Versionsverlauf

§ 13a SKHG - Datenverarbeitung im Auftrag

Bibliographie

Titel
Gesetz Nr. 1573 Saarländisches Krankenhausgesetz
Redaktionelle Abkürzung
SKHG,SL
Normtyp
Gesetz
Normgeber
Saarland
Gliederungs-Nr.
2126-3

(1) Der Krankenhausträger darf die Verarbeitung von Patientendaten einem Auftragnehmer übertragen, wenn

  1. 1.

    Störungen im Betriebsablauf sonst nicht vermieden werden können,

  2. 2.

    die Datenverarbeitung dadurch erheblich kostengünstiger gestaltet werden kann oder

  3. 3.

    das Krankenhaus seinen Betrieb einstellt.

Vor der Erteilung eines Auftrags zur Verarbeitung von Patientendaten außerhalb des Krankenhauses ist zu prüfen, ob dies im wohlverstandenen Interesse der Patientin oder des Patienten liegt oder der Zweck auch mit verschlüsselten oder pseudonymisierten Patientendaten erreicht werden kann.

(2) Eine über drei Monate hinausgehende Speicherung von Patientendaten durch einen Auftragnehmer ist außerhalb des Krankenhauses nur zulässig, wenn die Patientendaten auf getrennten Datenträgern gespeichert sind, die der Auftragnehmer für den Krankenhausträger verwahrt.

(3) Der Auftragnehmer ist vom Krankenhausträger sorgfältig auszuwählen. Die Einzelheiten des Auftrags und die vom Auftragnehmer zu treffenden technischen und organisatorischen Sicherungsmaßnahmen sind schriftlich oder elektronisch zu vereinbaren. Eine Abschrift der Vereinbarung hat der Krankenhausträger dem Unabhängigen Datenschutzzentrum Saarland und der Krankenhausaufsichtsbehörde unverzüglich zu übersenden.

(4) Der Auftragnehmer darf die ihm überlassenen Patientendaten nur im Rahmen des Auftrags und der Weisungen des Krankenhausträgers verarbeiten. Sofern die §§ 13 und 14 für den Auftragnehmer nicht gelten, hat der Krankenhausträger sicherzustellen, dass der Auftragnehmer diese Vorschriften entsprechend anwendet und sich insoweit der Kontrolle des/der Landesbeauftragten für Datenschutz und Informationsfreiheit unterwirft.

(5) Eine Übertragung des Auftrags auf Dritte oder die Erteilung von Unteraufträgen ist nur mit Zustimmung des Krankenhausträgers zulässig. Die Absätze 2 bis 4 gelten entsprechend.

(6) Übernimmt ein Auftragnehmer nach einer Betriebsaufgabe eines Krankenhauses oder nach einer Umwandlung eines Krankenhauses in eine nicht akutstationäre Versorgungseinrichtung den gesamten Bestand der Patientendaten, gelten für ihn als verantwortliche Stelle hinsichtlich der Verarbeitung dieser Daten die Vorschriften dieses Abschnitts. Bei der Übernahme ist vertraglich sicherzustellen, dass die Patientinnen und Patienten für die Dauer von zehn Jahren nach Abschluss der Behandlung oder Untersuchung auf Verlangen in gleicher Weise wie bisher beim Krankenhaus Auskunft und Einsicht erhalten.

(7) Die konkrete Ausgestaltung der Auftragsverarbeitung durch den Auftragsverarbeiter regelt Artikel 28 der Verordnung (EU) 2016/679.