Zum Inhalt

Hilfspersonenvereinbarung

Die Hilfspersonenvereinbarung – Das vergessene Dokument

Ein Dokument, das Tausende von Praxen übersehen – und das im Schadensfall den Unterschied macht zwischen strafrechtlicher Haftung und Rechtssicherheit.

Was ist der Unterschied zwischen AVV und Hilfspersonenvereinbarung?

Das ist die zentrale Verwirrung: Viele Praxisinhaber meinen, ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO sei ausreichend. Das ist falsch.

Ein AVV ist ein datenschutzrechtliches Dokument. Es regelt, wie der Auftragnehmer personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Eine Hilfspersonenvereinbarung ist ein strafrechtliches Dokument. Sie regelt, dass ein Dienstleister, der möglicherweise Zugriff auf Patientengeheimnisse hat, zur Geheimhaltung verpflichtet wird.

Das ist kein semantischer Unterschied. Es ist ein rechtlicher Unterschied.

Ohne Hilfspersonenvereinbarung ist die Beauftragung des IT-Dienstleisters strafrechtlich fragwürdig – und Sie als Praxisinhaber tragen die Verantwortung.

Merksatz: AVV = Datenschutz. Hilfspersonenvereinbarung = Strafrecht. Beides ist erforderlich.

Wer braucht eine Hilfspersonenvereinbarung?

Die Antwort ist einfach: Jede Person oder Firma, die möglicherweise Zugriff auf Patientendaten oder andere Patientengeheimnisse bekommt.

Das umfasst: IT-Dienstleister vor Ort, Cloud-Anbieter, Backup-Anbieter, Software-Wartungsdienste, Fernwartungs-Software-Anbieter, Cyber-Security-Dienstleister, Datenlösch-Dienste.

Das ist nicht begrenzt auf große Firmen. Auch ein Freelancer-Programmierer braucht eine Hilfspersonenvereinbarung, wenn er dabei möglicherweise Patientendaten sieht.

Die Vertragskette – Subunternehmer und Sub-Subunternehmer

Hier wird es kompliziert: Ein IT-Dienstleister hat oft selbst Subunternehmer. Sie beauftragt IT-Dienstleister A mit dem lokalen Support. A beauftragt Cloud-Provider B mit dem Hosting. B nutzt Sicherheitsdienst C.

Alle drei haben potenziellen Zugriff auf Ihre Patientendaten. Und § 203 StGB sagt: Sie sind verantwortlich, dass die ganze Kette verpflichtet ist.

Das heißt konkret: - Sie schließen mit IT-Dienstleister A eine Hilfspersonenvereinbarung - A verpflichtet Cloud-Provider B vertraglich zur Geheimhaltung - B verpflichtet Sicherheitsdienst C vertraglich zur Geheimhaltung - Das muss alles dokumentiert und überprüft sein

Wenn die Kette bricht – etwa weil C nicht verpflichtet ist und dann Patientendaten nach außen dringen – dann haftet am Ende auch Sie.

Was muss in einer Hilfspersonenvereinbarung stehen?

§ 203 Abs. 4 Satz 2 StGB schreibt vor, dass der Dienstleister "zur Geheimhaltung verpflichtet" sein muss. Konkret sollte die Vereinbarung folgendes enthalten:

1. Explizite Verpflichtung zur Geheimhaltung

"Der Dienstleister verpflichtet sich, alle Patientengeheimnisse im Sinne des § 203 StGB vertraulich zu behandeln und nicht weiterzugeben."

2. Belehrung über strafrechtliche Folgen

"Eine unbefugte Offenbarung eines Patientengeheimnisses ist eine Straftat nach § 203 Abs. 4 StGB und wird mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet."

Das ist nicht Einschüchterung – das ist rechtliche Klarheit.

3. Need-to-know-Prinzip

"Der Dienstleister darf sich nur insoweit Kenntnis von Patientengeheimnissen verschaffen, als die Erbringung seiner Leistung das erfordert."

4. Regelung von Subunternehmern

"Der Dienstleister darf Subunternehmer nur mit vorheriger schriftlicher Zustimmung einschalten. Subunternehmer müssen ebenfalls schriftlich zur Geheimhaltung verpflichtet werden."

5. Zeitliche Geltung

"Die Verschwiegenheitspflicht besteht zeitlich unbegrenzt – auch nach Beendigung der Zusammenarbeit."

6. Rückgabe und Löschung

"Nach Beendigung der Zusammenarbeit werden alle Patientendaten gelöscht oder zurückgegeben."

Praktisches Vorgehen: Schritt für Schritt

Schritt 1: Liste aller Dienstleister erstellen

Machen Sie eine Liste aller Dienstleister, die momentan mit Ihrer Praxis arbeiten. IT-Support, Cloud-Hosting, Backup, Softwarewartung, ggf. Webdesigner, ggf. Rechtsanwalt, ggf. Steuerberater.

Schritt 2: Für jeden Dienstleister prüfen

Prüfen Sie: Liegt ein AVV vor? Liegt eine Hilfspersonenvereinbarung vor? Wenn beide vorhanden sind: Sind sie aktuell?

Schritt 3: Fehlende Dokumente anfordern

Schreiben Sie dem Dienstleister: "Für die Zusammenarbeit brauchen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und eine Verschwiegenheitsverpflichtung nach § 203 Abs. 4 StGB."

Die meisten größeren Dienstleister haben Standarddokumente.

Schritt 4: Unterschreiben und archivieren

Wenn die Vereinbarungen vorliegen, unterschreiben Sie und archivieren Sie sicher. Sie brauchen diese Dokumente, wenn die Behörde Sie fragt oder ein Schadensfall eintritt.

Schritt 5: Jährlich überprüfen

Überprüfen Sie mindestens jährlich, ob alle Dokumente noch vorhanden und aktuell sind.

Bitkom-Mustervorlage

Der Bitkom e.V. hat Musterdokumente zur Verfügung gestellt, die einen guten Ausgangspunkt bieten. Sie finden Sie auf: bitkom.org (Suche: "Muster § 203 StGB")

Checkliste: Hilfspersonenvereinbarungen in Ihrer Praxis

  • Ich habe eine Liste aller Dienstleister, die Zugriff auf Patientendaten haben.
  • Für jeden Dienstleister prüfe ich: Liegt ein AVV vor? Liegt eine Verschwiegenheitsverpflichtung nach § 203 vor?
  • Die Vereinbarungen sind unterschrieben und archiviert.
  • Jede Vereinbarung enthält explizit die Verpflichtung zur Geheimhaltung nach § 203 StGB.
  • Jede Vereinbarung enthält eine Belehrung über strafrechtliche Folgen.
  • Jede Vereinbarung regelt das Need-to-know-Prinzip.
  • Falls der Dienstleister Subunternehmer einsetzt, ist vertraglich geregelt, dass diese ebenfalls verpflichtet werden.
  • Ich habe einen Plan, wie die Zusammenarbeit beendet wird, wenn ein Dienstleister Anforderungen nicht erfüllt.
  • Die Vereinbarungen werden mindestens jährlich überprüft.