Wie berichtet hat ein Gutachten von Prof. Wolfgang Wohlers zur Bekanntgabe von einem Berufsgeheimnis unterfallenden Daten (also z.B. von Patientendaten) an Outsourcing-Anbieter hohe Wellen geschlagen. Wohlers hält eine solche Bekanntgabe ohne die Einwilligung des Geheimnisherrn für widerrechtlich, sofern die Offenbarung des Geheimnisses nicht unabdingbar und für den Geheimnisherrn vorhersehbar ist, und dies trotz der gesetzlichen Einbindung von Hilfspersonen in den Kreis der bei Verletzung von Strafe bedrohten Geheimnisträger. In der Praxis stösst das Gutachten zumindest im Ergebnis auf grosse Skepsis.
privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, hat aus diesem Grund nun einen Lösungsvorschlag vorgestellt:
privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, setzt sich im Interesse der Patientinnen und Patienten mit Nachdruck für einen starken Schutz der Gesundheitsdaten ein. Gleichzeitig ist privatim sich bewusst, dass der Trend zum Outsourcing von Gesundheitsdaten nicht aufzuhalten ist. Die Datenschutzbeauftragten plädieren deshalb für einen pragmatischen Mittelweg, der die Auslagerung von Gesundheitsdaten unter Gewährleistung des Patientengeheimnisses ermöglicht, indem der Dritte, d. h. der Outsourcingnehmer, keine Kenntnis der Daten erhält. Konkret würde dies bedeuten, dass persönliche Gesundheitsdaten nur in verschlüsselter Form ausgelagert werden dürfen und das Schlüsselmanagement in jedem Fall beim Auftraggeber, also bei den Arzt oder beim Spital bleibt. Im Einzelfall wäre eine vertraglich abgesicherte abweichende Lösung möglich. Mit einer Rechtsanpassung könnten auch Clouddienste und IT-Unternehmen in die Pflicht genommen werden und beispielsweise für die Einhaltung des medizinischen Berufsgeheimnisses zertifiziert werden.
Der erste Teil der Lösung, die Bekanntgabe verschlüsselter Daten ohne Zugänglichkeit des Schlüssels, führt nicht zu einer Offenbarung des Geheimnisses und ist bereits heute ohne weiteres zulässig. Der zweite Teil wäre aber eine Erleichterung im Vergleich zum Gutachten Wohlers. Allerdings lässt der Vorschlag Fragen offen:
- Dass das Schlüsselmanagement beim Auftraggeber bleibt, heisst nicht zwingend, dass der Schlüssel selbst dem Auftragnehmer keinesfalls zugänglich ist. Ebenso wenig bedeutet es, dass der Auftraggeber Daten nicht in einzelnen Fällen entschlüsseln darf.
- Wenn Abweichungen „im Einzelfall“ möglich sind – bedeutet „Einzelfall“ soviel wie „in jedem einzelnen Fall“ oder eher „in im Einzelnen umschriebenen Fällen“? Nach der zweiten Auslegung liesse sich eine Auslagerung in typischen Fällen generell vertraglich absichern.
- Versteht sich der Lösungsvorschlag de lege lata oder de lege ferenda? Aus dem folgenden Hinweis auf eine Rechtsänderung zur Zertifizierung von Anbietern folgt, dass der Lösungsvorschlag bereits nach geltendem Recht anwendbar sein soll.
Im Ergebnis ist der Vorschlag von privatim wohl so zu verstehen, dass die Auslagerung von Patientendaten (aber wohl auch anderen einem Berufsgeheimnis unterfallenden Daten) de lege lata trotz des Gutachtens Wohlers ohne Einwilligung zulässig ist, sofern die Auslagerung vertraglich für konkret definierte Fälle abgesichert ist, wobei der Datensicherheit besonderes Gewicht beizumessen ist.