TY - THES A1 - Ehrmann, Christian T1 - Outsourcing von medizinischen Daten - strafrechtlich betrachtet - T1 - Outsourcing of medical data - from a criminal law perspective - N2 - Nach der vorliegenden Untersuchung zum Outsourcing medizinischer Daten aus strafrechtlicher Sicht kann folgendes Gesamtergebnis festgehalten werden. Beim Outsourcing medizinischer Daten sind regelmäßig personenbezogene Informationen betroffen. Personenbezogene Information umfasst als Oberbegriff „Geheimnisse“ i.S.v. § 203 StGB sowie personenbezogene Daten im Sinne des Datenschutzrechts. Bei der Bestimmung des Personenbezuges ist es trotz der grundsätzlichen Parallelgeltung von Datenschutzrecht und § 203 StGB zulässig, auf Grundsätze aus dem Datenschutzrecht zurückzugreifen. Für den Outsourcer medizinischer Daten droht eine Strafbarkeit nach § 203 StGB, wenn private IT-Dienstleistungsunternehmen vom schweigepflichtigen Outsourcer zur Erledigung von Aufgaben herangezogen werden und in Kontakt mit den Geheimnissen geraten. Daneben kann sich eine Strafbarkeit im Wege der Teilnahme an einer nach § 203 StGB strafbaren Geheimnisverletzung ergeben. Bei Sachverhalten mit Auslandsbezug kann es dabei zu einer Anwendung deutschen Strafrechts kommen, wenn die Teilnahmehandlung im Inland sich auf ein im Ausland erfolgendes Outsourcing bezieht oder die Teilnahmehandlung im Ausland sich auf ein im Inland erfolgendes Outsourcing bezieht. Bei § 85a SGB X und § 44 BDSG können sich ausländische Outsourcingpartner auch als Mittäter strafbar machen, da es sich bei diesen Delikten nicht um Sonderdelikte handelt. Allerdings lässt sich durch eine entsprechende Gestaltung des Outsourcingvorhabens im Einzelfall, unabhängig davon, ob ein Schweigepflichtiger nach § 203 Abs. 1 oder Abs. 2 StGB betroffen ist, eine Strafbarkeit vermeiden. Ansatz ist dabei die Tatbestandsebene des § 203 StGB, nämlich das Merkmal „Geheimnis“ sowie das Merkmal „Offenbaren“. So kann einerseits durch eine wirksame Verschlüsselung ein „Geheimnis“ i.S.v. § 203 StGB entfallen. Andererseits besteht die Möglichkeit, Mitarbeiter des privaten externen Dienstleistungsunternehmens als Gehilfen in den Kreis der zum Wissen Berufenen zu integrieren. Hierzu muss der Dritte an die Funktion des Schweigepflichtigen so angebunden werden, dass aus objektiv-normativer Sicht von einer tatbestandlichen Verantwortungseinheit gesprochen werden kann. Auf der Ebene der Rechtswidrigkeit lässt sich der Gefahr einer Strafbarkeit nach § 203 StGB durch eine Einwilligung begegnen. Außerhalb des Rechtfertigungsgrundes der Einwilligung bestehen für das Outsourcing von medizinischen Daten regelmäßig keine strafrechtlichen Erlaubnissätze. Allenfalls in unvorhergesehenen Ausnahmesituationen ist eine Rechtfertigung nach § 34 StGB denkbar. Für den Regelfall des Outsourcings ist § 34 StGB nicht als Rechtfertigungsgrund tauglich. Neben einer Strafbarkeit nach § 203 StGB kommt beim Outsourcing medizinischer Daten eine Strafbarkeit nach § 44 BDSG bzw. nach entsprechenden Vorschriften der Landesdatenschutzgesetze sowie eine Strafbarkeit nach § 85a SGB X in Betracht. Die Gefahr einer Strafbarkeit kann ausgeschlossen werden, wenn das Outsourcing datenschutzrechtlich bzw. sozialrechtlich zulässig ist. Neben der Möglichkeit einer Einwilligung, die nur ausdrücklich erfolgen kann, ist die Zulässigkeit eines Outsourcings medizinischer Daten über eine Ausgestaltung als Auftragsdatenverarbeitung erreichbar. Vorschriften zur Auftragsdatenverarbeitung existieren sowohl im Datenschutzrecht als auch im Sozialrecht. Diese Vorschriften ermöglichen, sofern nicht spezielle Vorschriften des sektorspezifischen Datenschutzrechts wie beispielsweise Art. 27 Bayerisches Krankenhausgesetz entgegenstehen, in bestimmten Grenzen ein Outsourcing medizinischer Daten unter Beteiligung privater IT-Dienstleistungsunternehmen. Die Normen der Auftragsdatenverarbeitung ermöglichen nicht eine selbständige und eigenverantwortliche Aufgabenerfüllung durch den Outsourcingnehmer im Sinne einer Funktionsübertragung. Vielmehr muss der Outsourcer nach einer Gesamtbetrachtung das Gesamtgeschehen erkennbar beherrschen