Datenschutzkonformes Outsourcing im Gesundheitswesen
Outsourcing ist eine sinnvolle Möglichkeit für Krankenhäuser, Arbeiten, die nicht zu ihren Kernkompetenzen der Untersuchung, Behandlung und Pflege von Patienten gehören, an externe Dienstleister zu delegieren. Ein solches Outsourcing geht jedoch häufig mit der Weitergabe von Patientendaten einher. Dabei gilt es die Vorgaben des Datenschutzes zu beachten. Außerdem müssen strafrechtlich relevante Verletzungen der ärztlichen Schweigepflicht verhindert werden. Dieser Beitrag fasst die wichtigsten Vorgaben zusammen, deren Beachtung einen reibungslosen Ablauf von Outsourcing gewährleisten.
Outsourcing ist kein positiv besetzter Begriff. Die Vergangenheit hat gezeigt, dass Outsourcing einerseits kein Allheilmittel ist, aber andererseits in speziellen Bereichen sinnvoll eingesetzt werden kann.
Ob das gelingt, hängt in der Umsetzung von der Vereinbarung mit dem jeweiligen Auftragnehmer ab. Im Gesundheitswesen wird das Outsourcing bestimmter Bereiche immer öfter notwendig, auch und gerade, wenn es um IT-Dienstleistungen geht. Nicht immer kann etwa ein einzelnes Krankenhaus IT-Systeme oder medizinische Geräte instand halten und sich zugleich auf seine eigentlichen Kompetenzen konzentrieren, ohne die Sicherheit der Patientendaten zu gefährden. Aufgrund der steigenden Anzahl an Datenverarbeitungen, komplexen Informationssystemen oder Geräten in der Gesundheitsbranche kann die Inanspruchnahme externer IT-Dienstleister daher geboten sein. Dennoch werden damit sensible Gesundheitsdaten der Patienten an Dritte weitergegeben.
Rechtlich gesehen existieren zwei Felder, die dem im Mittelpunkt stehenden Patienten Schutz für seine gesundheitlichen Informationen bieten:
Ihm steht das Recht auf den Schutz der ihn betreffenden Gesundheitsdaten zu: Zum einen sollen Dritte nicht „am Patienten vorbei“ Zugriff auf seine Gesundheitsdaten erhalten, sondern der Betroffene muss in irgendeiner Weise der Weiterleitung seiner Daten zugestimmt haben. Das kann beispielsweise durch den Abschluss eines Behandlungsvertrags geschehen, der als Rechtsgrundlage für die Datenverarbeitungen dienen kann. Die Kontrolle über die Daten ist zudem strafrechtlich abgesichert durch die ärztliche Schweigepflicht, die die Wichtigkeit dieser Daten noch einmal unterstreicht, indem sie die Weitergabe von Patientengeheimnissen unter Strafe stellt.
Vom datenschutzrechtlichen Standpunkt aus betrachtet liegt in den meisten Fällen eine Auftragsverarbeitung zwischen dem Unternehmen des Gesundheitsbereichs, beispielsweise einem Krankenhaus, und dem IT-Dienstleister vor.
Dieses besteht aus dem Verhältnis zwischen einem Verantwortlichen, der allein über Mittel und Zwecke der Datenverarbeitung entscheidet und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Dienstleister muss folglich im Auftrag zum Beispiel eines Krankenhauses handeln und dabei weisungsgebunden sein. Dabei ist er aber — abgesehen von den Mitteln und Zwecken der Verarbeitung — nicht vollständig an die Weisungen des Auftraggebers gebunden.
