Patientendatenverarbeitung im Auftrag
Ärzte und Krankenhäuser sind vielfach an der Auslagerung von solchen Tätigkeiten interessiert, die nicht direkt im Zusammenhang mit der Behandlung stehen (Mikroverfilmung, Archivierung, Aktenvernichtung, externe Schreibarbeiten, externe Abrechnung, Wartung der Praxisrechner, Laboruntersuchungen). Die Ausarbeitung des ULD beschreibt, unter welchen Voraussetzungen solche Auslagerungen statt finden dürfen, ohne dass gegen das Patientengeheimnis und gegen Datenschutzrecht verstoßen wird.
Zulässigkeit der Verarbeitung von Patientendaten im Auftrag
Ärzte und Krankenhäuser sind vielfach an der Auslagerung von solchen Tätigkeiten interessiert, die keine originär ärztliche Arbeit sind. Solche typischen "Outsourcing"-Maßnahmen sind etwa die Mikroverfilmung, die Archivierung oder Vernichtung von Patientenakten außer Haus, die Durchführung externer Schreibarbeiten, eine externe Abrechnung oder die Wartung der Praxisrechner durch Dritte. Entsprechendes gilt für medizinische Auslagerungen wie z. B. die Einschaltung externer Labors.
Sobald bei der Beauftragung von Dritten Patientendaten weiter gegeben oder auf andere Weise zugänglich werden, erfolgt eine Offenbarung von Patientendaten. Diese Offenbarung von Patientendaten ist nach § 203 Strafgesetzbuch (StGB) nur zulässig, wenn hierfür eine besondere Befugnis besteht. Diese Befugnis kann sich aus ausdrücklichen gesetzlichen Ermächtigungen und Verpflichtungen zur Datenweitergabe (1.) oder aus einer Einwilligung des Patienten (2.) ergeben. Ohne gesetzliche Befugnis und Einwilligung kann der Arzt eine strafbare Offenbarung vermeiden, wenn er ausschließt, dass die an der Outsourcing-Aktion Beteiligten Kenntnis von Patientendaten nehmen können (3.).
1. Gesetzliche Offenbarungsbefugnis
Die beschriebenen Outsourcingmaßnahmen stellen vielfach datenschutzrechtlich eine so genannte "Auftragsdatenverarbeitung" dar, da es um die auftragsweise Auslagerung von unterstützenden Hilfstätigkeiten im Bereich der Datenverarbeitung geht. Die Regelungen zur Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz (BDSG) für den nicht öffentlichen Bereich, § 17 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) für den öffentlichen Bereich des Landes) begründen jedoch keine Offenbarungsbefugnis im Sinne des § 203 StGB [1]. Sie führen dazu, dass der Datenfluss zwischen Auftragnehmer und Auftraggeber rechtlich nicht als Datenübermittlung, sondern als sonstige Art der Datenweitergabe (Datennutzung) angesehen wird (vgl. § 3 Abs. 8 S. 3 BDSG, § 2 Abs. 5 Nr. 3 LDSG SH). Das ändert jedoch nichts daran, dass mit der Datenweitergabe eine Offenbarung im Sinne des § 203 Strafgesetzbuch stattfindet, die einer besonderen Befugnis bedarf. Die Regeln zur Auftragsdatenverarbeitung sind keine entsprechenden Befugnisnormen, weil darin der besondere Schutz des Patientengeheimnisses keine ausreichende Berücksichtigung findet. So unterliegen z. B. die Auftragnehmer i.d.R. nicht einer beruflichen Schweigepflicht und genießen gegenüber Strafverfolgungsorganen keinen Beschlagnahmeschutz (s.u.). Die Regelungen des § 1 Abs. 3 S. 2 BDSG und der §§ 3 Abs. 3, 11 Abs. 3 LDSG SH stellen den Vorrang des § 203 StGB klar.
