QMedicus-Logo
Freitag, 20. September 2019
Warum auch stabile Teams QM brauchen >
< Hoher Besuch: Wie Sie Behörden-Begehungen optimal vorbereiten
10.05.2016

5 Fakten zum Datenschutzbeauftragten in der Arztpraxis

Ein einleitender Beitrag zum Thema Datenschutz, der im März erschien, führte zu einer regen Diskussion, wie der Datenschutz in Arztpraxen realisiert werden kann. Deshalb soll das Thema an dieser Stelle vertieft und offene Fragen beantwortet werden. Marion Meyer von QMedicus erläutert hier fünf wesentliche Aspekte zum Datenschutzbeauftragten (DSB) in Arztpraxen.

1. Wann braucht die Praxis einen Datenschutzbeauftragten?

§4f (1) des Bundesdatenschutzgesetzes (BDSG) sagt: „(…) nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Zu diesen „nicht-öffentlichen Stellen“ gehören auch Arztpraxen. „Personenbezogene Daten“ sind alle Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können. Daten einer „bestimmten Person“ sind zum Beispiel Name, Geburtsdatum, Anschrift, Versichertennummer etc. „Bestimmbar“ bedeutet, dass das Datum durch Rückschlüsse einer bestimmten Person zugeordnet werden kann, z.B. die IP-Adresse eines Routers dem Rechnungsempfänger oder das Kfz-Kennzeichen am Auto dem Halter. Dabei ist allerdings nicht immer eindeutig, ob dieser den Router oder das Kfz auch selbst nutzt. Bei den Datenarten unterscheidet das BDSG außerdem noch zwischen (allgemeinen) „personenbezogenen Daten“ und „Besonderen Arten personenbezogener Daten“ (§ 3 Nr. 9). Unter letzteren sind auch Gesundheitsdaten zu verstehen, die somit einen besonderen Schutz genießen. „Automatisierte Verarbeitung“ ist die Bearbeitung von Daten unter Zuhilfenahme einer Software. „Nicht-automatisiert“ wäre z.B. die Datensammlung nur auf Papier – ganz ohne EDV-Einsatz. Fazit: Wenn eine Arztpraxis mithilfe eines EDV-Systems personenbezogene Daten verarbeitet, braucht sie ab der 10. Person, die Zugang zum Computer hat, einen Datenschutzbeauftragten.

2. Wie berechnen Sie die Personenanzahl, die in Ihrer Praxis mit der Datenverarbeitung beschäftigt ist?

Das BDSG berücksichtigt bei der Berechnung der relevanten Personenanzahl nur Personen, die tatsächlich mit der Datenverarbeitung beschäftigt sind. Der Inhaber zählt hierbei nicht mit, angestellte Ärzte aber schon. Ist die 10. Person z.B. die Reinigungskraft, so verfügt die Praxis nur über neun Personen, die mit der Datenverarbeitung beschäftigt sind, und benötigt demnach keinen Datenschutzbeauftragten. Wer nur evtl. im Rahmen seiner Tätigkeit Daten einsehen kann, z.B. Patientenakten bei Reinigungsarbeiten, aber nicht zur Verarbeitung berechtigt ist, ist nicht mit der Verarbeitung beauftragt und muss nur schriftlich zur Verschwiegenheit verpflichtet werden. Eine neu gegründete Praxis, die also mehr als neun Mitarbeiter mit Zugriff auf die EDV hat, z.B. durch eine Praxisübernahme, benötigt also spätestens nach einem Monat einen DSB. Vorsicht: Auch wenn die Praxis keinen DSB bestellen muss, muss der Datenschutz selbstverständlich gewahrt werden. Verantwortlich ist letztendlich der Inhaber. Denn sonstige Verpflichtungen z.B. aus dem BDSG wie § 5 BDSG (Verpflichtung der Mitarbeiter zur Verschwiegenheit), § 4d Abs. 1 BDSG und § 4e BDSG (Erstellung einer internen Verarbeitungsübersicht), § 11 (Regelungen zur Auftragsdatenverarbeitung) etc. müssen auch ohne DSB erfüllt werden. Deshalb macht die Bestellung eines DSB auch bei einer kleineren Praxis mit viel Informationstechnik durchaus Sinn.