und steuern. Die Aufgabe darf nicht durch den Auftraggeber insgesamt aus den Händen gegeben werden. Andere Vorschriften, die eine Funktionsübertragung beim Outsourcing medizinischer Daten ermöglichen würden, bestehen nicht. Die straflose Möglichkeit des Outsourcings medizinischer Daten hängt von der Gestaltung im Einzelfall ab. Dies kann unter dem Aspekt der Rechtssicherheit und Rechtsklarheit beklagt werden. Wünschenswert ist eine bundeseinheitliche Regelung, die das Outsourcing strafrechtlich regelt. Unter den verschiedenen gesetzgeberischen Möglichkeiten ist eine Neuregelung des § 203 StGB zu favorisieren. N2 - Following the present analysis, from a criminal law perspective, on outsourcing medical data, the following overall result can be recorded. When outsourcing medical data, personal information is routinely affected. Under the umbrella term "secrets”, personal data includes personal information in terms of § 203 of the Criminal Code (StGB) as well as personal data in terms of the data protection act. When defining personal reference it is permitted, in spite of the basic parallel validity of the data protection act and § 203 StGB, to refer to principles from the data protection act. For the outsourcer of medical data, there is a risk of culpability pursuant to § 203 StGB if private IT service companies are enlisted by the outsourcer, who is sworn to secrecy, to fulfil tasks and come in contact with secrets. In addition, culpability can result from participating in a breach of secrecy that is punishable pursuant to § 203 StGB. For facts and circumstances involving a foreign element, this can result in German criminal law being applied if the domestic participation deed refers to outsourcing that is taking place abroad, or if the participation deed abroad refers to outsourcing that is taking place inland. For § 85a Social Act X (SGB X) and § 44 Federal Data Protection Act (BDSG), foreign outsourcing partners can also be liable to prosecution as co-perpetrators, as these delicts are not special delicts. However, culpability can be avoided by means of a corresponding configuration of the outsourcing proposal in a given case, regardless of whether a person sworn to secrecy pursuant to § 203 para. 1 or para. 2 StGB is affected. The objective here is the basis of the facts of the case of § 203 StGB, in particular the characteristic "secret" as well as the characteristic "disclosure". Thus, on the one hand, a "secret" in terms of § 203 StGB can be cancelled by effective encryption. On the other hand, there is the option of integrating employees working for the private external service companies into the circle of authorized persons as assistants. For this purpose, the third party must be tied to the function of the person sworn to secrecy such that, from an objective-normative point of view, it can be referred to as a factual responsibility unit. On the level of unlawfulness, the risk of culpability can be met pursuant to § 203 StGB by consent. Outside of the grounds of justification of consent, there are consistently no criminal consent principles for outsourcing medical data. In unforeseen exceptional situations, justification pursuant to § 34 StGB is conceivable, at best. § 34 StGB is not a suitable ground of justification for the typical outsourcing case. Apart from culpability pursuant to § 203 StGB, culpability pursuant to § 44 BDSG resp. pursuant to relevant provisions of the Federal Data Protection Act, as well as culpability pursuant to § 85a SGB X, comes into consideration for outsourcing of medical data. The risk of culpability can be ruled out if outsourcing is permitted by data protection or social legislation. Apart from the possibility of consent which can only be obtained expressly, the admissibility of outsourcing medical data can be achieved by commissioning the data processing. There are regulations on commissioning data processing both in data protection as well as in social legislation. These regulations allow for the outsourcing of medical data up to a certain point, unless they are opposed by specific regulations of the