Der Nebel lichtet sich! Und wieder einmal ist es ein Nachprüfungsverfahren im Vergaberecht, das eine neue gerichtliche Einschätzung mit sich bringt.
Die Vergabekammer des Bundes hat am 13. Februar beschlossen, dass eine gesetzliche Krankenkasse Sozialdaten einem Auftragsverarbeiter als deutsche GmbH auch dann anvertrauen darf, wenn die Muttergesellschaft ein US-amerikanischer Konzern ist. In dem Beschluss wird unterschieden zwischen einer ohne weitere Voraussetzungen unzulässigen Datenübertragung in ein Drittland einerseits und dem Risiko eines unberechtigten Zugriffs aus dem Drittland andererseits.
Die Krankenkasse darf sich darauf verlassen, dass die deutsche GmbH ihr vertragliches Leistungsversprechen sowie deutsches Recht einhält und auch bei einem Herausgabeverlangen des Mutterkonzerns – etwa wegen eines gerichtlichen Beschlusses aus den USA – Daten nicht entgegen deutschem Recht preisgibt. Andererseits kann das beauftragte Unternehmen das Risiko einer Ausspähung durch ausländische Geheimdienste nur begrenzt ausschließen, etwa so wie man sich auch gegen inländische Hacker nicht zu hundert Prozent schützen kann.
Das theoretische Risiko für die Preisgabe der Sozialdaten ist also nicht gleichzusetzen mit einer Drittlandsübermittlung im Rahmen der vertraglich vereinbarten Auftragsverarbeitung. Dies ist eine wichtige Differenzierung und ein großer Schritt für die Datenverarbeitung in der Cloud. Mit der richtigen vertraglichen Lösung sowie ausreichenden technischen und auch organisatorischen Maßnahmen können wir nun hoffentlich in den nächsten Jahren die technisch sinnvollen Lösungen auch für die Datenverarbeitung im Gesundheitswesen umsetzen.
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company