Eine Besonderheit der Auftragsverarbeitung ist, dass der Verantwortliche und der Auftragsverarbeiter gedanklich aneinanderrücken und datenschutzrechtlich zu einer Einheit werden, was zur Folge hat, dass die Offenlegung der Gesundheitsdaten an und die weitere Verarbeitung durch den IT-Dienstleister von der für das Krankenhaus geltenden Rechtsgrundlage gedeckt ist. Haben Patienten beispielsweise in eine bestimmte Verarbeitung ihrer Daten eingewilligt, muss man von ihnen in der Regel keine weitere Einwilligung dafür einholen, dass die Verarbeitung nun der Dienstleister übernimmt. Üblicherweise müsste man für die Verarbeitung der Daten durch einen Dritten eine gesonderte Einwilligung einholen oder eine andere Rechtsgrundlage anführen. Diese sogenannte „Privilegierung“ der Auftragsverarbeitung gilt freilich nur, sofern alle Voraussetzungen der Auftragsverarbeitung nach der Datenschutz-Grundverordnung (Art. 28 DSGVO ) erfüllt sind.
Hier gilt es, sorgfältig vorzugehen:
1. Man entscheidet sich für den richtigen Dienstleister
2. Mit diesem schließt man einen umfassenden Auftragsverarbeitungsvertrag.
Bei der Auswahl des Dienstleisters sollte darauf geachtet werden, dass dieser geeignete technische und organisatorische Maßnahmen anbietet. Diese sollten in der Lage sein Datenschutzrechtsverstößen vorzubeugen und dafür sorgen, dass die Einhaltung der DSGVO-Vorschriften wahrscheinlich ist. Dabei können entsprechende Zertifizierungen helfen, den richtigen Dienstleister zu finden.
Der Vertrag sollte die betreffenden Datenverarbeitungen und die Rechte wie Pflichten der Beteiligten möglichst genau beschreiben und die erforderliche Weisungsbefugnis festlegen. Weitere Details wie beispielsweise die Vergabe von Unteraufträgen durch den Dienstleister oder zum Umgang mit den Daten nach der Beendigung des Vertragsverhältnisses sind mit aufzunehmen. Ist der Dienstleister ein Unternehmen, das die Daten außerhalb der EU verarbeitet, ist zu prüfen, ob die EU-Kommission das Datenschutzniveau in dem betreffenden Land als angemessen einstuft oder sonstige Garantien beziehungsweise Ausnahmen bestehen. Im Falle der USA ist eine Übermittlung der Gesundheitsdaten dorthin zulässig, wenn das Unternehmen nach dem Privacy-Shield-Abkommen zertifiziert ist.
Strafrecht als Hemmschuh des Outsourcings?
Abgesehen davon, ob das Outsourcing datenschutzkonform gestaltet wurde, sollte geprüft werden, ob Daten weitergegeben werden müssen, die der ärztlichen Schweigepflicht unterliegen.
Wichtig ist, dass es hier um Patientengeheimnisse geht, die nicht mit den Gesundheitsdaten im Sinne der DSGVO gleichzusetzen sind. Denn während letztere alle Daten sind, die sich auf eine natürliche Person beziehen und zugleich Informationen zu deren Gesundheitszustand beinhalten, sind diese nur dann zugleich auch Patientengeheimnisse, wenn sie vertraulich sind, also in Ausübung der Tätigkeit des Berufsgeheimnisträgers diesem vom Patienten mitgeteilt wurden.
Deren Weitergabe kann — bei Nichtbeachtung der Vorgaben des Gesetzgebers — eine strafbare Verletzung des Patientengeheimnisses bedeuten, die Geld- und sogar Freiheitsstrafen nach sich ziehen kann.
Durch die Gesetzesänderungen des § 203 StGB zum 9. November 2017 wurde der Notwendigkeit externer Dienstleister aber Rechnung getragen und deren Inanspruchnahme deutlich vereinfacht. Der ärztlichen Schweigepflicht unterfallende Daten dürfen demnach inzwischen nicht nur berufsmäßig tätigen Gehilfen von Ärzten und anderen Berufsgeheimnisträgern offenbart werden, sondern auch allen sonstigen Personen, die an ihrer beruflichen Tätigkeit mitwirken. Voraussetzung dafür ist, dass die Weitergabe für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich ist und sofern diese zur Geheimhaltung verpflichtet wurde.
