Die notwendigen Qualifikationen des Datenschutzbeauftragten in der Arztpraxis

Veröffentlicht von

Wann eine Arztpraxis einen Datenschutzbeauftragten benötigt, hatten wir in unserem Blog-Beitrag „5 Fakten zum Datenschutzbeauftragten in der Arztpraxis“ bereits geklärt. In diesem Blog-Beitrag soll es nun darum gehen, über welche Qualifikationen der Datenschutzbeauftragte verfügen sollte.

Über welche Qualifikationen der Datenschutzbeauftragte verfügen muss, wird sehr kurz in Art. 37 Abs. 5 DSGVO erläutert: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Gut, doch was heißt das nun für Arztpraxen?

Anforderungen an den Datenschutzbeauftragten in einer Arztpraxis

Der Datenschutzbeauftragte einer Praxis sollte über folgendes Fachwissen verfügen:

  • Kenntnisse über das Datenschutzrecht im Allgemeinen und speziell für das Gesundheitswesen, konkret Arztpraxen (das sind Gesetze und Verordnungen wie BDSG, TMG, TKG, BMV-Ä, Empfehlungen der BÄK und der KBV, ggf. UWG)
  • Grundkenntnisse zu EDV und IT (EDV = Elektronische Datenverarbeitungen, IT = Information Technology / Informationstechnik), d.h. er sollte in Grundzügen verstehen, wie Desktop- und Online-Programme (Websites) funktionieren – auch Basis-Programmierkenntnisse schaden nicht
  • branchenspezifische Kenntnisse, d.h. in einer Arztpraxis Kenntnisse über den Umgang mit Patientendaten und über Besonderheiten des Gesundheitswesens

Kurs zum Datenschutzbeauftragten – Pflicht oder Kür?

Diese Qualifikationen muss der Datenschutzbeauftragte über mindestens einen Kurs nachweisen. In der Regel sollte der Datenschutzbeauftragte einen Lehrgang mit abschließender Personenqualifizierung belegen. Solche werden z.B. von renommierten Anbietern wie dem TÜV, der Dekra, der DGQ oder der IHK angeboten. Die Vorbereitung auf die Prüfung erfolgt über mehrere Tage, Wochen oder Monate (z.B. im Selbststudium). Nur wer solch eine umfassende Ausbildung erhält, wird anschließend in der Lage sein, auch den Umfang der notwendigen Datenschutz-Maßnahmen in der eigenen Praxis zu erkennen und kann angemessen handeln.

Datenschutz-Kurse mancher Anbieter über einmalig 3 Stunden z.B. sind in der Regel nicht ausreichend, denn das Thema „Datenschutz und Datensicherheit“ ist dafür zu umfangreich. Solche Kurse können höchstens eine Einleitung in das Thema darstellen.

Externer Datenschutzbeauftragter

Die Anforderungen an die Qualifikation des Datenschutzbeauftragten sind also durchaus komplex – und der Datenschutzbeauftragte muss sich ständig weiterbilden. Das kann nicht jede Arztpraxis leisten bzw. gibt es nicht in jeder Arztpraxis eine Person, die überhaupt das Amt des Datenschutzbeauftragten übernehmen möchte. Deshalb darf diese Aufgabe auch an eine externe Person vergeben werden. Deshalb übernehmen wir von QMedicus auch das Amt des Datenschutzbeauftragten für verschiedene Arztpraxen – mehr dazu auf unserer Website unter https://www.qmedicus.de/main/leistungen/qm-beratung/.

Wer übernimmt die Kosten für den Kurs?

Wenn die Praxis intern einen Mitarbeiter zum Datenschutzbeauftragten ausbilden möchte, trägt der Arbeitgeber die Kosten, wie bei anderen Schulungen auch, denn es handelt sich um eine 100%-berufliche Ausbildung. Dazu zählen auch Arbeitsmaterialien, Fahrt- und Übernachtungskosten.

Und die Ausbildung zählt als Arbeitszeit so wie auch die An- und Abfahrt, wenn sie während der üblichen Arbeitszeit erfolgt. Verlangt der Arbeitgeber von seinen Mitarbeitern, während der Reisezeit zu arbeiten, z. B. E-Mails zu beantworten oder eine anstrengende Tätigkeit auszuüben, z. B. Autofahren, handelt es sich um Arbeitszeit – das gilt jedoch nur für den Fahrer, für den Beifahrer ist es Freizeit – es sei denn während der Fahrt wird über Dienstliches gesprochen. Kann der Mitarbeiter hingegen im Zug oder im Flugzeug schlafen oder lesen, dann gilt die Reisezeit nicht als Arbeitszeit. Meetings oder Besprechungen mit Kollegen im Auto, Zug oder Flugzeug gelten als Arbeitszeit.

Ein externer Datenschutzbeauftragter trägt seine Ausbildungskosten selbst.