Bei öffentlichen Stellen des Landes ergibt sich eine eingeschränkte Offenbarungsbefugnis für eine Patientendatenverarbeitung im Auftrag aus § 11 Abs. 3 Nr. 2 in Verbindung mit § 17 Abs. 5 LDSG SH. Danach ist die Verarbeitung von Gesundheitsdaten u.a. zulässig [2] , soweit die Voraussetzungen des § 17 Abs. 5 LDSG SH vorliegen. § 17 Abs. 5 LDSG SH erlaubt unter bestimmten Voraussetzungen die Durchführung von beratenden oder begutachtenden Tätigkeiten im Auftrag. Klassisches Beispiel für eine solche "Beratung" bzw. "Begutachtung" ist die Beauftragung eines Rechtsanwaltes in einer rechtlichen Konfliktsituation. Die typischen Fälle der Auftragsdatenverarbeitung - etwa die Einschaltung von externen Rechenzentren, Schreibbüros, Aktenvernichtungsunternehmen u.ä. - sind damit nicht erfasst. Denn § 11 Abs. 3 Nr. 2 LDSG SH verweist lediglich auf § 17 Abs. 5 LDSG SH, es muss also eine Beauftragung von Gutachtern oder Beratern mit der Verarbeitung von Gesundheitsdaten vorliegen. Der Verweis kann nicht so verstanden werden, dass unter den Voraussetzungen, die eine Datenverarbeitung durch Gutachter oder Berater erlauben, jede Art der Verarbeitung von Gesundheitsdaten im Auftrag zulässig sei.
In anderen Bundesländern beziehen sich bereichsspezifische Datenschutzvorschriften in den Krankenhausgesetzen ausdrücklich auf den Patientendatenschutz und sind daher Befugnisnormen im Sinne des § 203 StGB. In Schleswig-Holstein fehlt eine solche Regelung. Eine entsprechende Anwendung der Regelungen anderer Länder ist nicht möglich.
2. Einwilligung
Ohne gesetzliche Befugnis ist eine Offenbarung von Patientendaten in einem Auftragsverhältnis oder in Form einer Datenübermittlung nur auf Grund einer vorangegangenen Einwilligung des betroffenen Patienten möglich. Werden die Anforderungen an eine wirksame Einwilligung beachtet [3] , so kann eine Auslagerung, mit der eine Offenbarung von Patientendaten verbunden ist, erfolgen.
Zu beachten ist jedoch eine restriktive Rechtsprechung in Bezug auf die Einwilligung in die Offenbarung von medizinische Daten. Erforderlich ist bei Outsourcingmaßnahmen stets eine ausdrückliche Einwilligung (§ 4a BDSG, § 12 LDSG SH). Mutmaßliche oder konkludente (stillschweigend erteilte) Einwilligungen scheiden bei systematischen Beauftragungen schon deshalb aus, weil die Patienten ausdrücklich gefragt werden könnten. So meinte z. B. das Oberlandesgericht Düsseldorf: "Von einer - mutmaßlichen oder sogar konkludenten - rechtfertigenden Einwilligung der Geheimnisgeschützten, also der betroffenen Patienten, kann nicht ausgegangen werden. Patienten erwarten nicht, dass ihre oft hoch sensiblen Daten [...] ,umherkutschiert´ und von - aus der Sicht der Patienten - beliebigen Dritten eingelesen, verfilmt, kopiert usw. werden. "[4]
3. Fehlen von gesetzlicher Offenbarungsbefugnis und Einwilligung
Fehlen eine gesetzliche Offenbarungsbefugnis und die Einwilligung des Patienten, so kann sich der Arzt durch eine Weitergabe von Patientendaten strafbar machen. Das gilt allerdings nur, wenn bei der Beauftragung Dritter tatsächlich eine Offenbarung von Patientendaten erfolgt. Dies kann vermieden werden, wenn die im Auftrag verarbeiteten Daten anonymisiert bzw. pseudonymisiert übertragen werden, also der Bezug auf einen Patienten fehlt und nicht ohne besonderen Aufwand wieder herzustellen ist. Seit den jüngsten Novellierungen des Datenschutzrechtes ist neben der vollständigen Anonymisierung die Pseudonymisierung ausdrücklich geregelt (§ 3 Abs. 6a BDSG, §§ 2 Abs. 2 Nr. 7, 11 Abs. 6 LDSG). Über das Ersetzen der identifizierenden Angaben (Name, Adresse, Geburtstag) durch ein Pseudonym kann erreicht werden, dass diejenigen, die die Zuordnungsfunktion (z. B. eine Referenzliste) nicht kennen, nicht wissen, wer sich hinter dem Pseudonym verbirgt. Erfolgt auf diese Weise eine wirksame Verschleierung der Identität der Betroffenen, so können die damit verbundenen Patientendaten weitergegeben werden.
