Bearbeitung von medizinischen Daten im Auftragsverhältnis

Der auch informatikseitig immer komplexer werdende Spitalalltag führt zu neuen Fragestellungen, etwa mit Blick auf die speicherintensiven Daten bildgebender Systeme. Infolge einer Anfrage aus der Privatwirtschaft haben wir die rechtlichen Rahmenbedingungen der Auslagerung medizinischer Daten durch Privatspitäler an Dritte zum Zweck der Datensicherung und der Fernwartung reflektiert.

Zahlreiche Spitäler nehmen beim Umgang mit den im Spitalalltag anfallenden Daten Unterstützung aus der Privatwirtschaft in Anspruch. Erstmals ist in diesem Berichtsjahr ein Unternehmen mit der Frage an uns herangetreten, ob Patientendaten ausserhalb der Spitalräumlichkeiten – namentlich auch im Ausland – bearbeitet werden dürften.

In diesem Zusammenhang gilt es vor allem festzuhalten, dass eine Übertragung der Patientendatenbearbeitung an Dritte infolge des strafrechtlich relevanten Berufsgeheimnisses des Arztes grundsätzlich nur bei vorliegender Einwilligung sämtlicher betroffenen Personen zulässig ist. Will man bei einem Outsourcing ausnahmsweise ohne Einwilligungserklärungen vorgehen, muss mittels technisch-organisatorischer Massnahmen sichergestellt werden, dass die beauftragten Dritten keinen Zugriff auf medizinische Daten erhalten. In der Praxis der Patientendatenbearbeitung zeigt sich, dass dies bei der Datenarchivierung und insbesondere bei der Fernwartung eine anspruchsvolle Aufgabe ist. Wird sie nicht umfassend gelöst, ist ein Outsourcing im Bereich der Patientendaten weder strafrechts- noch datenschutzkonform.

Sollen Daten ausserdem gar ins Ausland transferiert werden, ist zu prüfen, ob im Empfängerland ein gleichwertiger Datenschutz gegeben ist. Sollte dies nicht der Fall sein, sind entsprechende Vorsichtsmassnahmen erforderlich (näheres unter www.edoeb.admin.ch, Themen – Datenschutz – Übermittlung ins Ausland). Überdies stünden wir einer Bearbeitung von Patientendaten auf dem Hoheitsgebiet der USA angesichts der jüngeren amerikanischen Rechtsentwicklung tendenziell skeptisch gegenüber. Auf eine Prüfung, ob und wie ein unerwünschter Zugriff auf schweizerische Patientendaten auf der Grundlage der Anti-Terrorgesetzgebung verhindert werden kann, dürfte bei einem solchen Projekt nicht verzichtet werden; allein die Berufung auf das Safe-harbour-Prinzip vermag an diesem Ergebnis nichts zu ändern.

[Juli 2007]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/14--taetigkeitsbericht-2006-2007/bearbeitung-von-medizinischen-daten-im-auftragsverhaeltnis.html