Datenschutz bei externen Dienstleistern und Neuregelung der strafrechtlichen Verschwiegenheitsverpflichtung

Die EU-Datenschutzgrundverordnung (DS-GVO) sieht im Rahmen der Inanspruchnahme externer Dienstleister gemäß Art. 28 DS-GVO die sogenannte Auftragsverarbeitung vor. Beispiele hierfür sind die Auslagerung des eingehenden Telefonverkehrs einschließlich Terminvergabe an ein kommerzielles Call Center, die Abgabe der IT-Arbeiten, die Abgabe der Reinigungsarbeiten, Beauftragung von Abrechnungsstellen oder Firmen zur Aktenaufbewahrung und -vernichtung. Soweit die herangezogenen Dienstleister aus diesem Anlass auf Patientendaten zugreifen können, ist neben der strafrechtlichen Befugnis eine datenschutzrechtliche Legitimation erforderlich. Diese besteht in der Möglichkeit, eine Auftragsverarbeitung vertraglich zu vereinbaren mit der Folge, dass die Datenverarbeitung als „Verarbeitung durch eine Stelle“ angesehen wird (Privilegierung) und eine weitere Erlaubnis des Psychologischen Psychotherapeuten für die Datenübertragung an den Dienstleister in diesem „Innenverhältnis“ nicht erforderlich ist. Durch die DSGVO und das BDSG werden folgende Anforderungen an den Einsatz von Dienstleistern im Rahmen der Auftragsverarbeitung gestellt:

• Der Dienstleister muss gemäß sorgfältig ausgewählt und schriftlich beauftragt werden.
• Vor Beginn der Tätigkeit des Auftragnehmers ist die Umsetzung der vertraglich vereinbarten Verfahrensweise vor Ort zu prüfen.

Der Dienstleister darf personenbezogene Daten nur im Rahmen der Weisungen des Verantwortlichen  verarbeiten. Der Auftragsverarbeiter haftet künftig gemeinsam mit dem Aufraggeber und hat neben diesem zahlreiche selbstständige datenschutzrechtliche Pflichten zu erfüllen. Die Gesamtverantwortung bleibt aber beim Verantwortlichen. Der Auftragsverarbeiter muss den Verantwortlichen darin unterstützen, die Einhaltung der Pflichten nach der DSGVO nachzuweisen und Überprüfungen durchführen zu können.

Ein Muster für die vertragliche Vereinbarung und weitere Informationen erhalten Sie unter:

• https://www.lda.bayern.de/media/muster_adv.pdf
• https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/auftragsdatenverarbeitung/

Zudem hat der Psychologische Psychotherapeut nach dem Strafgesetzbuch dafür zu sorgen, dass die für ihn tätigen sonstigen mitwirkenden Personen zur Geheimhaltung verpflichtet werden (§ 203 Abs. 4 Nr. 1 StGB). Niedergelassenen Therapeuten, die sich externer Dienstleister bedienen, müssen diese auf ihre Vertrauenswürdigkeit überprüfen und über die Verpflichtung zur Verschwiegenheit belehren. Wird eine solche Belehrung unterlassen, haftet der Psychotherapeut ebenso bei einer unbefugten Offenbarung von Informationen durch den Dienstleister, wie für sein eigenes Handeln.
Die Belehrung zur Verschwiegenheit kann zwar mündlich erfolgen. Wir raten aber dazu, eine schriftliche Erklärung unterschreiben zu lassen. Die Erklärung umfasst sowohl die Verpflichtung zur Verschwiegenheit nach § 203 StGB als auch zur Wahrung des Datenschutzes. Bitte beachten Sie, dass Sie bei der sogenannten Auftragsverwaltung die vertragliche Regelung umfassender nach den vorstehenden Kriterien verfassen müssen.  Unser Muster für die Verpflichtungserklärung finden Sie hier.

Weitere Informationen (u.a. zur Auftragsverwaltung) erhalten Sie hier
...und auf den Datenschutzseiten der KBV.