Outsourcing und Fernwartung: Datenschutzrechtliche Anforderungen

Das Outsourcing von Patientendaten als Auftragsdatenverarbeitung ist tägliche Praxis in der medizinischen Routine, erfordert jedoch die Einhaltung gesetzlicher Vorgaben und eine vertragliche Regelung.

Foto: Fotolia/Coloures-pic

Die medizinische Versorgung hat sich in den letzten Jahren zunehmend in Richtung einer gemeinschaftlichen Patientenbetreuung entwickelt. Das heißt, Krankenhäuser kooperieren. Nur noch wenige Krankenhäuser versorgen alle Erkrankungen. Oftmals erfolgt eine Spezialisierung, und als Folge daraus weisen sich die Krankenhäuser Patienten entsprechend ihren Spezialgebieten zu. Auch kommt es zu engen Kooperationen zwischen niedergelassenen Arztpraxen und Krankenhäusern, so dass die Grenzen zwischen den Versorgungssektoren eher fließend sind.

Vor allem die letzten beiden Punkte haben die IT-Landschaft verändert. Diese Weiterentwicklung der IT-Systeme im Gesundheitswesen bedingt jedoch eine deutliche Zunahme in der Komplexität der eingesetzten Systeme.

Unterstützung durch Externe

Weder Krankenhäuser noch Arztpraxen sind heute in der Lage, diese Systeme ohne die Unterstützung durch den jeweiligen Hersteller zu betreiben. Folglich müssen die Hersteller bei der Pflege und Wartung der Systeme das Krankenhaus oder die Arztpraxis unterstützen und dazu mitunter sogar Einblick in Patientendaten erhalten. Spätestens zu diesem Zeitpunkt stellt sich die Frage, ob dies datenschutzrechtlich zulässig ist.

Datenschutzrechtlich werden hinsichtlich der Beauftragung von (externen) Dienstleistern zwei Möglichkeiten der Auftragsvergabe unterschieden: die Funktionsübertragung und die Auftragsdatenverarbeitung (ADV).

Bei der Funktionsübertragung werden an einen Dritten Daten übermittelt, damit dieser eine bestimmte Aufgabe (Funktion) eigenverantwortlich übernehmen kann. Für eine solche Datenübermittlung ist entweder eine gesetzliche Erlaubnis oder eine Einwilligung des Patienten erforderlich. Da die gesetzlichen Bestimmungen für Patientendaten einen maximalen Schutz fordern, wird regelmäßig rechtlich keine Erlaubnis für eine weisungsfreie externe Be- und Verarbeitung von Patientendaten vorliegen. Eine Einwilligung scheidet sowohl aus praktischen als auch formalen Gründen (Stichwort: Freiwilligkeit) aus.

Musterbeispiel Selbstauskunftfragebogen zur Fernwartung: Die Umsetzung technisch-organisatorischer Maßnahmen (TOM) des Auftragnehmers lassen sich tabellarisch und grafisch darstellen.

Die Auftragsdatenverarbeitung gilt als eine „privilegierte“ Form der Funktionsübertragung, für welche der Gesetzgeber vertragsrechtliche Anforderungen (§ 11 Bundesdatenschutzgesetz – BDSG, § 80 Sozialgesetzbuch X, landesrechtliche Bestimmungen) stellt. Aufgrund der gesetzlich vorgeschriebenen vertragsrechtlichen Gestaltung bleibt der Auftraggeber datenschutzrechtlich verantwortlich und dem Auftragnehmer gegenüber weisungsbefugt. Als „privilegiert“ wird diese Form der externen Datenverarbeitung deswegen angesehen, weil keine Einverständniserklärung des jeweiligen Patienten für die Bearbeitung durch externe Dienstleister eingeholt werden muss. In nahezu allen bundes- beziehungsweise landesrechtlichen Datenschutzbestimmungen wird die Auftragsdatenverarbeitung explizit erlaubt, das heißt, eine Arztpraxis oder ein Krankenhaus kann das Outsourcing, zu dem auch die (Fern-)Wartung von IT-Systemen durch Hersteller zählt, nur in Form einer Auftragsdatenverarbeitung durchführen.

