Die Überweisung von Laboraufträgen ist keine Auftragsdatenverarbeitung
Wir haben die datenschutzrechtlichen Prozesse in unserem Labor auf die zum 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) umgestellt und den Datenschutz beim Umgang mit Patientendaten abermals verstärkt. Hierzu berät uns die datenschutz nord GmbH, die auch unseren externen betrieblichen Datenschutzbeauftragten stellt.
Bei der Überweisung von Aufträgen (mit Patientendaten) an unser medizinisches Fachlabor handelt es sich nicht um eine Auftragsdatenverarbeitung im Sinne des § 11 BDSG bzw. Auftragsverarbeitung im Sinne des Art. 28 DSGVO, sondern um eine sogenannte "Funktionsübertragung" bzw. Datenübermittlung. Von einer Weisungsgebundenheit - wie sie für eine Verarbeitung von Daten im Auftrag erforderlich wäre -, kann vorliegend nicht ausgegangen werden. Unsere Ärzte arbeiten eigenverantwortlich als Fachkraft im Labor, erstellen eigene Expertisen bzw. Bewertungen zum Befund und unterliegen der ärztlichen Schweigepflicht. Auch die Abrechnung der Aufträge erfolgt eigenständig durch das Labor. Diese rechtliche Einschätzung bestätigte auch die Landesbeauftragte für den Datenschutz in Bremen mit Schreiben aus dem Jahre 2011. Eine ähnliche Stellungnahme hat die Datenschutzbehörde des Landes Baden-Württemberg in ihrem 32. Tätigkeitsbericht 2014 veröffentlicht.
Im Rahmen der rechtmäßigen Übermittlung von Patientendaten durch Arztpraxen und Krankenhäuser ist insbesondere die ärztliche Schweigepflicht gemäß § 203 StGB zu beachten. Voraussetzung ist daher immer das Einverständnis der Patienten in die Laborbeauftragung. Die ärztliche Schweigepflicht ist in der Berufsordnung der Landesärztekammer (BO) besonders geregelt und gilt grundsätzlich auch bei der kollegialen Zusammenarbeit unter (Labor-)Ärzten. § 9 Absatz 4 BO stellt kein besonderes Formerfordernis auf. Der Patient kann sein Einverständnis im Sinne von § 9 Absatz 4 BO also auch mündlich bzw. sogar stillschweigend erklären. Für die Einholung schriftlicher Einwilligungserklärungen oder die in Zusammenhang mit § 9 Absatz 4 BO erforderliche Aufklärung und Information über die Einschaltung eines externen Labors ist der behandelnde Arzt/ Einsender verantwortlich. Wir gehen grundsätzlich davon aus, dass der jeweilige Patient von Ihnen aufgeklärt wurde und Kenntnis über den Auftrag der medizinischen Diagnostik durch unser Labor hat.
Die Kassenärztliche Bundesvereinigung stellt Arztpraxen unter dem Link Datensicherheit weitere Informationen zur Verfügung.
Kontakt
Dipl.-Kfm.
Ralf
Heitmann
— Kaufmännische Leitung —
Tel.: +49 (0)421 2072–152
E-Mail schreiben