Am 29. Juni 2017 hat der deutsche Bundestag eine wesentliche Lockerung des in § 203 Strafgesetzbuch („StGB“) geregelten Geheimnisschutzes für sog. Berufsgeheimnisträger beschlossen, gegen die am 22. September 2017 der Bundesrat keinen Einspruch eingelegt hat. Die damit verbundenen Neuerungen ermöglichen es Ärzten und Krankenhäusern, in bisher nicht dagewesenem Umfang auf externe Dienstleister zurückzugreifen. Im Folgenden möchten wir Ihnen einen kurzen Überblick über die Änderungen, die neuen Anforderungen sowie deren Bedeutung für die Gesundheitsbranche geben.

1. Wesentliche Änderungen für die Gesundheitsbranche im Strafgesetzbuch

§ 203 StGB sieht ein weitreichendes Verbot zur Offenbarung von Geheimnissen vor, das sich an sog. Berufsgeheimnisträger richtet. Davon betroffen sind verschiedene Berufsgruppen wie Rechtsanwälte, Steuerberater und Versicherungsgesellschaften sowie insbesondere Ärzte und Angehörige anderer Heilberufe mit staatlich geregelter Zulassung. Die Vorschrift wurde bisher dahingehend interpretiert, dass ein solches Offenbaren schon dann vorliegt, wenn beruflich anvertraute Tatsachen einem Dritten zur Kenntnis gelangen.

Aufgrund dieses äußerst weiten Anwendungsbereichs stellte § 203 StGB in seiner bisherigen Fassung ein Hindernis für die Verarbeitung von Patientendaten durch externe Dienstleister, ohne hierfür zusätzliche rechtliche Maßnahmen vorzusehen oder etwa eine Einwilligung der Patienten einholen zu müssen. Fehlten diese Maßnahmen oder eine solche Einwilligung, konnten für die Datenverarbeitung lediglich „berufsmäßig tätige Gehilfen“ und Personen, „die bei dem Berufsgeheimnisträger zur Vorbereitung auf den Beruf tätig sind“, eingesetzt werden. Nach bisher wohl herrschender Ansicht fielen externe Dienstleister in der Regel nicht darunter.

An dieser Stelle kommen die Änderungen in der Neufassung des § 203 StGB ins Spiel: Der Gesetzgeber sieht im neuen Abs. 3 vor, dass auch dann kein strafbares Offenbaren gegeben ist, wenn Geheimnisse sonstigen Personen, die an der beruflichen oder dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken, mitgeteilt werden. Solche mitwirkenden Tätigkeiten sind ausweislich der Gesetzesbegründung insbesondere

  • das Rechnungswesen,
  • die Annahme von Telefonanrufen,
  • Einrichtung, Betrieb, Wartung – einschließlich Fernwartung – und Anpassung informationstechnischer Anlagen, Anwendungen und Systeme aller Art, beispielsweise auch von entsprechend ausgestatteten medizinischen Geräten und
  • die Bereitstellung von informationstechnischen Anlagen und Systemen zur externen Speicherungvon Daten.

2. Voraussetzungen der neuen Ausnahme

Die Neufassung des § 203 knüpft die Inanspruchnahme dieses neuen Ausnahmetabestands an bestimmte Anforderungen.

Zunächst darf ein Dienstleister Zugriff auf Geheimnisse nur dann erhalten und die jeweiligen Informationen auch nur dann verwenden und verarbeiten, wenn es sich insgesamt um eine Mitwirkung an der Tätigkeit des Auftraggebers handelt. Wenn eine Datenverwendung für eigene Zwecke des Dienstleiters erfolgen soll, erfordert die Neufassung von § 203 StGB dagegen weiterhin eine Einwilligung. Der Gesetzgeber wollte mit der Änderung Berufsgeheimnisträgern den Zugriff auf externe IT-Dienstleister erlauben, nicht aber Daten in ein frei handelbares Gut umwandeln.

