Zum Inhalt springen

Datenschutzbeauftragter

Datenschutzbeauftragter

Das Bundesdatenschutzgesetz verpflichtet auch Arztpraxen, unter bestimmen Voraussetzungen einen betrieblichen Datenschutzbeauftragten zu bestellen. Bisher musste ein solcher Datenschutzbeauftragter bestellt werden, wenn in der Arztpraxis mehr als vier Personen mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigt sind.

Aufhebung der Grenze von vier auf neun Personen

Diese Grenze wurde nunmehr auf mehr als neun Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, aufgehoben. Weiter wurde jetzt klargestellt, dass auch Arztpraxen externe Personen zum betrieblichen Datenschutzbeauftragten bestellen können.

Der Datenschutzbeauftragte* in der Arztpraxis
*im nachstehenden Text wird die Berufsbezeichnung "Datenschutzbeauftragter" einheitlich und neutral für männliche und weibliche Datenschutzbeauftragte verwendet.

Zitat : "Was immer ich sehe und höre, bei der Behandlung oder außerhalb der Behandlung, im Leben der Menschen, so werde ich von dem, was niemals nach außen ausgeplaudert werden soll, schweigen, indem ich alles Derartige als solches betrachte, das nicht ausgesprochen werden darf" (Eid des Hippokrates, 400 v.Chr.).

I. Einleitung

Die Ärzte** (** im nachstehenden Text wird die Berufsbezeichnung "Arzt" ("Ärzte") einheitlich und neutral für Ärztinnen und Ärzte verwendet) sehen sich seit Jahren mehr und mehr einer Flut von Verordnungen, Ausführungsbestimmungen und Verwaltungsaufgaben ausgesetzt, die sie nach ihrem Berufsverständnis von der eigentlichen ärztlichen Arbeit abhalten, "Kräfte binden" und damit letztendlich nur unnötige Zeit und Kosten verursachen.

In diese Reihe als unnötig empfundener bürokratischer Eingriffe fügt sich auch die Verpflichtung des Arztes zur Vorhaltung eines Datenschutzbeauftragten in der Arztpraxis. Von vielen Ärzten wird die Verpflichtung zur Vorhaltung eines "Datenschutzbeauftragten" als zusätzliches "Administrationsmonster" empfunden.

Diese Wahrnehmung mag zwar für den einzelnen Arzt durchaus richtig und nachvollziehbar sein, ändert aber nichts an dem Umstand, dass ab einer Praxisgröße von mehr als 4 Arbeitnehmern die Vorhaltung eines Datenschutzbeauftragten eine gesetzliche Verpflichtung ist, deren Nichtbefolgung zu Bußgeldern (bis zu 25.000,00 €) wie auch zu Schadensersatz- und zivilrechtlichen Unterlassungsansprüchen führen kann.

Deshalb hat der einzelne Arzt nur die Möglichkeit, sich dieser gesetzlichen Verpflichtung zu beugen, geeignete Maßnahmen zu treffen und gleichzeitig aus der strikten Einhaltung der Datendiskretion zusätzliche Wettbewerbsvorteile für die Praxis zu gewinnen. Dabei ist vor allem zu berücksichtigen, dass die Patienten zunehmend sensibilisiert sind, wie mit ihren persönlichen Daten und Befunden in der Arztpraxis umgegangen wird. Kein Patient sieht - oder hört - es gerne, dass seine persönlichen - oder Daten und Befundungen Dritter - durch Preisgabe an der Rezeption oder im Behandlungszimmer bekannt werden. Der einzelne Arzt hat für sich und seine Praxis mit Sicherheit einen Wettbewerbsvorteil, wenn der Patient das Gefühl hat, "seine" Daten seien in der Praxis gut - und diskret - aufgehoben.

II. Die ärztliche Schweigepflicht

Der Arzt ist berufsrechtlich in größtem Umfang zur Datendiskretion verpflichtet. Die ärztliche Schweigepflicht ist nicht nur im Bundesdatenschutzgesetz (BDSG), welches grundsätzlich für alle Unternehmer und Betriebe gilt, sondern vor allem über die ärztlichen Berufsordnungen sowie das Strafgesetzbuch (§ 203 StGB "Verletzung von Privatgeheimnissen") umfassend geregelt. Dabei erschöpft sich die Verpflichtung zur Datendiskretion keineswegs in der klassischen, EDV-mäßigen Datenverarbeitung. Die Verpflichtung zum diskreten Umgang mit Patientendaten umfasst vielmehr den gesamten Praxisbetrieb vom Empfang bis zum Wartezimmer und den Behandlungsräumen, vom Telefon bis zur Patientenakte von der praxisinternen Datenübermittlung zwischen Arzt, Mitarbeitern und Patient sowie der Weitergabe von Patientendaten an gesetzliche und private Krankenversicherungen, den Medizinischen Dienst der Kassen (MdK), privatärztliche Verrechnungsstellen (PVS), an externe Ärzte zur Weiterbehandlung des Patienten wie auch die Übermittlung von Daten an Dritte, beispielsweise Arbeitgeber oder Angehörige.