Soft Skills für Datenschutzbeauftragte

Auch diese Kompetenzen fördern die Arbeit des Datenschutzbeauftragten:

  • Organisationstalent
  • Präsentationstechniken – vor allem für Mitarbeiter-Schulungen, Vorstellen von Ergebnissen und Mitarbeit in Projekten, bei denen auch der Datenschutz eine Rolle spielt
  • Verhandlungsführung – vor allem gegenüber der Geschäftsleitung oder anderen Projektverantwortlichen bei der Planung von Projekten, bei denen auch der Datenschutz eine Rolle spielt
  • Umgang mit Konfliktsituationen – vor allem bei Projektplanungen mit kollidierenden Interessen und im Umgang mit Datenpannen

Wer darf zum Datenschutzbeauftragten bestellt werden?

Im Grunde kann jeder Mitarbeiter das Amt des Datenschutzbeauftragten nach angemessener Ausbildung übernehmen. Es gibt aber ein paar Positionen im Unternehmen, die dieses Amt eher nicht ausüben sollten, weil sie Interessenskonflikte haben können:

  • Geschäftsführung – weil sie vielen verschiedenen Aufgaben gerecht werden muss und eventuell auch zeitlich zu stark eingeschränkt ist
  • Personalwesen – weil immer die Neigung besteht, so viele Informationen über die Mitarbeiter erlangen zu wollen, wie irgendwie geht
  • IT- / EDV-Betreuer – weil sie durch die EDV-Systeme grundsätzlich Zugriff auf sämtliche Daten haben und sie auch nutzen könnten
  • (Rechtsanwälte – weil sie dazu neigen, das Recht immer bis aufs letzte auszureizen)

Vorsicht: Sonderkündigungsrecht

Und dann gibt es in Deutschland noch einen besonderen Umstand bei der Bestellung des Datenschutzbeauftragten zu berücksichtigen: das Sonderkündigungsrecht. Das ist eine rechtlich eingeräumte Sonderstellung des Datenschutzbeauftragten, um denjenigen zu schützen, während er seine Aufgabe ausübt. Das Amt des Datenschutzbeauftragten ist nicht immer leicht, wenn sich die Geschäftsleitung oder ein leitender Mitarbeiter ein Projekt überlegt hat, bei dem auch personenbezogene Daten verarbeitet werden sollen, z.B. ein Recall-System oder eine Videoüberwachung. Meist werden zunächst viele andere Aspekte abgewogen, wie Kosten für Anschaffungen von Geräten und Software, Nutzen und Vorteile für das Unternehmen, Marketing-Maßnahmen und vieles mehr. Erst spät kommt meist die Frage auf, was aus Datenschutz-Sicht zu beachten ist. Zu diesem Zeitpunkt hat sich der verantwortliche Mitarbeiter meist schon in sein Projekt „verliebt“ und es hat viel Arbeit gekostet, alle Eckpfeiler für das Projekt zu klären – außer dem Datenschutz. Und dann kommt der Datenschutzbeauftragte und fragt nach der Information der Betroffenen, weist auf erforderliche Einwilligungen, die Erstellung einer zusätzlichen Dokumentation wie die Datenschutz-Folgenabschätzung hin oder macht klar, dass der ursprüngliche Plan eindeutig gegen den Datenschutz verstoßen würde und hohe Bußgelder drohen. Das passt den Verantwortlichen meist überhaupt nicht in den Kram und sie nehmen den Datenschutz als Verhinderer wahr, dabei macht der Datenschutzbeauftragte nur sorgfältig seine Arbeit und ist nicht verantwortlich für die geltenden Bestimmungen.

Damit dem Datenschutzbeauftragten aus der Ausübung seines Amtes arbeitsrechtlich keine Nachteile entstehen können, wie eine Kündigung, weil er aus Sicht der Projektverantwortlichen „stört“, gilt hier das Sonderkündigungsrecht. Das bedeutet, dass einem Mitarbeiter, der Datenschutzbeauftragter ist, erst frühestens ein Jahr nach Niederlegen dieses Amtes gekündigt werden kann.

Das kann aber auch dazu führen, dass ein Unternehmer dann lieber gar keinen Mitarbeiter, sondern einen externen Datenschutzbeauftragten bestellt. Das entbindet den Unternehmer aber nicht für seine letztendliche Verantwortung für den Datenschutz in seinem Unternehmen.

Was passiert, wenn der Datenschutzbeauftragte nicht ausreichend qualifiziert ist?

Sollte zwar ein Datenschutzbeauftragter pro Forma bestellt sein, aber faktisch nicht die entsprechende Ausbildung erhalten haben oder er sein Amt nicht ausüben (können), droht gemäß Art. 83 DSGVO eine Geldbuße von bis zu 10.000.000 EUR (10 Mio. €) oder von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Sie wissen nicht, wen Sie für Ihre Praxis zum Datenschutzbeauftragten bestellen sollen? Da Sie dieses Amt auch extern vergeben können, können wir dieses Amt auch mit unserer langjährigen Erfahrung für Arztpraxen übernehmen. Mehr dazu im Rahmen unserer Datenschutz-Beratungen unter https://www.qmedicus.de/main/leistungen/qm-beratung/ . Oder erfahren Sie in unseren kompakten und jederzeit verfügbaren eLearnings zum Datenschutz und in unseren Datenschutz-Beratungen, worauf es beim Datenschutz in Arztpraxen ankommt.


Wenn Sie informiert werden möchten, wenn ein neuer Blog-Beitrag erschienen ist, dann abonnieren Sie gerne unseren Newsletter:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.