Art. 28 DS-GVO vorzunehmen, um nicht in jedem Einzelfall prüfen zu müssen, ob in der jeweiligen Fallgestaltung sowohl ein AV-Vertrag als auch eine Verpflichtung nach § 203 StGB erforderlich sind. Darüber hinaus kann für eine gesonderte strafrechtliche Verpflichtung nach § 203 StGB sprechen, dass im Falle von Änderungen, die gegebenenfalls zu einem späteren Zeitpunkt bei der Verpflichtungserklärung nach § 203 StGB erforderlich werden könnten, nicht gleichzeitig auch eine Anpassung des jeweiligen AV-Vertrages erfolgen müsste. Spätere Änderungen können sich gegebenenfalls im Laufe der Zeit durch Anforderungen aus der Rechtsprechung ergeben, die zum jetzigen Zeitpunkt noch nicht absehbar sind.
In Fällen, in denen ein AV-Vertrag notwendig ist und gleichzeitig eine Verpflichtung nach § 203 StGB erfolgen muss, kann es demgegenüber empfehlenswert sein, die Verpflichtungserklärung nach § 203 StGB in den AV-Vertrag zu integrieren bzw. die Verpflichtung nach § 203 StGB über Regelungen im AV-Vertrag sicherzustellen, um nicht zwei gesonderte Regelungen treffen zu müssen.
3.2.4.6 Zuständigkeit für die Verpflichtung
Der Berufsgeheimnisträger kann entweder die mitwirkende Person selbst zur Geheimhaltung verpflichten oder dies auf andere übertragen. In mehrstufigen Auftragsverhältnissen kann dies bedeuten, dass der Berufsgeheimnisträger die von ihm beauftragte mitwirkende Person selbst verpflichtet und sie gleichzeitig – beispielsweise durch eine entsprechende vertragliche Vereinbarung – verpflichtet, ihre ausführenden Mitarbeiter oder auch weitere Unterauftragnehmer, soweit der Berufsgeheimnisträger eine Unterbeauftragung gestattet, auf gleiche Weise zur Geheimhaltung zu verpflichten.81
Zunächst sind danach betroffene Ärzte selbst für die Vornahme der Verpflichtung zuständig. Da diesbezüglich jedoch eine Delegationsmöglichkeit besteht, kann die Vornahme der Verpflichtung auch durch den Krankenhausträger sichergestellt werden. Dies kann insbesondere vor dem Hintergrund sinnvoll sein, dass in der Regel die vertragliche Abrede mit einem Dienstleister im Rahmen einer AV nicht durch einzelne Ärzte, sondern durch den Krankenhausträger getroffen wird. Im Sinne einer einheitlichen Umsetzung könnte hierzu beispielsweise eine Delegation der Durchführung der Verpflichtung auf den Krankenhausträger in Arbeits- oder Dienstverträge betroffener Berufsgeheimnisträger aufgenommen werden.
3.2.4.7 Erfüllung des Tatbestandsmerkmals des »dafür Sorge Tragens«
Berufsgeheimnisträger setzen sich gemäß § 203 Abs. 4 Nr. 1 StGB selbst dem Vorwurf der Strafbarkeit aus, wenn sie nicht dafür Sorge tragen, dass eine sonstige mitwirkende Person, die unbefugt ein fremdes Geheimnis offenbart, zur Geheimhaltung verpflichtet wurde. Dazu kann es im Rahmen der Umsetzung der strafrechtlichen Verpflichtung nach § 203 StGB auch notwendig sein, dass entweder eine für den Berufsgeheimnisträger tätige Einzelperson oder ein Unternehmen zusichert, dass von der Einzelperson bzw. durch das Unternehmen eingesetztes Personal sowie gegebenenfalls das von Subunternehmen eingesetzte Personal rechtswirksam nach § 203 StGB verpflichtet wird. Im Rahmen einer solchen Fallgestaltung sichert die Einzelperson bzw. das Unternehmen zu, dass alle mit der Verarbeitung von Daten, die dem Berufsgeheimnis unterliegen, befassten Beschäftigten und andere für das Unternehmen tätige Personen, die damit befasst sind, sich in Textform dazu verpflichtet haben, über die ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenen Berufsgeheimnisse Stillschweigen zu bewahren, und diese über die mögliche Strafbarkeit nach § 203 Abs. 4 StGB belehrt wurden.
