Einsatz von Dienstleistern / Auftragsverarbeitung
Immer häufiger besteht der Wunsch, externe Dienstleister in die Praxisorganisation einzubinden und damit eigenes Praxispersonal zu entlasten. Typische Beispiele hierfür sind die Auslagerung des eingehenden Telefonverkehrs einschließlich Terminvergabe an ein kommerzielles Call Center, die Wartung der Praxis-IT durch einen technischen Dienstleister oder die Entsorgung von Behandlungsdokumentation, die nicht mehr aufbewahrt werden dürfen, durch eine Fremdfirma.
Werden Patienten- oder Mitarbeiterdaten im Auftrag der Praxis durch eine externe Stelle verarbeitet, ist diese ein Auftragsverarbeiter im Sinne von Art. 4 Nr. 8, 28 DS-GVO. Kennzeichnend für eine Auftragsverarbeitung ist auch nach Wirksamwerden der [EU Datenschutz-Grundverordnung] weiterhin, dass der Auftraggeber selbst und gerade nicht der Dienstleister Zweck und Mittel der Datenverarbeitung bestimmt. Gerade bei der Inanspruchnahme von technischen Dienstleistern reicht es für eine Auftragsverarbeitung aus, wenn die Praxis als Auftraggeberin die von dem Externen zu erbringende Leistung beschreibt, dieser allerdings aufgrund seines Fachwissens die technischen Details zur Zielerreichung eigenständig festlegt.
Liegt eine Auftragsverarbeitung vor, bleibt die Praxis als Auftraggeberin weiterhin für die Einhaltung der Vorgaben zum Datenschutz verantwortlich. Allerdings haftet der Dienstleister mit Wirksamwerden der [EU Datenschutz-Grundverordnung] nun auch selbst für von ihm verschuldete Datenschutzverstöße. Darüber hinaus ist jeder Auftragsverarbeiter verpflichtet, ein eigenes Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO zu führen.
Bei einer Auftragsverarbeitung bedarf es im Innenverhältnis zwischen Praxis und Dienstleister keiner datenschutzrechtlichen Legitimation zur Verarbeitung der Patientendaten. Dies bedeutet, dass die Patienten nicht um Einwilligung in die Tätigkeit des Dienstleisters gebeten werden müssen (zu den gleichwohl bestehenden Transparenzpflichten s.u.). Allerdings sind die Grenzen der ärztlichen Schweigepflicht zu beachten. Nach der Neuregelung in § 203 Abs. 3 S. 2 StGB dürfen Ärzte externe Personene oder Stellen als „sonstige mitwirkende Personen“ zur Unterstützung des Praxisbetriebs einsetzen. Allerdings dürfen sie ihnen nur insoweit der Schweigepflicht unterliegende Informationen zur Verfügung stellen, soweit diese für die konkrete Tätigkeit der jeweiligen Person erforderlich sind. Es empfiehlt sich deshalb, dies bereits in dem Vertrag mit dem externen Dienstleister festzulegen.
Schließlich müssen die Ärzte und Psychotherapeuten vor dem Hintergrund des § 203 Abs. 4 Nr. 1 StGB sicherstellen, dass die Dienstleister zur Geheimhaltung verpflichtet werden.
Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Datenverarbeitung im Sinne von Art. 26 DS-GVO und einer bloßen Kooperation zwischen verschiedenen Stellen (sog. Funktionsübertragung). Bei der gemeinsamen Datenverarbeitung legen mehrere Stellen die Zwecke der und die Mittel für eine von ihnen beabsichtigte Datenverarbeitung zusammen fest. Dagegen verfolgen im Falle einer bloßen Kooperation die verschiedenen daran beteiligten Stellen mit der Datenverarbeitung eigene, insbesondere wirtschaftliche Zwecke. Beispiel für eine gemeinsame Verantwortlichkeit kann eine Praxisgemeinschaft sein, sofern dort eine gemeinsame Infrastruktur zur Betreuung oder Verwaltung der Patienten genutzt wird. Die Zusammenarbeit zwischen vor- und weiterbehandelnden Praxen oder die Hinzuziehung eines externen Labors stellen Kooperationsformen dar, die datenschutzrechtlich weder als Auftragsverarbeitung noch als gemeinsame Datenverarbeitung qualifiziert werden können, sondern eine sog. Funktionsübertragung darstellen.
Im Falle einer Auftragsverarbeitung müssen die gesetzlichen Vorgaben des Art. 28 DS-GVO beachtet werden. Dies bedeutet insbesondere:
- Der in Betracht kommende Dienstleister muss gemäß der in Art. 28 Abs. 1 DS-GVO enthaltenen Kriterien ausgewählt und beauftragt werden. In dem Vertrag müssen die in Art. 28 Abs. 3 DS-GVO genannten Inhalte, insbesondere der Auftragsgegenstand und die von dem Dienstleister einzuhaltenden technisch-organisatorischen Maßnahmen zum Schutz der Vertraulichkeit, präzise festgelegt werden.
- Vor Beginn der Tätigkeit des Auftragnehmers sollte ein Praxisvertreter die Umsetzung der vertraglich vereinbarten Verfahrensweise vor Ort überprüfen.
- Die Einbindung von externen Dienstleistern ist den Patienten gegenüber regelmäßig offen zu legen, sofern eine Kenntnisnahme von Patientendaten nicht zu vermeiden ist. Dies kann zusammen mit den allgemeinen Patienteninformation zur Erfüllung der Informationspflichten nach Art. 13 f. DS-GVO erfolgen. Zumindest auf Nachfrage sollte den Betroffenen die Identität der Auftragnehmer und deren konkrete Funktion dargestellt werden können.
- Die Hinzuziehung weiterer Unterauftragnehmer ist gemäß Art. 28 Abs. 2 DS-GVO nur nach vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Praxisinhabers zulässig. Im Falle einer allgemeinen schriftlichen Genehmigung muss vor Hinzuziehung des Unterauftragnehmers der Auftraggeber informiert werden, so dass er ggf. dagegen Einspruch erheben kann. Im Übrigen gelten die gleichen Anforderungen wie bei der Beauftragung des Auftragsverarbeiters.
Check
- Ist eine Kenntnisnahme von Patientendaten durch den Dienstleister vermeidbar?
- Wenn nicht: Ist die Einbindung eines Dienstleisters dann noch praktikabel?
- Entspricht die Beauftragung den Vorgaben des Art. 28 DS-GVO?
- Werden die Patienten im Rahmen der allgemeinen Information nach Art. 13 f. über den Einsatz des Dienstleisters unterrichtet?
Links
- Praxis-Info Datenschutz 2018 | BPtK
- LfDI Rheinland-Pfalz, 23. Tb., Tz. 5.2.4
- ULD Schleswig-Holstein, Patientendatenverarbeitung im Auftrag
- www.aerzteblatt.de/archiv/19818/Datenschutzrecht-Datenverarbeitung-im-Auftrag
- Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, (3.6 Auftragsverarbeitung)