THEMEN DER ZEIT

Outsourcing und Fernwartung: Datenschutzrechtliche Anforderungen

Dtsch Arztebl 2015; 112(16): A-718 / B-608 / C-588

Schütze, Bernd; Schrenk, Nikolaus; Koeppe, David; Kassner, Andreas

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Das Outsourcing von Patientendaten als Auftragsdatenverarbeitung ist tägliche Praxis in der medizinischen Routine, erfordert jedoch die Einhaltung gesetzlicher Vorgaben und eine vertragliche Regelung.

Foto: Fotolia/Coloures-pic
Foto: Fotolia/Coloures-pic

Die medizinische Versorgung hat sich in den letzten Jahren zunehmend in Richtung einer gemeinschaftlichen Patientenbetreuung entwickelt. Das heißt, Krankenhäuser kooperieren. Nur noch wenige Krankenhäuser versorgen alle Erkrankungen. Oftmals erfolgt eine Spezialisierung, und als Folge daraus weisen sich die Krankenhäuser Patienten entsprechend ihren Spezialgebieten zu. Auch kommt es zu engen Kooperationen zwischen niedergelassenen Arztpraxen und Krankenhäusern, so dass die Grenzen zwischen den Versorgungssektoren eher fließend sind.

Vor allem die letzten beiden Punkte haben die IT-Landschaft verändert. Diese Weiterentwicklung der IT-Systeme im Gesundheitswesen bedingt jedoch eine deutliche Zunahme in der Komplexität der eingesetzten Systeme.

Unterstützung durch Externe

Weder Krankenhäuser noch Arztpraxen sind heute in der Lage, diese Systeme ohne die Unterstützung durch den jeweiligen Hersteller zu betreiben. Folglich müssen die Hersteller bei der Pflege und Wartung der Systeme das Krankenhaus oder die Arztpraxis unterstützen und dazu mitunter sogar Einblick in Patientendaten erhalten. Spätestens zu diesem Zeitpunkt stellt sich die Frage, ob dies datenschutzrechtlich zulässig ist.

Datenschutzrechtlich werden hinsichtlich der Beauftragung von (externen) Dienstleistern zwei Möglichkeiten der Auftragsvergabe unterschieden: die Funktionsübertragung und die Auftragsdatenverarbeitung (ADV).

Bei der Funktionsübertragung werden an einen Dritten Daten übermittelt, damit dieser eine bestimmte Aufgabe (Funktion) eigenverantwortlich übernehmen kann. Für eine solche Datenübermittlung ist entweder eine gesetzliche Erlaubnis oder eine Einwilligung des Patienten erforderlich. Da die gesetzlichen Bestimmungen für Patientendaten einen maximalen Schutz fordern, wird regelmäßig rechtlich keine Erlaubnis für eine weisungsfreie externe Be- und Verarbeitung von Patientendaten vorliegen. Eine Einwilligung scheidet sowohl aus praktischen als auch formalen Gründen (Stichwort: Freiwilligkeit) aus.

Musterbeispiel Selbstauskunftfragebogen zur Fernwartung: Die Umsetzung technisch-organisatorischer Maßnahmen (TOM) des Auftragnehmers lassen sich tabellarisch und grafisch darstellen.
Musterbeispiel Selbstauskunftfragebogen zur Fernwartung: Die Umsetzung technisch-organisatorischer Maßnahmen (TOM) des Auftragnehmers lassen sich tabellarisch und grafisch darstellen.

