Outsourcing im Gesundheitswesen

gesundheit 06
Fachbeitrag

Fast jedes Unternehmen lagert heutzutage bestimmte Bereiche aus – entweder an ein Unternehmen im Unternehmensverband oder an einen sonstigen Dienstleister. Dies kann aus wirtschaftlicher Sicht sinnvoll oder sogar notwendig sein. Gerade im Gesundheitswesen können dabei aber Schwierigkeiten entstehen.

Was bedeutet Outsourcing?

Mit Outsourcing ist gemeint, dass bestimmte Bereiche eines Betriebs an Auftragnehmer bzw. Dienstleister ausgelagert werden, um Kosten zu sparen und Prozesse zu optimieren.

Damit die Dienstleister ihre Aufgaben wahrnehmen können, muss das Ursprungsunternehmen ihnen Informationen zur Verfügung stellen. Das kann sowohl die Übermittlung von personenbezogenen Daten verschiedener Kategorien als auch Betriebs- und Geschäftsgeheimnisse beinhalten.

Im Gesundheitswesen werden oft externe Rechenzentren oder Abrechnungsstellen eingebunden.

Auftragsdatenverarbeitung als Rechtsgrundlage?

Wir haben bereits in anderen Artikeln auf die Voraussetzungen einer Auftragsdatenverarbeitung hingewiesen und deren Gestaltung erläutert. Zu beachten ist dabei, dass nicht alles, was datenschutzrechtlich erlaubt ist, auch strafrechtlich erlaubt ist.

Zwar findet bei der Auftragsdatenverarbeitung juristisch keine Übermittlung von Daten und somit keine Bekanntgabe gegenüber Dritten statt. Daher ist in diesen Fällen aus datenschutzrechtlicher Sicht keine weitere Rechtsgrundlage erforderlich.

Die Offenbarung von Daten, die besonderen Geheimhaltungsinteressen gemäß § 203 StGB unterliegen, ist dadurch jedoch nicht abgedeckt. Offenbaren bedeutet, dass einem Dritten, der die geheimzuhaltende Tatsache (einschließlich der Person, auf die sie sich bezieht) noch nicht kannte, diese mitgeteilt wird. Die Privilegierung des BDSG entfaltet hier keine Wirkung.

Für die Praxis bedeutet das, dass Gesundheitsdaten bzw. Patientendaten nicht bereits dann problemlos an ein anderes Unternehmen übermittelt werden dürfen, wenn ein Vertrag zur Auftragsdatenverarbeitung vorliegt.

Externe Dienstleister als „Gehilfen“ der Berufsgeheimnisträger?

Gelegentlich hört man, dass externe Dienstleister als „Gehilfen“ i.S.d. § 203  Abs. 3 S. 2 StGB angesehen werden könnten. Damit würden den Sachbearbeiter in der privaten Verrechnungsstelle die gleichen Rechte und Pflichten treffen wie die in der Praxis tätige Arzthelferin.

Eine Datenübermittlung ohne Einwilligung des Patienten im Rahmen des Outsourcings bzw. der Auftragsdatenverarbeitung an externe Dienstleister wäre damit für den Arzt straflos.

Dieser Ansicht sollte jedoch nicht gefolgt werden. Der Gesetzestext wird dabei zu weit ausgelegt und stellt eine unzulässige Analogie zu Lasten des externen Dienstleisters dar – ihn sollen eben nicht die gleichen Pflichten (insb. Schweigepflicht) wie den Berufsgeheimnisträger treffen.

Verschlüsselung

Teilweise wird auch die Meinung vertreten, dass personenbezogene Daten nicht offenbart würden, wenn sie ausreichend verschlüsselt übermittelt würden. Die Daten müssten dann bereits beim Auftraggeber derart verschlüsselt werden, dass eine Kenntnisnahme des Inhalts der Datensätze durch den Auftragnehmer ausgeschlossen wäre und nur eine Verarbeitung der verschlüsselten Daten erfolgt.

Darüber hinaus könne eine Verschlüsselung zur Anonymisierung personenbezogener Daten führen. Nach dem absoluten Datenbegriff, den auch die Aufsichtsbehörden vertreten, kann eine Verschlüsselung jedoch nicht zur Anonymisierung führen, da der Schlüssel jedenfalls irgendwo vorhanden ist und der Personenbezug somit wieder hergestellt werden kann.

Praxistauglichkeit?

Jedenfalls für private Abrechnungsstellen ist diese Vorgehensweise jedoch nicht praktikabel. Der Dienstleister braucht für die Aufgabenerfüllung regelmäßig entschlüsselte Daten.

