von RAin und FAin für MedizinR Taisija Taksijan, LL.M., D+B Rechtsanwälte Partnerschaft mbB, Berlin, www.db-law.de

Praxen und Kliniken sind zur Bewältigung ihres Datenalltags in der Regel auf externen Sachverstand angewiesen. So beauftragen sie externe Dienstleister etwa zur Wartung ihrer IT-Systeme oder Vernichtung von Patientenakten bzw. Daten. Gerade im Rahmen der Zusammenarbeit mit externen Unternehmen, die Zugriff auf die Patientendaten erhalten, müssen die Ärzte ein besonderes Augenmerk auf die Bestimmungen zur ärztlichen Schweigepflicht, die strafrechtliche Verpflichtung zur Verschwiegenheit sowie die Vorgaben aus dem Datenschutzrecht legen.

Neuregelung des § 203 StGB

Gute Neuigkeiten vorab: Durch die Neuregelung des § 203 Strafgesetzbuch (StGB) sind seit dem 09.11.2017 die Möglichkeiten für eine Zusammenarbeit der Radiologen mit externen Dienstleistern erweitert worden. Sie dürfen nun externen Dienstleistern, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, unter Einhaltung der Voraussetzungen des § 203 Abs. 3, 4 StGB Geheimnisse offenbaren und geraten dadurch nicht mehr so schnell in den strafrechtlich relevanten Bereich (siehe auch extra Beitrag zu § 203 StGB). Im Gegenzug unterliegen die Dienstleister als Auftragsverarbeiter einer strafrechtlich sanktionierten Verschwiegenheitspflicht (§ 203 Abs. 4 StGB).

Auftragsverarbeitung nach Art. 28 DS-GVO

Egal, ob Sie Daten in ein externes Rechenzentrum auslagern oder archivieren lassen oder Unternehmen mit der Vernichtung von Unterlagen oder Datenträgern beauftragen: Mit dem Wirksamwerden der Datenschutz-Grundverordnung (DS-GVO) ab dem 25.05.2018 treffen insbesondere die externen Dienstleister als Auftragsverarbeiter zukünftig mehr Pflichten.

Aber auch die Arztpraxen und Krankenhäuser als Auftraggeber müssen aufrüsten. Die zentrale Vorschrift für die Auftragsverarbeitung ist Art. 28 DS-GVO. Bei Verstößen hiergegen drohen Geldbußen in Höhe von bis zu 10 Mio. Euro oder 2 Prozent des gesamten Jahresumsatzes – je nachdem welcher Betrag höher ist (Art. 83 Abs. 4 DS-GVO).

Die Verarbeitung der Daten durch den externen Dienstleister im Auftrag des Verantwortlichen („Auftragsverarbeiter“ gemäß Art. 4 Nr. 8 DS-GVO) wird grundsätzlich dem Verantwortlichen zugerechnet. Denn der aufgrund des Auftrags tätige Dienstleister ist weisungsgebunden (Art. 29 DS-GVO).

 

Partner sorgfältig auswählen

Für die Auftragsverarbeitung muss zunächst geprüft werden, ob der externe Dienstleister als Auftragsverarbeiter geeignet ist (Art. 28 Abs. 1 DS-GVO). Dieser muss hinreichende Garantien dafür bieten, dass

• er geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwendet,

• die Datenverarbeitung im Einklang mit der DS-GVO erfolgt und

• der Schutz der Rechte der Betroffenen gewährleistet wird.

 

Verträge prüfen und ergänzen

Verträge zur Datenverarbeitung können schriftlich oder in einem elektronischen Format abgeschlossen werden. Die Verträge können individuell konzipiert sein oder die von der zuständigen Aufsichtsbehörde verabschiedeten Standardvertragsklauseln enthalten (Art. 28 Abs. 6 DS-GVO).

Für einen Muster-Auftragsverarbeitungs-Vertrag für das Gesundheitswesen haben der Berufsverband der Datenschutzbeauftragten Deutschlands, der Bundesverband Gesundheits-IT, die Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie, die Deutsche Krankenhausgesellschaft und die Gesellschaft für Datenschutz und Datensicherheit zusammengearbeitet (Stand: 14.06.2017).

 

Die Verträge müssen jedenfalls die Vorgaben des Art. 28 Abs. 3 DS-GVO enthalten, das heißt:

• Gegenstand und Dauer der Verarbeitung,

• Art und Zweck der Verarbeitung,

• Art der personenbezogenen Daten,

• Kategorien von betroffenen Personen,

• Pflichten und Rechte des Verantwortlichen.

