Personenbezogene Daten zu übermitteln, ist in einigen Fällen nicht nur datenschutzrechtlich, sondern auch strafrechtlich relevant. Das betrifft insbesondere das Gesundheitswesen, sobald die Verarbeitung bestimmter Daten – etwa zu Abrechnungszwecken – an Dienstleister ausgelagert wird. Damit dieses Outsourcing in einem rechtlich sauberen Rahmen geschieht, müssen gleich mehrere Faktoren bedacht und Vorgaben eingehalten werden.
Ein Vertrag zur Auftragsdatenverarbeitung reicht nicht
Da es sich in Arztpraxen und Krankenhäusern üblicherweise um Patienten- und Gesundheitsdaten handelt, die an die jeweiligen Dienstleister weitergegeben werden, reicht ein „einfacher“ Vertrag zur Auftragsdatenverarbeitung nicht aus. Denn an dieser Stelle greift nicht ausschließlich das Bundesdatenschutzgesetz. Entscheidend ist vielmehr Paragraf 203 des Strafgesetzbuches. Darin heißt es:
Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als (1.) Arzt, Zahnarzt, Tierarzt, Apotheker oder Angehörigen eines anderen Heilberufs, der für die Berufsausübung oder die Führung der Berufsbezeichnung eine staatlich geregelte Ausbildung erfordert, anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Man spricht in dem Zusammenhang von einer Offenbarung der Daten. Heißt: Dritte erhalten Einblick in Informationen, die sie bislang nicht kannten und die geheimgehalten werden müssen.
Lösungsansätze zum rechtskonformen Outsourcing
Diese Problematik lässt sich von mehreren Seiten angehen, die mehr oder weniger praktikabel sind und rechtlich teils nur einen schmalen Grat darstellen.
• Zunächst einmal könnte der Dienstleister als Gehilfe gesehen werden, der den gleichen Pflichten unterliegt wie die Angestellten der Arztpraxis. Das entspräche den Vorgaben in Paragraf 203 StGB und würde die Auslagerung der Datenverarbeitung ermöglichen. Rechtlich ist diese Auslegung indes eher umstritten.
• Die zweite Option: Die Daten werden komplett verschlüsselt und damit nicht offenbart. Allerdings führt eine Verschlüsselung nicht automatisch dazu, dass die Daten anonymisiert sind. Schließlich lässt sich der Bezug zu einer Person mit dem richten Schlüssel jederzeit wieder herstellen. Zudem können die Dienstleister in der Regel nur mit unverschlüsselten Daten arbeiten.
• Rechtlich die sauberste Lösung wäre, die Einwilligung eines jedes Patienten einzuholen. Diese Einwilligung muss bewusst, eindeutig, freiwillig, schriftlich, widerrufbar und vor allem vor der ersten Übermittlung von Daten zu einem bestimmten Zweck erteilt werden. Die Wahrscheinlichkeit, dass alle Patienten einwilligen, ist jedoch eher gering. Auch der Aufwand ist nicht zu unterschätzen.
• Oder man verzichtet ganz auf das Outsourcing und kümmert sich wieder selbst um die Verarbeitung der Daten.
Fragen Sie uns – wir helfen gerne
Welcher Weg gangbar ist, muss jeder für sich entscheiden. Wenn Sie dabei Hilfe benötigen, scheuen Sie sich nicht, mit uns Kontakt aufzunehmen. Als Ihr externer Datenschutzbeauftragter beraten wir Sie gerne. Vereinbaren Sie noch heute einen Termin via Telefon oder über unser Kontaktformular.