Mit erforderlich ist gemeint, dass der Dienstleister die Daten benötigt, um seine geschuldete Leistung sinnvoll ausführen zu können. Da das in vielen Fällen im Vorhinein nicht genau absehbar ist, ist eine Vereinbarung zulässig, nach welcher der Dienstleister nur auf die für seine Tätigkeit erforderlichen Informationen zugreift.
Schließlich muss der Beauftragte zur Geheimhaltung verpflichtet werden und dazu, ebenfalls seine Mitarbeiter und ggf. weitere Unterauftragnehmer zur selben Geheimhaltung zu verpflichten. Eine Strafbarkeit des Berufsgeheimnisträgers ist auch gegeben, wenn eine solche Geheimschutzverpflichtung unterbleibt. Das bedeutet aber auch, dass sich der strafrechtliche Schutz des Patientengeheimnisses auf den Dienstleister und seine ausführenden Personen erweitert, die umgekehrt sich damit strafbar machen können, wenn sie unbefugt die Patientengeheimnisse weitergeben. Darauf sollte im Rahmen der Verpflichtungsvereinbarung sinnvollerweise auch hingewiesen werden.
Pflichten aus den Landeskrankenhausgesetzen
Für Krankenhäuser sind zusätzlich die jeweiligen Landeskrankenhausgesetze zu beachten, die je nach Bundesland strengere Bestimmungen formulieren können. Beispielsweise legt § 11 Abs. 2 des Hamburger Landeskrankenhausgesetzes bei der regelmäßigen oder automatisierten Offenlegung von Daten dem Krankenhaus eine Aufzeichnungspflicht auf. Weitere technische Schutzmaßnahmen verlangt § 24 Abs. 7 des Berliner Gesetzes. Verarbeitet eine andere Stelle als ein Krankenhaus Patientendaten, dürfe der Auftragnehmer keinen Personenbezug der Patientendaten herstellen können und werden Patientendaten außerhalb des Krankenhauses archiviert, muss das Krankenhaus diese zuvor verschlüsselt haben. Ein weiteres Beispiel ist § 27 Abs. 4 S. 6 des Bayerischen Landeskrankenhausgesetzes, welcher die Verarbeitung von Patientendaten eines Krankenhauses, die nicht nur für die verwaltungsmäßige Abwicklung der Behandlung der Patienten erforderlich ist, ausschließlich durch andere Krankenhäuser erlaubt.
Wenn die Zulässigkeit eines Outsourcing-Vorhabens oder einer seiner Komponenten von einer landesrechtlichen Bestimmung abhängt, lohnt sich eine Beobachtung der rechtlichen Entwicklung auf lange Sicht. Denn nicht wenige sehen in vielen dieser Normen Verstöße gegen das Europarecht, da dieses den Ländern nur Bestimmungen über die Art der Daten, aber nicht über den Ort ihrer Verarbeitung gestattet. Da die Europarechtswidrigkeit allerdings noch nicht gerichtlich festgestellt wurde, sollte bis dahin an den Landesgesetzen festgehalten werden.
Möglichkeit Outsourcing
Datenschutzkonformes Outsourcing im Gesundheitsbereich ist möglich. Patientendaten sind besonders sensibel. Daher sind die Anforderungen, die an Outsourcing im Gesundheitsbereich gestellt werden, höher als in vielen anderen Branchen.
Der Gesetzgeber hat die Notwendigkeit externer Dienstleister allerdings erkannt und dieses rechtlich ermöglicht. Zu beachten sind die zentralen Bestimmungen des Art. 28 DSGVO sowie des § 203 StGB und gegebenenfalls spezielle Regelungen wie die Krankenhausgesetze, deren Europarechtskonformität allerdings fraglich ist und jeweils genau untersucht werden müssen. Der Umfang dieser Anforderungen kann je nach Einzelfall sehr unterschiedlich sein. Prüft man genau, welche Vorgaben sich für den eigenen Fall ergeben und setzt man diese sorgfältig um, ist ein reibungsloses Outsourcing auch im sensiblen Gesundheitsbereich möglich. Es ist also nicht notwendig, alle anfallenden Arbeiten selbst vorzunehmen – es ist durchaus möglich, die eigenen Ressourcen zu einem größeren Teil auf die Kernkompetenzen zu verwenden. Auf die besprochene Weise bleiben Gesundheitsdaten und Patientengeheimnisse geschützt und das Vertrauen in die entsprechenden Institutionen bleibt auch im digitalen Zeitalter gewahrt.
