DSGVO bringt neue Fallstricke für Berufsgeheimnisträger bei der Auftragsverarbeitung

Worauf müssen Ärzte, Anwälte etc. unter der DSGVO bei Ihren Patienten- und Klientendaten achten

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von Daten besonders heikel. Doch während die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) nun Erleichterungen bringt, kommt die europäische Datenschutz-Grundverordnung (DSGVO) mit neuen Hindernissen. Wer als Berufsgeheimnisträger eine Sanktion vermeiden will, kann eigentlich nur einen Weg gehen.

Das bisherige Problem für Berufsgeheimnisträger

Bei der Auftragsverarbeitung (nach alter Terminologie des BDSG: Auftragsdatenverarbeitung) gab es für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. alles richtigmachen und trotzdem eine Straftat begehen. Notwendig war nicht mehr, als einen (hoffentlich korrekten) Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen.

Der insoweit problematische § 203 StGB wird nun geändert. Der neue Absatz 3 stellt künftig klar, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung erfolgt. Notwendig ist dafür, dass die mitwirkende Person in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist. Diese Einbeziehung muss außerdem im Einvernehmen mit der schweigepflichtigen Person erfolgen. Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung kein Verstoß gegen die Schweigepflicht mehr vor.

Neue Hürden für Berufsgeheimnisträger durch die DSGVO

Mit der Datenschutz-Grundverordnung kommt jedoch ein neues Problem auf Berufsgeheimnisträger zu. Die DSGVO beseitigt die sogenannte Privilegierung der Auftragsverarbeitung. Bisher galt: Ein Auftragsverarbeitungsvertrag legitimiert datenschutzrechtlich alle Tätigkeiten des Verarbeiters, die für den Auftraggeber selbst zulässig waren.

Damit ist jetzt Schluss. Künftig muss die Einschaltung eines Dienstleisters zur Verarbeitung im Auftrag generell gesondert gerechtfertigt werden. Bisher galt dies lediglich bei Dienstleistern in einem Drittland (außerhalb der EU und des EWR).

Berufsgeheimnisträger müssen unter der DSGVO also zwar nicht mehr den Verstoß gegen die Schweigepflicht legitimieren. Stattdessen haben sie aber nun einen Erlaubnisgrund zu finden, um überhaupt einen Dienstleister einsetzen zu dürfen. Das mag im Bereich normaler personenbezogener Daten noch einigermaßen einfach sein. Sobald besondere Kategorien personenbezogener Daten betroffen sind (wie etwa Gesundheitsdaten), bleibt aus praktischer Sicht nur die Einwilligung der betroffenen Person. Gesetzliche Ausnahmen liegen für diese Datenkategorien in aller Regel nicht vor.

Fazit: Einwilligung bleibt notwendig

Die Änderung des § 203 StGB ist nur auf den ersten Blick eine Erleichterung bei der Auftragsverarbeitung. Berufsgeheimnisträger wie Ärzte, Anwälte etc. werden weiterhin nicht darum herumkommen, Patienten, Mandanten oder sonstige Kunden um Erlaubnis bzw. eine Einwilligung zu bitten.

Bitte bewerten Sie diese Inhalte!
[4 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.