Grundsätzlich dürfen Verantwortliche Dienstleistungen im Rahmen einer Auftragsverarbeitung auslagern, also von externen Dienstleistern erledigen lassen. Einen besonderen Grund oder gar eine besondere Rechtsgrundlage für eine solche Auslagerung benötigt man nicht. Man kann dies einfach tun, wenn man es möchte. In der Regel werden es Effizienz- oder Kostengründe sein, die eine solche Auslagerung sinnvoll erscheinen lassen. Auch eine Einschränkung der an den Dienstleister zu übermittelnden Daten, beispielsweise auf Daten, die nicht zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO gehören, gibt es nicht. Ein solcher Dienstleister ist im datenschutzrechtlichen Sinne kein Dritter gemäß Art. 4 Nr. 10 DSGVO. Die Übermittlung an solche Dienstleister ist daher zulässig, sofern sich der Verantwortliche an die Vorgaben des Art. 28 DSGVO hält.
Wenn das alles so einfach ist, weshalb schreiben wir dann einen eigenen Artikel über den Einsatz von Dienstleistern im Gesundheitswesen? Naja, ganz so einfach ist es halt dann manchmal doch nicht… 😉
Schweigepflicht
Zunächst einmal gibt es die berufliche Schweigepflicht gemäß § 203 StGB. Bestimmte Berufsgruppen wie Rechtsanwält*innen, Steuerberater*innen, Apotheker*innen aber eben auch Ärzt*innen unterliegen der beruflichen Schweigepflicht. Und somit stellt sich hier die Frage, ob Angehörige dieser Berufsgruppen nicht gegen die Schweigepflicht verstoßen, wenn sie Dienstleistungen auslagern und damit geschützte Daten übermitteln.
Tatsächlich war diese Frage lange Zeit umstritten, bis der Bundesgesetzgeber endlich ein Einsehen hatte und mit einer Änderung des § 203 Abs. 3 StGB Klarheit geschaffen hat. Er hat nämlich festgelegt, dass die Berufsgeheimnisträger die Geheimnisse „gegenüber sonstigen Personen offenbaren [dürfen], die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist“.
Alle, die also an der beruflichen oder dienstlichen Tätigkeit „mitwirken“, dürfen hierzu die Geheimnisdaten erhalten. Hier hat der Gesetzgeber (bewusst) sehr weich formuliert. Einer Auslagerung von Dienstleistungen sind damit kaum mehr Schranken gesetzt. Ob externe Archivierung von Patientenakten, Entsorgung von Datenträgern, Wartungsarbeiten durch IT-Dienstleister – alles wird wohl unter diese Formulierung fallen.
Zu schön um wahr zu sein? Naja, eine kleine Hürde hat der Gesetzgeber den Geheimnisträger*innen dann doch noch gesetzt. Alle diese „sonstigen mitwirkenden Personen“ müssen nämlich gemäß § 203 Abs. 4 Nr. 1 StGB auf die Geheimhaltung verpflichtet werden.
Also lange Rede – kurzer Sinn: Krankenhäuser, Kliniken, Arztpraxen dürfen Dienstleistungen auslagern. Aber es muss sichergestellt sein, dass alle Personen beim Dienstleister, die Kenntnis von den Geheimnissen nehmen können, zur Geheimhaltung verpflichtet wurden. Und bedient sich dieser Dienstleister weiterer Unterauftragnehmer, dann müssen auch dort alle Personen, die Kenntnis von den Geheimnissen nehmen können, ebenfalls zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 Nr. 2 StGB) und so weiter und so weiter.
Cloud-Computing
Für den Fall, dass komplette Prozesse in die Cloud ausgelagert werden sollen, hat der Gesetzgeber zum 01.07.2024 für genau diese Fälle mit einer Neufassung des § 393 SGB V nun einige weitere Vorgaben gemacht.
Räumliche Einschränkung
Zunächst wird in § 393 Abs. 2 SGB V festgelegt, dass die Daten nur in
- Deutschland,
- einem Mitgliedstaat der Europäischen Union und des EWR,
- der Schweiz (ja, die wird explizit genannt),
- einem Drittstaat, sofern ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt
verarbeitet werden dürfen. Das klingt zunächst recht großzügig aber bei näherem Hinsehen fallen hier Risiken auf. Zunächst wäre es also derzeit möglich, die üblichen großen US-Anbieter wie Amazon oder Microsoft einzusetzen. Schließlich haben wir seit 2023 einen Angemessenheitsbeschluss, das sogenannte EU-U.S. Data Privacy Framework (EU-U.S. DPF). Würde jedoch künftig dieser Angemessenheitsbeschluss revidiert werden, dann würde die Datenverarbeitung durch US-Anbieter unmittelbar wegfallen. Denn die sonst möglichen alternativen Garantien des Art. 46 DSGVO beim Einsatz von Drittanbietern, wie die Verwendung von Standarddatenschutzklauseln, sind vom Gesetzgeber nicht vorgesehen. Und dass der Angemessenheitsbeschluss für die USA gekippt wird, ist leider gar nicht so unwahrscheinlich, wenn wir uns an das Schicksal der Vorgänger des EU-U.S. DPF erinnern und mal Richtung EuGH blicken, was dort mittlerweile an Klagen anhängig ist. Die Nutzung von Dienstleistern in den USA (und übrigens auch in UK – wir erinnern uns, dass der Angemessenheitsbeschluss für UK erstmal nur bis 27.06.2025, also kein Jahr mehr, gilt?) ist somit durchaus risikobehaftet.
