Ist die Tätigkeit eines Medizinphysikexperten (MPE) in einer Radiologie oder einer Strahlentherapie-Praxis als Auftragsverarbeitung datenschutzrechtlich zu qualifizieren?
Wer als Verantwortlicher für die Verarbeitung von personenbezogenen Daten die Datenverarbeitung ganz oder teilweise outsourcet und einen anderen weisungsabhängig in seinem Auftrag die Daten verarbeiten lässt, muss mit diesem Auftragsverarbeiter einen Vertrag zur Auftragsverarbeitung (AVV) abschließen, Art. 28 DSGVO. Nach altem BDSG wurde das gleiche Konstrukt übrigens AuftragsDATENverarbeitung gekannte (ADV). Vor Abschluss eines solchen Vertrages darf nicht mit der Datenverarbeitung begonnen werden, da sonst ein Bußgeld nach Art. 83 Abs. 4a) DSGVO in Höhe von bis zu 10 Millionen Euro oder 2% des Vorjahresgesamtumsatzes droht. Im Falle einer Einzelarztpraxis hatte z.B. die Landesdatenschutzaufsicht Brandenburg ein Bußgeld von 2.500,- Euro verhängt. Wer die Tätigkeit nicht outsourcet sondern durch eigene Mitarbeiter erbringt, braucht natürlich mit diesen nur den Arbeitsvertrag zu schließen und diese wie es in der Arztpraxis üblich sein sollte, auf die Einhaltung des Datenschutzes und des Berufsgeheimnisses verpflichten und entsprechend belehren.
Gesetzliche Regelung der Tätigkeit von Medizinphysik-Experten
Daher ist es wichtig zu wissen, ob die Tätigkeit eines Medizinphysik-Experten als Auftragsverarbeitung einzuordnen ist. Dessen Tätigkeit ist in § 14 Strahlenschutzgesetz und § 131 Strahlenschutzverordnung geregelt.
bei einer Behandlung mit radioaktiven Stoffen oder ionisierender Strahlung, der kein individueller Bestrahlungsplan zugrunde liegt (standardisierte Behandlung), und bei einer Untersuchung mit radioaktiven Stoffen oder ionisierender Strahlung, die mit einer erheblichen Exposition der untersuchten Person verbunden sein kann, ein Medizinphysik-Experte zur Mitarbeit nach der Rechtsverordnung nach § 86 Satz 2 Nummer 10 hinzugezogen werden kann,
c) bei allen weiteren Anwendungen mit ionisierender Strahlung oder radioaktiven Stoffen am Menschen sichergestellt ist, dass ein Medizinphysik-Experte zur Beratung hinzugezogen werden kann, soweit es die jeweilige Anwendung erfordert,
(3) Der Strahlenschutzverantwortliche hat dafür zu sorgen, dass bei allen weiteren Anwendungen mit radioaktiven Stoffen oder ionisierender Strahlung ein Medizinphysik-Experte zur Beratung hinzugezogen wird, soweit dies zur Optimierung des Strahlenschutzes oder zur Gewährleistung der erforderlichen Qualität geboten ist.
Datenschutzrechtliche Einordnung der Tätigkeit als MPE
Die Frage ist nun, ob eine streng weisungsgebundene Auftragsverarbeitung oder eine fremde Fachleistung in eigener datenschutzrechtlicher Verantwortung vorliegt.
Vertraglich wird auf der Grundlage der gesetzlichen Vorgaben mit externen MPEs als Leistungsinhalt ein Hinzuziehen zur Mitarbeiter und zur Beratung zu vereinbaren. Das sind typische selbständige Dienstleistungen, die sich mit der Natur der weisungsabhängigen Auftragsverarbeitung widersprechen. Die Tätigkeit „Strahlenschutzunterweisungen“ ist eine selbständige Schulungsleistung und das ist auch keine AV-Leistung. Die Leistung „Sachverständigenprüfung“ ist ebenfalls eine weisungsfremde Tätigkeit und damit keine AV-Leistung. DieBeratung der Geschäftsführung über die Stilllegung von Einrichtungen, die Beratung bei der Auswahl neuer Geräte und die Ausarbeitung von SOPs (Arbeitsanweisungen) sind keine AV, weil keine personenbezogenen Daten verarbeitet werden. Im Regelfall ist daher im Vertrag ausdrücklich geregelt, dass der MPE weisungsfrei arbeitet. Nach dem Gesamteindruck dieser vertraglichen Leistungen liegt keine Auftragsverarbeitung vor. Daher verarbeitet der externe MPE personenbezogene Daten der auslagernden Arztpraxis in eigener Verantwortung, muss also nicht zur Beachtung der DSGVO verpflichtet werden, sondern muss diese Kraft eigener Verpflichtung beachten.
Gleichwohl ist die strafrechtliche Verpflichtung auf die Wahrung des Berufsgeheimnisses nach § 203 StGB notwendig.