Outsourcing im Gesundheitswesen im Einklang mit dem Datenschutz
Outsourcing ist kein positiv besetzter Begriff. Die Vergangenheit hat gezeigt, dass Outsourcing einerseits kein Allheilmittel ist, aber andererseits in speziellen Bereichen sinnvoll eingesetzt werden kann.
Ob das gelingt, hängt in der Umsetzung von der Vereinbarung mit dem jeweiligen Auftragnehmer ab. Im Gesundheitswesen wird das Outsourcing bestimmter Bereiche immer öfter notwendig, auch und gerade, wenn es um IT-Dienstleistungen geht. Nicht immer kann etwa ein einzelnes Krankenhaus IT-Systeme oder medizinische Geräte instand halten und sich zugleich auf seine eigentlichen Kompetenzen konzentrieren, ohne die Sicherheit der Patientendaten zu gefährden. Aufgrund der steigenden Anzahl an Datenverarbeitungen, komplexen Informationssystemen oder Geräten in der Gesundheitsbranche kann die Inanspruchnahme externer IT-Dienstleister daher geboten sein. Dennoch werden damit sensible Gesundheitsdaten der Patienten an Dritte weitergegeben.
Rechtlich gesehen existieren zwei Felder, die dem im Mittelpunkt stehenden Patienten Schutz für seine gesundheitlichen Informationen bieten:
Ihm steht das Recht auf den Schutz der ihn betreffenden Gesundheitsdaten zu: Zum einen sollen Dritte nicht „am Patienten vorbei“ Zugriff auf seine Gesundheitsdaten erhalten, sondern der Betroffene muss in irgendeiner Weise der Weiterleitung seiner Daten zugestimmt haben. Das kann beispielsweise durch den Abschluss eines Behandlungsvertrags geschehen, der als Rechtsgrundlage für die Datenverarbeitungen dienen kann. Die Kontrolle über die Daten ist zudem strafrechtlich abgesichert durch die ärztliche Schweigepflicht, die die Wichtigkeit dieser Daten noch einmal unterstreicht, indem sie die Weitergabe von Patientengeheimnissen unter Strafe stellt.
Datenschutzrechtliche Privilegierung von Outsourcing
Vom datenschutzrechtlichen Standpunkt aus betrachtet liegt in den meisten Fällen eine Auftragsverarbeitung zwischen dem Unternehmen des Gesundheitsbereichs, beispielsweise einem Krankenhaus, und dem IT-Dienstleister vor.
Dieses besteht aus dem Verhältnis zwischen einem Verantwortlichen, der allein über Mittel und Zwecke der Datenverarbeitung entscheidet und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Dienstleister muss folglich im Auftrag zum Beispiel eines Krankenhauses handeln und dabei weisungsgebunden sein. Dabei ist er aber — abgesehen von den Mitteln und Zwecken der Verarbeitung — nicht vollständig an die Weisungen des Auftraggebers gebunden.
Eine Besonderheit der Auftragsverarbeitung ist, dass der Verantwortliche und der Auftragsverarbeiter gedanklich aneinanderrücken und datenschutzrechtlich zu einer Einheit werden, was zur Folge hat, dass die Offenlegung der Gesundheitsdaten an und die weitere Verarbeitung durch den IT-Dienstleister von der für das Krankenhaus geltenden Rechtsgrundlage gedeckt ist. Haben Patienten beispielsweise in eine bestimmte Verarbeitung ihrer Daten eingewilligt, muss man von ihnen in der Regel keine weitere Einwilligung dafür einholen, dass die Verarbeitung nun der Dienstleister übernimmt. Üblicherweise müsste man für die Verarbeitung der Daten durch einen Dritten eine gesonderte Einwilligung einholen oder eine andere Rechtsgrundlage anführen. Diese sogenannte „Privilegierung“ der Auftragsverarbeitung gilt freilich nur, sofern alle Voraussetzungen der Auftragsverarbeitung nach der Datenschutz-Grundverordnung (Art. 28 DSGVO ) erfüllt sind.
