· Fachbeitrag · Schweigepflicht
Neufassung des § 203 StGB: So regeln Sie die Weitergabe von Daten an externe Dienstleister
von RA Ralph Jürgen Bährle, Bährle & Partner, Nothweiler
| Kurz vor Ende der Legislaturperiode hat der Bundesrat die Neufassung des § 203 StGB gebilligt. Diese Vorschrift schränkt die Strafbarkeit von Berufsgeheimnisträgern ‒ also auch Physiotherapeuten ‒ ein, wenn diese geschützte Informationen an externe Personen (z. B. IT-Dienstleister) weitergeben, soweit dies für deren Arbeit erforderlich ist ( PP 10/2017, Seite 18 ). Allerdings knüpft § 203 Abs. 4 S. 2 Nr. 1 StGB die Informationsweitergabe für Sie als Auftraggeber an strenge Auflagen bzgl. Auswahl und Überwachung der Dienstleister sowie deren Verpflichtung zur Geheimhaltung. |
Auswahl des Dienstleisters
Ob ein Dienstleister vertrauenswürdig ist, sehen Sie ihm nicht an. Der erste Eindruck im Gespräch kann richtig sein, allein darauf verlassen sollten Sie sich jedoch nicht.
|
|
Sind Tatsachen bekannt oder erkennbar, die Zweifel an der Zuverlässigkeit des Dienstleisters begründen, dürfen Sie diesen nicht beauftragen. Als Orientierung bei der Auswahl kann § 11 Abs. 2 S. 4 Bundesdatenschutzgesetz (BDSG) dienen: „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“
|
|
Überwachung des Dienstleisters
Wenn der Dienstleister in Ihren Räumen tätig ist, können Sie ihn überwachen, in dem Sie ihm stichprobenartig „über die Schulter schauen“ bzw. wenn ein anderer Mitarbeiter (z. B. eine Schreibkraft) im Büro anwesend ist.
Eine ständige Überwachung im Sinne einer Überwachung „rund um die Uhr“ (7/24/365) ist Ihnen freilich nicht zuzumuten ‒ erst recht nicht, wenn Ihr Dienstleister außerhalb Ihrer Praxisräume arbeitet (z. B. Telefondienstleister). Es genügt, wenn Sie sich in regelmäßigen Abständen (jährlich) mit dem Dienstleister in Verbindung setzen. Wenn Sie aber irgendeinen Verdacht gegen den Dienstleister haben oder Unregelmäßigkeiten bzw. Unstimmigkeiten zu erkennen sind, müssen Sie sofort tätig werden und den Dienstleister darauf ansprechen.
|
Der Therapeut beauftragt einen Dienstleister mit der Annahme von Telefonaten und Vereinbarung von Terminen. Der Dienstleister hat sich verpflichtet, eigene neue Mitarbeiter bekanntzugeben und dem Therapeuten Kopien der Verschwiegenheitserklärungen zu schicken. Der Therapeut wird von vereinbarten Terminen durch Mail informiert. „Entdeckt“ der Therapeut auf einer derartigen Mail einen ihm nicht bekannten Namen eines Mitarbeiters des Dienstleisters und hat er von diesem keine Verschwiegenheitserklärung, muss er beim Dienstleister nachfragen und um Übersendung der Verschwiegenheitserklärung bitten. |
Wichtig | Häufen sich solche Vorfälle, müssen Sie ggf. die Überwachungszyklen verkürzen und im Zweifel sogar die Zusammenarbeit beenden.
Vorgaben zur Geheimhaltungsverpflichtung
Mit der Änderung des § 203 StGB wurden gleichzeitig einige Berufsordnungen, z. B. die der Anwälte oder die der Notare geändert und dort die Anforderungen an die Geheimhaltungsverpflichtung geregelt. Diese Berufsordnungen sind für Sie als Therapeuten natürlich nicht maßgebend. Sie sind aber auf der sicheren Seite, wenn die Geheimhaltungsverpflichtung, für den externen Dienstleister unterschreiben lassen, den dort aufgestellten Anforderungen entspricht.
Vorgaben der Berufsordnungen
Schließen Sie mit dem externen Dienstleister, unabhängig vom Auftragsvolumen oder der Zeitdauer des Auftrags, immer einen schriftlichen Vertrag. Zwar genügt im Rahmen des § 203 StGB die Textform (= lesbare Erklärung mit namentlicher Nennung des Erklärenden auf einem dauerhaften Datenträger i. S. d. § 126b Bürgerliches Gesetzbuch [BGB]), d. h. auch eine Geheimhaltungsverpflichtung ohne Unterschrift des externen Dienstleisters wäre wirksam. Die Bedeutung der Verpflichtung wird aber hervorgehoben, wenn der Dienstleister Ihnen diese unterschreibt. In der Vereinbarung ist
- 1. der Dienstleister unter Belehrung über die strafrechtlichen Folgen einer Pflichtverletzung ausdrücklich zur Verschwiegenheit zu verpflichten,
- 2. der Dienstleister zu verpflichten, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist,
- 3. festzulegen, ob der Dienstleister befugt ist, weitere Personen zur Erfüllung des Auftrags heranzuziehen. Darf der Dienstleister dies, hat er diese Personen ebenfalls in Textform zur Verschwiegenheit zu verpflichten. Sie sollten dann auch vereinbaren, dass Ihnen Kopien dieser Geheimhaltungsverpflichtungen überlassen werden.
Dass der Dienstleister nur die von ihm benötigten geschützten Informationen einsehen darf (siehe 2.), entbindet Sie als Praxisinhaber nicht von der Pflicht, den Zugang zu geschützten Informationen nur in dem Umfang zu ermöglichen, soweit dies zur Inanspruchnahme der Dienstleistung erforderlich ist.
|
|
Vorschriften des BDSG
Da Sie auch Vorschriften des BDSG beachten müssen, sollte Ihre Geheimhaltungsverpflichtung sich nicht nur an den Vorgaben des § 203 StGB orientieren, damit Sie nicht zwei Vereinbarungen abschließen müssen. Eine Vereinbarung nach § 11 BDSG kann weitere Vereinbarungen über die o. g. drei Regelungen hinaus enthalten, z. B.
- dass Sie das Recht haben, die Einhaltung des Datenschutzes durch persönliche Kontrollen zu überwachen,
- in welchen Fällen der Auftragnehmer verpflichtet ist, Ihnen Verstöße gegen die Vereinbarung zu melden,
- in welchen Fällen der Auftragnehmer für Schäden haftet und
- ob und in welcher Höhe der Auftragnehmer bei Verstößen eine Vertragsstrafe zu zahlen hat.
PRAXISHINWEIS | Eine Mustervereinbarung zur Geheimhaltungsverpflichtung externer Dienstleister können Sie als offene RTF-Datei herunterladen unter pp.iww.de, Abruf-Nr. 44983508. |
Weiterführender Hinweis
- Änderung des § 203 StGB schützt Patientendaten 4‒ auch bei Weitergabe an externen Dienstleister (PP 10/2017, Seite 18).