Fast jedes Unternehmen lagert heutzutage bestimmte Bereiche aus – entweder an ein Unternehmen im Unternehmensverband oder an einen sonstigen Dienstleister. Dies kann aus wirtschaftlicher Sicht sinnvoll oder sogar notwendig sein. Gerade im Gesundheitswesen können dabei aber Schwierigkeiten entstehen.
Was bedeutet Outsourcing?
Mit Outsourcing ist gemeint, dass bestimmte Bereiche eines Betriebs an Auftragnehmer bzw. Dienstleister ausgelagert werden, um Kosten zu sparen und Prozesse zu optimieren.
Damit die Dienstleister ihre Aufgaben wahrnehmen können, muss das Ursprungsunternehmen ihnen Informationen zur Verfügung stellen. Das kann sowohl die Übermittlung von personenbezogenen Daten verschiedener Kategorien als auch Betriebs- und Geschäftsgeheimnisse beinhalten.
Im Gesundheitswesen werden oft externe Rechenzentren oder Abrechnungsstellen eingebunden.
Nach § 11 BDSG muss diese sogenannte Auftragsdatenverarbeitung vertraglich geregelt werden. Hierzu sind sogenannte ADV-Verträge mit denjenigen Dienstleistern zu schließen, die im Auftrag personenbezogene Daten erheben oder verarbeiten. Im Gesundheitswesen sind hier noch einige Punkte gesondert zu beachten, da Gesundheitsdaten zu den besonders schutzwürdigen Daten zählen.
Allerdings betrifft diese Regelung nur den datenschutzrechtlichen Teil. Darüber hinaus unterliegen Ärzte und deren Mitarbeiter auch der Schweigepflicht nach § 203 StGB.
Die ab 25. Mai 2018 gültige EU-Datenschutzgrundverordnung, die die Regelungen des BDSG bzgl der Auftragsdatenverarbeitung komplett ersetzen wird regelt die Auftragsdatenverarbeitung in Art. 28 DSGVO.
Die EU-Datenschutzgrundverordnung, die abseits der Datenverarbeitung im Gesundheitswesen gem. Sozialgesetzbuche (SGB) ab 25. Mai 2018 allein maßgebliche Rechtsgrundlage für den Bereich der Auftragsdatenverarbeitung werden wird, nimmt den Auftragnehmer zur Einhaltung des Datenschutzrechts weitaus stärker in die Pflicht als dies noch in § 11 BDSG der Fall ist.
Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich gemacht.
Im Rahmen einer Zusammenarbeit haben fünf Verbände aus dem Gesundheitswesen gemeinsam die bisherigen Empfehlungen zur Datenverarbeitung im Auftrag an die aktuellen, durch die EU-Datenschutz-Grundverordnung veränderten rechtlichen Anforderungen angepasst. Zusätzlich wurde ein Hinweis-Papier zum Umgang mit bereits bestehenden Datenverarbeitungs-Verträgen erstellt.
Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO) am 24. Mai 2016 und deren Wirksamwerden am 25. Mai 2018 gelten ab diesem Datum hinsichtlich der Auftragsverarbeitung (AV) die Regelungen der DS-GVO unmittelbar in Deutschland. Diese lösen die nationalen Regelungen für die Datenverarbeitung im Auftrag ab.
Den Muster-Vertragstext finden Sie unter: http://ds-gvo.gesundheitsdatenschutz.org/html/adv-vertrag.php
Alles rund um den Umgang mit Altverträgen erhalten Sie unter: http://ds-gvo.gesundheitsdatenschutz.org/html/adv_altvertraege.php