Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

21. November 2024

Auftragsverarbeitung von Patientendaten

DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks
5,00 (1)
Externe Dienstleistungen für Krankenhäuser
Eine gesetzliche Neuregelung in Bayern lenkt den Blick darauf, welche Besonderheiten die Auftragsverarbeitung von Patientendaten aus Krankenhäusern aufweist. Aus Anlass der Neuregelung ist eine Arbeitshilfe für technische und organisatorische Maßnahmen entstanden, die auf Besonderheiten bei der Verarbeitung von Patientendaten eingeht.
Die generelle Regelung über die Auftragsverarbeitung in Art. 28 Datenschutz-Grundverordnung (DSGVO) sieht bei der Auftragsverarbeitung von Gesundheitsdaten allgemein und von Patientendaten insbesondere keine ausdrücklichen Beschränkungen vor. Solche Daten im Auftrag zu verarbeiten, ist somit prinzipiell rechtlich zulässig.

Nationale Spielräume dank DSGVO

Die Regelung von Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) erlaubt in ungewöhnlich umfangreicher Weise, die Verarbeitung von Gesundheitsdaten eigenständig zu beschränken. Art. 9 Abs. 4 DSGVO lautet: „Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von (…) Gesundheitsdaten betroffen ist.“

Ausgangslage: Verbot der Auftragsverarbeitung

Vor dem 01.06.2022 enthielt das Bayerische Krankenhausgesetz (BayKrG) folgende Regelung: „Zur Verarbeitung oder Mikroverfilmung von Patientendaten, die nicht zur verwaltungsmäßigen Abwicklung der Behandlung der Patienten erforderlich sind, darf sich das Krankenhaus jedoch nur anderer Krankenhäuser bedienen“ (Art. 27 Abs. 4 Satz 6 Bayerisches Krankenhausgesetz – inzwischen aufgehoben). Diese Regelung verbot im Ergebnis die Verarbeitung medizinischer Daten von Krankenhauspatienten durch externe Dienstleister. Einzige Ausnahme hiervon war das Verarbeiten solcher Daten durch andere Krankenhäuser. Diese Ausnahme erlangte in der Praxis keine Bedeutung. Krankenhäuser, die entsprechende Dienstleistungen anbieten, gibt es nämlich so…

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.