Der Eigentümer (GmbH) von medizinischen Versorgungszentren (eigene GmbH´s, selbe Geschäftsführer wie Eigentümer GmbH) hat ein Interesse daran, für Controlling und Personalplanung, personenbezogene medizinische Daten der Patienten sowie Personalstammdaten nebst Arbeits- und Fehlzeiten der Mitarbeiter und Behandler aus den Abrechnungssystemen der Versorgungszentren zu sammeln und diese auszuwerten (z.B. bis auf Gebührenziffernbasis).
Um das zu bewerkstelligen hat der Eigentümer eine kleine IT GmbH im eigenen Hause (gleicher Geschäftsführer) gegründet, die die Anonymisierung der Personal- und Patientendaten vornehmen soll und diese aggregierten und anonymisierten Daten dann an den Eigentümer übermittelt. Die kleine IT GmbH hat dabei ungefilert administrativen Zugriff auf sämtliche Datenbanken und Unterlagen (Anamnesen, Therapie, etc.) innerhalb der Abrechnungssysteme der Versorgungszentren. Besteht hier kein Interessenskonflikt und wäre es nicht korrekter, einen unabhängigen Datentreuhänder mit der Aufgabe der Anonymisierung zu beauftragten?
Interessenkonflikte sind mir nur bzgl. des Datenschutzbeauftragten bekannt.
Welcher Unterschied bestünde zwischen IT-GmbH und Datentreuhänder bei der Datenverarbeitung? Welchen Zugriff auf welche Daten erhielte der Treuhänder und warum sollte die Verarbeitung bei ihm datenschutzkonformer sein? Für mich wäre maßgeblich, wie die Verarbeitung rechtmäßig gestaltet werden kann und zwar bei allen dreien.
Der Interessenskonflikt den ich aufführe bezieht sich auf das Arzt/Patientenverhältnis gegenüber einer übergeordneten Organisation, deren Ziel es ist, eine möglichst hohe Rendite in den MVZ´s zu erwirtschaften. Also nicht bezogen auf den DSB.
Dies kann nicht im Interesse des Betroffenen (Patienten) liegen, sondern die bestmögliche medizinische Versorgung ( Eid des Hippokrates). Werden Behandlungsdaten nicht anonymisiert, so wird ein Patient zum reinen Wirtschaftschaftsfaktor. Die Rechte und Freiheiten natürlicher Personen sind aber zentral bei der Abschätzung eines Risikos gemäß der DS-GVO zu betrachten. Ich sehe als DSB genau hier das Risiko, wenn der “Anonymisierer”, hier die kleine IT GmbH die im gleichen Hause sitzt, wie der Datennutzer und sogar noch dieselbe Geschäftsführung hat.
Daher sehe ich den Vorteil des Einsatzes eines neutralen Datenvermittlers zwischen Datengeber und Datennutzer, der träuhänderisch tätig ist, vergleichbar mit einem Notar. Als Beispiel wäre hier die Datentreuhänder-Plattform CenTrust der Bundesdruckerei, die sich auf das Medizinwesen spezialisiert hat.
Ein solcher Datentreuhänder würde die Daten pseudo- oder anonymisieren und minimieren, so dass diese ausschließlich für die gewünschte Controlling-Funktion des Datennutzers zur Verfügung stünden, also ein wirtschaftliches Patienten-Scoring nicht möglich wäre.
Die Verarbeitung unterliegt datenschutzrechtlichen Bestimmungen und diese müssen die drei GmbHs gleichermaßen erfüllen wie irgendwelche Datentreuhänder. Dabei ist vollkommen gleichgültig, ob und wer wessen Geschäftsführer ist, ggf. haftet dieser eben dreimal. Insofern sehe ich keinen Vorteil in der Nutzung von Datentreuhänder-Plattformen. Aber ich bin grundsätzlich kein Befürworter von “Notaren des Datenaustauschs” und sehe keine altruistischen Motive hinter diesen Dienstleistungen.
Übertrüge man solche Überlegungen zum Interessenkonflikt, könnte kein Unternehmen eine eigene Personalverwaltung beschäftigen, da unternehmensintern dasselbe Problem bestünde. Ich denke nicht, dass eine Ablehnung der angestrebten Verarbeitung mit der DSGVO begründet werden kann.
Konnte mir leider nicht viel Zeit nehmen:
Sieht für mich nach Auftragsverarbeitung nach Art 28 DSGVO aus. Die gegründete kleine IT-GmbH ist quasi der Treuhänder. Es müssen entsprechende AV-Vereinbarungen getroffen und Weisungen erteilt werden, um (berechtigte ?) Zweifel zu entkräften.
Eine anonymisierte Leistungskontrolle der Mitarbeiter verstößt nicht gegen § 26 BDSG . Vielleicht kommte ine Umgehung von eventuellen Mitbestimmungsrechten nach § 87 BetriebsverfassungsGi n Betracht
Ja, genauso ist diese Konstellation zu verstehen und so wurde es vertragsrechtlich auch ausgestaltet. Für mich hat das allerdings ein gewisses “Geschmäckle”, wenn man die Unternehmensstruktur sieht und eigentlich nicht von einem “unabhängigen Datentreuhänder” bei der kleinen IT-GmbH sprechen kann. Juristisch vielleicht sauber, aber praktisch? Verträge sind geduldig. Zumindest bekomme ich als eDSB seitens der übergeordneten Gesellschaft nur oberflächliche Äußerungen zu TOM´s, deren Umsetzung und eine Risikobewertung schon mal garnicht. Angeblich soll eine bekannte Unternehmensberatung hierzu Stellung genommen und diese Konstellation als “unkritisch” bewertet haben. Schriftliches hierzu gibt es auf Anfrage aber nicht, weil nichts existiert.
Hier geht es ja nicht um einfache personenbezogene Daten, sondern um Gesundheitsdaten in großem Umfang von 10tausenden Patienten, die einem Scoring unterworfen werden könn(t)en.
Ich bin nicht seit Gestern im medizinischen Bereich unterwegs, aber ich sehe hier eindeutig die Gefahr eines möglichen Patienten-Scorings: Lohnt sich der Patient finanziell bekommt er einen Termin, wenn nicht, dann geht´s terminlich soweit in die Ferne, dass der Patient sich einen anderen Behandler suchen muss und bei vernetzten Strukturen kann das ein weiteres Problem werden.