Wesentliche Anforderungen

Damit eine Auftragsdatenverarbeitung durchgeführt werden kann, müssen entsprechend den jeweils geltenden Bestimmungen verschiedene Voraussetzungen erfüllt sein. Zu diesen gehören insbesondere

• „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen“ (§ 11 Abs. 2 BDSG).
• Der Auftraggeber, also die Verantwortlichen in der leistungserbringenden Stelle, muss sich vor Vertragsabschluss davon überzeugen, dass die notwendigen technischen und organisatorischen Maßnahmen zum Schutz der Patientendaten beim Auftragnehmer vorhanden sind, um mindestens das eigene Schutzniveau zu gewährleisten. Nach Auftragserteilung muss sich der Auftraggeber regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen (und vertraglich vereinbarten) technischen und organisatorischen Maßnahmen überzeugen und das Ergebnis der Überprüfung dokumentieren.
• „Der Auftrag ist schriftlich festzuhalten“ (§ 11 Abs. 2 BDSG). Der Paragraf nennt eine Reihe von vertraglichen (Mindest-)Anforderungen, so dass die dortige Auflistung als eine Vorlage für eine Vereinbarung – häufig „ADV-Vertrag“ genannt – angesehen werden kann.
• Der Auftraggeber bleibt – auch beim Auftragnehmer – für die Datenverarbeitung verantwortlich (§ 11 Abs. 1 BDSG) und ist gegenüber dem Auftragnehmer weisungsbefugt (§ 11 Abs. 3 BDSG).

ADV-Verträge sind nicht trivial

Auch fünf Jahre nach der Novellierung des BDSG im Jahr 2009, bei der die Voraussetzungen für eine Auftragsdatenverarbeitung überarbeitet wurden, gibt es bei den Leistungserbringern im Gesundheitswesen noch überraschend wenige ADV-Verträge. Dies liegt sicherlich mit daran, dass die Ausgestaltung eines ADV-Vertrages für das Gesundheitswesen nicht trivial ist.

Aus diesem Grund haben mehrere Verbände eine Arbeitsgruppe gebildet, die einerseits einen kommentierten Muster-ADV-Vertrag entwerfen sollte, der auf die besonderen Belange des Gesundheitswesens eingeht, andererseits auch Praxishilfen für den Umgang mit dem Thema erstellt. Die hierzu erarbeiteten Materialien sind auf den Internetseiten der beteiligten Verbände verfügbar (Kasten).

Findet ein Outsourcing wie die Wartung von IT- oder medizintechnischen Geräten ohne gültigen ADV-Vertrag statt, liegt datenschutzrechtlich eine Ordnungswidrigkeit zum Beispiel nach § 43 Abs. 1 Ziff. 2.b BDSG vor. Diese Ordnungswidrigkeit kann von der zuständigen Datenschutzaufsichtsbehörde mit einer Geldbuße bis zu 50 000 Euro geahndet werden, wobei die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll (§ 43 Abs. 3 BDSG). Das heißt, ist der wirtschaftliche Vorteil, den etwa die Praxis durch die rechtswidrige Auftragserteilung erzielt, höher als 50 000 Euro, kann die Geldbuße auch höher ausfallen.

Datenschutz versus Strafrecht

Der Tatbestand des § 203 Strafgesetzbuch (StGB) setzt voraus, dass einer der in § 203 Abs. 1 StGB genannten Geheimnisverpflichteten ein fremdes Geheimnis, welches ihm anvertraut worden ist, unbefugt offenbart. Schutzzweck der Vorschrift ist vorrangig die Geheimsphäre des Einzelnen, daneben auch das Allgemeininteresse an der Verschwiegenheit einzelner Berufsgruppen. Ein Offenbaren im Sinne des § 203 StGB ist demnach zunächst jede Mitteilung über die geheim zu haltende Tatsache an einen Dritten.

Werden im Rahmen eines Outsourcings hingegen „externe“ Dienstleister mit diesen Aufgaben betraut, so werden die Geheimnisse über die Grenzen von juristischen Personen hinweg ausgetauscht. Stand heute kann auch mit den Regelungen der Auftragsdatenverarbeitung die Fragestellung, ob aus einer datenschutzrechtlich einwandfrei beauftragten Auftragsdatenverarbeitung eine Offenbarungsbefugnis gemäß § 203 StGB gegenüber dem Auftragnehmer resultiert, nicht eindeutig beantwortet werden. Dieser Widerspruch, dass eine Arztpraxis oder ein Krankenhaus ein datenschutzrechtlich konform geregeltes Outsourcing von Leistungen betreibt, zugleich aber eventuell gegen geltendes Strafrecht verstoßen kann, ist daher auch durch einen ADV-Vertrag nicht aufzulösen. Hier ist der Gesetzgeber gefordert, eine Offenbarungsbefugnis gemäß § 203 StGB für die Auftragsdatenverarbeitung zu regeln.