Die Auftragsdatenverarbeitung gilt als eine „privilegierte“ Form der Funktionsübertragung, für welche der Gesetzgeber vertragsrechtliche Anforderungen (§ 11 Bundesdatenschutzgesetz – BDSG, § 80 Sozialgesetzbuch X, landesrechtliche Bestimmungen) stellt. Aufgrund der gesetzlich vorgeschriebenen vertragsrechtlichen Gestaltung bleibt der Auftraggeber datenschutzrechtlich verantwortlich und dem Auftragnehmer gegenüber weisungsbefugt. Als „privilegiert“ wird diese Form der externen Datenverarbeitung deswegen angesehen, weil keine Einverständniserklärung des jeweiligen Patienten für die Bearbeitung durch externe Dienstleister eingeholt werden muss. In nahezu allen bundes- beziehungsweise landesrechtlichen Datenschutzbestimmungen wird die Auftragsdatenverarbeitung explizit erlaubt, das heißt, eine Arztpraxis oder ein Krankenhaus kann das Outsourcing, zu dem auch die (Fern-)Wartung von IT-Systemen durch Hersteller zählt, nur in Form einer Auftragsdatenverarbeitung durchführen.

Wesentliche Anforderungen

Damit eine Auftragsdatenverarbeitung durchgeführt werden kann, müssen entsprechend den jeweils geltenden Bestimmungen verschiedene Voraussetzungen erfüllt sein. Zu diesen gehören insbesondere

  • „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“ (§ 11 Abs. 2 BDSG).
  • Der Auftraggeber, also die Verantwortlichen in der leistungserbringenden Stelle, muss sich vor Vertragsabschluss davon überzeugen, dass die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten beim Auftragnehmer vorhanden sind, um mindestens das eigene Schutzniveau zu gewährleisten. Nach Auftragserteilung muss sich der Auftraggeber regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen (und vertraglich vereinbarten) technischen und organisatorischen Maßnahmen überzeugen und das Ergebnis der Überprüfung dokumentieren.
  • „Der Auftrag ist schriftlich festzuhalten“ (§ 11 Abs. 2 BDSG). Der Paragraf nennt eine Reihe von vertraglichen (Mindest-)Anforderungen, so dass die dortige Auflistung als eine Vorlage für eine Vereinbarung – häufig „ADV-Vertrag“ genannt – angesehen werden kann.
  • Der Auftraggeber bleibt – auch beim Auftragnehmer – für die Datenverarbeitung verantwortlich (§ 11 Abs. 1 BDSG) und ist gegenüber dem Auftragnehmer weisungsbefugt (§ 11 Abs. 3 BDSG).

ADV-Verträge sind nicht trivial

Auch fünf Jahre nach der Novellierung des BDSG im Jahr 2009, bei der die Voraussetzungen für eine Auftragsdatenverarbeitung überarbeitet wurden, gibt es bei den Leistungserbringern im Gesundheitswesen noch überraschend wenige ADV-Verträge. Dies liegt sicherlich mit daran, dass die Ausgestaltung eines ADV-Vertrages für das Gesundheitswesen nicht trivial ist.

Aus diesem Grund haben mehrere Verbände eine Arbeitsgruppe gebildet, die einerseits einen kommentierten Muster-ADV-Vertrag entwerfen sollte, der auf die besonderen Belange des Gesundheitswesens eingeht, andererseits auch Praxishilfen für den Umgang mit dem Thema erstellt. Die hierzu erarbeiteten Materialien sind auf den Internetseiten der beteiligten Verbände verfügbar (Kasten).

Findet ein Outsourcing wie die Wartung von IT- oder medizintechnischen Geräten ohne gültigen ADV-Vertrag statt, liegt datenschutzrechtlich eine Ordnungswidrigkeit zum Beispiel nach § 43 Abs. 1 Ziff. 2.b BDSG vor. Diese Ordnungswidrigkeit kann von der zuständigen Datenschutzaufsichtsbehörde mit einer Geldbuße bis zu 50 000 Euro geahndet werden, wobei die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll (§ 43 Abs. 3 BDSG). Das heißt, ist der wirtschaftliche Vorteil, den etwa die Praxis durch die rechtswidrige Auftragserteilung erzielt, höher als 50 000 Euro, kann die Geldbuße auch höher ausfallen.

