Dr. Katja Kuck
Mit dem Inkrafttreten der Neuregelungen des § 203 StGB am 9. November 2017 haben sich auch insbesondere in der Gesundheitsbranche einige Änderungen ergeben. § 203 StGB schützt Geheimnisse, die bestimmten Berufsgruppen im Rahmen ihrer beruflichen Tätigkeit anvertraut wurden, vor einer unbefugten Offenbarung. Zu diesen Berufsgruppen gehören unter anderem auch Ärzte und Angehörige anderer Heilberufe. Bislang war es diesen verwehrt, beispielsweise die Verarbeitung von Patientendaten im Zusammenhang mit der Abrechnung an IT-Dienstleister weiterzugeben, ohne eine entsprechende Einwilligung des Patienten einzuholen. Gerade im digitalen Zeitalter, in dem das Outsourcing insbesondere von IT-Dienstleistungen gang und gäbe ist, befanden sich Ärzte durch die Inanspruchnahme solcher Dienstleister somit ständig in der Gefahr sich gemäß § 203 StGB strafbar zu machen. Vor diesem Hintergrund sah die Bundesregierung den Handlungsbedarf, die Strafbarkeit nach § 203 StGB einzuschränken.
Was hat sich geändert?
Relevant sind insbesondere die Änderungen der Absätze 3 und 4. In Absatz 3 erfolgt eine Einschränkung der Strafbarkeit, wenn die Geheimnisse an sonstige mitwirkende Personen weitergegeben werden, soweit deren Inanspruchnahme erforderlich ist. Im Gegensatz dazu wird in Absatz 4 kompensierend die Strafbarkeit erweitert. Die Berufsgeheimnisträger müssen nun dafür Sorge tragen, dass die von ihnen beauftragten Personen zur Geheimhaltung verpflichtet werden. Zusätzlich werden auch solche mitwirkenden Personen in die Strafbarkeit mit einbezogen.
Tatsächliche oder nur scheinbare Verbesserung für die Gesundheitsbranche?
Auf den ersten Blick scheint die Änderung des § 203 StGB durch die Möglichkeit der straffreien Weitergabe von Patientendaten eine positive Entwicklung für die Gesundheitsbranche darzustellen. Auf den zweiten Blick kommen allerdings erhebliche rechtliche Probleme und Fragestellungen auf:
Wer sind zunächst die sogenannten „sonstigen mitwirkenden Personen“? Bedarf es hierfür beispielsweise eines wirksamen Vertrages zwischen dem Berufsgeheimnisträger und dem externen Dienstleister? Der Gesetzgeber hat dies nicht weiter definiert. Laut Gesetzesbegründung fallen nur solche Personen unter den Begriff, die zwar an der beruflichen oder dienstlichen Tätigkeit der schweigepflichtigen Person mitwirken, also in diese Tätigkeit in irgendeiner Weise eingebunden werden und Beiträge dazu leisten, allerdings ohne in die Sphäre des Berufsgeheimnisträgers eingegliedert zu sein. Der letzte Punkt dient der Abgrenzung zum sog. Gehilfen. Weiterhin wird darauf hingewiesen, dass die Grundlage insbesondere ein Vertragsverhältnis sein kann. Allerdings soll laut Gesetzesbegründung ausdrücklich kein möglicher Rechtsgrund, auf dem eine sonstige Mitwirkung beruhen kann, ausgeschlossen werden. Diese Unklarheit birgt die Gefahr, dass der Berufsgeheimnisträger nicht sicher abschätzen kann, in Bezug auf wen eine Weitergabe zulässig ist und wen er zur Geheimhaltung verpflichten muss.
Weiterhin fragt sich, wie weit die „Kette“ der zulässigen Beauftragung externer Dritter geht. Auch hierzu macht der Gesetzgeber keine abschließenden Angaben. Eine klare Grenze, wann diese „Beauftragungskette“ enden soll, oder ob sie überhaupt enden soll, gibt es nicht. In der Gesetzesbegründung heißt es, dass sich die Verpflichtung zur Geheimhaltung in mehrstufigen Auftragsverhältnissen fortsetzt bis zur letztlich tätig werdenden Person, um einen weitgehend lückenlosen Schutz des Geheimnisses zu erreichen. Hier stellt sich für den Berufsgeheimnisträger insb. im Hinblick auf Abs. 4 die Frage, inwieweit er Gewähr dafür leisten muss, dass jede weitere tätige Person zur Geheimhaltung verpflichtet wird.
Äußerst problematisch ist zudem das Verhältnis zum Datenschutzrecht. Die strafrechtlich unbedenkliche Weitergabe von Patienteninformationen bedeutet keineswegs, dass es sich im Datenschutzrecht ebenso verhält. Denn es muss davon ausgegangen werden, dass die Regelungen zum Datenschutz gleichrangig neben § 203 StGB bestehen. Dies bedeutet, dass aus datenschutzrechtlichen Gründen bei der Weitergabe von Patientendaten in aller Regel eine Einwilligung des Patienten vorliegen muss, wenn kein Fall der Auftragsverarbeitung vorliegt oder eine gesetzliche Rechtfertigung zur Weitergabe. Zwar zielte die Neuregelung des § 203 StGB besonders auf Fälle der Auftragsdatenverarbeitung ab, ist aber nach ihrem Wortlaut nicht darauf begrenzt, so dass die Diskrepanz zwischen Straf- und Datenschutzrecht sich durchaus in bestimmten Fällen auswirken kann.
Daran anschließend stellt sich dann die Frage, wie eine entsprechende Einwilligung aussehen muss, damit sie beiden Regelungsmaterien gerecht wird. Gerade im Datenschutzrecht hat der Gesetzgeber wohl nicht mit einer „Kettenbeauftragung“ gerechnet, sodass sich hier die Frage stellt, ob im Datenschutzrecht eine so weitgehende (General-)Einwilligung möglich ist.
Fazit
Der Ansatz der Bundesregierung die Strafbarkeit von Berufsgeheimnisträgern im Falle der Weitergabe von Geheimnissen an externe Dritte einzuschränken, war im digitalen Zeitalter notwendig. In der Gesundheitsbranche wirft die Änderung des § 203 StGB allerdings wie gesehen mehr Fragestellungen und Probleme als Lösungen auf. Gerade durch den Widerspruch zum Datenschutzrecht hilft die strafrechtliche Einschränkung nur scheinbar. Hier fehlt es bislang an einer Anpassung der beiden Regelungsmaterien. Dem Berufsgeheimnisträger ist somit weiterhin zu empfehlen, wenn möglich, eine Einwilligung des Patienten einzuholen. Daneben sollten wegen der Straferweiterung in Absatz 4 Anstellungsverträge und solche mit Dritten darauf überprüft werden, ob eine erforderliche Anhaltung zur Geheimhaltung gemäß § 203 StGB bereits enthalten oder noch aufzunehmen ist.