Hier gilt es, sorgfältig vorzugehen:
1. Man entscheidet sich für den richtigen Dienstleister
2. Mit diesem schließt man einen umfassenden Auftragsverarbeitungsvertrag.
Bei der Auswahl des Dienstleisters sollte darauf geachtet werden, dass dieser geeignete technische und organisatorische Maßnahmen anbietet. Diese sollten in der Lage sein Datenschutzrechtsverstößen vorzubeugen und dafür sorgen, dass die Einhaltung der DSGVO-Vorschriften wahrscheinlich ist. Dabei können entsprechende Zertifizierungen helfen, den richtigen Dienstleister zu finden.
Der Vertrag sollte die betreffenden Datenverarbeitungen und die Rechte wie Pflichten der Beteiligten möglichst genau beschreiben und die erforderliche Weisungsbefugnis festlegen. Weitere Details wie beispielsweise die Vergabe von Unteraufträgen durch den Dienstleister oder zum Umgang mit den Daten nach der Beendigung des Vertragsverhältnisses sind mit aufzunehmen. Ist der Dienstleister ein Unternehmen, das die Daten außerhalb der EU verarbeitet, ist zu prüfen, ob die EU-Kommission das Datenschutzniveau in dem betreffenden Land als angemessen einstuft oder sonstige Garantien beziehungsweise Ausnahmen bestehen. Im Falle der USA ist eine Übermittlung der Gesundheitsdaten dorthin zulässig, wenn das Unternehmen nach dem Privacy-Shield-Abkommen zertifiziert ist.
Strafrecht als Hemmschuh des Outsourcings?
Abgesehen davon, ob das Outsourcing datenschutzkonform gestaltet wurde, sollte geprüft werden, ob Daten weitergegeben werden müssen, die der ärztlichen Schweigepflicht unterliegen.
Wichtig ist, dass es hier um Patientengeheimnisse geht, die nicht mit den Gesundheitsdaten im Sinne der DSGVO gleichzusetzen sind. Denn während letztere alle Daten sind, die sich auf eine natürliche Person beziehen und zugleich Informationen zu deren Gesundheitszustand beinhalten, sind diese nur dann zugleich auch Patientengeheimnisse, wenn sie vertraulich sind, also in Ausübung der Tätigkeit des Berufsgeheimnisträgers diesem vom Patienten mitgeteilt wurden.
Deren Weitergabe kann — bei Nichtbeachtung der Vorgaben des Gesetzgebers — eine strafbare Verletzung des Patientengeheimnisses bedeuten, die Geld- und sogar Freiheitsstrafen nach sich ziehen kann.
Durch die Gesetzesänderungen des § 203 StGB zum 9. November 2017 wurde der Notwendigkeit externer Dienstleister aber Rechnung getragen und deren Inanspruchnahme deutlich vereinfacht. Der ärztlichen Schweigepflicht unterfallende Daten dürfen demnach inzwischen nicht nur berufsmäßig tätigen Gehilfen von Ärzten und anderen Berufsgeheimnisträgern offenbart werden, sondern auch allen sonstigen Personen, die an ihrer beruflichen Tätigkeit mitwirken. Voraussetzung dafür ist, dass die Weitergabe für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich ist und sofern diese zur Geheimhaltung verpflichtet wurde.
Mit erforderlich ist gemeint, dass der Dienstleister die Daten benötigt, um seine geschuldete Leistung sinnvoll ausführen zu können. Da das in vielen Fällen im Vorhinein nicht genau absehbar ist, ist eine Vereinbarung zulässig, nach welcher der Dienstleister nur auf die für seine Tätigkeit erforderlichen Informationen zugreift.