Datenschutz versus Strafrecht

Der Tatbestand des § 203 Strafgesetzbuch (StGB) setzt voraus, dass einer der in § 203 Abs. 1 StGB genannten Geheimnisverpflichteten ein fremdes Geheimnis, welches ihm anvertraut worden ist, unbefugt offenbart. Schutzzweck der Vorschrift ist vorrangig die Geheimsphäre des Einzelnen, daneben auch das Allgemeininteresse an der Verschwiegenheit einzelner Berufsgruppen. Ein Offenbaren im Sinne des § 203 StGB ist demnach zunächst jede Mitteilung über die geheim zu haltende Tatsache an einen Dritten.

Werden im Rahmen eines Outsourcings hingegen „externe“ Dienstleister mit diesen Aufgaben betraut, so werden die Geheimnisse über die Grenzen von juristischen Personen hinweg ausgetauscht. Stand heute kann auch mit den Regelungen der Auftragsdatenverarbeitung die Fragestellung, ob aus einer datenschutzrechtlich einwandfrei beauftragten Auftragsdatenverarbeitung eine Offenbarungsbefugnis gemäß § 203 StGB gegenüber dem Auftragnehmer resultiert, nicht eindeutig beantwortet werden. Dieser Widerspruch, dass eine Arztpraxis oder ein Krankenhaus ein datenschutzrechtlich konform geregeltes Outsourcing von Leistungen betreibt, zugleich aber eventuell gegen geltendes Strafrecht verstoßen kann, ist daher auch durch einen ADV-Vertrag nicht aufzulösen. Hier ist der Gesetzgeber gefordert, eine Offenbarungsbefugnis gemäß § 203 StGB für die Auftragsdatenverarbeitung zu regeln.

Für Rechtsanwälte gelten analog zu Ärzten die Anforderungen des § 203 StGB, und auch die Rechtsanwälte können auf die Mithilfe Externer zur Betreuung der von ihnen eingesetzten Systeme nicht verzichten. Daher wurde auf der letzten Sitzung der Satzungsversammlung der Bundesrechtsanwaltskammer im November 2014 eine Änderung der Berufsordnung für Rechtsanwälte beschlossen, die dieses Problem beseitigt*. Wünschenswert wäre, dass die Bundes­ärzte­kammer eine Anpassung der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte vornimmt, so dass für die Ärztinnen und Ärzte der aus § 203 StGB resultierende strafrechtliche Fallstrick ebenfalls beseitigt wird.

Fazit

Im Rahmen der Verarbeitung von Patientendaten durch Externe („Outsourcing“) erlauben das Sozialrecht wie auch viele landesrechtliche Vorschriften ausschließlich eine Auftragsdatenverarbeitung. Aus datenschutzrechtlicher Sicht ist diese Einschränkung zu begrüßen, da unter dem Gesichtspunkt der Vielzahl der Verträge zur Funktionsübertragung der Patient seine informationelle Selbstbestimmung nicht wahrnehmen könnte, beispielsweise hinsichtlich Auskunftsanfragen bezüglich gespeicherter oder verarbeiteter Daten. Aber auch aus Sicht einer Arztpraxis oder eines Krankenhauses ist die auf einer Einwilligungserklärung des Patienten beruhende Funktionsübertragung organisatorisch praktisch nicht umsetzbar: Da eine Einwilligung eines Patienten nur freiwillig geschehen kann und ein Nicht-Vorliegen einer Einwilligung keinerlei Auswirkung auf die Behandlung beinhalten kann, ist diese Form der Auftragsvergabe im Workflow eines Krankenhauses in den meisten Fällen schlicht nicht integrierbar.

Das heißt, die rechtliche Einschränkung, Outsourcing von Patientendaten nur als Auftragsdatenverarbeitung zu erlauben, entspricht der Abbildung der täglichen Praxis und stellt eigentlich keine Einschränkung dar.

Wichtig ist für alle Leistungserbringer, dass die gesetzlichen Vorgaben bei der Vergabe wie auch im dauerhaften Umgang mit einer Auftragsdatenverarbeitung eingehalten werden, da ansonsten für jeden einzelnen Verstoß Bußgelder drohen.

