Bei der Verarbeitung personenbezogener Daten in Arztpraxen, Krankenhäusern und Kurkliniken ist grundsätzlich Vorsicht geboten. Gesundheitsdaten werden von der Datenschutzgrundverordnung (DSGVO) besonders geschützt. Diese gehören gemäß Artikel 9 Abs. 1 DSGVO1 zu besonderen Kategorien personenbezogener Daten, da sie, ähnlich wie religiöse oder politische Anschauungen, als besonders sensibel bewertet werden. Die Verarbeitungsgrundlagen hierfür sind nicht nur gemäß Artikel 9 Abs. 2 DSGVO eingeschränkt, sondern solche Daten sind gemäß Erwägungsgrund 51 DSGVO2 auch besonders zu schützen.
Die Vereinbarung von Auftragsverarbeitungsverträgen (AVV) mit Dienstleistern, die mit Gesundheitsdaten in Kontakt kommen, ist demzufolge eine absolute Pflichtmaßnahme. Mit Auftragsverarbeitungsverträgen stellen Verantwortlichen für die Datenverarbeitung, also beispielsweise Arztpraxen, sicher, dass die Daten ihrer Patientinnen und Patienten im Rahmen der Gesetze und unter Beachtung festgelegter Sicherheitsmaßnahmen verarbeitet werden. Dies betrifft beispielsweise Serverhosting-Dienstleister oder die Betreiber von Arztpraxissoftware.
Wie gestaltet sich dies bei der Beauftragung von Laboren durch Arztpraxen oder Kliniken?
Im Regelfall wird die Probe eines Patienten oder einer Patientin an ein Labor gesendet. Dieses wiederum wertet sie aus und stellt bestimmte Werte oder Befunde fest. Bei den hierdurch gewonnen Informationen handelt es sich durchweg um Gesundheitsdaten, also besonders sensible Daten.
Es stellt sich daher die Frage, ob bei der Beauftragung eines Labors durch eine Praxis ebenfalls ein AVV notwendig ist. Auf den ersten Blick wäre dies zu bejahen, denn durch das Labor finden mindestens eine Erhebung, eine Speicherung, eine Auslesung und eine Übermittlung von personenbezogenen Daten statt – mithin Verarbeitungstätigkeiten im Sinne von Art. 4 Nr. 2 DSGVO3.
Wie sehen das die Aufsichtsbehörden?
Dieser Ansatz wäre jedoch deutlich zu unterkomplex für die Tätigkeit, welche von medizinischen Laboren ausgeübt wird. Eine Blutprobe stellt an sich kein personenbezogenes Datum dar. Erst bei der Analyse durch ein Labor werden diese Daten gewonnen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit betrachtet die Tätigkeit eines Labors infolgedessen als „Mitbehandlung“ der Patientinnen und Patienten.4 Die Tätigkeit eines Labors stellt dabei einen sogenannten „Dienst höherer Art“ i.S.d. § 627 Abs. 1 BGB5 dar. Solche Tätigkeiten werden zum allergrößten Teil selbstständig und nicht unter ständiger Aufsicht und Weisung des Auftraggebers verrichtet. Eine solche Weisungsgebundenheit wäre jedoch Voraussetzung dafür, dass ein Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO6 vorliegt.
Dieser Bewertung schließt sich auch das Bayerische Landesamt für Datenschutzaufsicht an und stellt klar, dass bei der Tätigkeit von medizinischen Laboren keine Auftragsverarbeitungstätigkeit vorliegt.7 Ein wenig verklausulierter formuliert dies die Datenschutzkonferenz (DSK), der Zusammenschluss aller Datenschutzbeauftragter der Länder und des Bundes. Hiernach liegt keine Auftragsverarbeitung bei der Inanspruchnahme fremder Fachleistungen, wie der von Berufsgeheimnisträgern, vor.8 Medizinische Labore werden in der Regel von Ärzten, welche grundsätzlich Berufsgeheimnisträger sind, betrieben. Gleiches gilt laut der DSK bei Bestehen einer gemeinsamen Verantwortlichkeit von mehreren Mitwirkenden wie z.B. bei klinischen Arzneimittelstudien. Auch hier drängen sich die Gemeinsamkeiten zu der Durchführung von Laboruntersuchungen auf.
Fazit
Es ist also festzuhalten, dass trotz des Umgangs mit besonders sensiblen Daten keine AVV mit medizinischen Laboren abzuschließen sind. Vielmehr sind Labore als eigenverantwortliche Datenverarbeiter zu betrachten, welche im Rahmen der eigenen Tätigkeit auch für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Dementsprechend müssen medizinische Labore eigenständig Maßnahmen zur Sicherung des Datenschutzes treffen und umsetzen.
1 https://dsgvo-gesetz.de/art-9-dsgvo/
2 https://dsgvo-gesetz.de/erwaegungsgruende/nr-51/
3 https://dsgvo-gesetz.de/art-4-dsgvo/
4 https://datenschutz.hessen.de/infothek/h%C3%A4ufig-gestellte-fragen-hgf
5 https://www.gesetze-im-internet.de/bgb/__627.html
6 https://dsgvo-gesetz.de/art-28-dsgvo/
7 https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf
8 https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf