§ 27b ThürKHG – Datenverarbeitung im Auftrag

(1) Patientendaten sind grundsätzlich im Krankenhaus zu verarbeiten. Eine Verarbeitung und Nutzung durch einen Auftragsverarbeiter ist nur zulässig, wenn

1. 1.

   sonst Störungen im Betriebsablauf nicht vermieden oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger vorgenommen werden können,

2. 2.

   die Einhaltung der Datenschutzbestimmungen dieses Gesetzes sowie eine den Voraussetzungen des § 203 des Strafgesetzbuchs entsprechende Schweigepflicht beim Auftragsverarbeiter sichergestellt ist und

3. 3.

   der Verantwortliche der Aufsichtsbehörde nach § 32 Abs. 2 rechtzeitig vor Auftragserteilung Art, Umfang und die technischen und organisatorischen Maßnahmen der beabsichtigten Datenverarbeitung im Auftrag schriftlich angezeigt hat.

(2) Im Vertrag über die Auftragsdatenverarbeitung ist sicherzustellen, dass vom Verantwortlichen oder von dessen Datenschutzkontrollbehörde veranlasste Kontrollen vom Auftragsverarbeiter jederzeit zu ermöglichen sind.

(3) Die Absätze 1 und 2 gelten entsprechend für die Wartung oder Fernwartung automatisierter Datenverarbeitungsanlagen, soweit ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.