Wissen Sie, ob Ihre Arztpraxis einen Datenschutzbeauftragten braucht – oder nicht? Und wenn ja, wie er qualifiziert sein muss? In diesem Beitrag erläutere ich Ihnen fünf wesentliche Aspekte zum Datenschutzbeauftragten (DSB) in Arztpraxen.
1. Wann braucht die Praxis einen Datenschutzbeauftragten?
Gemäß Art. 37 DSGVO muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn es in größerem Umfang Gesundheitsdaten, so genannte besondere personenbezogene Daten, verarbeitet: “(1) Der Verantwortliche (…) benennen auf jeden Fall einen Datenschutzbeauftragten, wenn (…) c) die Kerntätigkeit des Verantwortlichen (…) in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (…) besteht.”
§ 38 des Bundesdatenschutzgesetzes (“Datenschutzbeauftragte nichtöffentlicher Stellen”) führt dazu weiter aus, dass der Verantwortliche einen Datenschutzbeauftragten benennen muss, soweit er in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Mit der “automatisierten Verarbeitung” sind Arbeiten am PC gemeint, d.h. z.B. Reinigungskräfte oder Hausmeister zählen nicht mit. Ungeklärt ist, ob die Inhaber mit eingerechnet werden müssen – es ist zu empfehlen.
In der ersten Fassung des BDSG, nach der Anpassung an die DSGVO, waren es noch 10 Personen. Dies wurde 2019 auf 20 angehoben.
Zu diesen „nicht-öffentlichen Stellen“ gehören auch Arztpraxen. „Personenbezogene Daten“ sind alle Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können. Daten einer „bestimmten Person“ sind zum Beispiel Name, Geburtsdatum, Anschrift, Versichertennummer etc. „Bestimmbar“ bedeutet, dass das Datum durch Rückschlüsse einer bestimmten Person zugeordnet werden kann, z.B. die IP-Adresse eines Routers dem Rechnungsempfänger oder das Kfz-Kennzeichen am Auto dem Halter. Dabei ist allerdings nicht immer eindeutig, ob dieser den Router oder das Kfz auch selbst nutzt. IP-Adressen von Smartphones werden heute aber definitiv den personenbezogenen Daten zugeordnet. Bei den Datenarten unterscheiden die Datenschutzgesetze außerdem noch zwischen (allgemeinen) „personenbezogenen Daten“ und „Besonderen Arten personenbezogener Daten“. Unter letzteren sind auch Gesundheitsdaten zu verstehen, die somit einen besonderen Schutz genießen. „Automatisierte Verarbeitung“ ist die Bearbeitung von Daten unter Zuhilfenahme einer Software. „Nicht-automatisiert“ wäre z.B. die Datensammlung nur auf Papier – ganz ohne EDV-Einsatz. Fazit: Wenn eine Arztpraxis mithilfe eines EDV-Systems personenbezogene Daten verarbeitet, braucht sie bei einem Arzt ab der 20. Person (eher unrealistisch), die Zugang zum Computer hat, einen Datenschutzbeauftragten, und ab 2 Ärzten unabhängig von der Mitarbeiteranzahl.
2. Wie berechnen Sie die Personenanzahl, die in Ihrer Praxis mit der Datenverarbeitung beschäftigt ist?
Das BDSG berücksichtigt bei der Berechnung der relevanten Personenanzahl nur Personen, die tatsächlich mit der Datenverarbeitung beschäftigt sind. Der Inhaber zählte hierbei nach dem BDSG nicht mit, nach der DSGVO vermutlich schon – dies ist nicht final geklärt. Angestellte Ärzte zählten aber schon immer. Ist die 10. bzw. 20. Person z.B. die Reinigungskraft, so verfügt die Praxis nur über 9 bzw. 19 Personen, die mit der Datenverarbeitung beschäftigt sind, und benötigt demnach keinen Datenschutzbeauftragten. Wer nur evtl. im Rahmen seiner Tätigkeit Daten einsehen kann, z.B. Patientenakten bei Reinigungsarbeiten, aber nicht zur Verarbeitung berechtigt ist, ist nicht mit der Verarbeitung beauftragt und muss nur schriftlich zur Verschwiegenheit verpflichtet werden. Eine neu gegründete Praxis, die also mehr als neun Mitarbeiter mit Zugriff auf die EDV hat, z.B. durch eine Praxisübernahme, benötigt also spätestens nach einem Monat einen DSB. Vorsicht: Auch wenn die Praxis keinen DSB bestellen muss, muss der Datenschutz selbstverständlich gewahrt werden. Verantwortlich ist letztendlich der Inhaber. Denn sonstige Verpflichtungen z.B. aus dem BDSG wie § 5 BDSG (Verpflichtung der Mitarbeiter zur Verschwiegenheit), § 4d Abs. 1 BDSG und § 4e BDSG (Erstellung einer internen Verarbeitungsübersicht), § 11 (Regelungen zur Auftragsdatenverarbeitung) etc. müssen auch ohne DSB erfüllt werden. Deshalb macht die Bestellung eines DSB auch bei einer kleineren Praxis mit viel Informationstechnik durchaus Sinn.