Schließlich muss der Beauftragte zur Geheimhaltung verpflichtet werden und dazu, ebenfalls seine Mitarbeiter und ggf. weitere Unterauftragnehmer zur selben Geheimhaltung zu verpflichten. Eine Strafbarkeit des Berufsgeheimnisträgers ist auch gegeben, wenn eine solche Geheimschutzverpflichtung unterbleibt. Das bedeutet aber auch, dass sich der strafrechtliche Schutz des Patientengeheimnisses auf den Dienstleister und seine ausführenden Personen erweitert, die umgekehrt sich damit strafbar machen können, wenn sie unbefugt die Patientengeheimnisse weitergeben. Darauf sollte im Rahmen der Verpflichtungsvereinbarung sinnvollerweise auch hingewiesen werden.
Pflichten aus den Landeskrankenhausgesetzen
Für Krankenhäuser sind zusätzlich die jeweiligen Landeskrankenhausgesetze zu beachten, die je nach Bundesland strengere Bestimmungen formulieren können. Beispielsweise legt § 11 Abs. 2 des Hamburger Landeskrankenhausgesetzes bei der regelmäßigen oder automatisierten Offenlegung von Daten dem Krankenhaus eine Aufzeichnungspflicht auf. Weitere technische Schutzmaßnahmen verlangt § 24 Abs. 7 des Berliner Gesetzes. Verarbeitet eine andere Stelle als ein Krankenhaus Patientendaten, dürfe der Auftragnehmer keinen Personenbezug der Patientendaten herstellen können und werden Patientendaten außerhalb des Krankenhauses archiviert, muss das Krankenhaus diese zuvor verschlüsselt haben. Ein weiteres Beispiel ist § 27 Abs. 4 S. 6 des Bayerischen Landeskrankenhausgesetzes, welcher die Verarbeitung von Patientendaten eines Krankenhauses, die nicht nur für die verwaltungsmäßige Abwicklung der Behandlung der Patienten erforderlich ist, ausschließlich durch andere Krankenhäuser erlaubt.
Wenn die Zulässigkeit eines Outsourcing-Vorhabens oder einer seiner Komponenten von einer landesrechtlichen Bestimmung abhängt, lohnt sich eine Beobachtung der rechtlichen Entwicklung auf lange Sicht. Denn nicht wenige sehen in vielen dieser Normen Verstöße gegen das Europarecht, da dieses den Ländern nur Bestimmungen über die Art der Daten, aber nicht über den Ort ihrer Verarbeitung gestattet. Da die Europarechtswidrigkeit allerdings noch nicht gerichtlich festgestellt wurde, sollte bis dahin an den Landesgesetzen festgehalten werden.
Möglichkeit Outsourcing
Datenschutzkonformes Outsourcing im Gesundheitsbereich ist möglich. Patientendaten sind besonders sensibel. Daher sind die Anforderungen, die an Outsourcing im Gesundheitsbereich gestellt werden, höher als in vielen anderen Branchen.
Der Gesetzgeber hat die Notwendigkeit externer Dienstleister allerdings erkannt und dieses rechtlich ermöglicht. Zu beachten sind die zentralen Bestimmungen des Art. 28 DSGVO sowie des § 203 StGB und gegebenenfalls spezielle Regelungen wie die Krankenhausgesetze, deren Europarechtskonformität allerdings fraglich ist und jeweils genau untersucht werden müssen. Der Umfang dieser Anforderungen kann je nach Einzelfall sehr unterschiedlich sein. Prüft man genau, welche Vorgaben sich für den eigenen Fall ergeben und setzt man diese sorgfältig um, ist ein reibungsloses Outsourcing auch im sensiblen Gesundheitsbereich möglich. Es ist also nicht notwendig, alle anfallenden Arbeiten selbst vorzunehmen – es ist durchaus möglich, die eigenen Ressourcen zu einem größeren Teil auf die Kernkompetenzen zu verwenden. Auf die besprochene Weise bleiben Gesundheitsdaten und Patientengeheimnisse geschützt und das Vertrauen in die entsprechenden Institutionen bleibt auch im digitalen Zeitalter gewahrt.