Inwieweit in Fallkonstellationen, in denen sich die sonstige mitwirkende Person weiterer mitwirkender Personen bedient, durch derartige Regelungen in gesonderten Verpflichtungserklärungen nach § 203 StGB bzw. im AV-Vertrag das Tatbestandsmerkmal des »dafür Sorge Tragens« erfüllt wird, kann derzeit allerdings nicht mit letzter Sicherheit eingeschätzt werden. Auch die juristische Kommentarliteratur gibt hierüber bislang wenig Aufschluss.82 Sollten hieran Zweifel bestehen, könnte diesbezüglich eine weitergehende vertragliche Absicherung erfolgen. Hierzu könnten beispielsweise vertragliche Abreden über Möglichkeiten des Berufsgeheimnisträgers zu stichprobenartigen Überprüfungen der vorgenommenen Verpflichtungen oder geeignete Nachweise durch den jeweiligen Dienstleister getroffen werden, z. B. wie folgt: »Der Auftraggeber/Berufsgeheimnisträger ist berechtigt, jederzeit einen geeigneten Nachweis über die rechtswirksame Verpflichtung nach § 203 StGB des durch den Auftragnehmer / das Unternehmen eingesetzte Personal sowie gegebenenfalls das von Subunternehmen eingesetzte Personal zu verlangen.«
In Fallkonstellationen, denen eine AV zugrunde liegt, könnten derartige Abreden im AV-Vertrag getroffen werden. In Fällen, in denen die Mitwirkung an der Tätigkeit eines Berufsgeheimnisträgers nicht auf Grundlage einer AV erfolgt, dürfte die Zusammenarbeit anderweitig vertraglich geregelt sein (z. B. bei einem Handwerker durch einen Werkvertrag), sodass solche Abreden in diesen Verträgen geregelt werden könnten.
3.2.4.8 Datenschutzrechtliche Verpflichtung nach Art. 28 DS-GVO
Hiervon getrennt zu sehen ist die ab dem Geltungsbeginn der DS-GVO83 erforderliche Verpflichtungserklärung nach Art. 28 Abs. 3b DS-GVO, die für den Bereich der AV-Verträge zu erfolgen hat.84 Diese Verpflichtungserklärung hat einen anderen Inhalt als die Verpflichtung nach § 203 StGB, da sie keine strafrechtlichen Folgen nach sich zieht. Die Verpflichtung nach Art. 28 Abs. 3b DS-GVO ersetzt die bisherige datenschutzrechtliche Verpflichtung nach § 5 BDSG alte Fassung85. Zusätzlich zur Verpflichtung nach § 203 StGB ist somit für den Bereich der AV-Verträge eine datenschutzrechtliche Verpflichtung nach Art. 28 Abs. 3b DS-GVO vorzunehmen.
Auch wenn die bisherige datenschutzrechtliche Verpflichtung nach § 5 BDSG alte Fassung mit dem Geltungsbeginn der DS-GVO entfallen ist, können auch die eigenen Beschäftigten nach wie vor zur Einhaltung der datenschutzrechtlichen Anforderungen der DS-GVO (vgl. Art. 5 DS-GVO) verpflichtet werden. Hierfür kann die Verpflichtungserklärung, die für den Bereich der AV-Verträge gemäß Art. 28 Abs. 3b DS-GVO verwendet wird, ebenfalls Verwendung finden.
3.2.4.9 Umsetzung der Verpflichtungen – verbändeübergreifende Muster
Die Deutsche Krankenhausgesellschaft hat verbändeübergreifend mit Herstellerverbänden und Ärzteschaft in einer gemeinsamen Arbeitsgruppe verschiedene Muster zur Umsetzung der Pflichten, die aus der Neuregelung des § 203 StGB resultieren, entwickelt. Folgende Verbände haben an der Erstellung dieser Muster mitgewirkt:
Es handelt sich im Einzelnen um folgende Muster, durch die sämtliche oben dargestellten Fallkonstellationen abgedeckt werden:86