01.09.2019 Datenschutz
F+A: Terminvergabe durch Callcenter
Frage:
Ein niedergelassener Chirurg fragt an, ob rechtliche Bedenken gegen die Übernahme der Terminvergabe seiner Praxis durch ein Callcenter bestehen.
Antwort:
Die Organisation der Terminvergabe durch ein auf Arztpraxen spezialisiertes externes Callcenter muss aus juristischer Sicht des Verfassers zwingend die Vorgaben des Datenschutzes und der ärztlichen Schweigepflicht beachten und einhalten, damit dies rechtskonform ist.
Die Beauftragung eines Callcenters zur Terminvergabe stellt juristisch eine Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) dar. Folglich muss ein entsprechender schriftlicher Vertrag mit dem hierin geforderten Mindestinhalt abgeschlossen werden sowie die in der DSGVO geforderten Sicherheitsmaßnahmen, z. B. technisch-organisatorische Maßnahmen, umgesetzt werden. Diese richten sich jeweils nach dem Schutzbedarf der Daten, wobei wenn sensible Daten wie Gesundheitsdaten Gegenstand der Verarbeitung sind, der Schutzbedarf grundsätzlich sehr hoch anzusetzen ist. Sichergestellt werden muss in jedem Fall, dass Datenschutzverletzungen, z. B. durch unberechtigte Zugriffe Dritter auf die Patientendaten, vermieden werden. Ferner müssen die Mitarbeiter des Callcenters, die mit der Datenverarbeitung beschäftigt sind, auf die Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO verpflichtet werden.
Zudem muss unabhängig hiervon selbstverständlich die ärztliche Schweigepflicht gewahrt werden, um sich keinen berufs- und strafrechtlichen Konsequenzen auszusetzen. Im Falle einer Auftragsverarbeitung ist nach Ansicht des Verfassers der neugefasste § 203 StGB zu berücksichtigen, wonach der Einsatz von „sonstigen mitwirkenden Personen“ unter bestimmten Voraussetzungen straffrei gestellt wird. Zu diesem Personenkreis zählen insbesondere Mitarbeiter von Dienstleistungsunternehmen oder selbstständig tätige Personen, die Dienstleistungen für Ärzte erbringen. Folglich würden die Callcenter-Mitarbeiter nach Meinung des Verfassers hierunter subsumiert werden können. Ärzte sind diesem Personenkreis gegenüber dann zur Offenbarung von Patientengeheimnissen berechtigt, soweit bestimmte Informationen für die konkrete Tätigkeit der jeweiligen Person erforderlich sind (§ 203 Abs. 3 S. 2 StGB). Hieraus folgt nach Auffassung des Verfassers, dass den Callcenter-Mitarbeitern also nur insoweit unter die Schweigepflicht fallende Informationen übersandt bzw. bekanntgegeben werden dürfen, als diese für die konkrete Tätigkeit der jeweiligen Person erforderlich sind. Welche Daten bzw. Informationen erforderlich sind, ist anhand der konkreten Umstände der Callcenter-Tätigkeit zu bestimmen. Dies sollte aus Sicht des Verfassers zumindest im Vertrag detailliert festgelegt werden, auch wenn die vertraglichen Bestimmungen unmaßgeblich für die Beurteilung einer etwaigen Strafbarkeit sind, da stets der tatsächlich gelebte Sachverhalt entscheidend ist.
Ebenso sind die Mitarbeiter des Callcenters im Hinblick auf die Strafbarkeit nach § 203 Abs. 4 Satz 2 Nr. 1 StGB zwingend zur Geheimhaltung zu verpflichten. Hierfür hat der Arzt nach der vorgenannten Vorschrift zu sorgen. Daraus folgt, dass der Arzt entweder selbst die Geheimhaltungsverpflichtung der Callcenter-Mitarbeiter durchführen muss, oder er das von ihm beauftragte Callcenter-Unternehmen vertraglich zu dieser Durchführung verpflichtet. Die zweite Alternative ist dabei nach Auffassung des Verfassers wohl die praktikabelste, da der Arzt regelmäßig keine Kenntnis über den Personalbestand der Callcenter-Mitarbeiter haben wird.
Bevor die Auslagerung der Terminvergabe an ein externes Callcenter erfolgt, ist aus Gründen der Rechtssicherheit zudem zwingend zu empfehlen, dies vorab mit der zuständigen Landesärztekammer sowie dem Landesdatenschutzbeauftragten abzuklären, um berufs-, straf- und datenschutzrechtliche Verstöße zu vermeiden.
Heberer J. F+A: Terminvergabe durch Callcenter. 2019 September; 9(09): Artikel 04_10.
Autor des Artikels
Dr. jur. Jörg Heberer
Justitiar des BDC, Rechtsanwalt und Fachanwalt für MedizinrechtRechtsanwaltskanzlei Dr. Heberer & Kollegen kontaktierenWeitere Artikel zum Thema
28.11.2019 Datenschutz
IT-Sicherheit ist Chefsache!
Erpressersoftware, Hackerattacken oder Doxing, das „Absaugen“ von sensiblen Daten wie vor einiger Zeit von privaten Politiker-Telefonnummern, lösen viele sorgenvolle Diskussionen aus. Aber gegen solche und ähnliche Machenschaften kann man sich schützen. In Passion Chirurgie wollen wir uns in den nächsten Ausgaben mit unterschiedlichen Themenaspekten der Sicherheit elektronischer Daten beschäftigen. Am Anfang steht ein Interview mit Detlev Hrycej, Experte für Cyberversicherungen. Er weist unter anderem darauf hin, dass Hacker nicht die einzige Gefahr für Datenbestände sind.
04.07.2019 Datenschutz
DSGVO: Lockerung für Praxen
Erfreulicherweise wurden die Datenschutzbestimmungen für kleine Unternehmen bzw. Praxen gelockert. Die Pflicht eines Datenschutzbeauftragten gilt ab jetzt nur für Praxen ab mindestens 20 Personen.
01.03.2019 Datenschutz
Erste Bußgelder und konkrete Prüfungen nach DSGVO
Ausgangspunkt hierfür sind die neuesten Entwicklungen, wonach das erste Bußgeld nach der Datenschutz-Grundverordnung (DSGVO) auch in Deutschland verhängt wurde: Datensicherheit ist Pflicht, Mängel können zu Bußgeldern führen und in der Öffentlichkeit bekannt werden, so wie es einem baden-württembergischen Social-Media-Anbieter erging. Gegen diesen wurde aufgrund eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit eine Geldbuße von 20.000 Euro verhangen.
01.01.2019 Datenschutz
Datenschutzgrundverordung (DSGVO) – Ein Blick auf die Absicherung von IT- und Datenrisiken
Seit dem 25.05.2018 gilt in Deutschland die Datenschutzgrundverordnung (DSGVO). In den letzten Wochen und Monaten wurde sehr viel berichtet, was nach der neuen Gesetzeslage beim Umgang mit Daten zu beachten ist, und wie die neuen gesetzlichen Regelungen bestmöglich in die Praxis umgesetzt werden können.
Lesen Sie PASSION CHIRURGIE!
Die Monatsausgaben der Mitgliederzeitschrift können Sie als eMagazin online lesen.