Der von der Arbeitsgruppe erarbeitete Muster-ADV-Vertrag bietet eine Hilfestellung, um das Thema Auftragsdatenverarbeitung im Gesundheitswesen soweit wie möglich praxisgerecht für Auftragnehmer (IT-Hersteller) und Auftraggeber (Arztpraxen, Krankenhäuser, . . .) vertraglich umzusetzen.

  • Zitierweise dieses Beitrags:
    Dtsch Arztebl 2015; 112(16): A 718–20

Anschrift für die Verfasser

Dr. med. Bernd Schütze

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)

Industriestraße 154, 50996 Köln

@Literatur im Internet:
www.aerzteblatt.de/lit1615
oder über QR-Code.

*Anwaltsblatt: Satzungsversammlung regelt
Non-legal-Outsourcing. Online verfügbar unter http://anwaltsblatt.anwaltverein.de/nachrichten-details/items/Satzungsversammlung_11.2014.html, zitiert am 23. Dezember 2014

Materialien der ADV-AG

Foto: Fotolia/nmann77
Foto: Fotolia/nmann77

Mitglieder der AG

  • Berufsverband der Datenschutzbeauftragten Deutschlands e.V., BvD (Arbeitskreis „Medizin“): https://www.bvdnet.de/ak-medizin.html
  • Bundesverband Gesundheits-IT e.V., bvitg: www.bvitg.de
  • Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V., GMDS (Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“): www.gesundheitsdatenschutz.org/doku.php/gmds-dgi-empfehlungen
  • Gesellschaft für Datenschutz und Datensicherheit e.V., GDD (Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“): http://gddak.eh-cc.de/materialien_und_links/

Materialien

Folgende Ergebnisse der Arbeitsgruppe liegen vor:

  • Ein Muster-ADV-Vertrag für das Gesundheitswesen
  • Ein Beispiel zur Anwendung des Muster-ADV-Vertrages (als Beispiel wurde die Fernwartung gewählt)
  • Vorschläge anhand von Excel-Tabellen

a) zur Prüfung des Auftraggebers, inwieweit er organisatorisch selbst für die Vergabe einer Auftragsdatenverarbeitung vorbereitet ist;

b) zur Selbstauskunft des Auftragnehmers zur Beurteilung der Eignung des Auftragnehmers durch den Auftraggeber entsprechend den Anforderungen gemäß § 11 Abs. 2 BDSG