Dabei hat das Recht des Patienten auf Datendiskretion und das verfassungsrechtliche Gebot der "informationellen Selbstbestimmung" im gesamten Umgang mit Patientendaten allergrößten Vorrang. Die Weitergabe von Patientendaten ist ganz überwiegend von der ausdrücklichen Zustimmung des Patienten abhängig, die nicht dadurch bereits unterstellt werden kann, dass sich der Patient in die ärztliche Behandlung begibt.

III. Voraussetzungen für die Bestellung eines betrieblichen Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter ist zwingend zu bestellen, wenn in der Arztpraxis mehr als 4 Arbeitnehmer regelmäßig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind. Dabei spielt es keine Rolle, ob es sich bei den beschäftigten Mitarbeitern um Voll- oder Teilzeitkräfte handelt; § 4f Abs. 1 BDSG stellt ausschließlich auf die Anzahl der beschäftigten Personen ab. Mit der automatisierten Verarbeitung von personenbezogenen Daten sind nicht nur die Mitarbeiter am Patientenempfang sondern auch diejenigen Mitarbeiter befasst, die während oder nach der Behandlung Befunde erfassen oder archivieren, die Honorarrechnungen erstellen, Zahlungseingänge überwachen oder Befunde an Dritte weiterleiten. Als Arbeitnehmer im Sinne des BDSG sind auch Auszubildende zu behandeln.

IV. Bestellung des Datenschutzbeauftragten

Zum Datenschutzbeauftragten können sowohl Betriebsangehörige als auch externe Personen bestellt werden. Nicht zulässig ist, dass der Praxisinhaber sich selbst zum Datenschutzbeauftragten erklärt. Die Vorstellung des Gesetzgebers geht vielmehr dahin, dass zur Einhaltung und Kontrolle eines umfassenden Datenschutzes in der Praxis der Datenschutzbeauftragte als weisungsunabhängiger Berater dem Praxisinhaber zur Seite gestellt wird. Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Im Regelfall wird deshalb ein Mitarbeiter zu bestellen sein, der bereits über Erfahrungen mit dem Praxisablauf und insbesondere der elektronischen Datenverarbeitung hat. Darüber hinaus wird es regelmäßig notwendig sein, dass dem Mitarbeiter Gelegenheit gegeben wird, sich für die Aufgaben des Datenschutzbeauftragten entsprechend fortzubilden. Die Fortbildungskosten hat der Arzt zu tragen. Dem Datenschutzbeauftragten ist auch im Praxisablauf ausreichend Zeit zur Verfügung zu stellen, um seine entsprechenden Aufgaben zu erfüllen. Dabei wird
sich der zeitliche Umfang je nach Praxisgröße und -Organisation auf 5 -10 % der regelmäßigen Wochenarbeitszeit belaufen, wobei der Arbeitsanfall insbesondere bei Aufnahme der Tätigkeit und insbesondere bei der Analyse der in der Praxis anfallenden Datenübermittlungen sicherlich höher sein wird.
Der Datenschutzbeauftragte ist hinsichtlich seiner Aufgabenerfüllung dem Arzt gegenüber nicht weisungsgebunden und genießt einen erhöhten Kündigungsschutz. Er ist berechtigt, zur Erfüllung seiner Aufgaben sich direkt auch mit der zuständigen Datenschutzbehörde in Verbindung zu setzen.

V. Aufgaben des Datenschutzbeauftragten

Zu den Aufgaben des Datenschutzbeauftragten gehört insbesondere: Analyse der Verfahrensabläufe in der Praxis:
Zunächst ist der Datenschutzbeauftragte verpflichtet, eine Bestandsaufnahme über die in der Praxis gehandhabte Form der Datenerfassung und -Verarbeitung zu erstellen. Nach der gesetzlichen "Idealvorstellung" soll dies anhand eines vom Arzt für die Praxis bereits erstellten Verfahrensverzeichnis erfolgen; tatsächlich wird aber im Regelfall die Erstellung eines entsprechenden dokumentierten Verfahrensablaufs die erste Aufgabe des Datenschutzbeauftragten sein.
Kontinuierliche Überwachung:
Die Hauptaufgabe des Datenschutzbeauftragten liegt in der kontinuierlichen Begleitung sämtlicher Datenerfassungsvorgänge in der Praxis. Hierzu gehört die Kontrolle der verwendeten EDV-Programme, die Überprüfung der rechtlichen Zulässigkeit von Datenverarbeitungsvorgängen, insbesondere die Datenweitergabe an Dritte, der Schutz von Geschäftspartner- und Arbeitnehmerdaten in der Praxis, die Kontrolle der Datenarchivierung und -Vernichtung, Überwachung der EDV-Anlage (Bildschirmschoner, Passwortschutz, eMail-Verkehr, Internetsicherheit).
Zu diesen Aufgaben gehört aber auch die Beratung und Überwachung der übrigen Mitarbeiter im Hinblick auf den Umgang mit Patientendaten. Dies reicht von der Diskretion bei der Abfrage von Patientendaten am Empfang, im Wartezimmer und im Behandlungsraum bis zur Handhabung und diskreten Umsetzung des Telefondienstes sowie der Datenübertragung per Telefax.

