Ärzte sind längst nicht mehr nur Heiler, sondern auch Unternehmer. Wollen sie sich aber auf ihre Kernkompetenz beschränken, müssen sie zwangsläufig fachfremde Tätigkeiten outsourcen. Gerade ist die Auslagerung großer Datenmengen in sog. clouds en vogue. Doch hierbei machen Ärzte sich unbewusst strafbar. Ohne Not lässt der Gesetzgeber die Ärzte beim Outsourcing allein, meint Stephan Gärtner.
Ärzte sollen ihre Fähigkeiten zum Nutzen der Kranken verwenden, so steht es im Eid des Hippokrates. Doch das Bild des niedergelassenen Arztes wandelt sich. Bereits 2006 berichtet das Handelsblatt von dem politischen Ziel, aus Ärzten Unternehmer werden zu lassen. Der Verfasser erlebt im Rechtsalltag, dass Ärzte sich dieser Aufgabe zunehmend stellen und bereit sind, unternehmerisch zu denken.
1. Outsourcing in Arztpraxen
Unternehmerisch denken heißt v.a., die eigene Effizienz zu steigern. Was nicht zu den Kernkompetenzen eines Arztes gehört, muss ausgelagert werden. Ein Beispiel: Das Verwalten großer Datenmengen wird man auf dem Stundenplan eines Medizinstudenten lange suchen.
Doch Ärzte müssen sich gerade dieser Herausforderung stellen. Zwei Phänomene belegen dies: Zum einen erheben die sich herausbildenden und durchaus ernst zu nehmenden Online-Diagnose-Dienstleister (z.B. VorsichtOperation) via Internet zahlreiche Patientendaten, die ausgewertet und gespeichert werden müssen. Zum anderen spielt die digitale Speicherung von visuellen Patientendaten – etwa CTs im Bereich der Radiologie – bei der Beachtung ärztlicher Aufbewahrungsfristen eine große Rolle.
2. Cloud Computing als verhängnisvoller Lösungsansatz
Ärzte sind aber – wie oben ausgeführt – keine IT-Experten.
Will der Arzt diese Datenverwaltung daher outsourcen, bietet sich ab einer bestimmten Menge eine Auslagerung in die Datenwolke (Cloud-computing) an. Cloud–computing bedeutet, dass bestimmte IT-Ressourcen (in unserem Beispiel: Speicherplatz) nicht mehr vor Ort existieren, sondern über ein Netzwerk (z.B. das Internet) bei großen Anbietern gemietet werden. Äußerst verkürzend kann man auch von der Festplatte im Internet sprechen.
Doch wenn Ärzte Patientendaten in die cloud auslagern, besteht nicht nur die Gefahr, gegen das Datenschutzrecht zu verstoßen. Es droht die Strafverfolgung durch die Staatsanwaltschaft.
3. Vereinbarkeit mit dem Datenschutzrecht
Für private Arztpraxen gilt das Bundesdatenschutzgesetz (BDSG) gemäß dessen § 27. Soweit Krankenhäuser der öffentlichen Hand zuzuordnen sind, gelten die jeweiligen Landesdatenschutzgesetze. Insoweit sind die gesetzlichen Regelungen aber ähnlich, sodass fortan die Rechtslage nach dem BDSG geschildert wird.
Die Auslagerung der Patientendaten ist eine Datenverarbeitung gemäß § 3 Abs. 4 Bundesdatenschutzgesetz (BDSG). Daher unterfällt dieser Vorgang dem sog. datenschutzrechtlichen Verbot mit Erlaubnisvorbehalt. Hiernach ist jede Datenverarbeitung verboten ist (=Regelfall), es sei denn es gibt eine Rechtsgrundlage (=Ausnahme). Kurz gesagt: Cloud-computing ist verboten, wobei Ausnahmen denkbar sind.
Kluge Berater widmen – untechnisch gesprochen – die verbotene Datenübermittlung in eine bloße Weitergabe um. Für sie gilt das Verbot mit Erlaubnisvorbehalt nicht. Mit anderen Worten: Stellt sich das Outsourcing als bloße Datenweitergabe dar, ist dies grundsätzlich zulässig.
Diese „Umwidmung“ ist äußerst kompliziert. Stark vereinfacht funktioniert sie wie folgt: Eine Übermittlung setzt einen Kontakt mit einem „Dritten“ voraus. Erreicht man, dass die cloud nicht als Dritter gilt, liegt auch keine Übermittlung vor, sondern nur eine Weitergabe. Letzteres wird dadurch bewirkt, dass die Ärzte das cloud-Unternehmen mit der Speicherung der Daten beauftragen, denn der Auftragnehmer ist nach § 3 Abs. 8 BDSG kein Dritter. Der Auftrag muss allerdings den strengen Anforderungen des § 11 BDSG genügen.
4. Dennoch droht Strafbarkeit
Nun zum Dilemma: Selbst Ärzten, die sich diese Mühe machen, droht Post von der Staatsanwaltschaft. Denn sie brechen damit möglicherweise ihre Schweigepflicht gemäß § 203 Strafgesetzbuch (StGB).
Einige Rechtswissenschaftler meinen zwar, dass eine Strafbarkeit nach § 203 StGB entfalle, wenn eine Auftragsdatenverarbeitung nach § 11 BDSG (s.o.) vorliegt. Dem tritt die datenschutzrechtliche Aufsichtsbehörde aus Schleswig-Holstein (ULD) entgegen. Hiernach ist allenfalls eine informierte Einwilligung des Patienten ein Ausweg aus der Strafbarkeit. Doch letztere verunsichert Patienten und führt dazu, dass Patienten, die nicht einwilligen, nicht behandelt werden können. Eine Loose-Loose-Situation.
5. Die Stunde des Gesetzgebers
Für Ärzte ist dieses Dilemma, einerseits Unternehmer sein zu müssen, andererseits kein Unternehmer sein zu dürfen, eine schwere Last.
Allein der Gesetzgeber kann Klarheit schaffen, indem er § 203 StGB durch einen Hinweis auf § 11 BDSG ergänzt. Hierbei verschlechtert sich die Situation der Patienten nicht. Denn § 11 BDSG setzt enge Schranken für das Outsourcing einer Datenverarbeitung.
Solange der Gesetzgeber aber nicht tätig wird, kommt es auf intelligente Lösungen an, die einerseits wirtschaftlichen Erforderlichkeiten Rechnung tragen und andererseits dem Datenschutzrecht genügen.
Dr. iur. Stephan Gärtner
Compliance Manager
ilex Datenschutz GbR berät mittelständische Unternehmen bundesweit in Fragen des Datenschutzrechts. Hierbei liegt ein Schwerpunkt in der Beratung von Krankenhäusern und Arztpraxen.
________________
Wir unterstützen Sie bei Ihrer Recherche.
ilex Datenschutz – Potsdam
Alleestraße 13
14469 Potsdam
Telefon: (0331) 97 93 75 0
Telefax: (0331) 97 93 75 20
Internet: www.ilex-datenschutz.de