Nach § 11 BDSG muss die Auftragsdatenverarbeitung vertraglich geregelt werden. Hierzu sind sogenannte ADV-Verträge mit denjenigen Dienstleistern zu schließen, die im Auftrag personenbezogene Daten erheben oder verarbeiten. Im Gesundheitswesen sind hier noch einige Punkte gesondert zu beachten, da Gesundheitsdaten zu den besonders schutzwürdigen Daten zählen.
ARBEITSGRUPPE VERSCHIEDENER VERBÄNDE
Jetzt hat eine verbandsübergreifende Arbeitsgruppe bestehend aus Vertretern des Berufsverbandes der Datenschutzbeauftragten Deutschlands e. V. (BvD, „Arbeitskreis Medizin“), des Bundesverbandes Gesundheits-IT e.V. (bvitg), der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS, Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“) und der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD, Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“) ein kommentiertes Muster eines Auftragsdatenverarbeitungsvertrags ausgearbeitet. Dieser ADV-Vertrag geht dabei auf die besonderen Belange des Gesundheitswesens ein und stellt somit den Datenschutz bei der Einbeziehung von Dienstleistern im Gesundheitsbereich sicher.
MUSTER ADV-VERTRAG ALS HILFESTELLUNG
Die von der Arbeitsgruppe erarbeiteten Dokumente sollen Krankenhäusern, Arztpraxen und IT-Herstellern eine Hilfe sein, um das Thema Auftragsdatenverarbeitung im Gesundheitswesen möglichst praxisgerecht für alle Beteiligten vertraglich umzusetzen. Dies ist erstmalig so in Deutschland, dass eine solche Lösung für den Datenschutz im Gesundheitswesen erstellt wurde. Neben dem so genannten „ADV-Vertrag“ wurde auch ein Beispiel zur Anwendung des Musters bei einer Fernwartung und auch jeweils ein Vorschlag zur Vorbereitung einer Prüfung durch den Auftraggeber sowie einer Selbstauskunft des Auftragnehmers zur Beurteilung seiner Eignung erarbeitet.
DER GESETZGEBER SOLL NUN NACHZIEHEN
Zum heutigen Stand kann aber auch mit einer datenschutzrechtlich sicheren und gesetzeskonformen Auftragsdatenverarbeitung alleine keine Offenbarungsbefugnis gemäß § 203 StGB abgeleitet werden. Jetzt sollte möglichst bald durch den Gesetzgeber eine Lösung gefunden werden, mit der Dienstleister nicht nur rechtssicher eingebunden werden, sondern auch das Vertrauen in die ärztliche Schweigepflicht gewährleistet wird. Darum weisen die Verbände darauf hin, dass allein mit dieser Mustervereinbarung die Anforderung der ärztlichen Schweigepflicht bei Einbindung von Dienstleistern noch nicht gelöst werden kann.
Die kommentierten Musterverträge, Erläuterungen, Fragebögen usw. finden Sie auf den Internetseiten der beteiligten Verbände: