Christian Ehrmann

• Nach der vorliegenden Untersuchung zum Outsourcing medizinischer Daten aus strafrechtlicher Sicht kann folgendes Gesamtergebnis festgehalten werden. Beim Outsourcing medizinischer Daten sind regelmäßig personenbezogene Informationen betroffen. Personenbezogene Information umfasst als Oberbegriff „Geheimnisse“ i.S.v. § 203 StGB sowie personenbezogene Daten im Sinne des Datenschutzrechts. Bei der Bestimmung des Personenbezuges ist es trotz der grundsätzlichen Parallelgeltung von Datenschutzrecht und § 203 StGB zulässig, auf Grundsätze aus demNach der vorliegenden Untersuchung zum Outsourcing medizinischer Daten aus strafrechtlicher Sicht kann folgendes Gesamtergebnis festgehalten werden. Beim Outsourcing medizinischer Daten sind regelmäßig personenbezogene Informationen betroffen. Personenbezogene Information umfasst als Oberbegriff „Geheimnisse“ i.S.v. § 203 StGB sowie personenbezogene Daten im Sinne des Datenschutzrechts. Bei der Bestimmung des Personenbezuges ist es trotz der grundsätzlichen Parallelgeltung von Datenschutzrecht und § 203 StGB zulässig, auf Grundsätze aus dem Datenschutzrecht zurückzugreifen. Für den Outsourcer medizinischer Daten droht eine Strafbarkeit nach § 203 StGB, wenn private IT-Dienstleistungsunternehmen vom schweigepflichtigen Outsourcer zur Erledigung von Aufgaben herangezogen werden und in Kontakt mit den Geheimnissen geraten. Daneben kann sich eine Strafbarkeit im Wege der Teilnahme an einer nach § 203 StGB strafbaren Geheimnisverletzung ergeben. Bei Sachverhalten mit Auslandsbezug kann es dabei zu einer Anwendung deutschen Strafrechts kommen, wenn die Teilnahmehandlung im Inland sich auf ein im Ausland erfolgendes Outsourcing bezieht oder die Teilnahmehandlung im Ausland sich auf ein im Inland erfolgendes Outsourcing bezieht. Bei § 85a SGB X und § 44 BDSG können sich ausländische Outsourcingpartner auch als Mittäter strafbar machen, da es sich bei diesen Delikten nicht um Sonderdelikte handelt. Allerdings lässt sich durch eine entsprechende Gestaltung des Outsourcingvorhabens im Einzelfall, unabhängig davon, ob ein Schweigepflichtiger nach § 203 Abs. 1 oder Abs. 2 StGB betroffen ist, eine Strafbarkeit vermeiden. Ansatz ist dabei die Tatbestandsebene des § 203 StGB, nämlich das Merkmal „Geheimnis“ sowie das Merkmal „Offenbaren“. So kann einerseits durch eine wirksame Verschlüsselung ein „Geheimnis“ i.S.v. § 203 StGB entfallen. Andererseits besteht die Möglichkeit, Mitarbeiter des privaten externen Dienstleistungsunternehmens als Gehilfen in den Kreis der zum Wissen Berufenen zu integrieren. Hierzu muss der Dritte an die Funktion des Schweigepflichtigen so angebunden werden, dass aus objektiv-normativer Sicht von einer tatbestandlichen Verantwortungseinheit gesprochen werden kann. Auf der Ebene der Rechtswidrigkeit lässt sich der Gefahr einer Strafbarkeit nach § 203 StGB durch eine Einwilligung begegnen. Außerhalb des Rechtfertigungsgrundes der Einwilligung bestehen für das Outsourcing von medizinischen Daten regelmäßig keine strafrechtlichen Erlaubnissätze. Allenfalls in unvorhergesehenen Ausnahmesituationen ist eine Rechtfertigung nach § 34 StGB denkbar. Für den Regelfall des Outsourcings ist § 34 StGB nicht als Rechtfertigungsgrund tauglich. Neben einer Strafbarkeit nach § 203 StGB kommt beim Outsourcing medizinischer Daten eine Strafbarkeit nach § 44 BDSG bzw. nach entsprechenden Vorschriften der Landesdatenschutzgesetze sowie eine Strafbarkeit nach § 85a SGB X in Betracht. Die Gefahr einer Strafbarkeit kann ausgeschlossen werden, wenn das Outsourcing datenschutzrechtlich bzw. sozialrechtlich zulässig ist. Neben der Möglichkeit einer Einwilligung, die nur ausdrücklich erfolgen kann, ist die Zulässigkeit eines Outsourcings medizinischer Daten über eine Ausgestaltung als Auftragsdatenverarbeitung erreichbar. Vorschriften zur Auftragsdatenverarbeitung existieren sowohl im Datenschutzrecht als auch im Sozialrecht. Diese Vorschriften ermöglichen, sofern nicht spezielle Vorschriften des sektorspezifischen Datenschutzrechts wie beispielsweise Art. 27 Bayerisches Krankenhausgesetz entgegenstehen, in bestimmten Grenzen ein Outsourcing medizinischer Daten unter Beteiligung privater IT-Dienstleistungsunternehmen. Die Normen der Auftragsdatenverarbeitung ermöglichen nicht eine selbständige und eigenverantwortliche Aufgabenerfüllung durch den Outsourcingnehmer im Sinne einer Funktionsübertragung. Vielmehr muss der Outsourcer nach einer Gesamtbetrachtung das Gesamtgeschehen erkennbar beherrschen und steuern. Die Aufgabe darf nicht durch den Auftraggeber insgesamt aus den Händen gegeben werden. Andere Vorschriften, die eine Funktionsübertragung beim Outsourcing medizinischer Daten ermöglichen würden, bestehen nicht. Die straflose Möglichkeit des Outsourcings medizinischer Daten hängt von der Gestaltung im Einzelfall ab. Dies kann unter dem Aspekt der Rechtssicherheit und Rechtsklarheit beklagt werden. Wünschenswert ist eine bundeseinheitliche Regelung, die das Outsourcing strafrechtlich regelt. Unter den verschiedenen gesetzgeberischen Möglichkeiten ist eine Neuregelung des § 203 StGB zu favorisieren.…
• Following the present analysis, from a criminal law perspective, on outsourcing medical data, the following overall result can be recorded. When outsourcing medical data, personal information is routinely affected. Under the umbrella term "secrets”, personal data includes personal information in terms of § 203 of the Criminal Code (StGB) as well as personal data in terms of the data protection act. When defining personal reference it is permitted, in spite of the basic parallel validity of the data protection act and § 203 StGB, to refer toFollowing the present analysis, from a criminal law perspective, on outsourcing medical data, the following overall result can be recorded. When outsourcing medical data, personal information is routinely affected. Under the umbrella term "secrets”, personal data includes personal information in terms of § 203 of the Criminal Code (StGB) as well as personal data in terms of the data protection act. When defining personal reference it is permitted, in spite of the basic parallel validity of the data protection act and § 203 StGB, to refer to principles from the data protection act. For the outsourcer of medical data, there is a risk of culpability pursuant to § 203 StGB if private IT service companies are enlisted by the outsourcer, who is sworn to secrecy, to fulfil tasks and come in contact with secrets. In addition, culpability can result from participating in a breach of secrecy that is punishable pursuant to § 203 StGB. For facts and circumstances involving a foreign element, this can result in German criminal law being applied if the domestic participation deed refers to outsourcing that is taking place abroad, or if the participation deed abroad refers to outsourcing that is taking place inland. For § 85a Social Act X (SGB X) and § 44 Federal Data Protection Act (BDSG), foreign outsourcing partners can also be liable to prosecution as co-perpetrators, as these delicts are not special delicts. However, culpability can be avoided by means of a corresponding configuration of the outsourcing proposal in a given case, regardless of whether a person sworn to secrecy pursuant to § 203 para. 1 or para. 2 StGB is affected. The objective here is the basis of the facts of the case of § 203 StGB, in particular the characteristic "secret" as well as the characteristic "disclosure". Thus, on the one hand, a "secret" in terms of § 203 StGB can be cancelled by effective encryption. On the other hand, there is the option of integrating employees working for the private external service companies into the circle of authorized persons as assistants. For this purpose, the third party must be tied to the function of the person sworn to secrecy such that, from an objective-normative point of view, it can be referred to as a factual responsibility unit. On the level of unlawfulness, the risk of culpability can be met pursuant to § 203 StGB by consent. Outside of the grounds of justification of consent, there are consistently no criminal consent principles for outsourcing medical data. In unforeseen exceptional situations, justification pursuant to § 34 StGB is conceivable, at best. § 34 StGB is not a suitable ground of justification for the typical outsourcing case. Apart from culpability pursuant to § 203 StGB, culpability pursuant to § 44 BDSG resp. pursuant to relevant provisions of the Federal Data Protection Act, as well as culpability pursuant to § 85a SGB X, comes into consideration for outsourcing of medical data. The risk of culpability can be ruled out if outsourcing is permitted by data protection or social legislation. Apart from the possibility of consent which can only be obtained expressly, the admissibility of outsourcing medical data can be achieved by commissioning the data processing. There are regulations on commissioning data processing both in data protection as well as in social legislation. These regulations allow for the outsourcing of medical data up to a certain point, unless they are opposed by specific regulations of the branch-specific data protection law, such as for example Art. 27 of the Bavarian Hospital Law, with the participation of private IT service companies. The norms of commissioned data processing do not allow the outsourcee to independently and autonomously fulfil tasks, in terms of a transfer of functions. Instead, the outsourcer must discernibly be in control of and direct the overall events following an overall inspection. The employer must not let the task slip away completely. There are no other regulations that would facilitate transfer of functions for outsourcing medical data. Outsourcing medical data with impunity depends on the configuration in a given case. This can be criticised in terms of legal security and legal clarity. A uniform federal criminal law regulation that controls outsourcing is desirable. Out of the various legislative options, reorganisation of § 203 StGB should be favoured.…