gms | German Medical Science

Fragestellung: In der medizinischen Versorgung sind IT-gestützte Verfahren mittlerweile nicht mehr wegzudenken. Jüngere Gesetzgebungsverfahren wie die eGK-Einführung verstärken diesen Prozess. Dabei ist es unumgänglich, dass die eingesetzten IT-Systeme an Komplexität gewinnen, so dass ein Einsatz ohne die Betreuung durch den Hersteller nicht möglich ist. Der Zugriff auf Patientendaten durch einen IT-Hersteller ist datenschutzrechtlich jedoch nicht durch ein Gesetz erlaubt. Es stellt sich die Frage nach der rechtlichen Zulässigkeit.

Material und Methode: An Hand der in Deutschland geltenden Gesetze wird geprüft, ob ein Zugriff auf Patientendaten durch einen Hersteller während einer Wartungsvorganges erlaubt ist oder ob dies einen Rechtsbruch darstellt.

Ergebnisse: Die strafrechtliche und die datenschutzrechtliche Komponente müssen unterschieden werden.

1.

Datenschutzrechtliche Komponente: Es gibt keine gesetzliche Grundlage dafür, dass ein Hersteller zu Zwecken der Wartung auf Patientendaten zugreift. Entsprechend den datenschutzrechtlichen Bestimmungen ist somit eine Funktionsübertragung nur möglich, wenn alle Patienten hierzu einwilligen. Da dies organisatorisch nicht möglich ist, kann nur eine Auftragsdatenverarbeitung (ADV) erfolgen. Hierzu muss ein Auftragsdatenverarbeitungsvertrag zwischen Auftraggeber und Auftragnehmer abgeschlossen werden. Da dies nicht trivial ist, erstellte eine Gruppe von Mitarbeitern von BvD, bvitg, GMDS und GDD einen kommentierten „Muster-Auftragsdatenverarbeitungsvertrag“, der Apotheken, Arztpraxen, Krankenhäusern und Herstellern die Erstellung eines ADV-Vertrages erleichtert. Dieser Muster-Vertrag steht online auf der Homepage der GMDS Arbeitsgruppe "Datenschutz und IT-Sicherheit im Gesundheitswesen" uzum Download zur Verfügung: http://www.gesundheitsdatenschutz.org/doku.php/adv-mustervertrag-2015

2.

Strafrechtliche Komponente: Nach herrschender juristischer Meinung können externe ohne Arbeitnehmerüberlassung nicht als „Gehilfen“ im Sinne des §203 StGB angesehen werden. Demnach stellt die Kenntnisnahme von Patientendaten durch einen Mitarbeiter eines IT-Herstellers im Rahmen der Wartung eine unbefugte Offenbarung von Patientengeheimnissen dar, sofern keine Schweigepflichtentbindung vorliegt. Die Einholung einer Schweigepflichtentbindung von allen Patienten ist organisatorisch nicht abbildbar, da hierzu die Angabe notwendig ist, welche Daten aus welchem Grund welcher Person enthüllt wird. Man muss daher davon ausgehen, dass eine Wartung von IT-Systemen durch Herstellermitarbeiter strafrechtlich ein unbefugtes Offenbaren darstellt, d.h. ein Arzt macht sich strafbar.

Diskussion: Die Wartung von Systemen durch Mitarbeiter von Herstellern ist datenschutzrechtlich erlaubt, wenn dies im Rahmen einer Auftragsdatenverarbeitung geschieht und alle rechtlichen Erfordernisse einer Auftragsdatenverarbeitung erfüllt wurden. Dies bedeutet insbesondere den Abschluss eines ADV-Vertrages. Zur Erstellung eines ADV-Vertrages bietet die Mustervorlage von BvD, bvitg, GMDS und GDD eine große Hilfe.

Strafrechtlich stellt die Kenntnisnahme von Patientendaten durch einen Mitarbeiter eines Herstellers nach herrschender Rechtsmeinung ein unbefugtes Offenbaren dar, wodurch sich ein Arzt strafrechtlich strafbar macht. Allerdings erfolgt eine strafrechtliche Verfolgung des Deliktes nur auf Antrag des Betroffenen. Eine Änderung dieses Tatbestandes könnte eine Änderung der Musterberufsordnung der Ärzte, welche die „Blaupause“ für die Landesordnungen darstellt, bewirken, wenn hier - analog zur Bundesrechtsanwaltsordnung (BRAO) - eine entsprechende Regelung zur erweiterung des Gehilfenbegriffes aufgenommen wird. Zur Herstellung einer Rechtssicherheit in dieser strafrechtlichen Frage ist jedoch der Gesetzgeber gefordert.