Erfahrungsgemäß werden in nahezu jeder Arztpraxis externe Dienstleister als Auftragsverarbeiter (AV) eingesetzt. Die Dienstleistungen werden dabei in unterschiedlichen Bereichen erbracht. Aus wirtschaftlicher Sicht macht ein solches „Outsourcing“ auch tatsächlich Sinn, um in einer immer komplexer werdenden Arbeitswelt die eigenen Ressourcen der Arztpraxis optimal zu nutzen.
Aus datenschutzrechtlicher Sicht ist beim Einsatz solcher externen Leistungserbringer neben der Auswahl qualifizierter & zuverlässiger Partner unbedingt auf den Abschluss der korrekten vertraglichen Rahmenbedingungen (Stichwort: Auftragsverarbeitungsvertrag (AVV)) zu achten.
Der Abschluss solcher rechtskonformer Verträge ist entscheidend, um die gesetzlichen Vorgaben zu erfüllen, den Dienstleister vertraglich ausreichend zu verpflichten und haftungsrechtliche Folgen für den Arzt auszuschließen.
Typische Auftragsverarbeiter
Typische Auftragsverarbeiter einer Arztpraxis sind insbesondere:
- Fernwartungs- bzw. IT-Unternehmen
- Externe Stellen zur Lohn- und Gehaltsabrechnung (Steuerberater fallen nicht hierunter)
- Cloud-Dienstleister
- Abrechnungs- und Verrechnungsstellen (ohne Forderungskauf)
- Datenträgerentsorgungsunternehmen
Keine Auftragsverarbeiter sind in der Regel:
- Externe Stellen, die unechtes oder echtes Factoring durchführen (mit Forderungskauf)
- Rechtsanwälte und Steuerberater
- Medizinische Labore
- Bankinstitute
- Postdienstleister
Was ist zu beachten beim Einsatz von Auftragsverarbeitern?
Als verantwortlicher Praxisinhaber gibt es aus datenschutzrechtlicher Sicht einige Punkte, die Sie beim Einsatz eines Auftragsverarbeiters unbedingt beachten sollten.
Zunächst ist es wichtig, dass bei der Auswahl des richtigen Auftragverarbeiters stets die (datenschutzrechtliche) Zuverlässigkeit und Qualifikation abgeprüft werden. Der Dienstleister muss dahingehend ausreichende Garantien bieten, dass die Verarbeitung der hochsensiblen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet wird und hierdurch der Schutz der Rechte Ihrer betroffenen Patienten im Einklang mit den Anforderungen der DSGVO erfolgt. Dies sollte der von ihnen gewählte Dienstleister auch durch eine entsprechende Dokumentation unaufgefordert nachweisen (können).
Stellt der AV noch nicht einmal einen eigenen AVV zur Verfügung, ist ein solcher zwar vorhanden aber mit erheblichen Mängeln behaftet oder erscheint das Datenschutzkonzept des AVs schon von Beginn an „löcherig“, wäre eine Beauftragung und Übergabe der sensiblen Patientendaten wohl kaum gegenüber der Datenschutzaufsichtsbehörde zu rechtfertigen.
Um die Zuverlässigkeit des Dienstleisters, die Qualität und die Erfüllung der gesetzlichen Mindestinhalte (gem. Art. 28 DSGVO) des abzuschließenden AVVs bzw. die zugesicherten technisch und organisatorischen Maßnahmen tatsächlich beurteilen zu können, empfiehlt sich der Einsatz einer anwaltlich geprüften Checkliste und/oder die Rücksprache mit dem eigenen Datenschutzbeauftragten.
Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter
Eines der Grundsätze der DSGVO ist, dass jede Verarbeitung und Weitergabe von personenbezogenen (Patienten)Daten zwingen einer wirksamen Rechtsgrundlage (bspw. eine Patienteneinwilligung) bedarf. Dies gilt auf Grund der ärztlichen Schweigepflicht besonders dann, wenn Patientendaten an externe Dritte herausgegeben werden sollen. Die Auftragsverarbeitung stellt hier jedoch einen datenschutzrechtlichen Sonderfall dar. Der AV wird – auf Grund der strengen vertraglichen (Mindest-)Anforderungen – rechtlich nämlich wie ein eigener Mitarbeiter behandelt. Einer gesonderten Rechtsgrundlage bzw. eine ausdrückliche Zustimmung des Patienten bedarf es in diesem Fall zur Datenweitergabe deswegen nicht. Dies vereinfacht den Einsatz eines solchen Dienstleisters datenschutzrechtlich einerseits erheblich – verlangt aber vom verantwortlichen Arzt bei dessen Auswahl und der Gestaltung der vertraglichen Regelungen eine besondere Sorgfalt.
Beachtung der Informationspflichten aus Art. 13 DSGVO
Grundsätzlich hat jede Arztpraxis die Informationspflichten aus Art. 13 DSGVO zu beachten – sprich Patienten müssen über die Datenverarbeitung umfänglich informiert werden. Auftragsverarbeiter zählen zu den sog. Empfängern im Sinne des Art. 13 Abs. 1 Satz 1 lit. e) DSGVO i.V.m. Art. 4 Nr. 9 DSGVO und müssen in den Datenschutzhinweisen der Praxis entsprechend aufgeführt werden.
Durchführung regelmäßiger Kontrollen?
Aus datenschutzrechtlicher Sicht ist es empfehlenswert regelmäßige Kontrollen des Auftragsverarbeiters durchzuführen, um die Zuverlässigkeit und die Qualität des AVs zu überprüfen. Dabei können Auditierungen persönlich vor Ort beim AV oder auch per Fragebogen erfolgen. Diese Aufgabe übernimmt in der Regel der Datenschutzbeauftragte Ihrer Praxis.
Fazit
Aus datenschutzrechtlicher Sicht sind einige wichtige Punkte beim Einsatz externer Dienstleister in der Arztpraxis zu beachten. Verantwortliche Praxisinhaber haben durch eine sorgfältige Auswahl potenzieller Vertragspartner, den Abschluss entsprechender vertraglicher Vereinbarungen und die regelmäßige Kontrolle der Auftragnehmer, die datenschutzkonforme Verarbeitung der Patientendaten im Rahmen der Auftragsverarbeitung zu gewährleisten. Des Weiteren müssen die Informationspflichten aus Art. 13 DSGVO entsprechend angepasst werden. Praxisinhaber sollten sich bei diesem Prozess unbedingt von ihrem Datenschutzbeauftragten beraten lassen, damit der verantwortliche Arzt sich im Streitfall von der Haftung befreien kann und somit sein Haftungsrisiko verringert wird.