Für Rechtsanwälte gelten analog zu Ärzten die Anforderungen des § 203 StGB, und auch die Rechtsanwälte können auf die Mithilfe Externer zur Betreuung der von ihnen eingesetzten Systeme nicht verzichten. Daher wurde auf der letzten Sitzung der Satzungsversammlung der Bundesrechtsanwaltskammer im November 2014 eine Änderung der Berufsordnung für Rechtsanwälte beschlossen, die dieses Problem beseitigt*. Wünschenswert wäre, dass die Bundesärztekammer eine Anpassung der (Muster-)Berufsordnung für die in Deutschland tätigen Ärztinnen und Ärzte vornimmt, so dass für die Ärztinnen und Ärzte der aus § 203 StGB resultierende strafrechtliche Fallstrick ebenfalls beseitigt wird.

Fazit

Im Rahmen der Verarbeitung von Patientendaten durch Externe („Outsourcing“) erlauben das Sozialrecht wie auch viele landesrechtliche Vorschriften ausschließlich eine Auftragsdatenverarbeitung. Aus datenschutzrechtlicher Sicht ist diese Einschränkung zu begrüßen, da unter dem Gesichtspunkt der Vielzahl der Verträge zur Funktionsübertragung der Patient seine informationelle Selbstbestimmung nicht wahrnehmen könnte, beispielsweise hinsichtlich Auskunftsanfragen bezüglich gespeicherter oder verarbeiteter Daten. Aber auch aus Sicht einer Arztpraxis oder eines Krankenhauses ist die auf einer Einwilligungserklärung des Patienten beruhende Funktionsübertragung organisatorisch praktisch nicht umsetzbar: Da eine Einwilligung eines Patienten nur freiwillig geschehen kann und ein Nicht-Vorliegen einer Einwilligung keinerlei Auswirkung auf die Behandlung beinhalten kann, ist diese Form der Auftragsvergabe im Workflow eines Krankenhauses in den meisten Fällen schlicht nicht integrierbar.

Das heißt, die rechtliche Einschränkung, Outsourcing von Patientendaten nur als Auftragsdatenverarbeitung zu erlauben, entspricht der Abbildung der täglichen Praxis und stellt eigentlich keine Einschränkung dar.

Wichtig ist für alle Leistungserbringer, dass die gesetzlichen Vorgaben bei der Vergabe wie auch im dauerhaften Umgang mit einer Auftragsdatenverarbeitung eingehalten werden, da ansonsten für jeden einzelnen Verstoß Bußgelder drohen.

Der von der Arbeitsgruppe erarbeitete Muster-ADV-Vertrag bietet eine Hilfestellung, um das Thema Auftragsdatenverarbeitung im Gesundheitswesen soweit wie möglich praxisgerecht für Auftragnehmer (IT-Hersteller) und Auftraggeber (Arztpraxen, Krankenhäuser, . . .) vertraglich umzusetzen.

• Zitierweise dieses Beitrags:
  Dtsch Arztebl 2015; 112(16): A 718–20

Anschrift für die Verfasser

Dr. med. Bernd Schütze

Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V. (GMDS)

Industriestraße 154, 50996 Köln

@Literatur im Internet:
www.aerzteblatt.de/lit1615
oder über QR-Code.

*Anwaltsblatt: Satzungsversammlung regelt
Non-legal-Outsourcing. Online verfügbar unter http://anwaltsblatt.anwaltverein.de/nachrichten-details/items/Satzungsversammlung_11.2014.html, zitiert am 23. Dezember 2014

Materialien der ADV-AG

Foto: Fotolia/nmann77

Mitglieder der AG

• Berufsverband der Datenschutzbeauftragten Deutschlands e.V., BvD (Arbeitskreis „Medizin“): https://www.bvdnet.de/ak-medizin.html
• Bundesverband Gesundheits-IT e.V., bvitg: www.bvitg.de
• Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e.V., GMDS (Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“): www.gesundheitsdatenschutz.org/doku.php/gmds-dgi-empfehlungen
• Gesellschaft für Datenschutz und Datensicherheit e.V., GDD (Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“): http://gddak.eh-cc.de/materialien_und_links/

Materialien

Folgende Ergebnisse der Arbeitsgruppe liegen vor:

• Ein Muster-ADV-Vertrag für das Gesundheitswesen
• Ein Beispiel zur Anwendung des Muster-ADV-Vertrages (als Beispiel wurde die Fernwartung gewählt)
• Vorschläge anhand von Excel-Tabellen

a) zur Prüfung des Auftraggebers, inwieweit er organisatorisch selbst für die Vergabe einer Auftragsdatenverarbeitung vorbereitet ist;

b) zur Selbstauskunft des Auftragnehmers zur Beurteilung der Eignung des Auftragnehmers durch den Auftraggeber entsprechend den Anforderungen gemäß § 11 Abs. 2 BDSG

• Eine Kommentierung zur Beurteilung der Auftragsdatenverarbeitung aus Sicht der derzeit geplanten europäischen Datenschutz-Grundverordnung.