Der Datenschutzbeauftragte in der Arztpraxis
Geschrieben von Christian Scholtz, veröffentlicht am 01.11.2016Zu welchen Zeitpunkt muss ein Datenschutzbeauftragter in der Arztpraxis bestellt werden?
Der Datenschutz in der Arztpraxis hat einen besonders hohen Stellenwert. Denn hier werden Gesundheitsdaten, also besondere Arten personenbezogener Daten gem. § 3 Abs. 9 BDSG, verarbeitet. Fraglich ist daher, ob Arztpraxen einen Datenschutzbeauftragten bestellen müssen und wann diese Bestellung zu erfolgen hat.
Die Bestellung des Datenschutzbeauftragten nach dem BDSG
Grundsätzlich müssen gemäß § 4f BDSG öffentliche und nicht öffentliche Stellen, welche personenbezogene Daten automatisiert erheben, verarbeiten und nutzen, einen Datenschutzbeauftragten bestellen. Der Grundsatz für die Bestellung eines Datenschutzbeauftragten wird allerdings durch § 4f Abs. 1 S. 3 BDSG wieder eingeschränkt. Denn wenn weniger als zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Neben der Pflicht gem. § 4f BDSG kommt die Bestellung eines Datenschutzbeauftragten auch zu einem früheren Zeitpunkt in Betracht. Unabhängig von der Mitarbeiterzahl müssen Stellen, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten bestellen, wenn die Verarbeitung einer Vorabkontrolle gem. § 4d Abs. 5 BDSG unterliegt. Eine solche Vorabkontrolle ist immer bei der automatisierten Verarbeitung besonderer Arten personenbezogener Daten durchzuführen. Dabei soll die Vorabkontrolle feststellen, ob die automatisierte Verarbeitung besondere Risiken für den Betroffenen birgt. Die Prüfung vor Aufnahme der Datenverarbeitung obliegt nach § 4f Abs. 1 S.6 BDSG dem Datenschutzbeauftragten. Aus diesem Grund ist eine Bestellung nicht mehr nur an die Anzahl der beschäftigten Mitarbeiter geknüpft, sondern richtet sich nunmehr nach der automatisierten Datenverarbeitung von besonders schützenswerten personenbezogenen Daten.
Das Erfordernis einer solchen Vorabkontrolle und der Prüfung durch den Datenschutzbeauftragten kommt insbesondere für Arztpraxen in Betracht, da es sich bei Gesundheitsdaten grundsätzlich um sensible Daten nach § 3 Abs. 9 BDSG handelt. Unter dem Begriff der Gesundheitsdaten versteht man in erster Linie sehr persönliche und schützenswerte Angaben und Informationen über den körperlichen und geistigen Zustand eines Patienten. Um den Schutz dieser Daten zu gewährleisten sieht § 4f Abs. 1 S.6 i.V.m. § 4d Abs. 5 BDSG daher eine Vorabkontrolle durch den Datenschutzbeauftragten vor. Grundsätzlich müssten Arztpraxen also unabhängig von der Anzahl ihrer Mitarbeiter einen Datenschutzbeauftragten bestellen.
Wegfall der Vorabkontrolle
Mit § 4d Abs. 5 S. 2 Halbsatz 2 BDSG sieht das Bundesdatenschutzgesetz jedoch eine Ausnahmeregelung für die Durchführung einer Vorabkontrolle vor. Diese Ausnahme kommt immer dann in Betracht, wenn für die verantwortliche Stelle eine gesetzliche Pflicht zur Datenverarbeitung besteht, die betroffene Person seine Einwilligung erteilt hat, oder die Datenverarbeitung für die Durchführung und auch Beendigung eines Schuldverhältnisses erforderlich ist. Fraglich ist daher, ob diese Ausnahmetatbestände auch auf Arztpraxen angewandt werden können, die Vorabkontralle dadurch entfällt und die grundsätzliche Pflicht zur Bestellung eines Datenschutzbeauftragten bei Arztpraxen nicht einschlägig ist. Folgende Ausnahmetatbestände könnten für Arztpraxen vorliegen:
- Eine gesetzliche Pflicht, personenbezogene Daten zu verarbeiten, ergibt sich insbesondere durch die gesetzlichen Vorschriften des SGB V. Denn Arztpraxen müssen etwa Gesundheitsdaten an die Krankenkasse übermitteln.
- Eine Einwilligung, die den Vorschriften des BDSG entspricht und dadurch ebenfalls eine Vorabkontrolle entfallen lassen könnte, wird in den allermeisten Fällen nicht in Betracht kommen. Denn die Einwilligung ist die vorherige Zustimmung. Ab dem Zeitpunkt der Einführung einer solchen Einwilligungserklärung (etwa im Patientenfragebogen) würden aber nur die neuen Patienten erfasst. Die Einwilligung müssten aber ausnahmslos alle Patienten erteilen, also auch die bisherigen.
- Auch der Behandlungsvertrag zwischen Arzt und Patient ist ein Schuldverhältnis. Für die Durchführung eines solchen Behandlungsvertrags ist die Erhebung, Verarbeitung und Nutzung personenbezogener Patientendaten auch erforderlich.
Fazit
Die Pflicht zur Bestellung eines Datenschutzbeauftragten, unabhängig der Mitarbeiteranzahl, aufgrund einer durchzuführenden Vorabkontrolle gemäß § 4f Abs. 1 S.6 besteht meiner Ansicht nach für Arztpraxen nicht. Denn sowohl die gesetzliche Pflicht zur Datenübermittlung als auch der Behandlungsvertrag als Schuldverhältnis erfüllen die Ausnahmetatbestände des § 4d Abs. 5 BDSG. Demnach müssen Arztpraxen erst dann einen Datenschutzbeauftragten bestellen, wenn mehr als neun Mitarbeiter mit der automatisierten Verarbeitung peronenbezogener Daten beschäftigt sind.
Dennoch ist an dieser Stelle anzumerken, dass jede Arztpraxis, unabhängig von der Anzahl ihrer Mitarbeiter, die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes zu beachten hat. Hier kann ein externer Datenschutzbeauftragter Ihren QM-Manager bei der Einhaltung der Vorschriften zum Datenschutz unterstützen. Wir beraten Sie gerne.