branch-specific data protection law, such as for example Art. 27 of the Bavarian Hospital Law, with the participation of private IT service companies. The norms of commissioned data processing do not allow the outsourcee to independently and autonomously fulfil tasks, in terms of a transfer of functions. Instead, the outsourcer must discernibly be in control of and direct the overall events following an overall inspection. The employer must not let the task slip away completely. There are no other regulations that would facilitate transfer of functions for outsourcing medical data. Outsourcing medical data with impunity depends on the configuration in a given case. This can be criticised in terms of legal security and legal clarity. A uniform federal criminal law regulation that controls outsourcing is desirable. Out of the various legislative options, reorganisation of § 203 StGB should be favoured. KW - Schweigepflicht KW - Strafbarkeit KW - Strafrecht KW - Daten KW - Gehilfe KW - Medizin KW - Outsourcing KW - Outsourcing KW - Data KW - Culpability KW - Protection KW - Assistant Y1 - 2007 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:20-opus-28917 ER - TY - JOUR A1 - Strahl, André A1 - Gerlich, Christian A1 - Alpers, Georg W. A1 - Ehrmann, Katja A1 - Gehrke, Jörg A1 - Müller-Garnn, Annette A1 - Vogel, Heiner T1 - Development and evaluation of a standardized peer-training in the context of peer review for quality assurance in work capacity evaluation JF - BMC Medical Education N2 - Background: The German quality assurance programme for evaluating work capacity is based on peer review that evaluates the quality of medical experts' reports. Low reliability is thought to be due to systematic differences among peers. For this purpose, we developed a curriculum for a standardized peer-training (SPT). This study investigates, whether the SPT increases the inter-rater reliability of social medical physicians participating in a cross-institutional peer review. Methods: Forty physicians from 16 regional German Pension Insurances were subjected to SPT. The three-day training course consist of nine educational objectives recorded in a training manual. The SPT is split into a basic module providing basic information about the peer review and an advanced module for small groups of up to 12 peers training peer review using medical reports. Feasibility was tested by assessing selection, comprehensibility and subjective use of contents delivered, the trainers' delivery and design of training materials. The effectiveness of SPT was determined by evaluating peer concordance using three anonymised medical reports assessed by each peer. Percentage agreement and Fleiss' kappa (κ\(_m\)) were calculated. Concordance was compared with review results from a previous unstructured, non-standardized peer-training programme (control condition) performed by 19 peers from 12 German Pension Insurances departments. The control condition focused exclusively on the application of peer review in small groups. No specifically training materials, methods and trainer instructions were used. Results: Peer-training was shown to be feasible. The level of subjective confidence in handling the peer review instrument varied between 70 and 90%. Average percentage agreement for the main outcome criterion was 60.2%, resulting in a κ\(_m\) of 0.39. By comparison, the average percentage concordance was 40.2% and the κ\(_m\) was 0.12 for the control condition. Conclusion: Concordance with the main criterion was relevant but not significant (p = 0.2) higher for SPT than for the control condition. Fleiss' kappa coefficient showed that peer concordance was higher for SPT than randomly expected. Nevertheless, a score of 0.39 for the main criterion indicated only fair inter-rater reliability, considerably lower than the conventional standard of 0.7 for adequate reliability. KW - inter-rater reliability KW - peer review KW - quality assurance KW - training curriculum KW - work capacity evaluation Y1 - 2018 U6 - http://nbn-resolving.de/urn/resolver.pl?urn:nbn:de:bvb:20-opus-175738 VL - 18 IS - 135 ER -