Ob bei anderen externen Dienstleistern eine Verschlüsselung als taugliche Maßnahme eingesetzt werden kann, muss im Einzelfall überprüft werden. Der richtige Ansprechpartner dafür ist der betriebliche (externe oder interne) Datenschutzbeauftragte.

Einwilligung als Rechtsgrundlage

Möglich ist, eine Einwilligung des Patienten gemäß § 4a Abs. 1 BDSG einzuholen. Dazu müssen folgende Voraussetzungen erfüllt sein:

  • Die Einwilligung muss bewusst und eindeutig erteilt werden.
  • Die Einwilligung kann nur für einen bestimmten Zweck erteilt werden und nicht pauschal für alle möglichen zukünftigen Behandlungen durch einen Arzt oder ein Krankenhaus.
  • Die Einwilligung und damit auch die Übermittlung der Daten muss freiwillig erteilt werden.
  • Die Einwilligung muss schriftlich erfolgen.
  • Die Einwilligung muss vor der ersten Datenübermittlung erteilt werden.
  • Die Einwilligung muss mit Wirkung für die Zukunft jederzeit widerrufbar sein.

Bei Einhaltung dieser Voraussetzungen ist die Einwilligung sowohl strafrechtlich als auch datenschutzrechtlich zulässig.

Praxistauglichkeit?

Problematisch ist jedoch die Praxistauglichkeit. Aus den oben aufgezeigten Voraussetzungen der Einwilligung zeigt sich, dass ihre Erteilung regelmäßig ungewiss ist. Der Bestand der Einwilligung als Rechtsgrundlage für eine Datenweitergabe ist unsicher, da die Einwilligung jederzeit widerrufbar ist. Des Weiteren bringt es einen hohen bürokratischen Aufwand mit sich, für jeden Patienten einzeln eine Einwilligung einzuholen.

Mögliche Lösungen

Um dem aufgezeigten Dilemma zu entgehen, können Sie natürlich auf Outsourcing verzichten und die Organisation der betroffenen Bereiche in Ihr eigenes Unternehmen eingliedern.

Ansonsten bleibt Ihnen als sicherer Weg derzeit einzig die Einwilligung Ihrer Patienten einzuholen.

2 Kommentare zu diesem Beitrag

  1. Im Rahmen der Nutzung des Hausnotrufs geben Mieter Daten an Ihren Vertragspartner (Vermieter) weiter, die dann an einen Fremddienstleister weitergelangen. Diese Daten betreffen neben persönlichen Daten (Name, Wohnort) auch Daten, die den Gesundheitszustand laienhaft beschreiben (Schwerhörigkeit, Herzinsuffizienz, etc.). Diese Daten werden nicht im Rahmen eines ärztlichen/pflegerischen Behandlungsverhältnis eingeholt, sondern es handelt sich um grundsätzliche Angaben zum Hausnotruf, die im Rahmen einer Auftragsdatenverarbeitung eingeholt werden.
    Frage:
    Dem Betreiber des Hausnotrufzentrale werden im Rahmen seiner Tätigkeit neben den persönlichen Daten auch Gesundheitsdaten bekannt.
    Handelt es sich dabei um Auftragsdatenverarbeitung, die keine besonderen Einwilligung bedarf oder unterliegen die beschriebenen Daten gesonderten Geheimhaltungsinteressen (§ 203 StGB), so dass hierzu eine gesonderte Einwilligung erforderlich ist?

    • Im ersten Schritt geben die Mieter freiwillig ihre personenbezogenen Daten auch besonderer Art an den Vermieter heraus. Hier sollte eine Einwillligungserklärung der Mieter eingeholt werden, die einerseits über den Zweck und die Art der Verwendung aufklärt und andererseits auf die Freiwilligkeit und jederzeitige Möglichkeit zum Widerruf hinweist.
      Im zweiten Schritt lässt der Vermieter die Daten durch seinen Auftragsdatenverarbeiter verarbeiten. Der Vermieter unterliegt keiner Schweigepflicht gemäß § 203 StGB, da von dieser Vorschrift nur die abschließend aufgezählten Personen umfasst sind.

      Nicht jedes Gesundheitsdatum unterliegt der Schweigepflicht des § 203 StGB, vielmehr kommt es auf die Person an, der das Datum anvertraut wurde. So unterliegen auch sonstige personenbezogene Daten der Schweigepflicht, wenn sie einem der in § 203 StGB aufgezählten Personen anvertraut wurden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.