GMDS Karlsruher Archivtage 06.12.2007 Rechtliche Anforderungen an Dienstleister im Archivbereich und die Auslagerung von Daten Marco Biewald, Rechtsanwalt, Datenschutzbeauftragter Klinikum Braunschweig, VERDATA GmbH & Co. KG ÜBERSICHT I. Welche Anforderungen bestehen? II. Welche Lösungswege bestehen? Überarbeitete Folien zum Vortrag am 06.12.2007 1
1. Hintergrund: Warum ist dies kritisch? Die Datenweitergabe an den Dienstleister Ist der kritische Prozess, weil eine Datenweitergabe Im Krankenhaus besonders sanktioniert ist. Erheben Speichern Verändern Übermitteln Nutzen Löschen Es besteht eine besondere Pflicht für diese Arbeitsphase die unbefugte Weitergabe ist Strafbar. = ärztl. Schweigepflicht 1. Hintergrund: Ärztliche Schweigepflicht 203 StGB Verletzung von Privatgeheimnissen Wer Wer unbefugt ein ein fremdes Geheimnis, namentlich ein ein zum zum persönlichen Lebensbereich gehörendes Geheimnis, offenbart, das das ihm ihm als als Arzt, Arzt, Zahnarzt,Apotheker...... oder oder Angehöriger eines anderen Heilberufes (mit (mit staatlich geregelter Ausbildung)...... anvertraut worden oder oder sonst bekanntgeworden ist, ist,...... wird wird bestraft. Den Den Ärzten,...... stehen ihre ihre berufsmäßig tätigen Gehilfen und und die die Personen gleich, die die bei bei ihnen zur zur Vorbereitung auf auf den den Beruf tätig tätig sind. sind. 2
2. Allgemeine rechtliche Anforderung Bei der Einbindung Externer Stellen müssen zwei Aspekte berücksichtigt werden: 1. Externe allgemein beteiligen 2. geschützte Daten offenbaren nach Regeln der Auftragsdatenverarbeitung Durch eine Befugnis 2. Allgemeine rechtliche Anforderung: Auftragsdatenverarbeitung Es besteht eine zerklüftete Rechtslage für Krankenhäuser hinsichtlich der Einbindung externer Stellen. Sie ist unter unterschiedlichen Voraussetzungen möglich, z.b: Baden Württemberg Niedersachsen, SH, S-Anhalt NRW Bayern Rheinland Pfalz, Sachsen 48 LKHG: wenn anderes Krankenhaus oder Rechenzentrum 11 BDSG : nach allgemeinen Regeln 7 GDSG: wenn Prozesserleichterung oder zur Kostenersparnis Art. 27 Abs.4 BayKHG: Nur durch Krankenhäuser soweit nicht zwingend 36 LKHG RhPf, 33 SächsKHG: Allgemeine Regeln + Geheimhaltungspflicht 3
Fazit: 1. Externe Stellen können je nach Bundesland unter unterschiedlichen Voraussetzungen in den Krankenhaus-Prozess einbezogen werden. 2. Für die externe Archivierung oder Aktenauslagerung ergeben sich darüber hinaus keine besonderen Anforderungen. Entscheidend ist die richtige Einbindung des Dienstleisters. 2. Allgemeine rechtliche Anforderung Aber: Allein die richtige Einbindung des Externen reicht nicht. Es werden Daten offenbart. Missbraucht Arzt Arzt Unbefugt = strafbar Dienstleister der Dienstleister diese, wird der aber nicht bestraft. Das ist eine Minderung des Patientendatenschutzes. Unbefugt = NICHT strafbar Presse Presse 4
3. Offenbarungsbefugnis Kernfrage: Wie können Daten gegenüber dem Dienstleister befugt offenbart werden? 3. Offenbarungsbefugnis Offenbarungsbefugnis Einwilligung Gesetz Grundsätzlich sind zwei Wege denkbar: Daten können mit Einwilligung oder durch eine gesetzliche Erlaubnis offenbart werden. 5
