Am 9.11.2017 ist eine Änderung der strafrechtlichen Vorschriften zur ärztlichen Schweigepflicht in Kraft getreten. Diese Änderung führt auf der einen Seite zu einer Flexibilisierung der Schweigepflicht gleichzeitig aber auch zu einer Verschärfung der Schweigepflicht.
§ 203 StGB erlaubt zwar nunmehr ausdrücklich die Offenbarung von Patientengeheimnissen gegenüber angestelltem Praxis- oder Klinikpersonal sowie gegenüber „sonstigen mitwirkenden Personen“, wie z.B. externen IT-Dienstleistern.
§ 203 StGB n.F. erweitert die Strafbarkeit von Ärzten zur Schweigepflicht
Andererseits erweitert die neue Regelung die Strafbarkeit von Ärzten als Berufsgeheimnisträger: Unterlassen Ärzte es, ihre externen Dienstleister zur Geheimhaltung zu verpflichten, ist dies strafbar, wenn der Dienstleister einen Geheimnisverrat begeht. Habe Sie Ihre externen Dienstleister entsprechend verpflichtet? Wenn nein, wird es höchste Zeit.
Zudem tritt am 25.08.2018 die Datenschutzgrundverordnung (DSGVO) in Kraft. Spätestens dann müssen Sie einen Vertrag mit „Auftragsdatenverarbeitern“, z. B. privatärztlichen Abrechnungsstellen, EDV-Unternehmen, Steuerbüros, schließen. § 28 DSGVO regelt dazu umfangreiche verpflichtende Vertragsinhalte:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kreis betroffener Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters:
- Verarbeitung nach dokumentierter Weisung,
- Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
- Rechtmäßige Hinzuziehung von Subunternehmen,
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
- Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung ,
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde,
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person,
- Durchführung einer Datenschutz-Folgenabschätzung,
- Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken,
- Löschung oder Rückgabe nach Beendigung des Auftrags,
- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen.
Wenn dies nicht geschieht drohen hohe Bußgelder, zumal Gesundheitsdaten als besonders sensible Daten eingestuft werden.