Aus dem Outsourcing von Dienstleistungen im Gesundheitswesen können verschiedene Probleme in Bezug auf die DSGVO resultieren:
1. Datenschutz und Datensicherheit:
Gesundheitsdaten gelten gemäß Art. 9 DSGVO als besonders sensible Daten und unterliegen einem erhöhten Schutzbedarf. Bei der Auslagerung an externe Dienstleister besteht das Risiko, dass diese nicht die gleichen hohen Sicherheitsstandards einhalten wie die Gesundheitseinrichtungen selbst[2].
2. Rechtmäßigkeit der Datenverarbeitung:
Es muss sichergestellt werden, dass die Verarbeitung der Gesundheitsdaten durch den Dienstleister eine rechtliche Grundlage hat und den Anforderungen der DSGVO entspricht[4].
3. Auftragsverarbeitungsverträge:
Mit externen Dienstleistern müssen detaillierte Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden, die alle Anforderungen an den Datenschutz regeln[4].
4. Informationspflichten und Betroffenenrechte:
Es muss geklärt werden, wie Informationspflichten gegenüber Patienten erfüllt und deren Rechte (z.B. Auskunft, Löschung) auch bei ausgelagerten Prozessen gewährleistet werden können[2].
5. Datentransfers in Drittländer:
Bei Auslagerungen in Länder außerhalb der EU müssen zusätzliche Anforderungen erfüllt werden, um ein angemessenes Datenschutzniveau sicherzustellen[1].
6. Datenschutz-Folgenabschätzung:
Bei risikobehafteten Verarbeitungen muss eine Datenschutz-Folgenabschätzung durchgeführt werden, was bei Outsourcing-Vorhaben oft der Fall sein dürfte[4].
7. Technische und organisatorische Maßnahmen:
Es muss sichergestellt werden, dass der Dienstleister angemessene technische und organisatorische Maßnahmen zum Schutz der Daten implementiert hat[1].
8. Meldepflichten bei Datenpannen:
Es muss klar geregelt sein, wie Datenpannen erkannt, gemeldet und bearbeitet werden, auch wenn sie beim externen Dienstleister auftreten[4].
9. Komplexe Verantwortlichkeiten:
Bei mehreren beteiligten Akteuren kann es zu unklaren oder geteilten Verantwortlichkeiten kommen, was die Einhaltung der DSGVO erschwert[3].
10. Ärztliche Schweigepflicht:
Neben den datenschutzrechtlichen Anforderungen muss auch die ärztliche Schweigepflicht beachtet werden, was zusätzliche Herausforderungen mit sich bringt[4].
Um diese Probleme zu adressieren, ist eine sorgfältige Planung und Umsetzung von Outsourcing-Vorhaben im Gesundheitswesen unter Berücksichtigung aller datenschutzrechtlichen Aspekte unerlässlich.
Quellen:
[1] Überblick über die Anforderungen der EU-DSGVO beim IT … https://kruschecompany.com/de/eu-dsgvo-it-outsourcing/
[2] Outsourcing und Fernwartung: Datenschutzrechtliche Anforderungen https://www.aerzteblatt.de/archiv/169273/Outsourcing-und-Fernwartung-Datenschutzrechtliche-Anforderungen
[3] Der IT-Betrieb als Quelle für Datenschutz-Pannen – Healthcare Digital https://www.healthcare-digital.de/der-it-betrieb-als-quelle-fuer-datenschutz-pannen-a-e7672fbfe0ab4e91b693dca3740db273/
[4] Datenschutzkonformes Outsourcing im Gesundheitswesen https://www.srd-rechtsanwaelte.de/blog/outsourcing-dsgvo-gesundheitswesen
[5] 5 wichtige Fragen, die Sie vor der Auslagerung der Kennzeichnung … https://de.shaip.com/blog/5-questions-to-ask-before-outsourcing-healthcare-data-labeling/
[6] [PDF] Datenschutz – Fluch oder Segen? – Krankenhaus-IT Journal https://www.krankenhaus-it.de/shop/downloads/kh_it_1_finalkl.pdf
[7] [PDF] RECHTSGUTACHTEN – Bundesministerium für Gesundheit https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Gesundheit/Berichte/RECHTSGUTACHTEN_Gesundheitsforschungsdatenschutzrecht_BMG.pdf
[8] Datenschutzrisiken beim Outsourcing minimieren https://www.datenschutz-praxis.de/datenschutzbeauftragte/datenschutzrisiken-beim-outsourcing-minimieren/
Entdecke mehr von LabNews
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
