Der Betrieb von radiologischen Abteilungen in Krankenhäusern wird heutzutage vielfach nicht mehr durch das Krankenhaus selbst durchgeführt, sondern von externen niedergelassenen Radiologen. Häufig übernehmen diese neben der Versorgung von stationären Patienten auch – mit entsprechender Zulassung der kassenärztlichen Vereinigung – die Untersuchung von ambulanten Patienten. Zwischen der Klinik und den Radiologen werden meist Kooperationsverträge geschlossen. I. d. R. sind Fragen des Datenschutzes dabei nicht sehr problematisch, doch es gibt Ausnahmen.

Zusammenarbeit nach dem Order-Entry Prinzip

Die technische Umsetzung der Zusammenarbeit und der damit verbundenen Datenübermittlung kann auf unterschiedliche Arten erfolgen. Grundsätzlich erfolgt der Prozess hierbei nach dem sogenannten „Order-Entry-Prinzip“. Das bedeutet, dass der Krankenhausarzt eine radiologische Untersuchung anordnet, diese wird über das Krankenhausinformationssystem oder „auf Papier“ an die radiologische Abteilung übermittelt. Nach der Durchführung der Untersuchung übermittelt der Radiologe die Untersuchungsergebnisse (Befund sowie die radiologischen Aufnahmen) an den Krankenhausarzt zurück.

Die Datenschutzperspektive

Auch für die technische und prozessuale Umsetzung des Order-Entry-Prinzips gibt es verschiedene Möglichkeiten. Datenschutzaspekte sind ebenfalls zu berücksichtigen. Zur Beurteilung des Sachverhalts hinsichtlich des Datenschutzes sind zwei Fragen zu beantworten.

1. Frage: Welche Vertragskonstellation liegt vor?

Die Antwort auf die erste Frage liefert wichtige Hinweise auf die Beurteilung, ob es sich um eine sogenannte Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit im Sinne des Datenschutzes handelt.

Auftragsverarbeitung

Grundsätzlich liegt aus Sicht des Datenschutzes keine Auftragsverarbeitung durch die externe radiologische Abteilung vor, die einen entsprechenden Vertrag erfordern würde. Ein Grundprinzip der Auftragsverarbeitung ist, dass die Verarbeitung personenbezogener Daten auf Weisung des Auftraggebers erfolgt. Nun verhält es sich jedoch so, dass die ärztliche Leistung (in diesem Fall die Befundung durch den Radiologen) niemals eine weisungsgebundene Leistung darstellt. Zu dieser Einschätzung ist auch die Datenschutzkonferenz in ihrem Kurzpapier zur Auftragsverarbeitung (s. Seite 4) gekommen.

Doch es kann Ausnahmen geben. Als Beispiel sei genannt, dass ein Krankenhaus nur die Untersuchung der Patienten vereinbart, jedoch die Befundung durch einen hauseigenen Radiologen durchführen lässt. In einem solchen Fall ist die Erstellung der radiologischen Aufnahmen eine weisungsgebundene Leistung – die zu untersuchende Körperregion und das Ergebnis, z. B. eine CT- oder MR-Aufnahme sind vorgegeben. Somit handelt es sich in dieser Konstellation um eine Auftragsverarbeitung.

Gemeinsame Verantwortlichkeiten

Bleiben wir jedoch beim „Normalfall“, bei dem es sich also nicht um eine Auftragsverarbeitung handelt. Dann stellt sich die Frage, ob eine gemeinsame Verantwortlichkeit vorliegt, die einer entsprechenden Vereinbarung zwischen Krankenhaus und externer Radiologie bedarf.

Auch in dieser Frage gibt die Datenschutzkonferenz in ihrem Kurzpapier zur Auftragsverarbeitung ein Statement ab: Bei der Inanspruchnahme von Berufsgeheimnisträgern handelt es sich um eine Einbeziehung von Fremdleistungen, für welche grundsätzlich eine Rechtmäßigkeit vorliegen muss. Das bedeutet, dass für die Beauftragung einer externen radiologischen Abteilung für die Versorgung von stationären Patienten durch ein Krankenhaus i. d. R. kein Vertrag

• zur Auftragsverarbeitung oder

• für eine gemeinsame Verantwortlichkeit notwendig ist.

D. h. jedoch nicht, dass die Übermittlung der Daten „einfach so“ geschehen darf, sondern es muss eine Rechtmäßigkeit vorliegen und die datenschutzrechtlichen Anforderungen müssen eingehalten werden. Die Rechtmäßigkeit wird z. B. durch die Europäische Datenschutz-Grundverordnung (DS-GVO) erfüllt. Das katholische und evangelische Datenschutzgesetz sehen die gleiche Rechtmäßigkeit vor. Die Rückübermittlung der Untersuchungsergebnisse wird ebenfalls dadurch abgedeckt. Somit sind beide Parteien (Klinik und externe Radiologie) im Sinne des Datenschutzes Verantwortliche – d. h., dass jeder Verantwortliche seine Rechte und Pflichten gegenüber den betroffenen Patienten zu erfüllen hat. Darunter fallen im Besonderen die Betroffenenrechte und auch die Informationspflicht gegenüber den Patienten. Es müssen entsprechende Prozesse zur Sicherstellung durch die Verantwortlichen getroffen werden.

2. Frage: Ist eine Patienten-Einwilligung notwendig?

Die Antwort auf die zweite Frage ist eindeutig: Eine Einwilligung des Patienten ist laut DS-GVO nicht notwendig. Denn die Daten-Verarbeitung/-Übermittlung erfolgt zur medizinischen Diagnostik und Behandlung durch Fachpersonal (Arzt), welches einem Berufsgeheimnis unterliegt.