Rechtsgrundlage für die Datenübermittlung an externe MPEs
Nach den gesetzlichen Festlegungen der Tätigkeit des MPE und den vertraglichen Festlegungen handelt er gerade nicht weisungsabhängig, sondern in eigener Fachkompetenz. Wenn er dabei auch Patientendaten sieht, so ist das eine Datenübermittlung durch die Arztpraxis an den MPE im Sinne der Einsichtgewährung, die einer Rechtsgrundlage auf Seiten der Praxis bedarf. Diese ergibt sich aus Art. 9 Abs. 2 h DSGVO (Verarbeitung von Gesundheitsdaten zur Diagnostik und Behandlung) in Verbindung mit § 14 Strahlenschutzgesetz und § 131 Strahlenschutzverordnung. Daraus ergibt sich, dass ein MPE zur Beratung hinzugezogen werden muss. Damit ist die gesetzliche Erlaubnis vorhanden und man braucht keine Auftragsverarbeitung um das zu rechtfertigen.
Auftragsverarbeitung in der Arztpraxis
Eine Auftragsverarbeitung ist zudem nur dann gegeben, wenn eine streng weisungsabhängige Tätigkeit vorgenommen wird, bei der der Auftraggeber den Auftragsverarbeiter genau anweisen kann, was dieser zu tun hat. Hat der Auftragnehmer jedoch eigene Entscheidungsbefugnis und ist nicht weisungsabhängig, liegt keine Auftragsverarbeitung vor – so ist das hier.
siehe Kurzpapier 13 Anlage B
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf
siehe auch:
https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf
Z.B. medizinische Labore erhalten zwar einen Untersuchungsauftrag, bearbeiten diesen aber in eigener fachlicher Verantwortung und Entscheidungskompetenz, wie das Untersuchungsergebnis zu bewerten ist (Befund), so dass keine Auftragsverarbeitung vorliegt.
Hingegen ist die Tätigkeit von IT-Firmen im Rahmen von (Fern-)Wartungsleistungen durch eine Auftragsverarbeitung abzusichern, wenn dabei die Einsicht in personenbezogene Daten nicht ausgeschlossen werden kann; so jedenfalls die Auffassung der Aufsichtsbehörden – und man ist gut beraten, sich daran zu halten.
siehe auch für eine gesetzlich geregelt Tätigkeit mit Gesundheitsdaten:
KVB / MDK: Die Abrechnung über die KVB und die Einschaltung des MDK mit entsprechender Datenübermittlung sind detailliert gesetzlich im SGB V geregelt. Hierfür bedarf es keiner Einwilligung. Die Stellen nehmen (auch) eigene Aufgaben wahr, sodass wir davon ausgehen, dass dies keine Auftragsverarbeitung ist.
https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung_Arzt.pdf
Auch die privatärztliche Abrechnungssstellen (PVS) erbringen eine eigene Leistung, wenn sie die Forderungen angekauft hat und in Folge z.B. über Verzicht, Durchsetzung, Ratenzahlung etc. selbst entscheiden kann.
Externe MPE-Tätigkeit als eigenverantwortliche Leistung – keine AVV
Die MPE-Tätigkeit, so wie sie dem Gesetz und den daraus abgeleiteten vertraglichen Vereinbarung zu entnehmen ist (weisungsfreie eigene fachliche Leistung, Schulungsleistungen, Beratungsleistungen), bedarf einer datenschutzrechtlichen Rechtsgrundlage für die damit verbundene Verarbeitung von Patientendaten. Diese ergibt sich a) aus dem Gesetz und b) ist die Natur der Tätigkeit nicht geeignet, sie unter Art. 28 DSGVO zu fassen. Art. 28 DSGVO stellt zudem keine Rechtsgrundlage zur Datenübermittlung dar. Der externe MPE ist also datenschutzrechtlich selbst Verantwortlicher und muss als solcher selbst die datenschutzrechtlichen Regelungen der DSGVO einhalten. Das, was der offenlegende Arzt aber parallel machen muss, ist den MPE zur Einhaltung des Berufsgeheimnisses nach § 203 StGB zu verpflichten.
Sollte die verantwortliche Arztpraxis weitere als die im Gesetz und oben benannte Aufgabe an den Medizinphysik-Experten, übertragen, die mit der Verarbeitung von personenbezogene Daten, insbesondere Patientendaten, zusammen hängen, müssen diese Tätigkeiten jeweils daraufhin überprüft werden, ob es ebenfalls Tätigkeiten in eigener Verantwortung sind und die Datenübermittlung auf eine Rechtsgrundlage gestützt werden kann, oder ob vielleicht doch parallel zur eigenverantwortlichen Tätigkeit noch für weitere Datenverarbeitungen eine Auftragsverarbeitung vorliegt.
Zum Thema Datenschutz in der Arztpraxis siehe auch die weiteren Beiträge auf dieser Blog-Seite:https://www.datenschutz-recht-medizin.de .
Autor: David Seiler, Rechtsanwalt,
Lehrbeauftragter Datenschutzrecht und IT-Security Law (b-tu)
08.12.2022