Berlin. Der Zugriff auf sensible Patientendaten durch externe Dienstleister unterliegt den Datenschutzgesetzen und muss vertraglich geregelt werden. Jetzt gibt es ein kommentiertes Muster eines Auftragsdatenverarbeitungsvertrags, das auf die besonderen Belange des Gesundheitswesens eingeht und den Datenschutz bei der Einbindung von Dienstleistern im Gesundheitsbereich sicherstellen soll.
Erarbeitet wurde es von einer verbandsübergreifenden Arbeitsgruppe bestehend aus Vertretern des Berufsverbandes der Datenschutzbeauftragten Deutschlands e. V. (BvD, „Arbeitskreis Medizin“), des Bundesverbandes Gesundheits-IT e.V. (bvitg), der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS, Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“) und der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD, Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“).
Die Ergebnisse der Arbeitsgruppe umfassen neben dem so genannten „ADV-Vertrag“ auch ein Beispiel zur Anwendung des Musters bei einer Fernwartung sowie jeweils einen Vorschlag zur Vorbereitung einer Prüfung durch den Auftraggeber und einer Selbstauskunft des Auftragnehmers zur Beurteilung seiner Eignung.
Die von der Arbeitsgruppe erarbeiteten Dokumente bieten Krankenhäusern, Arztpraxen und IT-Herstellern eine Hilfestellung, um das Thema Auftragsdatenverarbeitung im Gesundheitswesen so weit wie möglich praxisgerecht für beide Seiten vertraglich umzusetzen.
Die beteiligten Vertreter erklärten, dass zum ersten Mal in Deutschland eine solche Hersteller und Kunden übergreifende Lösung für den Datenschutz im Gesundheitswesen erarbeitet wurde und betonten die produktive Zusammenarbeit aller beteiligten Verbände.
Die Verbände weisen darauf hin, dass allein mit dieser Mustervereinbarung die Anforderungen der ärztlichen Schweigepflicht bei Einbindung von Dienstleistern aber noch nicht gelöst werden können. Nach aktuellem Stand kann auch mit einer datenschutzrechtlich einwandfreien und gesetzeskonform geregelten Auftragsdatenverarbeitung allein keine Offenbarungsbefugnis gemäß § 203 StGB abgeleitet werden. Im Interesse aller Beteiligten muss durch den Gesetzgeber hier eine ausgewogene Lösung gefunden werden, mit der Dienstleister rechtssicher eingebunden und zugleich das Vertrauen in die verschwiegene Ausübung des ärztlichen Berufes gewährleistet werden.
Alle Materialien sind auf den Internetseiten der Verbände verfügbar:
BvD:http://www.bvitg.de/ADV-Mustervertrag.html
bvitg: http://www.bvitg.de/ADV-Mustervertrag.html
GMDS: http://www.gesundheitsdatenschutz.org/doku.php/gmds-dgi-empfehlungen
GDD: http://gddak.eh-cc.de/materialien_und_links/