  • Eine Kommentierung zur Beurteilung der Auftragsdatenverarbeitung aus Sicht der derzeit geplanten europäischen Datenschutz-Grundverordnung.
Anzeige
1.
Artikel-29-Datenschutzgruppe. (2007) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf.
2.
Artikel-29-Datenschutzgruppe. (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf.
3.
Artikel-29-Datenschutzgruppe. (2011) Stellungnahme 15/2011 zur Definition von Einwilligung. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf.
4.
Bergt M: Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung. In: Taeger J. (Hrsg.) Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter (Band 1). Oldenburger Verlag für Wirtschaft, Informatik und Recht 2013.
5.
Bierekoven C: Aktuelle Entwicklungen zur Auftragsdatenverarbeitung – Präzisierte Anforderungen der Datenschutzaufsichtsbehörden. ITRB 2012: 280–2.
6.
Bräutigam P: § 203 StGB und der funktionale Unternehmensbegriff – Ein Silberstreif am Horizont für konzerninternes IT-Outsourcing bei Versicherern. CR 2011: 411–6.
7.
Buchner B: Outsourcing in der Arztpraxis – zwischen Datenschutz und Schweigepflicht. MedR 2013: 337–42.
8.
Conrad I, Fechtner S: IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 7.2.2013 – Datenschutzrechtliche Anforderungen. CR 2013: 137–48.
9.
Gaulke M: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen bei Auftragsdatenverarbeitungen. DuD 2011: 417–20.
10.
Giesen T: Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen. NStZ 2012: 122ff.
11.
Heghmanns M, Niehaus H: Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB. NStZ 2008: 57ff
12.
Hoeren T: Das neue BDSD und die Auftragsdatenverarbeitung. DuD 2010: 688–91.
13.
Holländer C: Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB 2014: 115–6.
14.
Jandt S, Roßnagel A, Wilke D: Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes. NZS 2011: 641ff.
15.
Kort M: Strafbarkeitsrisiken des Datenschutzbeauftragten nach § STGB § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten. NstZ 2011: 193–5.
16.
Leisner W: Einschaltung Privater bei der Leistungsabrechnung in der Gesetzlichen Kran­ken­ver­siche­rung – Verfassungsrechtliche Vorgaben für eine anstehende gesetzliche Neuregelung. NZS 2010: 129–36.
17.
Lensdorf L, Mayer-Wegelin C, Mantz R: Outsourcing unter Wahrung von Privatgeheimnissen – Wie das mögliche Hindernis des § 203 Abs. 1 StGB überwunden werden kann. CR 2009: 62–8.
18.
Lewinski K: Schweigepflicht von Arzt und Apotheker – Datenschutzrecht und aufsichtsrechtliche Kontrolle. MedR 2004: 95–104.
19.
Menzel HJ: Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen. RDV 2013: 59–66 MEDLINE
20.
Münch P: Technisch-organisatorischer Datenschutz: – Leitfaden für Praktiker. 4. Auflage. Datakontext Verlag 2010.
21.
Paul JA, Gendelev B: Outsourcing von Krankenhausinformationssystemen – Praxishinweise zur rechtskonformen Umsetzung. ZD 2012: 315–21.
22.
Schmidl M, Kone D: Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung. DuD 2010: 838–43.
23.
Siebenhüner R: Wartung technischer Systeme im Krankenhaus durch externe Dienstleister – Datenschutzrechtliche Aspekte. 1. Auflage. Deutsche Krankenhaus Verlagsgesellschaft mbH 2013.
24.
Sommer I: § 80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. In: Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Luchterhand 2011.
25.
Voigt P: Auftragsdatenverarbeitung mit ausländischen Auftragnehmern – Geringere Anforderungen an die Vertragsausgestaltung als im Inland? ZD 2012: 546ff
26.
Waider H: Ärztliche Schweigepflicht im psychiatrischen Krankenhaus. Recht & Psychiatrie 24 2006: 65–74.
27.
Weber M, Voigt P: Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 2011: 74ff.
28.
Weichert T: Die Krux mit der ärztlichen Schweigepflichtentbindung für Versicherungen. NJW 2004: 1695ff.
29.
Welke WA: Zulässigkeit von Durchsuchungen in Arztpraxen – Anmerkung zum Beschluss des BVerfG vom 21.1.2008 – 2 BvR 1219/07. MedR 2008: 732–4.
30.
Wienke A, Sauerborn J: EDV-gestützte Patientendokumentation und Datenschutz in der Arztpraxis. MedR 2000: 517–9.
Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V., Köln: Dr. Schütze;
Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., Berlin: Schrenk; Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn: Koeppe; Bundesverband Gesundheits-IT – bvitg e.V., Berlin: Kassner
1.Artikel-29-Datenschutzgruppe. (2007) Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_de.pdf.
2. Artikel-29-Datenschutzgruppe. (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf.
3.Artikel-29-Datenschutzgruppe. (2011) Stellungnahme 15/2011 zur Definition von Einwilligung. [Online, zitiert am 2014–08–23]; Verfügbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf.
4.Bergt M: Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung. In: Taeger J. (Hrsg.) Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter (Band 1). Oldenburger Verlag für Wirtschaft, Informatik und Recht 2013.
5. Bierekoven C: Aktuelle Entwicklungen zur Auftragsdatenverarbeitung – Präzisierte Anforderungen der Datenschutzaufsichtsbehörden. ITRB 2012: 280–2.
6. Bräutigam P: § 203 StGB und der funktionale Unternehmensbegriff – Ein Silberstreif am Horizont für konzerninternes IT-Outsourcing bei Versicherern. CR 2011: 411–6.
7. Buchner B: Outsourcing in der Arztpraxis – zwischen Datenschutz und Schweigepflicht. MedR 2013: 337–42.
8.Conrad I, Fechtner S: IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 7.2.2013 – Datenschutzrechtliche Anforderungen. CR 2013: 137–48.
9. Gaulke M: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen bei Auftragsdatenverarbeitungen. DuD 2011: 417–20.
10. Giesen T: Zum Begriff des Offenbarens nach § 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen. NStZ 2012: 122ff.
11. Heghmanns M, Niehaus H: Outsourcing im Versicherungswesen und der Gehilfenbegriff des § 203 III 2 StGB. NStZ 2008: 57ff
12.Hoeren T: Das neue BDSD und die Auftragsdatenverarbeitung. DuD 2010: 688–91.
13.Holländer C: Auftragsdatenverarbeitung: Aus der Praxis der Aufsichtsbehörden. ITRB 2014: 115–6.
14. Jandt S, Roßnagel A, Wilke D: Outsourcing der Verarbeitung von Patientendaten – Fragen des Daten- und Geheimnisschutzes. NZS 2011: 641ff.
15.Kort M: Strafbarkeitsrisiken des Datenschutzbeauftragten nach § STGB § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten. NstZ 2011: 193–5.
16.Leisner W: Einschaltung Privater bei der Leistungsabrechnung in der Gesetzlichen Kran­ken­ver­siche­rung – Verfassungsrechtliche Vorgaben für eine anstehende gesetzliche Neuregelung. NZS 2010: 129–36.
17. Lensdorf L, Mayer-Wegelin C, Mantz R: Outsourcing unter Wahrung von Privatgeheimnissen – Wie das mögliche Hindernis des § 203 Abs. 1 StGB überwunden werden kann. CR 2009: 62–8.
18.Lewinski K: Schweigepflicht von Arzt und Apotheker – Datenschutzrecht und aufsichtsrechtliche Kontrolle. MedR 2004: 95–104.
19. Menzel HJ: Auftragsdatenverarbeitung im Sozial- und Gesundheitswesen. RDV 2013: 59–66 MEDLINE
20. Münch P: Technisch-organisatorischer Datenschutz: – Leitfaden für Praktiker. 4. Auflage. Datakontext Verlag 2010.
21.Paul JA, Gendelev B: Outsourcing von Krankenhausinformationssystemen – Praxishinweise zur rechtskonformen Umsetzung. ZD 2012: 315–21.
22. Schmidl M, Kone D: Standardvertragsklauseln als Basis intra-europäischer Auftragsdatenverarbeitung. DuD 2010: 838–43.
23. Siebenhüner R: Wartung technischer Systeme im Krankenhaus durch externe Dienstleister – Datenschutzrechtliche Aspekte. 1. Auflage. Deutsche Krankenhaus Verlagsgesellschaft mbH 2013.
24. Sommer I: § 80 Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag. In: Krahmer (Hrsg.) Sozialdatenschutz nach SGB I und X. 3. Auflage. Luchterhand 2011.
25.Voigt P: Auftragsdatenverarbeitung mit ausländischen Auftragnehmern – Geringere Anforderungen an die Vertragsausgestaltung als im Inland? ZD 2012: 546ff
26. Waider H: Ärztliche Schweigepflicht im psychiatrischen Krankenhaus. Recht & Psychiatrie 24 2006: 65–74.
27.Weber M, Voigt P: Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln. ZD 2011: 74ff.
28. Weichert T: Die Krux mit der ärztlichen Schweigepflichtentbindung für Versicherungen. NJW 2004: 1695ff.
29.Welke WA: Zulässigkeit von Durchsuchungen in Arztpraxen – Anmerkung zum Beschluss des BVerfG vom 21.1.2008 – 2 BvR 1219/07. MedR 2008: 732–4.
30.Wienke A, Sauerborn J: EDV-gestützte Patientendokumentation und Datenschutz in der Arztpraxis. MedR 2000: 517–9.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Alle Leserbriefe zum Thema

Login

Loggen Sie sich auf Mein DÄ ein

E-Mail

Passwort

Anzeige