Weiter muss die Offenbarung von Geheimnissen für die Inanspruchnahme der jeweiligen Dienstleistung erforderlich sein. Mitgeteilt werden dürfen daher nur Daten, auf die für Durchführung der jeweils konkreten Dienstleistung zugegriffen werden muss. Es ist sicherzustellen, dass Datenbestände nicht einfach vollständig geöffnet werden.

Zusätzlich muss jeder Berufsgeheimnisträger gem. § 203 Abs. 4 Nr. 1 StGB dafür Sorge tragen, dass in Anspruch genommene Dienstleister zur Geheimhaltung verpflichtet werden. Sonst macht sich der jeweilige Auftraggeber selbst strafbar, wenn sein Dienstleister unbefugt ein Geheimnis offenbart.

Zudem wurden auch diverse Berufsordnungen angepasst, aus welchen sich Formerfordernisse ergeben. Berufsrechtlich ist zu berücksichtigen, dass für die Heilberufe die Ärztekammern die Schweigepflicht durch ihre Berufsordnungen regeln. Für andere Berufsgeheimnisträger, etwa für Rechtsanwälte und Steuerberater, hat der Bund von seiner Gesetzgebungskompetenz Gebrauch gemacht und detaillierte berufsrechtliche Regelungen geschaffen. Diese Regelungen können als Muster und Orientierung für den Gesundheitssektor herangezogen werden. Erforderlich sind ausweislich § 43e Bundesrechtsanwaltsordnung und § 62a Steuerberatergesetz im Wesentlichen

  • die Auswahl des Dienstleisters,
  • ein Vertragsschluss in Textform,
  • die Verpflichtung des Dienstleisters zur Verschwiegenheit unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung,
  • die Verpflichtung des Dienstleisters, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist,
  • Festlegungen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Vertrags heranzuziehen (inkl. Pflicht des Dienstleisters, diese Personen ebenfalls zur Verschwiegenheit zu verpflichten) und
  • bei Inanspruchnahme von im Ausland zu erbringenden Dienstleistungen ein mit dem Inland vergleichbarer Geheimnisschutz im Ausland, es sei denn, dass der Schutz der Geheimnisse dies nicht gebietet.

Über diese Voraussetzungen hinaus muss außerdem berücksichtigt werden, dass § 203 StGB keine Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Inanspruchnahme von Dienstleistungen hat. Mit der Datenschutz-Grundverordnung („DSGVO“), die ab dem 25. Mai 2018 Anwendung findet und das bestehende Datenschutzrecht ersetzen wird, steht auf diesem Gebiet ein neues, europaweit vereinheitlichtes Regelungsinstrument in den Startlöchern. Wie bisher nach § 11 BDSG müssen bei der Inanspruchnahme externer Dienstleister so auch unter der Neufassung des § 203 StGB die gem. Art. 28 DSGVO bestehenden Voraussetzungen einer Auftragsverarbeitung beachtet werden. Diese umfassen unter anderem

  • vertragliche Regelungen in Bezug auf Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen,
  • die Berücksichtigung der Weisungsgebundenheit der Datenverarbeitung,
  • die Anwendung erforderlicher technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit,
  • Festsetzungen für die Einschaltung von Unterauftragnehmern und
  • die Vereinbarung von Unterstützungspflichten des Auftragsverarbeiters

3. Perspektive für Unternehmen aus der Gesundheitsbranche

Durch eine überlegte Auswahl eines Dienstleisters und eine sorgfältige Vertragsgestaltung lassen sich die soeben geschilderten Voraussetzungen des § 203 StGB und des Art. 28 DSGVO zuverlässig erfüllen. Der Gesetzgeber schafft deshalb mit der Neufassung des § 203 StGB für Unternehmen aus der Gesundheitsbranche endlich die Chance, verschiedene Geschäftsfelder einer umfassenden Digitalisierung zu unterziehen und vermehrt auf externe Spezialisten zurückgreifen zu können.

Derartige Möglichkeiten ergeben sich etwa in Bezug auf die Fernwartung technischer Geräte und die Nutzung externer Rechenzentren zur Verarbeitung von Patientendaten, die Unterstützung in administrativen Bereichen und insbesondere auch die Gestaltung von Technologiepartnerschaften im Bereich der Ausstattung mit Medizingeräten.