Kommentar

Wussten Sie?

Arbeitssicherheit, Hygiene, Strahlenschutz, technische Sicherheit, Apotheke, Transfusionsmedizin

Jetzt starten
Aktualisiert am 16. Dezember 2024

3.6.57 Archiv

Geschätzte Lesezeit: 4 Minuten 8 x aufgerufen Autoren

Ziel und Zweck

Anwendungsbereich

Beschreibung

Archivierung, Mikroverfilmung und Digitalisierung von Krankenunterlagen durch Dritte (Outsourcing)

Die Gesetzgebung hat in § 7 Abs. 1 (1. Halbsatz) GDSG NW der Archivierung, Mikroverfilmung und Digitalisierung von Krankenunterlagen innerhalb des Krankenhauses grundsätzlich den Vorzug gegeben. Dies beruht vor allem darauf, dass die Patientendaten den besonders geschützten Krankenhausbereich dann nicht verlassen und zusätzliche Datensicherheitsrisiken so vermieden werden können. Soweit allerdings – etwa nach betriebswirtschaftlichen Gesichtspunkten – in den engen Grenzen des § 7 Abs. 2 GDSG NW geprüft wird, diese Maßnahmen von privaten Firmen auf der Grundlage vertraglicher Vereinbarungen durchführen zu lassen, müssen stets auch arztrechtliche ebenso wie gesundheitsdatenschutzrechtliche Vorschriften beachtet werden. Allerdings scheidet eine Funktionsübertragung (etwa die Verlagerung des gesamten Betriebes eines Krankenhausarchivs) an Dritte aus. Der Gesetzgeber hat in § 7 Abs. 1 2. Halbsatz GDSG NW nur die Möglichkeit der Datenverarbeitung im Auftrag zugelassen.

Eine Verarbeitung von in Krankenunterlagen gespeicherten Patientendaten im Auftrag durch Dritte ist an enge gesetzliche Voraussetzungen geknüpft:
• Sie ist nach § 7 Abs. 2 GDSG NW nur zulässig, wenn sonst Störungen im Betriebsablauf nicht vermieden oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können.
• Die Auftraggeberin (Krankenhaus) hat sich nach Absatz 3 dieser Vorschrift vor der Vergabe eines solchen Auftrags insbesondere darüber zu vergewissern, dass bei der Auftragnehmerin (Firma) die Wahrung der Datenschutzbestimmungen des Gesundheitsdatenschutzgesetzes und der ärztlichen Schweigepflicht sichergestellt ist. Dies setzt beispielsweise eine gründliche Überprüfung der Datenschutz- und Datensicherheitssituation bei der Auftragnehmerin durch die Auftraggeberin voraus, und zwar sowohl vor Abschluss entsprechender Verträge als auch ständig während der Vertragslaufzeit. Entscheidend ist nicht die Papierform, sondern die tatsächlichen Gegebenheiten vor Ort.

Die gesetzliche Regelung des § 7 Abs. 3 GDSG NW enthält zur Gewährleistung des Rechts der Patientinnen und Patienten auf informationelle Selbstbestimmung insgesamt restriktive Vorgaben für die Datenverarbeitung im Auftrag.21 Wie die Auftraggeberin diesen gesetzlich auferlegten Pflichten genügen soll, ist allerdings weder dem Gesetzeswortlaut noch der amtlichen Begründung eindeutig zu entnehmen und bedarf deshalb der Auslegung und Konkretisierung unter Berücksichtigung des Einzelfalles.22 Vertragliche, eine Auftragnehmerin zur Wahrung gesundheitsdatenschutzrechtlicher Bestimmungen verpflichtende Regelungen sind im allgemeinen durchaus denkbar. Sofern eine private Auftragnehmerin jedoch selbst nicht zum Kreis der Schweigepflichtigen oder Berufsgehilfen nach § 203 Abs. 1 bzw. 3 StGB zählt, läßt sich die ärztliche Schweigepflicht in deren Geschäftsbereich weder durch bloße vertragliche Vereinbarungen herbeiführen noch sonst sicherstellen. Im Hinblick auf die Regelungen der ärztlichen Berufsordnungen zur ärztlichen Schweigepflicht begegneten derartige vertragliche Vereinbarungen nur dann keinen durchgreifenden datenschutzrechtlichen Bedenken, sofern in jedem Einzelfall eine Schweigepflichtentbindungserklärung von den betroffenen Patientinnen und Patienten nach vorheriger Aufklärung eingeholt wird. Mit der Aushändigung von Krankenunterlagen des Krankenhauses an eine private Firma zu Zwecken der Archivierung, Mikroverfilmung und/oder Digitalisierung setzen sich ansonsten Ver-antwortliche im Krankenhaus der Gefahr einer Strafbarkeit wegen Verletzung von Privatgeheimnissen nach § 203 Abs. 1 bzw. 3 StGB aus.23 Im Wege der Auftragsdatenverarbeitung durch private Dritte (Firmen) dürfen Krankenunterlagen allenfalls dann archiviert, mikroverfilmt und/oder digitalisiert werden, sofern diese keine Kenntnis von den Pa-tientendaten erlangen. Dies könnte durch eine anonyme oder wenigstens pseudonyme Datenverarbeitung, alternativ durch Verschlüsselung der den Personenbezug ermöglichenden Daten, erreicht werden.24 So-fern dies nicht sicherstellbar ist, muss diese Form der Auslagerung bzw. externen Verarbeitung von Krankenunterlagen des Krankenhauses unterbleiben.

Unabhängig hiervon ist auch bei der Datenverarbeitung im Auftrag stets auf Einsatz datenschutzfreundlicher Technologien entsprechend dem neuesten Stand der technischen Entwicklung zu achten. Zusammenfassend bleibt deshalb festzuhalten, dass im Gegensatz zu anderen Regelungen der Datenverarbeitung im Auftrag (vgl. etwa § 11 DSG NW, § 80 SGB X) die Gesetzgebung die Verarbeitung von Patientendaten nur unter ganz engen Voraussetzungen, gleichsam nur ausnahmsweise (vgl. § 7 Abs. 2 GDSG NW), als Datenverarbeitung im Auf-trag zugelassen hat. Diese Sonderstellung der Patientendaten über-zeugt im Hinblick auf ihre besondere Sensibilität und den besonderen Geheimhaltungsschutz, dem diese Daten insgesamt unterliegen.

Ressourcen

Risiken

Dokumentation

Zuständigkeit und Qualifikation

Hinweise und Anmerkungen

Mitgeltende Unterlagen

Literatur

Begriffe

Anlagen

Administrative Dienste -Vorhergehend 3.6.56 Einkauf Weiter -Administrative Dienste 3.6.58 Beratungsdienste

Einen Kommentar hinterlassen

Handbuch bearbeiten
Dieses Dokument teilen

3.6.57 Archiv

Oder Link kopieren

INHALT

Abonnieren

×
Abbrechen