5.2
Vergabe von Schreibarbeiten an private Stellen durch Krankenhäuser

Die Vergabe von Schreibarbeiten an private Schreibbüros ist mit datenschutzrechtlichen Risiken verbunden. Entscheidet sich ein Krankenhaus dennoch für eine solche Verfahrensweise, so muß den Risiken durch detaillierte Regelungen zur Datensicherheit begegnet werden.

In meinem letzten Tätigkeitsbericht (s. 24. Tätigkeitsbericht, Ziff. 4.6) habe ich darüber berichtet, daß Patientendaten im Rahmen der Übertragung von Schreibarbeiten an ein privates Schreibbüro unbefugten Dritten zugänglich gemacht wurden. Das Krankenhaus als Auftraggeber hatte mit dem Schreibbüro keinen schriftlichen Vertrag über die Einzelheiten der Vertragserfüllung, insbesondere auch die Gewährleistung der Datensicherheit, abgeschlossen. Der Fall hat exemplarisch gezeigt, daß die Vergabe von Schreibarbeiten an private Schreibbüros mit datenschutzrechtlichen Risiken verbunden ist. Der Standard an Datensicherheit, der z.B. bei einem Klinikrechenzentrum gewähr leistet werden kann, wird in der Regel bei privaten Schreibbüros - insbesondere dann, wenn sich diese in Privatwohnungen befinden - schwer sicherzustellen sein. Entscheidet sich ein Krankenhaus dennoch für eine derartige Auftragsvergabe, so muß es in jedem Fall durch detaillierte vertragliche Regelungen diesen Risiken begegnen. In diesem Jahr wurde mit meiner Beratung ein Mustervertrag für die Vergabe von Schreibarbeiten entwickelt und den betroffenen Schreibbüros zur Unterschrift vorgelegt.

5.2.1
Rechtliche Rahmenbedingungen für die Auftragsvergabe

Grundsätzlich ist die Vergabe von Schreibarbeiten durch Krankenhäuser an private Stellen in Hessen zulässig. Gemäß § 12 Abs. 1 KHG gelten für Krankenhäuser die Bestimmungen des Hessischen Datenschutzgesetzes, soweit nicht im Hessischen Krankenhausgesetz spezielle Regelungen vorliegen. Dies bedeutet, daß in Hessen - im Gegensatz zu einigen anderen Bundesländern - personenbezogene Patientendaten eines Krankenhauses im Rahmen des § 4 HDSG durch private Dritte im Auftrag des Krankenhauses verarbeitet werden können.

In § 4 HDSG sind die Pflichten von Auftraggeber und -nehmer festgelegt.

Die datenverarbeitende Stelle bleibt für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich, auch wenn personenbezogene Daten in ihrem Auftrag durch andere Personen oder Stellen verarbeitet werden. Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Ist der Auftragnehmer der Ansicht, daß eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftraggeber hat darauf zu achten, daß beim Auftragnehmer die nach § 10 erforderlichen Maßnahmen getroffen sind.

5.2.2
Datenschutzrechtliche Forderungen an Inhalt und Ausgestaltung des Vertrags

Der o.a. Fall hatte u. a. zur Konsequenz, daß das Krankenhaus unter meiner Mitwirkung einen Mustervertrag entworfen hat, der den datenschutzrechtlichen Anforderungen des HDSG für die Verarbeitung von personenbezogenen Patientendaten durch private Dritte entspricht.

Für die inhaltliche Ausgestaltung des Vertrags habe ich folgende datenschutzrechtliche Forderungen aufgestellt:
- Der Auftragnehmer muß sich mit der Kontrolle durch den internen Datenschutzbeauftragten des Krankenhauses und der Kontrolle durch den Hessischen Datenschutzbeauftragten einverstanden erklären.
- Das Krankenhaus als Auftraggeber muß die erforderlichen Datensicherheitsmaßnahmen festlegen.
- Der Auftragnehmer muß die Liste der von ihm gewährleisteten konkreten Datensicherheitsmaßnahmen dem Auftraggeber vorlegen.
- Der interne Datenschutzbeauftragte des Krankenhauses muß vor der Auftragserteilung an ein privates Schreibbüro die Datensicherheitsmaßnahmen in den Privaträumen prüfen.
- Das Krankenhaus als Auftraggeber muß sich bei konkreten Anhaltspunkten für Verstöße gegen datenschutzrechtliche Bestimmungen ein außerordentliches Kündigungsrecht vorbehalten.
- Kontrollen durch den Datenschutzbeauftragten des Krankenhauses und/oder den Hessischen Datenschutzbeauftragten können - nach Anmeldung und mit Einverständnis des Auftragnehmers - vorgenommen werden. Verweigert der Auftragnehmer im Einzelfall sein Einverständnis, so hat der Auftraggeber ein außerordentliches Kündigungsrecht.

5.2.3
Umsetzung der datenschutzrechtlichen Forderungen

Der Datenschutzbeauftragte des Krankenhauses hat im Berichtsjahr alle fünf vom Krankenhaus mit Schreibarbeiten beauftragten privaten Schreibbüros besucht, die vorhandenen Datensicherungsmaßnahmen geprüft und, soweit erforderlich, Verbesserungsvorschläge gemacht. Bei zwei Besuchen war mit dem Einverständnis der Betroffenen einer meiner Mitarbeiter anwesend. Hier ließ sich bereits feststellen, daß die realisierten Datensicherungsmaßnahmen so umfassend waren, daß ein größtmöglicher Sicherheitsstandard gewährleistet ist.

Der Mustervertrag des Krankenhauses wurde den Schreibbüros ausgehändigt. Er kann den jeweiligen Erfordernissen entsprechend und unter Beachtung des Grundsatzes der Verhältnismäßigkeit modifiziert werden.

Die datenschutzrechtlichen Erfordernisse und die Sicherheitsstandards sind in dem Mustervertrag detailliert festgelegt.

Inhalt, <=, =>,