Praxiswissen auf den Punkt gebracht.
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww
  • · Fachbeitrag · Schweigepflicht

    Neufassung des § 203 StGB: So regeln Sie die Weitergabe von Daten an externe Dienstleister

    von RA Ralph Jürgen Bährle, Bährle & Partner, Nothweiler

    | Kurz vor Ende der Legislaturperiode hat der Bundesrat die Neufassung des § 203 StGB gebilligt. Diese Vorschrift schränkt die Strafbarkeit von Berufsgeheimnisträgern ‒ also auch Physiotherapeuten ‒ ein, wenn diese geschützte Informationen an externe Personen (z. B. IT-Dienstleister) weitergeben, soweit dies für deren Arbeit erforderlich ist ( PP 10/2017, Seite 18 ). Allerdings knüpft § 203 Abs. 4 S. 2 Nr. 1 StGB die Informationsweitergabe für Sie als Auftraggeber an strenge Auflagen bzgl. Auswahl und Überwachung der Dienstleister sowie deren Verpflichtung zur Geheimhaltung. |

    Auswahl des Dienstleisters

    Ob ein Dienstleister vertrauenswürdig ist, sehen Sie ihm nicht an. Der erste Eindruck im Gespräch kann richtig sein, allein darauf verlassen sollten Sie sich jedoch nicht.

     

    • Weitere Anhaltspunkte für und gegen die Vertrauenswürdigkeit
    • Referenzkunden des Dienstleisters
    • Zertifizierungen und sonstige Qualifikationsnachweise (insbesondere Zertifizierungen nach DIN EN ISO, die vom TÜV oder der DEKRA abgenommen werden.
    • Höhe des Angebots (Unterbreitet der Dienstleister ein Dumpingangebot, nur weil er mit Ihnen ins Geschäft kommen will, sollte Ihnen das zu denken geben.)
     

    Sind Tatsachen bekannt oder erkennbar, die Zweifel an der Zuverlässigkeit des Dienstleisters begründen, dürfen Sie diesen nicht beauftragen. Als Orientierung bei der Auswahl kann § 11 Abs. 2 S. 4 Bundesdatenschutzgesetz (BDSG) dienen: „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“

     

    • So überzeugen Sie sich von der Einhaltung des BDSG
    • Wenn der Dienstleister in Ihrer Nähe sitzt, besuchen Sie ihn in seinen Räumlichkeiten, bevor Sie den Auftrag erteilen. Fragen Sie ausdrücklich nach, was er tut, um bei seiner Arbeit die Vorgaben des BDSG einzuhalten.
    • Bei weiter entfernten Dienstleistern fragen Sie bei der Angebotseinholung telefonisch oder per E-Mail nach der Einhaltung des BDSG. Das Angebot sollte die angebotene Dienstleistung möglichst genau beschreiben und eine Bestätigung des Dienstleisters enthalten (ggf. als Anlage), dass alle Angaben zur Einhaltung des BDSG der Wahrheit entsprechen.
    • Lassen Sie sich jährlich beim Dienstleister erklären, was sich technisch und organisatorisch bei ihm geändert hat.
    • Sehen Sie im Dienstvertrag (Auftragsdatenverarbeitungsvertrag), u. a. auch Informationspflichten für den Dienstleister vor (siehe Ende dieses Betrags).
     

    Überwachung des Dienstleisters

    Wenn der Dienstleister in Ihren Räumen tätig ist, können Sie ihn überwachen, in dem Sie ihm stichprobenartig „über die Schulter schauen“ bzw. wenn ein anderer Mitarbeiter (z. B. eine Schreibkraft) im Büro anwesend ist.

     

    Eine ständige Überwachung im Sinne einer Überwachung „rund um die Uhr“ (7/24/365) ist Ihnen freilich nicht zuzumuten ‒ erst recht nicht, wenn Ihr Dienstleister außerhalb Ihrer Praxisräume arbeitet (z. B. Telefondienstleister). Es genügt, wenn Sie sich in regelmäßigen Abständen (jährlich) mit dem Dienstleister in Verbindung setzen. Wenn Sie aber irgendeinen Verdacht gegen den Dienstleister haben oder Unregelmäßigkeiten bzw. Unstimmigkeiten zu erkennen sind, müssen Sie sofort tätig werden und den Dienstleister darauf ansprechen.

     

    • Beispiel

    Der Therapeut beauftragt einen Dienstleister mit der Annahme von Telefonaten und Vereinbarung von Terminen. Der Dienstleister hat sich verpflichtet, eigene neue Mitarbeiter bekanntzugeben und dem Therapeuten Kopien der Verschwiegenheitserklärungen zu schicken. Der Therapeut wird von vereinbarten Terminen durch Mail informiert. „Entdeckt“ der Therapeut auf einer derartigen Mail einen ihm nicht bekannten Namen eines Mitarbeiters des Dienstleisters und hat er von diesem keine Verschwiegenheitserklärung, muss er beim Dienstleister nachfragen und um Übersendung der Verschwiegenheitserklärung bitten.

