Datenschutz in einem medizinischen System

[GMännchen]

Hallo zusammen,

die Firma "ABC" unterhält ein recht umfangreiches System zur arbeitsmedizinischen Dokumentation. Es handelt sich um einen Server mit ca. 30 Clients (Ärzte, Ambulanzen und Verwaltung), über mehrere Standorte miteinander vernetzt. Es fällt das ganze Spektrum medizinischer Daten an.

Bisher wurde eine Wartung nur vor Ort im Beisein eines Arbeitsmediziners durchgeführt. Aus Kostengründen hat die Firma "ABC" nun zu Wartungszwecken eine Zugriffsmöglichkeit in das Netz und auf die Daten für den externen PC/Netzwerk Dienstleister (sitzt mit am Standort) sowie auch für den externen Softwarelieferanten (sitzt weit weg) geschaffen.

Sind meine Bauchschmerzen in punkto Datenschutz berechtigt?

Für viel Tipps und gerne auch Literaturstellen wäre ich dankbar!

Mit Dank und Gruß,
GMännchen

[Jan Alkemade]

Hallo GMännchen,

Ihre Bauchschmerzen sind berechtigt.

Für die IT-Dienstleistung ist zwingend ein Datenschutzvertrag zur Datenverarbeitung im Auftrag nach § 11 BDSG (für den nicht-öffentlichen Bereich) erforderlich.

Medizinische Daten unterliegen der ärztlichen Schweigepflicht (§ 203 StGB), wonach eine unbefugte Weitergabe von personenbezogenen Gesundheitsdaten straf- und berufsrechtliche Konsequenzen für den Arzt nach sich ziehen können.

Weiter Informationen finden Sie unter folgenden Adressen:

Merkblatt zur ärztlichen Schweigepflicht der Landesärztekammer Baden-Württemberg:
http://www.aerztekammer-bw.de/20/merkbl ... flicht.pdf

Datenschutz und Telemedizin - Anforderungen an Medizinnetze (Hessischer Datenschutzbeauftragter, Okt. 2002):
http://www.datenschutz.hessen.de/downlo ... load_now=1

Herzliche Grüße

[zackbohne]

Jan Alkemade wrote:

Für die IT-Dienstleistung ist zwingend ein Datenschutzvertrag zur Datenverarbeitung im Auftrag nach § 11 BDSG (für den nicht-öffentlichen Bereich) erforderlich.

Wobei dies weder einen Hinderungsgrund für die Auslagerung der Wartung noch eine Rechtsgrundlage in der Art eines Vertragsschlusses ist. Der § 11 BDSG beschreibt doch lediglich die Abgabe einer einseitigen Erklärung (Auftrag) seitens des Auftraggebers über Art und Umfang des Projektes sowie die umfangreichen Kontrollpflichten des Auftraggebers.

Ein Vertrag kommt zwar konkludent immer zustande, in diesem Falle die Durchführung einer IT-Dienstleistung. Ein expliziter, schriftlicher Vertrag über den Datenschutz oder eine "Vereidigung" des Dienstleisters ist aber aus meiner Sicht hier nicht erforderlich.

Was hingegen in der Praxis oft gemacht wird, ist die freiwillige Abgabe einer Erklärung des Auftragnehmers in Sachen Datenschutz.

[Jan Alkemade]

Da der Auftraggeber die datenschutzrechtliche Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftragnehmer trägt, sollte er sich die weisungsgebundene DV einschließlich der Kontrollbefugnisse schriftlich vom Auftragnehmer bestätigen lassen.

Die Musterverträge der Aufsichtsbehörden sehen ebenfalls einen von beiden Seiten zu unterzeichnenden Datenschutzvertrag vor.

Der Vertrag sollte auch die Wahrung der ärztlichen Schweigepflicht berückichtigen.

[zackbohne]

Leuchtet ein und macht ja auch Sinn. Ich würde die, die an und mit meinen vertraulichen Daten herumoperieren, auch irgendwie in die Vertragspflicht nehmen wollen.

Aber die Kernfrage bleibt ja: Gibt es eine Gesetzesposition, die eine schriftliche Willenserklärung des IT-Dienstleisters zur Grundlage für dessen Einsatz macht (nicht DSB!)? Ich meine nein.

[Jan Alkemade]

Nach meinem Verständnis kann nur ein Datenschutzvertrag, der von beiden Seiten unterzeichnet ist, die Anforderungen des § 11 BDSG angemessen berücksichtigen.