerseits über den Zweck und die Art der Verwendung aufklärt und andererseits auf die Freiwilligkeit und jederzeitige Möglichkeit zum Widerruf hinweist.
Im zweiten Schritt lässt der Vermieter die Daten durch seinen Auftragsdatenverarbeiter verarbeiten. Der Vermieter unterliegt keiner Schweigepflicht gemäß § 203 StGB, da von dieser Vorschrift nur die abschließend aufgezählten Personen umfasst sind.
Nicht jedes Gesundheitsdatum unterliegt der Schweigepflicht des § 203 StGB, vielmehr kommt es auf die Person an, der das Datum anvertraut wurde. So unterliegen auch sonstige personenbezogene Daten der Schweigepflicht, wenn sie einem der in § 203 StGB aufgezählten Personen anvertraut wurden.
Ist die obige Darstellung zum Outsourcing im Gesundheitswesen von Dezember 205 noch vollumfänglich aktuell? Gerade was die möglichen Handlungsalternativen anbetrifft. Das outsourcing ist ja fast zur „Normalität“ geworden. Einige Änderungen hat es ja inzwischen gegeben (§ 203 StGB z.B.). Gerade bei einer -nur kurzzeitigen und kurzfristigen- Auslagerung an externe Schreibdienste (die Daten aus der Pathologie in Patientenakten übernehmen sollen), stellte sich mir diese Frage.
Nein, der Artikel ist nicht mehr aktuell.
Eine Offenbarung eines Berufs- oder Geschäftsgeheimnisses ist nun gegenüber Personen, die an der beruflichen oder dienstlichen Tätigkeit der Berufsgeheimnisträger mitwirken möglich, wenn diese Offenbarungen erforderlich ist (Abs. 3). Darüber hinaus müssen alle mitwirkenden Personen sorgfältig ausgewählt, zur Geheimhaltung verpflichtet und bei ihrer Tätigkeit überwacht werden (Abs. 4).
Unter diesen engen Voraussetzungen können externe Dienstleister eingesetzt werden. Darüber hinaus sollte darauf geachtet werden, dass die technischen und organisatorischen Maßnahmen des Dienstleisters auf den hohen Schutzbedarf von Gesundheitsdaten abgestimmt sind.
Damit ist schon eine große Erleichterung für Berufsgeheimnisträger geschaffen worden. Zu den praxisuntauglichen Handlungsalternativen in dem aufgezeigten Artikel gibt es keine Änderungen. Die Einwilligung ist nach wie vor immer mit Vorsicht zu genießen.
Zu diesem Thema haben wir auch einen weiteren Artikel veröffentlicht:
Mehr Rechtssicherheit für Berufsgeheimnisträger bei Auftragsverarbeitung