Insbesondere folgende Regelungen sind zu treffen:

• Umfang der Weisungsbefugnisse

• Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit

• Sicherstellung von technischen und organisatorischen Maßnahmen

• Voraussetzungen für die Hinzuziehung von Subunternehmern

• Unterstützung des Auftraggebers bei Anfragen und Ansprüchen Betroffener

• Unterstützung des Auftraggebers bei der Meldepflicht bei Datenschutzverletzungen

• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung

• Kontrollrechte des Verantwortlichen und Duldungspflichten des Auftragsverarbeiters

• Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

 

Einsatz von Subunternehmen

Herauszuheben ist die Regelung zum Einsatz von Subunternehmen (siehe Art. 28 Abs. 2, 4 DS-GVO). Möchte der von Ihnen beauftragte Dienstleister wiederum Subunternehmen beauftragen, benötigt er hierfür Ihre (schriftliche oder elektronische) Erlaubnis.

Der Vertrag zwischen Ihrem Dienstleister und dem Subunternehmer muss die gleichen vertraglichen Pflichten enthalten, die Ihr Dienstleister übernommen hat. Dies muss in Ihrem Vertrag eindeutig festgehalten werden und dient insbesondere dazu, dass Sie die Datenflüsse in Ihrer Praxis kontrollieren.

Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet das von Ihnen beauftragte Unternehmen Ihnen gegenüber für die Versäumnisse des Subunternehmers.

Dokumentieren

Vergessen Sie nicht, dass Sie als Verantwortlicher – auch bei der Beauftragung externer Dritter – stets für die Rechtmäßigkeit der Datenverarbeitung insgesamt verantwortlich bleiben, obwohl der Auftragsverarbeiter nun auch haftet. Die Verträge mit den Dienstleistern dienen insofern der Dokumentation, dass Sie Ihren Pflichten nachgekommen sind.

Zur Verschwiegenheit verpflichten

Bei der Vertragsgestaltung sind ebenso die Voraussetzungen an die Offenbarung von Patientendaten gemäß § 203 StGB zu beachten. Externe Dienstleister können demnach als „sonstige mitwirkende Personen“ im Sinne des § 203 Abs. 3 S. 2 StGB insbesondere herangezogen werden, soweit

• die Weitergabe der Daten für die Inanspruchnahme ihrer Tätigkeit wirklich erforderlich ist und

• die mitwirkenden Personen zur Geheimhaltung verpflichtet worden sind.

Für die Einschätzung, welche Informationen jeweils tatsächlich erforderlich sind, empfiehlt die Bundesärztekammer eine Regelung im Vertrag über die Datenverarbeitung, dass der Dienstleister und seine ausführenden Mitarbeiter sich nur insoweit Kenntnis von Informationen über Patienten verschaffen, als dies für die Vertragserfüllung erforderlich ist.

Zu den mitwirkenden Personen gehören insbesondere die Mitarbeiter der Unternehmen oder selbstständig tätige Personen, die Dienstleistungen für die Ärzte erbringen.

 

Die zur Auftragsverarbeitung eingesetzten Personen müssen unbedingt vertraglich zur Geheimhaltung verpflichtet und auf die Strafbarkeit bei Offenbarung hingewiesen werden. Wird die Geheimhaltungsverpflichtung unterlassen und werden Patientengeheimnisse offenbart, macht sich auch der Arzt strafbar (§ 203 Abs. 4 StGB).

Im Übrigen sind die landesspezifischen berufsrechtlichen Regelungen zu der ärztlichen Schweigepflicht zu beachten.

Informationsschreiben an Patienten anpassen

Auftragsverarbeiter sind Empfänger im Sinne der DS-GVO (Art. 4 Nr. 9 DS-GVO). Über die Empfänger der Daten sind die Patienten – im Rahmen der Informationspflichten – zu unterrichten (Art. 13 Abs. 1 lit. e) DS-GVO).

Die Informationspflicht erstreckt sich auch auf das entsprechende Auskunftsrecht der Patienten.

Verarbeitungsverzeichnis ergänzen

Ferner müssen die externen Dienstleister als Empfänger von Daten sowie alle mit der Beauftragung zusammenhängenden Datenverarbeitungsvorgänge im Verarbeitungsverzeichnis gemäß Art. 30 DS-GVO aufgeführt werden.

Weiterführender Hinweis

• Sie finden einen Muster-Auftragsverarbeitungs-Vertrag für das Gesundheitswesen unter http://www.iww.de/s494.