3. Wer kann zum DSB bestellt werden und welche Qualifikation benötigt derjenige?
Grundsätzlich kann jeder Mitarbeiter zum DSB benannt werden. Der DSB muss dann schriftlich benannt werden, weil es sich um eine Nebenabrede zum Hauptarbeitsvertrag handelt. Der DSB muss über die nötige Fachkunde und Zuverlässigkeit verfügen. Zur Fachkunde zählen ein umfangreiches Wissen über das Datenschutzrecht sowie IT- und Branchenkenntnisse. Die notwendige Zuverlässigkeit ist auch bedingt durch die Tiefe der Fachkenntnis. Der DSB hat ein Recht auf Information und Unterstützung durch das Unternehmen. Er ist auf dem Gebiet des Datenschutzes weisungsfrei – auch gegenüber dem Arzt. Das heißt, dass der Arzt dem DSB seine Aufgaben nicht vorgeben darf. Der DSB darf nur und muss beratend tätig werden. Daher begründet sich auch der Sonderkündigungsschutz des DSB (Verbot der Ungleichbehandlung aufgrund der arbeitsrechtlichen Abhängigkeit nach BDSG). Das heißt, er kann erst ein Jahr, nachdem ihm das Amt als DSB entzogen wurde, entlassen werden. Der Datenschutzbeauftragte hat ein Recht auf Fortbildung, wobei die aufgebrachte Zeit Arbeitszeit ist. Die Fortbildungskosten hat der Arbeitgeber zu tragen. Die Inhalte angebotener Kurse sollten kritisch auf Vollständigkeit überprüft werden, denn sie decken oft nur einen Teil des Wissensspektrums ab, das der DSB beherrschen muss, um seine Aufgabe mit geforderter Sorgfalt erledigen zu können. Ein solider Kurs sollte deutlich mehr als die Zeit und Themen eines einmaligen Nachmittagskurses umfassen. Nicht zum DSB benannt werden sollten aus Gründen der Interessenkollision der Geschäftsführer, der Arzt, der EDV-Betreuer oder der Personalverantwortliche.
4. Was sind die Aufgaben des Datenschutzbeauftragten?
Der Datenschutzbeauftragte „wirkt“ auf die Einhaltung des Datenschutzes hin. Das bedeutet, dass er ein Auge auf sämtliche Belange des Datenschutzes in der Praxis haben soll. Er bewertet, ob die Gesetze korrekt umgesetzt werden oder ob etwas geändert werden muss. Zur Umsetzung berät er die Geschäftsleitung, trifft aber nicht die endgültige Entscheidung. Er kann entsprechende Formulierungen für Mitarbeiterinformationen oder Verträge aber vorbereiten.
5. Muss das Amt des DSB intern vergeben werden?
Eine langjährige und bewährte Arzthelferin / MFAs ist eine verlässliche Mitarbeiterin, denn sie hat diesen Beruf gelernt und hat Freude am Umgang mit den Patienten. Das macht sie aber noch nicht zu einer qualifizierten Datenschutzbeauftragten. Denn diese Aufgabe beschäftigt sich vor allem mit Gesetzesgrundlagen und deren individueller Umsetzung. Das ist oft eine theoretische und trockene Arbeit, die aber ein hohes Maß an Genauigkeit und Kenntnis der Rechtslage erfordert. Außerdem gelten nicht nur die DSGVO und das BDSG, sondern zum Beispiel auch das Telekommunikationsgesetz (TKG), Telemediengesetz (TMG) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Die Recherche dieser Themen und die Erarbeitung von praxisspezifischen Unterlagen erfordern sehr viel Zeit. Zeit, die dieser Mitarbeiterin dann für die Patientenversorgung fehlt. Weil das Amt des DSB sehr komplex ist und ein besonderes Bewusstsein für die Aufgabenerfüllung benötigt, darf es auch extern vergeben werden. Dies ermöglicht Ihnen den Blick über den eigenen Praxisrand und regelmäßige Informationen von außen. Außerdem müssen Sie nicht (vollständig) für seine Aus- und Fortbildungskosten aufkommen. Auch mit einem externen DSB sollte ein Vertrag geschlossen werden, der die genauen Aufgaben und Verantwortlichkeiten umfasst.
Sie wissen nicht, wen Sie für Ihre Praxis zum Datenschutzbeauftragten bestellen sollen? Da Sie dieses Amt auch extern vergeben können, können wir dieses Amt auch mit unserer langjährigen Erfahrung für Arztpraxen übernehmen. Mehr dazu im Rahmen unserer Datenschutz-Beratungen unter https://www.qmedicus.de/main/leistungen/qm-beratung/ .
Oder lernen Sie selbst, worauf es beim Datenschutz ankommt in unseren kompakten und jederzeit verfügbaren eLearnings zum Datenschutz.
Dieser Artikel erschien ursprünglich auch auf https://www.coliquio.de/
Wenn Sie informiert werden möchten, wenn ein neuer Blog-Beitrag erschienen ist, dann abonnieren Sie gerne unseren Newsletter:
Die Datenschutzbestimmungen im Arzthaftungsrecht sind von entscheidender Bedeutung für die reibungslose Funktion einer Arztpraxis. Besonders wichtig ist die klare Bestimmung, wann eine Praxis einen Datenschutzbeauftragten benötigt, basierend auf der Art und dem Umfang der Datenverarbeitung. Zudem ist die Frage der Qualifikation und der Aufgabenbereiche des Datenschutzbeauftragten entscheidend für die Einhaltung der gesetzlichen Vorgaben und die Gewährleistung eines angemessenen Datenschutzniveaus. Die Möglichkeit, das Amt des Datenschutzbeauftragten auch extern zu vergeben, bietet Praxen die Chance auf eine professionelle und effiziente Lösung, die den Anforderungen des Arzthaftungsrechts gerecht wird.