Die Möglichkeit der Pseudonymisierung bietet sich z. B. bei der Vergabe von Schreibarbeiten an, wo es ohne besonderen Aufwand möglich ist, die Unterlagen ohne Patientenbezug schreiben zu lassen. Statt beim Diktat den Namen des Patienten zu nennen, kann "der Patient" diktiert werden. Unter einem Pseudonym können z. B. auch externe Labors, Transportunternehmen oder auch Unternehmensberater, Controller oder Forscher beauftragt werden, ohne dass das Risiko einer Verletzung der Schweigepflicht besteht.
Eine Offenbarung liegt auch dann nicht vor, wenn jede Zugriffsmöglichkeit des beauftragten Dritten auf die Patientendaten ausgeschlossen wird. Das ist etwa bei Wartungsarbeiten an Praxisrechnern dadurch möglich, dass der Arzt oder ein Praxismitarbeiter die Arbeiten überwacht und darauf achtet, dass kein Zugriff auf Patientendaten erfolgt. Dieser Aufwand ist nicht nötig, wenn der Teil der EDV, auf welchem die Patientendaten gespeichert sind, verschlüsselt ist und dem Wartungspersonal keine Entschlüsselungsmöglichkeit zur Verfügung steht. Bei einer externen Entsorgung etwa wäre ein beaufsichtigendes Begleiten von Transport und Vernichtung möglich. Praktikabler ist der Abtransport der medizinischen Unterlagen oder Datenträger in verschlossenen Behältnissen, die ohne weitere Möglichkeit zur Kenntnisnahme unmittelbar der Vernichtung zugeführt werden. [5]
Eine weitere Möglichkeit zur Verhinderung einer unzulässigen Offenbarung könnte darin bestehen, dass der Auftragnehmer nicht als externer Dritter angesehen wird. So ist ja auch eine Datenweitergabe vom Arzt an Mitarbeiter einer Arztpraxis (Berufsgehilfen im Sinne des § 203 Abs. 3 StGB) als Datenweitergabe (Nutzung) innerhalb der Daten verarbeitenden Stelle - soweit erforderlich - ohne weitere besondere Voraussetzungen möglich. In der Offenbarung an einen Berufsgehilfen liegt keine Verletzung der ärztlichen Schweigepflicht nach § 203 StGB. Auch bei dem Berufsgehilfen des Arztes ist das Zeugnisverweigerungsrecht des Arztes (§ 53 StPO) und der Beschlagnahmeschutz für ärztliche Unterlagen (§ 97 StPO) gewährleistet. Wie der Arzt selbst ist der Berufsgehilfe zur Zeugnisverweigerung berechtigt (§ 53a StPO). Entsprechendes gilt für das zivilrechtliche Zeugnisverweigerungsrecht (§ 383 Abs. 1 Nr. 6 ZPO). Für ärztliche Unterlagen in seinem Gewahrsam gilt das Verbot, solche über beschuldigte Patienten zu beschlagnahmen (§ 97 Abs. 2 StPO). Bei externen Dritten ist dagegen weder das eine noch das andere gewährleistet.
Um ein solches Berufsgehilfen-Verhältnis zu begründen, genügt es allerdings nicht, den Auftragnehmer auf das Patientengeheimnis zu verpflichten. Auch eine Datenweitergabe an andere externe Geheimnisträger (etwa an andere Ärzte) stellt eine zu rechtfertigende Offenbarung dar [6].
Vielmehr ist unter dem "berufsmäßig tätigen Gehilfen" des § 203 Abs. 3 StGB nur derjenige zu verstehen, der innerhalb des beruflichen Wirkungskreises eines Schweigepflichtigen eine auf dessen berufliche Tätigkeit bezogene unterstützende Tätigkeit ausübt, welche die Kenntnis fremder Geheimnisse mit sich bringt. Erforderlich ist damit zum Einen ein innerer Zusammenhang zwischen der unterstützenden Tätigkeit des Gehilfen und der berufsspezifischen Tätigkeit des Arztes. Problematisch sind daher schon Verrichtungen, die nur die äußeren Bedingungen für die Arzttätigkeit schaffen oder betreffen, also z. B. Reinigung, Service und Wartung von Räumen und technischen Geräten. In diesen Fällen ist generell die Kenntnisnahme von Patientendaten nicht erforderlich. Zum Anderen ist eine Einbindung der Person in die Organisation der Arztpraxis erforderlich. Die Einbindung muss tatsächlich bestehen. Sie kann nicht formal vertraglich, etwa durch die abstrakte Einräumung von Weisungsbefugnissen, begründet werden. Keine Gehilfen sind also externe Dienstleistungsunternehmen, die von Außen an den Arzt herantreten und rechtlich eigenständig selbstverantwortlich Aufträge durchführen [7]. Eine ausreichende Einbindung kann dann angenommen werden, wenn ein - evtl. auch nur zeitlich befristeter - regelrechter Arbeitsvertrag abgeschlossen wird.
