Auftragsverarbeitung-Verträge (AV) und Schutzklassen

AV-Vertrag für eine datenschutzkonforme Entsorgung
AV-Vertrag für eine datenschutzkonforme Entsorgung (Foto: lenetsnikolai, Adobe Stock)

Der Schutz personenbezogener Daten ist in Europa rechtlich streng geregelt. Davon betroffen sind auch Krankenhäuser, Arztpraxen, Labore, Blutspendedienste, Pflegeheime, Physiotherapien und alle weiteren Einrichtungen des Gesundheitswesens. Denn die Arbeit in diesen Institutionen basiert auf dem Umgang mit Patientendaten. Bei der Entsorgung dieser Daten sind deshalb AV-Verträge mit den Entsorgern abzuschließen und Schutzklassen zu beachten.

Große Unsicherheit besteht bei vielen Kliniken und Arztpraxen hinsichtlich der Europäischen Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der EU regelt. Da es sich bei der DSGVO um eine einheitliche Verordnung handelt, die für sämtliche Institutionen, Einrichtungen und Behörden gilt, ist die Verordnung abstrakt gefasst und enthält wenige konkrete Vorgaben für Krankenhäuser oder Arztpraxen.

Was bei der Verarbeitung von personenbezogenen Daten zu beachten ist, wird in Art. 5 Abs. 1 der DSGVO deutlich. Hiernach müssen diese in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Weiterhin schreibt § 203 des Strafgesetzbuch (Stgb) vor, dass Praxen und Kliniken ihre externen Dienstleister zur Geheimhaltung verpflichten müssen. Kommt eine Ärztin bzw. ein Arzt dem nicht nach und ein Dienstleister offenbart eines seiner Patientengeheimnisse, werden sowohl der Dienstleister als auch die Ärztin bzw. der Arzt zur Rechenschaft gezogen (Art. 82 DSGVO). Mit Blick auf diese gemeinsame Haftung müssen sich Kliniken und Praxen absichern, dass auch ihre Dienstleister nach geltendem Datenschutzrecht arbeiten.

AV-Verträge zur Absicherung im Datenschutz

Wann immer eine Verarbeitung durch einen externen Dienstleister (Auftragsverarbeiter) im Auftrag eines Krankenhauses oder einer Arztpraxis erfolgt (für die Verarbeitung Verantwortlicher), muss es als Grundlage einen Vertrag oder ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten geben (Art. 28 Abs. 3 DSGVO). Der Auftragsverarbeitungsvertrag ist grundsätzlich schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 10).

Bei medizinischen Einrichtungen wird der so genannte AV-Vertrag in allen Bereichen, in denen externe Dienstleister mit personenbezogenen Daten umgehen, obligatorisch. Das kann die Wartung von IT-Anlagen ebenso betreffen wie Entsorger von Patientenakten, Röntgenfilmen und Datenträgern. Gemeinsam mit anderen Verbänden aus dem Gesundheitswesen hat die Deutsche Krankenhausgesellschaft einen Muster-Auftragsverarbeitungs-Vertrag erarbeitet. Dieser enthält neben Erläuterungen ein Vertragsmuster mit Kommentierungen, erhebt aber keinen Anspruch auf Vollständigkeit.

Zertifizierung nach DSGVO

Durch die gemeinsame Haftung von Verantwortlichen und Auftragsverarbeitern müssen Krankenhäuser und Praxen die sichere Datenvernichtung prüfen und dokumentieren. Die datenschutzkonforme Arbeitsweise belegen in erster Linie entsprechende Nachweise des Auftragsverarbeiters. Zertifizierte Entsorgungsunternehmen stellen einen gesetzeskonformen AV-Vertrag zur Verfügung. Mit diesem kann nachgewiesen werden, dass die Daten in sicheren Händen sind. Verfügt ein Unternehmen über keine eigene Entsorgungsanlage und greift auf dieDienste anderer zurück, müssen diese im AV-Vertrag genannt sein.

Schutzklassen für die Akten- und Datenträgervernichtung

In Deutschland ist für die Akten- und Datenträgervernichtung die DIN 66399 richtungsweisend. Dabei handelt es sich um sieben Sicherheitsstufen. Aus diesen ergibt sich, inwieweit nach der Entsorgung eine Reproduktion ausgeschlossen werden muss.

Welche Sicherheitsstufe relevant ist, richtet sich nach der Schutzbedürftigkeit der jeweiligen Daten, die in Stufen 1 bis 3 unterteilt ist.

  • Schutzklasse 1: gilt für interne Daten mit normalem Schutzbedarf (z.B. personalisierte Werbung, Kataloge, Wurfsendungen, Notizen)
  • Schutzklasse 2: gültig für nicht allgemein zugängliche personenbezogene und vertrauliche Daten mit hohem Schutzbedarf (z.B. Angebote, Anfragen, Röntgenbilder, Aushänge, Personaldaten),
  • Schutzklasse 3: für geheime Daten mit sehr hohem Schutzbedarf (z.B. Finanzdaten, Verschluss-Sachen)

Bei Unsicherheiten rund um die Entsorgung der Patientenakten sollten der Datenschutzbeauftragte, die Ärztekammer oder der zertifizierte Entsorger zu Rat gezogen werden. Alle in der Arztpraxis oder im Krankenhaus anfallenden Daten müssen absolut sicher vernichtet werden. Bei Nichtbeachtung muss mit einer Untersagungsverfügung sowie einem hohen Bußgeld nach Art. 83 DSGVO gerechnet werden.

Quellen

AV-Vertrag für eine datenschutzkonforme Entsorgung
AV-Vertrag für eine datenschutzkonforme Entsorgung (Foto: lenetsnikolai, Adobe Stock)