Fitnesstracker, elektronische Gesundheitskarte, Online-Sprechstunde, längst hat das digitale Zeitalter auch die medizinische Welt erreicht. Das Gesundheitswesen steckt, ob nun innovationsgetrieben oder eher unfreiwillig, mitten in der Digitalisierung. Doch die Prozesse und Rechtslage sind von Spezialregelungen, Ausnahmen und Rückausnahmen geprägt. Gerade beim Thema Datenschutz bringt die Digitalisierung nun noch einmal neue Probleme und Fragestellungen mit sich. Dafür bleibt im anspruchsvollen Tagesgeschäft eigentlich keine Zeit.
Telematikinfrastruktur und Alltagsverarbeitungen: Aktuelle Herausforderungen bei der Verarbeitung von Gesundheitsdaten
In unserem hoch arbeitsteiligen Gesundheitswesen verarbeiten private und öffentliche Akteure personenbezogene Daten von Patienten teils zu eigenen Zwecken, teils, um Dienstleistungen für Dritte zu erbringen. Zu letzteren zählen spezialisierte externe Labore, die derzeit aufgrund der Covid-19-Pandemie in besonderem Fokus stehen, aber auch Krankenkassen, Prüfstellen, Gesundheitsämter, Lieferanten, Therapeuten, Apotheken, Hersteller von Medizinprodukten sowie Kliniken, MVZ und einzelne Ärzte werden in den unterschiedlichsten Rollen und Funktionen tätig, wobei die Übermittlung von Gesundheitsdaten zwischen diesen Akteuren das verbindende Element darstellt. Nicht zuletzt durch den Aufbau einer Telematikinfrastruktur (TI) mit Versichertenstammdatenmanagement (VSDM), dem Kommunikationsdienst KIM, dem elektronischen Heilberufsausweis (eHBA) sowie dem elektronischen Medikationsplan (eMP) und der Elektronischen AU-Bescheinigung (eAU) steht den Beteiligten eine Welle der Digitalisierung ins Haus, die den Teilnehmern im Gesundheitswirtschaftsverkehr viel Geduld, Geld und Zeit abverlangt.
Warum schlechte Prozesse digitalisieren? Compliance, Recht und Dokumentation
Zu den wirtschaftlichen und technischen Herausforderungen gesellen sich auch datenschutzrechtliche Anforderungen, deren Einhaltung neben juristischem Expertenwissen auch viel Fleiß bei der Prozessdokumentation von Datenverarbeitungsvorgängen unter Beteiligung von Patienten und Vertragspartnern bedingt.
Die Sorge vor Sanktionen von Aufsichtsbehörden und Kassen, der Druck von Versicherungen sowie die permanente Kontrolle im Rahmen des gesundheitsspezifischen Qualitätsmanagements und nicht zuletzt die kritischen Nachfragen von Patienten bringen, führen auch hier zum Wunsch nach einer Form der Digitalisierung, die auch juristisch notwendige Prozesse einfacher und überschaubarer macht. Die Komplexität der Einhaltung unterschiedlicher Schutzziele, Compliance, Qualitätssicherung und materieller Datenschutz kann durch den Einsatz eines Compliance- und Datenschutzmanagementsystems deutlich reduziert werden.
Datenschutzrecht ist mehr als DSGVO: Rechtsverbindungen und Rechtsgrundlagen
Die Verarbeitung von personenbezogenen Daten für Gesundheitszwecke ist elementarer Bestandteil der Gesundheitswirtschaft, doch der Datenschutz im Gesundheitswesen rechnet zu den schwierigsten Materien, die das deutsche Recht hervorgebracht hat. Ob Fitness-Apps, die Bestellung von Medikamenten oder das Anfertigen von Analysen durch Labore: In allen Fällen werden besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO verarbeitet und an Dritte übermittelt. Neben den sozialrechtlichen Leistungsträgern (z.B. Krankenkassen) und Leistungserbringern (z.B. Vertragsärzten), die den bereichsspezifischen datenschutzrechtlichen Regelungen der Sozialgesetzbücher (SGB) I, V und X unterliegen, findet ein Transfer und damit eine Verarbeitung personenbezogener (Gesundheits-) Daten insbesondere zwischen Apotheken, Therapeuten, Ärzten, Laboren, Herstellern von medizinischen Hilfsmitteln und verschiedensten IT-Dienstleistern statt.
Aufgrund der Vielzahl an Spezialregelungen, Ausnahmen und Rückausnahmen ist die Einordnung eines konkreten Datenverarbeitungsvorgangs im Gesundheitsbereich unter die korrekte Rechtsgrundlage oftmals mühsam und erfordert erheblichen Rechercheaufwand. Einschlägige Rechtsgrundlagen können sich sowohl aus der DSGVO und dem BDSG, zudem landesgesetzlichen Regelungen wie Landeskrankenhausgesetzen, Spezialgesetzen wie dem Gesetz über Hilfen und Schutzmaßnahmen bei psychischen Krankheiten (PsychKG) oder, sofern die medizinische Leistung unter kirchlicher Trägerschaft erfolgt, zusätzlich kirchendatenschutzrechtlichen Regelungen (katholisch: KDG oder KDR-OG; evangelisch: DSG-EKD) ergeben. Darüber hinaus können einschlägige Rechtsgrundlagen auch aus den jeweiligen Sozialgesetzbüchern (SGV) resultieren.
Zudem sind auch stets strafrechtliche (§ 203 StGB) und berufsrechtliche Verschwiegenheitsverpflichtungen (z.B. Berufsordnungen der Landesärztekammern in Anlehnung an § 9 MBO-Ä) zu beachten.
Datentransfers im Gesundheitswesen: Nicht alles ist Auftragsverarbeitung
Dabei sind Datenübermittlungen in der Regel durch begleitende datenschutzrechtliche Vereinbarungen abzusichern. Datenübermittlungen ohne datenschutzrechtlichen vertraglichen „Begleitschutz“ an Auftragsverarbeiter oder weitere Verantwortliche sind gesetzlich nicht vorgesehen. Als Mittel zur Absicherung nennt das Gesetz ausdrücklich Auftragsverarbeitungsverträge nach Art. 28 DSGVO und Joint-Controller-Verträge („JC-Verträge“) nach Art. 26 DSGVO. Praktische Relevanz haben daneben die datenschutzrechtlichen Vereinbarungen zumindest über die technischen und organisatorischen Maßnahmen zwischen mehreren Verantwortlichen, die keine gemeinsamen Zwecke verfolgen („Controller-to-Controller“-Verträge („C2C-Verträge“).
Vom Regen in die Traufe: Rechtsfolgen falscher Vertragstypisierung
Hier wird in der Praxis oft noch zu wenig Sorgfalt angewandt und es entstehen erhebliche Lücken in der rechtlichen Absicherung beim Transfer sensibler Daten. Wer zweifelnde Contract Manager von der Notwendigkeit einer Vereinbarung überzeugen möchte, sollte darauf hinweisen, dass wenn schon die Weitergabe von Daten an einen Auftragsverarbeiter die Verpflichtung zur vertraglichen Absicherung nach Art. 28 Abs. 3 DSGVO auslöst, dies in besonderer Weise für jeden nicht weisungsgebundenen weiteren Verantwortlichen gelten, nicht zuletzt um dem Ziel angemessener Informationssicherheit der Verarbeitung nach Art. 32 DSGVO sowie der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden.
Wer zudem meint, dass ja doch bereits irgendeine Vereinbarung genüge und insbesondere auch ein Auftragsverarbeitungsvertrag diese Funktion erfüllen könne, der irrt sich. Die zutreffende Einordnung eines Datenaustauschs als Auftragsverarbeitung, Joint Control oder Controller-To-Controller-Verhältnisses ist ganz entscheidend für die Frage nach der Wirksamkeit von datenschutzrechtlichen Vereinbarungen.
Wer statt eines eigentlich erforderlichen C2C- oder JC-Vertrages einen Auftragsverarbeitungsvertrag abgeschlossen hat, der muss davon ausgehen, dass dieser als sogenannter „Vertrag zu Lasten Dritter“ vor Gericht (vgl. VG Mainz, Urt. v. 20.2.2020 – 1 K 467/19.MZ) als nichtig angesehen wird mit der Folge, dass nicht nur die gesetzlich angeordnete, aber nachteilige gesamtschuldnerische Haftung im auch im Innenverhältnis Geltung beansprucht, sondern auch noch aufsichtsbehördliche Sanktionen drohen, da das Recht in § 134 BGB eine nichtige Vereinbarung einer nicht vorhandenen Vereinbarung gleichstellt. Als weitere negative Folge ist zu beachten, dass den auf Basis einer nichtigen Vereinbarung erfolgten Datenverarbeitungen und Datentransfers dann die Rechtsgrundlage fehlt, diese Daten also so nie hätten verarbeitet werden dürfen und eine Heilung von derartigen Rechtsverstößen im Datenschutzrecht nicht vorgesehen ist. Nichtige datenschutzrechtliche Verträge können auch auf den Hauptvertrag (Analyse, Produktherstellung, Training von Machine Learning Systemen etc.) durchschlagen, wodurch auch Vergütungsansprüche für die betreffende Dienstleistung entfallen.
Entsprechende C2C-Vereinbarungen sind auch zu dokumentieren und erfüllen eine wichtige Rolle bei der Reduzierung des eigenen Haftungsmaßstabs. Die DSGVO differenziert bei Schadenersatzansprüchen nach Art. 82 Abs. 2 DSGVO nicht zwischen Gemeinsamer Verantwortlichkeit oder eigener Verantwortlichkeit, vielmehr haftet „jeder an einer Verarbeitung beteiligte Verantwortliche“ für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.
Gerade bei den angesprochenen C2C-Verträgen sind demnach Regelungen zu den Pflichten der Parteien in Hinblick auf Datensicherheit und Vertraulichkeit aufzunehmen sowie Regressregelungen im Innenverhältnis für den Fall, dass die Parteien tatsächlich in einen Datenschutzvorfall oder einen Datenmissbrauch mit hineingezogen werden.
Oft übersehen: Besondere technisch-organisatorische Maßnahmen bei der Verarbeitung von Gesundheitsdaten nach § 22 Abs. 2 BDSG
Überdies verpflichtet § 22 Abs. 2 BDSG in Fällen der Verarbeitung von Gesundheitsdaten durch ärztliches Personal oder sonstigen Geheimhaltungsverpflichteten dazu, „angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen“, wenn die Datenverarbeitung zum Zwecke der Gesundheitsvorsorge, medizinischen Diagnostik, Behandlung im Gesundheitsbereich, der Verwaltung von Systemen und Diensten im Gesundheitsbereich oder aufgrund eines Behandlungsvertrages erforderlich ist
Diese Pflicht gilt insbesondere für die Übermittlung personenbezogener Daten eines Patienten an einen anderen Berufsgeheimnisträger, wenn die Datenverarbeitung zum Zweck der Gesundheitsvorsorge oder der medizinischen Diagnostik erforderlich ist (§ 22 Abs. 1 Nr. 1 lit. b BDSG). Die zu treffenden Maßnahmen, mit Regelbeispielen in § 22 Abs. 2 S. 2 BDSG, sind zwischen den Berufsgeheimnisträgern in einer Vereinbarung zur Datenübermittlung festzuhalten, die ihrerseits wieder nachweisbar zu dokumentieren ist.
Fazit: Gestalten, dokumentieren, überwachen
Ohne professionelle Unterstützung durch interne oder externe Experten sowie durch saubere Prozesse sind die hochkomplexe Rechtslage im Gesundheitswesen, die Verhandlungen mit Vertragspartnern im hektischen Tagesgeschäft sowie die notwendigen Nachweise im Prüf- oder Kollisionsfall unmöglich zu bewältigen. Bereits die unternehmensweite Erfassung von Datenverarbeitungen („Data Flow Management“) unter Beteiligung externer Dienstleister bedarf einer Unterstützung durch eine qualifizierte Datenschutzmanagementsoftware, die auch bei der manuell erforderlichen Klassifizierung dieser Verarbeitungsvorgänge, deren Einordnung unter die anwendbaren Normen der DSGVO und der Dokumentation in einem Verzeichnis der Verarbeitungstätigkeiten eine unerlässliche Grundlage darstellt. Denn für ein zuverlässiges datenschutzrechtliches Vertrags-, Fristen- und Risikomanagement sind eine belastbare und verfügbare Dokumentation von durchdachten Prozessen unerlässlich.