Der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht haben einen Leitfaden für die Auftragsdatenverarbeitung bei der Aktenverwaltung in Krankenhäusern herausgebracht. Auf der Grundlage des Bayerischen Krankenhausgesetz wird analysiert welche Möglichkeiten für ein Outsourcing bestehen. Auch wenn sich leider aufgrund des Föderalismus eine Pauschalisierung verbietet, kann die Einschätzung der Bayerischen Aufsichtsbehörde für Bundesländer mit einer vergleichbaren Rechtslage herangezogen werden.
Entscheidende Norm für die Auftragsdatenverarbeitung des Krankenhauses ist § 27 Abs. 4 BayKrG (Bayerisches Krankenhausgesetz).
Danach dürfen zunächst nur andere Krankenhäuser Auftragnehmer einer Aktenverwaltung oder -vernichtung sein. Sollte ein externer Dienstleister als Auftragnehmer hinzugezogen werden, so darf eine Verarbeitung nur am Ort des Krankenhauses erfolgen. Auch darf ein solcher Dienstleister nicht direkt als Auftragnehmer tätig werden, sondern nur als Unterauftragnehmer. Auftragnehmer muss ein Krankenhaus sein.
Sollte solch ein Unterauftragnehmer für das Krankenhaus tätig sein, so darf bspw. der Serverbetrieb weiter nur auf dem Gelände des Krankenhauses stattfinden. Eine Aktenvernichtung durch externe Dienstleister ist nur möglich, wenn Mitarbeiter des Krankenhauses den Vernichtungsprozess beim Dienstleister begleiten oder der Dienstleister unter Aufsicht von Mitarbeitern auf dem Gelände des Krankenhauses die Vernichtung vornimmt. Auch eine Archivierung von Patientenakten außerhalb eines Krankenhauses bei einem Dienstleister ist nur dann möglich, wenn die angemieteten Räume örtlich abgetrennt von anderen Räumen des Dienstleisters sind und der Schlüssel sich bei dem Krankenhaus befindet. Mitarbeiter des Dienstleisters, die mit der Aktenverwaltung beschäftigt sind, sollen vom Krankenhaus als Mitarbeiter übernommen werden.
Hintergrund dieser sehr strikten Sichtweise des bayerischen Landesdatenschutzbeauftragten ist die Tatsache, dass zum einen Patientendaten sehr sensible Daten nach dem Bundesdatenschutzgesetz sind und zum anderen die Offenbarung solcher Patientendaten gegenüber Dritten eine strafbare Verletzung der Schweigepflicht darstellt.
In der Praxis stellt die Verarbeitung von Patientendaten durch externe Dienstleister immer wieder eine rechtliche Herausforderung dar. Dabei ist der Problemkreis nicht nur auf Patientendaten beschränkt. Die gleichen Probleme ergeben sich bei Mandantendaten von Rechtsanwälten oder Steuerberatern, die durch externe Dienstleister verarbeitet werden. Auch diese Berufe unterliegen einer Schweigepflicht, deren Verletzung strafbar ist. So kann zwar die Einwilligung der Patienten oder Mandanten zur Nutzung externer Dienstleister herangezogen werden. Sollte ein Patient oder Mandant aber solch eine Einwilligung verweigern, ist es insbesondere den Krankenhäusern faktisch nicht möglich, den Patienten adäquat zu behandeln. Denn externe Dienstleister werden nicht nur bei der Aktenvernichtung oder Archivierung eingesetzt. Krankenhäuser setzen auch externe Rechenzentren ein, die kritische Gesundheitsdaten verarbeiten, aber auch Caterer, die anhand von Patientendaten Speisen liefern.
Daher ist es zu begrüßen, dass beispielsweise das Land Hamburg in § 9 HmbKHG (Hamburgisches Krankenhausgesetz) eindeutig bestimmt hat, dass Krankenhäuser externe Dritte zur Datenverarbeitung einsetzen dürfen.
Zu wünschen wäre, dass solche eindeutigen Regelungen auch von anderen Ländern getroffen und solche Regelungen auch für andere Berufsgeheimnisträger geschaffen werden. Eine solche Regelung sollte auch auf Bundesebene für den § 203 StGB (Strafgesetzbuch) getroffen werden.