3. Wer kann zum DSB bestellt werden und welche Qualifikation benötigt derjenige?

Grundsätzlich kann jeder Mitarbeiter zum DSB benannt werden. Der DSB muss dann schriftlich benannt werden, weil es sich um eine Nebenabrede zum Hauptarbeitsvertrag handelt. Der DSB muss über die nötige Fachkunde und Zuverlässigkeit verfügen (§ 4f Abs. 2 Satz 1 BDSG). Zur Fachkunde zählen ein umfangreiches Wissen über das Datenschutzrecht sowie IT- und Branchenkenntnisse. Die notwendige Zuverlässigkeit ist auch bedingt durch die Tiefe der Fachkenntnis. Der DSB hat ein Recht auf Information (§ 4g Abs. 1 Satz 4 Nr. 1 BDSG) und Unterstützung durch das Unternehmen (§ 44f Abs. 5 Satz 1 BDSG). Er ist auf dem Gebiet des Datenschutzes weisungsfrei – auch gegenüber dem Arzt. Das heißt, dass der Arzt dem DSB seine Aufgaben nicht vorgeben darf. Der DSB darf nur und muss beratend tätig werden. Daher begründet sich auch der Sonderkündigungsschutz des DSB (Verbot der Ungleichbehandlung aufgrund der arbeitsrechtlichen Abhängigkeit nach § 4f Abs. 3 Satz 3 BDSG). Das heißt, er kann erst ein Jahr, nachdem ihm das Amt als DSB entzogen wurde, entlassen werden. Der Datenschutzbeauftragte hat ein Recht auf Fortbildung (§ 4f Abs. 3 Satz 7 BDSG), wobei die aufgebrachte Zeit Arbeitszeit ist. Die Fortbildungskosten hat der Arbeitgeber zu tragen. Die Inhalte angebotener Kurse sollten kritisch auf Vollständigkeit überprüft werden, denn sie decken oft nur einen Teil des Wissensspektrums ab, das der DSB beherrschen muss, um seine Aufgabe mit geforderter Sorgfalt erledigen zu können. Ein solider Kurs sollte deutlich mehr als die Zeit und Themen eines einmaligen Nachmittagskurses umfassen. Nicht zum DSB benannt werden sollten aus Gründen der Interessenkollision der Geschäftsführer, der Arzt, der EDV-Betreuer oder der Personalverantwortliche.

4. Was sind die Aufgaben des Datenschutzbeauftragten?

Der Datenschutzbeauftragte „wirkt“ auf die Einhaltung des Datenschutzes hin. Das bedeutet, dass er ein Auge auf sämtliche Belange des Datenschutzes in der Praxis haben soll. Er bewertet, ob die Gesetze korrekt umgesetzt werden oder ob etwas geändert werden muss. Zur Umsetzung berät er die Geschäftsleitung, trifft aber nicht die endgültige Entscheidung. Er kann entsprechende Formulierungen für Mitarbeiterinformationen oder Verträge aber vorbereiten.

5. Muss das Amt des DBS intern vergeben werden?

Eine langjährige und bewährte Arzthelferin ist eine verlässliche Mitarbeiterin, denn sie hat diesen Beruf gelernt und hat Freude am Umgang mit den Patienten. Das macht sie aber noch nicht zu einer qualifizierten Datenschutzbeauftragten. Denn diese Aufgabe beschäftigt sich vor allem mit Gesetzesgrundlagen und deren individueller Umsetzung. Das ist oft eine theoretische und trockene Arbeit, die aber ein hohes Maß an Genauigkeit und Kenntnis der Rechtslage erfordert. Außerdem gilt nicht nur das BDSG, sondern zum Beispiel auch das Telekommunikationsgesetz (TKG), Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Die Recherche dieser Themen und die Erarbeitung von praxisspezifischen Unterlagen erfordern sehr viel Zeit. Zeit, die dieser Mitarbeiterin dann für die Patientenversorgung fehlt. Weil das Amt des DSB sehr komplex ist und ein besonderes Bewusstsein für die Aufgabenerfüllung benötigt, darf es auch extern vergeben werden. Dies ermöglicht Ihnen den Blick über den eigenen Praxisrand und regelmäßige Informationen von außen. Außerdem müssen Sie nicht (vollständig) für seine Aus- und Fortbildungskosten aufkommen. Auch mit einem externen DSB sollte ein Vertrag geschlossen werden, der die genauen Aufgaben und Verantwortlichkeiten umfasst.

 

Autor: Marion Meyer

Marion Meyer

Unsere Blog-Autorin

Hier bloggt Marion Meyer, M.A.

  • Gründerin von QMedicus,
  • DGQ Qualitätsbeauftragte und interne Auditorin
  • Datenschutzbeauftragte IHK
  • Redakteurin

Eine Frage an die Autorin stellen.