4. Lösung 1 Mit Einwilligung Einwilligung MÜSSEN bestimmte Vorraussetzungen erfüllen: freiwillig, hervorgeben. z.b. 4a BDSG; 4 GDSG- NRW, 50 LKHG BaWü, 36 Abs.2 LKHG RHPf Damit kann jeder Dienstleister eingebunden werden, keine besonderen Anforderungen an den DL notwendig Aber: In welche Methode willigt Patient wirklich ein? 4. Lösung 1 Mit Einwilligung Mindeststandards an Handhabung, Verarbeitung und Schutz mit Dienstleister vereinbaren, wenn Patient von üblicher Verarbeitung Ausgeht. 2 praktische Probleme bedenken: 1. Was mit alten Akten für die keine Einwilligung einholbar? 2. Was bei Verweigerung der Einwilligung? 6
5. Lösung 2 Offenbarungsbefugnis Einwilligung Gesetz Gibt es ein Gesetz? 5. Lösung 2 : gesetzliche Erlaubnis ja/nein? OLG Düsseldorf 1997 Aktz: (20 U 139/95) Landesdatenschutzbeauftragte NRW ULD Kiel https://www.datenschutzzentrum.de/ medizin/krankenh/patdskh.htm#9 Deutsche Krankenhausgesellschaft Die Dokumentation der Krankenhausbehandlung Hinweise zur Durchführung, Archivierung und zum Datenschutz, 3. Auflage 2007 Gewichtige Stimmen sagen NEIN. Weil: - Kein Beschlagnahmeschutz - weniger Schutz wegen fehlender Strafbarkeit 7
5. Lösung 2 : Kein Beschlagnahmeschutz? Fakt 1: Zum Beschlagnahmeschutz hat sich das Gesetz geändert! 97 Abs.2 Satz 2 Strafprozessordnung: Der Beschlagnahme unterliegen auch nicht Gegenstände, auf die sich das Zeugnisverweigerungsrecht der Ärzte ( ) erstreckt, wenn sie im Gewahrsam einer Krankenanstalt oder eines Dienstleisters, der für die Genannten personenbezogene Daten erhebt, verarbeitet oder nutzt, sind.. Art. 30 Nr. 2 des Gesetzes zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz-GMG, BGBl 2003 Teil I, Seite 2190 ff., 2256) 5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? Fakt 2: Mehrere Gesetze haben die Verarbeitungserlaubnis der EU Datenschutzrichtlinie 94/95, Art 8. angepasst. 28 Abs.7 Bundesdatenschutzgesetz: ist ferner zulässig, wenn dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen. 8
5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? 36 Abs. 9 LKHG RhPf, 33 Abs.10 SächsKHG das Krankenhaus kann sich zur Verarbeitung von Patientendaten Anderer bedienen, wenn diese die Datenschutzbestimmungen und die 203 Strafgesetzbuch entsprechende Schweigepflicht einhalten. 48 Abs.2 LKHG BaWü. der Auftragnehmer seinen Mitarbeitern, soweit ihnen aus zwingenden Gründen eine Zugriffsberechtigung auf Patientendaten eingeräumt wird, eine 203 StGB entsprechende Schweigepflicht auferlegt.. 5. Lösung 2 : Fazit Fazit: Daten können offenbart werden, wenn die anderen Personen (Person, nicht Unternehmen!) vergleichbaren Geheimhaltungspflicht unterliegen. Dann bleibt die Strafbarkeit bei Missbrauch. Denn: Die befugte Weitergabe in in 203 StGB bestimmt sich nach der Gesamtrechtsordnung! 9
