In den letzten Jahren hat auch die im Auftrag des Krankenhauses vorgenommene Datenverarbeitung durch Externe immer mehr an Stellenwert gewonnen. Aber aus Sicht des Datenschutzes gibt es aufgrund von Unkenntnis beim Outsourcing oftmals Schwierigkeiten.
WEITERGABE VON PATIENTENDATEN
Aufgrund einer externen Datenverarbeitung ist es Notwendig Patientenunterlagen an externe Dritte weiterzuleiten. Aufgrund der Tatsache, dass dies oft auch Gesundheitsdaten beinhaltet, ist hier besondere Vorsicht geboten. Wie Jörg Klingbeil, Landesbeauftragter für den Datenschutz in Baden-Württemberg, in seinem aktuellen Tätigkeitsbericht schreibt: „Sofern die Mitarbeiter des externen Dienstleisters Einblick in die personenbezogenen Gesundheitsdaten erhalten können, liegt eine Offenbarung von Patientengeheimnissen vor, zu deren Rechtfertigung es entweder einer gesetzlichen Grundlage oder einer Einwilligung des Patienten bedarf.“
BEHELFSMÖGLICHKEIT
Sollte aber keine gesetzliche Grundlage bestehen und die Einwilligung sich nicht problemlos einholen lassen, schlägt Klingbeil vor dass „sich das Krankenhaus dadurch behelfen [kann], dass es die Möglichkeit der Kenntnisnahme der Daten ausschließt oder die Daten pseudonymisiert. Einen weiteren Ausweg kann ggf. eine Auftragsdatenverarbeitung darstellen.“
OPTIMALE LÖSUNG – AUFTRAGSDATENVERARBEITUNGSVERTRAG
Was muss beider Auftragsdatenverarbeitung beachtet werden? Zwar stütz sich diese auf § 11 BDSG und je nach Bundesland auf einen entsprechenden Paragraphen im LDSG, jedoch darf nicht vergessen werden, dass im Falle von Patientendaten eine Offenbarung von Geheimnissen stattfindet. Somit wäre eine Einwilligung des betroffenen Patienten zwingend erforderlich, „es sei denn, eine spezialgesetzliche Regelung enthält hierfür eine ausdrückliche Befugnis. § 48 LKHG [in diesem Falle in Baden-Württemberg] stellt eine solche spezialgesetzliche Norm dar. Solange die Vorgaben des §48 LKHG eingehalten werden, liegt auch kein Verstoß gegen §203 StGB vor, die ärztliche Schweigepflicht ist gewahrt.“
WER DARF AUFTRAGSDATENVERARBEITER SEIN?
„Während das allgemeine Datenschutzrecht die Auftragsdatenverarbeitung durch jede geeignete Person oder Stelle zulässt, schränkt § 48 LKHG dies im Grundsatz ein. Nach Absatz 1 sind Patientendaten in dem Krankenhaus selbst oder im Auftrag eines Krankenhauses durch ein anderes Krankenhaus zu verarbeiten. Unter bestimmten Voraussetzungen dürfen Patientendaten nach Absatz 2 auch durch ein Rechenzentrum im Auftrag des Krankenhauses automatisiert verarbeitet werden“, so der Landesdatenschutzbeauftragte. Krankenhäusern empfiehlt er daher, die Beauftragung externer Stellen sorgfältig auf deren Zulässigkeit zu überprüfen. Die verschiedenen Bundesländer haben dabei verschiedene Krankenhausgesetze die jeweils Beachtung finden müssen.