Sicherheit
Noch schwieriger wird aber die Erfüllung der Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen sein. Zunächst beginnt es harmlos mit § 393 Abs. 3 Nr. 1 SGB V. Dort wird festgelegt, dass nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit zu ergreifen sind. Echt jetzt? – fragt man sich da als Leser im ersten Moment. Das steht doch schon in der DSGVO. Aber bei genauem Hinschauen findet sich hier ein Unterschied zu Art. 32 Abs. 1 Satz 1 DSGVO. Dort wird nämlich nur verlangt, den Stand der Technik zu berücksichtigen, aber nicht, ihn umzusetzen. Die DSGVO erlaubt damit durchaus, vom Stand der Technik auch nach unten abzuweichen, wenn der Schutzbedarf der Daten es denn zulässt. Bei Gesundheitsdaten wird das sinnvoller Weise nicht erlaubt. Ist eigentlich ein Nobrainer, muss aber natürlich dennoch geregelt werden.
Aber dann kommt es mit § 393 Abs. 3 Nr. 2 SGB V: Die Cloudanbieter müssen über ein aktuelles C5-Testat verfügen. C-was? – werden Sie sich jetzt wahrscheinlich fragen? C5 war doch irgendwie eine Größenbezeichnung für Briefumschläge und C4 hat man auch schon mal gehört, aber das war Sprengstoff. Wobei dieser Vergleich gar nicht so unpassend ist. Die C5-Anforderung hat unseres Erachtens ebenfalls Sprengkraft. C5 steht für das Akronym CCCCC (also 5 Mal „C“) und bedeutet ausgeschrieben „Cloud Computing Compliance Criteria Catalogue“. Dieser Kriterienkatalog spezifiziert Mindestanforderungen an sicheres Cloud Computing und wurde im Jahr 2016 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmalig veröffentlicht.
Zum Erfolg des Kriterienkatalogs sagt das BSI selbst auf seiner Webseite (Stand 17.07.2024):
Nach Kenntnis des BSI wurden bereits mehr als ein Dutzend Testate für nationale, europäische und weltweite Cloud-Anbieter sowie eine breite Palette an Cloud-Diensten erstellt.
Das hört sich nicht nach einer großen Auswahlmöglichkeit an…
Noch mal zurück zum Gesetzestext: Es genügt nicht, dass man sich irgendwie an dem Kriterienkatalog orientiert. Man benötigt ein Testat, das von einer unabhängigen Stelle ausgestellt wurde. Und es genügt auch nicht, dass man als Anbieter einer Cloud-Lösung seine Server in irgendeinem Rechenzentrum unterbringt, das über ein entsprechendes C5-Testat verfügt. Der Anbieter muss selbst über das Testat verfügen.
Bitte verstehen Sie uns nicht falsch. Dass hohe Sicherheitsanforderungen an das Cloud Computing gestellt werden, halten wir für richtig und notwendig. Wir sehen nur aktuell Probleme, wie dies ab sofort umgesetzt werden soll. Einen kleinen Lichtblick hinsichtlich möglicher Erleichterungen gibt es übrigens noch. In § 393 Abs. 4 SGB V wird nämlich festgelegt, dass alternativ auch Zertifikate oder Testate nach anderen Standards zulässig sein können, sofern deren Befolgung ein im Vergleich zum C5-Standard mindestens vergleichbares Sicherheitsniveau sicherstellt. Welche das sind, ist aber durch das Bundesministerium für Gesundheit im Einvernehmen mit dem BSI durch Rechtsverordnung festzulegen. Aktuell ist hier noch nichts bekannt.
Länderspezifische Regelungen
Und dann gibt es noch länderspezifische Regelungen, die ebenfalls bestimmte Anforderungen an die Auslagerung von Gesundheitsdaten an Dienstleister regeln. So wird beispielsweise in § 7 GDSG NW (Gesundheitsdatenschutzgesetz NRW) festgelegt, dass die Verarbeitung von Patientendaten im Auftrag nur zulässig ist, wenn
- sonst Störungen im Betriebsablauf nicht vermieden oder
- Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger
vorgenommen werden können. In anderen Landesgesetzen (z.B. Art. 27 BayKrG) wird noch einmal gesondert darauf hingewiesen, dass nur Dienstleister eingesetzt werden dürfen, die über ausreichende technische und organisatorische Maßnahmen zum Schutz der sensiblen Patientendaten, verfügen. In der Regel ergeben sich aus diesen länderspezifischen Regelungen aber keine besonderen Hürden für den Einsatz externer Dienstleister. Die früher in diesen Gesetzen teilweise zu findenden sehr strengen Vorgaben für Auslagerungen von Patientendaten wurden mittlerweile weitestgehend gestrichen.
Fazit
Einerseits wurde es in den letzten Jahren durch die Anpassung der strafrechtlichen Vorschriften sowie länderspezifischen Regelungen einfacher, Patientendaten auszulagern. Die grundsätzliche Diskussion, ob eine solche Auslagerung überhaupt zulässig ist, muss nun häufig nicht mehr geführt werden. Für die Praxis nützt diese Erleichterung zukünftig wohl deutlich weniger, denn zumindest beim Cloud-Computing ist künftig darauf zu achten, dass die gesamte Kette der beteiligten Dienstleister über ein aktuelles C5-Testat verfügt. Sehr viele gibt es davon bislang nicht.
____________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.