Darüber hinaus ist der Datenschutzbeauftragte auch Ansprechpartner im Falle von Patientenanfragen. Insgesamt soll der Datenschutzbeauftragte den Arzt bei der Umsetzung sämtlicher datenschutz- und berufsrechtlicher Vorgaben im Umgang mit Patientendaten unterstützen.

VI. Interne oder externe Datenschutzbeauftragte

Mittlerweile ist weitgehend unstreitig, dass sich auch der Arzt statt eines Mitarbeiters der Praxis eines externen Dienstleisters zur Übernahme der Aufgaben des Datenschutz-beauftragten bedienen kann. Datenschutzrechtlich ist dies durch die Neuregelung in § 4f Abs. 2 BDSG ausdrücklich gestattet. Teilweise wird noch die Auffassung vertreten, dass ärztliches Berufsrecht im Hinblick auf die Besonderheiten der Schweigepflicht dem entgegensteht; hierbei handelt es sich aber um eine Mindermeinung. Im Zweifel kann der Arzt sich entweder vom externen Dienstleister die Zulässigkeit vertraglich bestätigen lassen oder über die zuständige KV die Zulässigkeit abstimmen.

Die Frage, ob ein externer Dienstleister als Datenschutzbeauftragter der Bestellung eines Mitarbeiters der Praxis vorzuziehen ist, kann nicht pauschal beantwortet werden. Für die Wahl eines externen Dienstleisters können u.U. Kostengesichtspunkte wie auch die Vermeidung eines zusätzlichen Kündigungsschutzes sprechen. Darüber hinaus verfügen die Anbieter derartiger Dienstleistungen häufig über ein praxisübergreifendes Know How, welches der Arzt sich auf diese Weise einkauft.

Andererseits wird ein aus dem Praxispersonal bestimmter Datenschutzbeauftragter sich bei entsprechender Eignung sicherlich wesentlich besser in die spezifischen Anforderungen und Vorgaben des Praxisablaufs der einzelnen Arztpraxis "hinein denken" können und insoweit "praxisnähere" Lösungen für den konkreten Umgang mit den Patientendaten erarbeiten können.

VII. Zusammenfassung

Insbesondere in der Arztpraxis sollte die strikte Einhaltung sämtlicher datenschutz- und berufsrechtlicher Vorgaben oberstes Gebot sein. Die Bestellung eines Datenschutzbeauftragten mag zwar für den Arzt als zusätzlicher "Bürokratisierungsaufwand und Kostenstelle" empfunden werden. Dennoch führt an der Bestellung eines Datenschutzbeauftragten im Ergebnis kein Weg vorbei, da eine entsprechende gesetzliche Verpflichtung besteht, deren Nichtbeachtung mit Bußgeldern bis zu 25.000,00 € geahndet werden kann. Deshalb sollte die Verpflichtung zur Bestellung eines Datenschutzbeauftragten vom Arzt im Ergebnis als Chance für die Steigerung der Patientenzufriedenheit und zur allgemeinen Qualitätssteigerung der Praxis verstanden werden. Daneben kann ein gut ausgebildeter und informierter Datenschutzbeauftragter dem Arzt auch in großem Umfang organisatorische Aufgaben im Praxisablauf abnehmen. Wenn durch einen optimal diskreten Umgang mit Patientendaten die Patientenzufriedenheit und die Praxisanbindung steigen, ist die Bestellung eines Datenschutzbeauftragten allemal gut investiertes Geld.

Zur weiteren Vertiefung und konkreten Umsetzung sei abschließend auf die sehr lesens-werten Ausführungen bspw. des Landesbeauftragten für den Datenschutz Niedersachsen (www.lfd.niedersachen.de "Datenschutz in der Arztpraxis") oder der Landesärztekammer Baden-Württemberg (www.aerztekammer-bw.de "Datenschutz in der Arztpraxis") hingewiesen.

RA Ulrich Gruler, August 2006