4. Zusammenfassung
Für die Auslagerung von Tätigkeiten aus einer Arztpraxis oder aus einem Krankenhaus, die eine Offenbarung von Patientendaten mit sich bringen, gibt es in Schleswig-Holstein regelmäßig keine gesetzliche Legitimation. Als Möglichkeiten verbleiben:
die ausdrückliche Einwilligung des Patienten,
die Anonymisierung bzw. Pseudonymisierung der zu offenbarenden Daten oder
an Stelle der Beauftragung Dritter die Einbindung weiterer Personen in die Praxis, etwa durch eine (Teilzeit-)Anstellung.
Werden diese Voraussetzungen bei einer Outsouringmaßnahme nicht beachtet und kommt es hierbei zu einer Kenntnisgabe von Patientengeheimnissen, so verstoßen Ärzte oder andere Personen und Stellen, gegen die Verschwiegenheitspflicht nach § 203 StGB. Das kann im Ergebnis dazu führen, dass all zu verlockende Kosteneinsparpotenziale durch Outsourcingmaßnahmen nicht genutzt werden können. Wirtschaftliche Erwägungen müssen hinter den Gesetzen, dem Standesrecht und der höchstrichterlichen Rechtsprechung [8] zurücktreten. Dies hat einen guten Grund: Ohne den Schutz des Patientengeheimnisses bestünde keine rechtliche Absicherung des Vertrauensverhältnisses zwischen dem Arzt bzw. der ärztlichen Einrichtung und dem Patienten. Dieses Vertrauensverhältnis ist aber grundlegend für das Behandlungsverhältnis - im Interesse und Arzt und Patient gleichermaßen.
[1] Vgl. nur Tröndle/Fischer, 50 Aufl. 2001, § 203 StGB, Rd.-Nr. 28, Auernhammer, 3. Aufl. 1993, § 11 BDSG, Rd.-Nr. 10; Gola/Schomerus, 6. Aufl. 1997, § 11 BDSG, Tz. 1.1; Walz in: Simitis/Dammann, § 11 BDSG, Rd.-Nr. 32 f.; Hamburgischer Datenschutzbeauftragter, 16. Tb. 1997, Tz. 18.1.1.
[2] Die weiteren Fälle des § 11 Abs. 3 LDSG SH, in denen eine Verarbeitung von Patientendaten ohne Einwilligung zulässig ist, betreffen keine der in Betracht kommenden Outsourcingmaßnahmen.
[3] Vgl. zu den Anforderungen an eine wirksame Einwilligung, insbesondere zu den Voraussetzungen des § 4a BDSG: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Aktion Datenschutz in meiner Arztpraxis: Das Patientengeheimnis - Rechtslage und Konsequenzen, S. 9 ff., www.datenschutzzentrum.de/medizin/arztprax/arztgrund.htm#download
[4] OLG Düsseldorf CR 1997, S. 536, 538; vgl. auch zur Einwilligung bei ärztlichen Verrechnungsstellen: BGH NJW 1991, S. 2955, 2956 f.
[5] Vgl. auch: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Datenschutzgerechte Entsorgung von Patientenunterlagen, Tz. 3., www.datenschutzzentrum.de/material/themen/gesund/entsorg.htm
[6] BGH NJW 1991, S. 2955, 2957; OLG Düsseldorf CR 1997, S. 536, 538; Lenckner, in: Schönke/Schröder, StGB, 26. Auflage, § 203, Rd.-Nr. 21; Walz in: Simitis/Dammann u.a., BDSG, § 11, Rd.-Nr. 32 f.
[7] Vgl. zur Problematik des Gehilfen i.S.d. § 203 Abs. 3 StGB: OLG Düsseldorf CR 1997, S. 536, 537 f.; Ehmann, CR 1991, S. 294 f.; Lenckner in: Schönke/Schröder, StGB, 26. Auflage, § 203, Rd.-Nr. 64.
[8] Zur externen Mikroverfilmung medizinischer Patientendaten: BVerfG NJW 1991, S. 2952, 2953; zur externen Abrechnung durch ärztliche Verrechnungsstellen: BGH NJW 1991, S. 2955, 2957.