     

    Wichtig | Häufen sich solche Vorfälle, müssen Sie ggf. die Überwachungszyklen verkürzen und im Zweifel sogar die Zusammenarbeit beenden.

    Vorgaben zur Geheimhaltungsverpflichtung

    Mit der Änderung des § 203 StGB wurden gleichzeitig einige Berufsordnungen, z. B. die der Anwälte oder die der Notare geändert und dort die Anforderungen an die Geheimhaltungsverpflichtung geregelt. Diese Berufsordnungen sind für Sie als Therapeuten natürlich nicht maßgebend. Sie sind aber auf der sicheren Seite, wenn die Geheimhaltungsverpflichtung, für den externen Dienstleister unterschreiben lassen, den dort aufgestellten Anforderungen entspricht.

     

    Vorgaben der Berufsordnungen

    Schließen Sie mit dem externen Dienstleister, unabhängig vom Auftragsvolumen oder der Zeitdauer des Auftrags, immer einen schriftlichen Vertrag. Zwar genügt im Rahmen des § 203 StGB die Textform (= lesbare Erklärung mit namentlicher Nennung des Erklärenden auf einem dauerhaften Datenträger i. S. d. § 126b Bürgerliches Gesetzbuch [BGB]), d. h. auch eine Geheimhaltungsverpflichtung ohne Unterschrift des externen Dienstleisters wäre wirksam. Die Bedeutung der Verpflichtung wird aber hervorgehoben, wenn der Dienstleister Ihnen diese unterschreibt. In der Vereinbarung ist

     

    • 1. der Dienstleister unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung ausdrücklich zur Verschwiegenheit zu verpflichten,
    •  
    • 2. der Dienstleister zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist,
    •  
    • 3. festzulegen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Auftrags heranzuziehen. Darf der Dienstleister dies, hat er diese Personen ebenfalls in Textform zur Verschwiegenheit zu verpflichten. Sie sollten dann auch vereinbaren, dass Ihnen Kopien dieser Geheimhaltungsverpflichtungen überlassen werden.

     

    Dass der Dienstleister nur die von ihm benötigten geschützten Informationen einsehen darf (siehe 2.), entbindet Sie als Praxisinhaber nicht von der Pflicht, den Zugang zu geschützten Informationen nur in dem Umfang zu ermöglichen, soweit dies zur Inanspruchnahme der Dienstleistung erforderlich ist.

     

    • Beispiele für die Begrenzung des Zugriffs auf geschützten Daten
    • Soll ein IT-Dienstleister die Patientendaten von einem PC auf den anderen übernehmen, ist es i. d. R. nicht notwendig, dass er die Daten der Patienten anschaut. Ob die „Übernahme“ geklappt hat und alles da ist, sollten dann Sie als Praxisinhaber oder ein von Ihnen beauftragter Mitarbeiter (ggf. unter Anleitung des IT-Experten) überprüfen. Sie dürfen den Dienstleister dann auch auffordern, wegzuschauen, wenn Sie die ganze Akte lesen.
    • Wenn Sie Daten zur Abrechnung weitergeben, dürfen nur die wirklich zur Abrechnung notwendigen Daten weitergegeben werden. Den Rest der (elektronischen) Patientenakte müssen Sie unter Verschluss halten.
     

    Vorschriften des BDSG

    Da Sie auch Vorschriften des BDSG beachten müssen, sollte Ihre Geheimhaltungsverpflichtung sich nicht nur an den Vorgaben des § 203 StGB orientieren, damit Sie nicht zwei Vereinbarungen abschließen müssen. Eine Vereinbarung nach § 11 BDSG kann weitere Vereinbarungen über die o. g. drei Regelungen hinaus enthalten, z. B.

     

    • dass Sie das Recht haben, die Einhaltung des Datenschutzes durch persönliche Kontrollen zu überwachen,
    • in welchen Fällen der Auftragnehmer verpflichtet ist, Ihnen Verstöße gegen die Vereinbarung zu melden,
    • in welchen Fällen der Auftragnehmer für Schäden haftet und
    • ob und in welcher Höhe der Auftragnehmer bei Verstößen eine Vertragsstrafe zu zahlen hat.

     

    PRAXISHINWEIS | Eine Mustervereinbarung zur Geheimhaltungsverpflichtung externer Dienstleister können Sie als offene RTF-Datei herunterladen unter pp.iww.de, Abruf-Nr. 44983508.

     

    Weiterführender Hinweis

    • Änderung des § 203 StGB schützt Patientendaten 4‒ auch bei Weitergabe an externen Dienstleister (PP 10/2017, Seite 18).
    Quelle: Ausgabe 11 / 2017 | Seite 10 | ID 44953156