Lösung2: Sächsischer Landesdatenschutzbeauftragter im TB 21 (2001) Das sieht auch die sächsische Aufsichtsbehörde so: Meine ursprüngliche Meinung, dass diese EG-rechtliche Bestimmung die Verarbeitung von Patientendaten im Auftrag durch Private, die nach dem Verpflichtungsgesetz zur Verschwiegenheit verpflichtet wurden, nicht zulässt, habe ich. revidiert. Weil die nach dem Verpflichtungsgesetz für den öffentlichen Dienst besonders Verpflichteten in strafrechtlicher Hinsicht Amtsträgern gleichgestellt worden sind ( 11 Abs. 1 Nr. 4 a, 203 Abs. 2 Nr. 2 StGB), ist von einer entsprechenden Geheimhaltungspflicht i. S. v. Art. 8 Abs. 3 EG-Datenschutzrichtlinie auszugehen; die Auftragsdatenverarbeitung durch verpflichtete Private ist daher nach Maßgabe des 33 Abs. 10 SächsKHG zulässig. 5. Lösung 2 : Wer sind Geheimnisträger? Einer vergleichbaren Geheimhaltungspflicht unterliegen alle in 203 StGB aufgezählten Personengruppen: 1. Arzt, Zahnarzt, Tierarzt, Apotheker, Heilberufsangehöriger 2. Berufspsychologen 3. Rechtsanwalt, Patentanwalt, Notar, Verteidiger Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten 4. Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfragen 5. Schwangerschaftsabbruchsberater, anerkannte Sozialarbeiter 6. Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstellen 10
5. Lösung 2 : Geheimnisträgereigenschaft herstellen Praktisch relevant ist jedoch, wenn die Mitarbeiter des Dienstleisters förmlich per Verpflichtungsgesetz zur Verschwiegenheit verpflichtet werden 203 Abs.2 Nr.2 StGB: 1. Amtsträger, 2. für den öffentlichen Dienst besonders Verpflichtete 3. Person, die Aufgaben oder Befugnisse nach dem Personalvertretungsrecht wahrnimmt, 4. Beteiligte im Gesetzgebungsorgan 5. förmlich verpflichtete Sachverständige 6. für Forschungsvorhaben förmlich verpflichtete Personen 5. Lösung 2 : Fazit Fazit: Wenn die Mitarbeiter des Dienstleisters verpflichtet sind und sie in in dieser Eigenschaft Verarbeitungen ausführen, unterliegen sie einer vergleichbaren Geheimhaltungspflicht. 11
5. Lösung 2 : Fehlender Schutz durch Strafbarkeitslücke? Exkurs Anschlussfragen.. Dieser Lösungsansatz wirft weitere Fragen auf. 1. Sind die Mitarbeiter noch verpflichtet, wenn eine nicht öffentliche Stelle die Leistungen in Anspruch nimmt? 2. Machen sich Ärzte in den Bundesländern, die Diese Regelung nicht haben (z.b. NRW) strafbar, wenn sie wie in Sachsen oder Rheinland-Pfalz externe mit der Verarbeitung beauftragen? HINWEIS: Das Bundesministerium der Justiz hat ein Gutachten in Auftrag gegeben, das sich mit der Gesamtproblematik befasst und etwaigen gesetzgeberischen Handlungsbedarf ermitteln soll. 6. Lösungen zur Offenbarung Mit Einwilligung Ohne Einwilligung Mindeststandards zusichern. 1. 1. Auftragsdatenverarbeitung gewährleisten. 2. 2. Geheimhaltungspflicht auferlegen. 12
7. Lösung 3 : ohne Offenbarung Außer Einwilligung und Verarbeitung durch Geheimhaltungsträger ist auch eine dritte Lösung denkbar: Der Dienstleister verarbeitet so, dass er mit Daten nicht In Berührung kommt. Dann findet keine Offenbarung statt! Verschlüsselt pseudonymisiert Die verschlüsselte externe Speicherung hat die Bayrische Aufsichtsbehörde bereits als zulässig bewertet siehe 21.Tätigkeitsbericht von 2004 VERDATA GmbH & Co.KG Sie haben Fragen? Diskussionsbedarf? Bitte kontaktieren Sie mich! mbiewald@verdata.de 0211 438330-0 www.verdata.de Sprechen Sie uns an bei allen Datenschutzfragen! 13