Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
kayamo
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
placeforvegans.de
plentymarkets
Praktiker.de
Prestashop
PriceMinister.com
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B + B2C)
Verkauf über individuelle Kommunikation (B2B)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Dr. Sebastian Kraska

Datenschutz in der Arztpraxis: Brauchen Ärzte einen Datenschutzbeauftragten?

News vom 20.01.2010, 12:19 Uhr | 2 Kommentare 

Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Beschäftigung eines eigenen Datenschutzbeauftragten relevant ist.

 

Wann muss man überhaupt einen Datenschutzbeauftragten beschäftigen?

Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 gilt dies im Grundsatz nicht, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, was bei den meisten Arztpraxen der Fall sein dürfte.

Banner Unlimited Paket

Datenschutzbeauftragter ist auch nötig, wenn die Datenverarbeitung einer Vorabkontrolle unterliegt

Allerdings haben nicht-öffentliche Stellen unabhängig von der Anzahl der Arbeitnehmer gemäß § 4f Abs. 1 S. 6 einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung der personenbezogenen Daten einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt. Unter Vorabkontrolle im Sinne der genannten Norm ist eine Prüfung vor Beginn der Verarbeitung zu verstehen. Auf diese wird, um den Rahmen nicht zu sprengen, an dieser Stelle nicht eingegangen. Es muss nur festgestellt werden, ob eine solche durchzuführen ist, damit bestimmt werden kann, ob deswegen auch die Bestellung eines Datenschutzbeauftragten nötig ist.

Welche Verarbeitungen unterliegen einer Vorabkontrolle nach § 4d Absatz 5 BDSG?

Daten unterliegen nach dieser Norm einer Vorabkontrolle, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

Eine Vorabkontrolle ist nach dieser Vorschrift insbesondere dann durchzuführen, wenn besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet werden. In diesem werden als besondere personenbezogene Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie Daten über die Gesundheit oder das Sexualleben genannt. Gesundheitliche Daten in diesem Sinne sind alle Angaben, welche die körperlichen und geistigen Zustände und Bewertungen eines Menschen einschließlich seines Verhaltens betreffen. Die Daten, welche ein Arzt jeglicher Fachrichtung in seinem Verarbeitungssystems aufnimmt, sind damit gesundheitliche Daten im Sinne dieser Vorschrift und damit besondere personenbezogene Daten, so dass nach § 4d Abs. 5 BDSG eine Vorabkontrolle nötig ist. Diese Bewertung ist im Sinne des Gesetzes, denn die Erhebung, Speicherung und Nutzung von Gesundheitsdaten betrifft den Betroffenen in einem sehr sensiblen Persönlichkeitsbereich.

Nach § 4d Abs. 5 S. 2 2. Halbsatz BDSG gibt es jedoch Ausnahmen, nach welchen eine Vorabkontrolle entfällt. Diese entfällt nach dem Wortlaut des Gesetzes, wenn entweder eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine Einwilligung gegeben hat oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Damit muss an dieser Stelle geprüft werden, ob einer dieser Ausnahmetatbestände für den Fall der Arztpraxis vorliegt:

1) Auch wenn die Normen des BDSG den Arzt zur Erhebung etc. von Daten ermächtigen, korrespondiert diesem keine gesetzliche Verpflichtung. Der Arzt ist zwar im Verhältnis zum Patienten zur Dokumentation verpflichtet. Diese Verpflichtung ergibt sich aus § 10 MBO, der Berufsordnung der Ärzte. Die Bestimmung dieser Berufsordnung begründet jedoch keine gesetzliche Verpflichtung des Arztes, die Daten der Patienten elektronisch zu verarbeiten. Der erste Ausnahmetatbestand, nach dem eine Vorabkontrolle entfallen würde, ist damit nicht einschlägig.

2) Eine Vorabkontrolle kann auch dann entfallen, wenn alle Patienten ihre Einwilligung in die Datenverarbeitung geben. Damit können zwar Ärzte, die eine neue Praxis gründen ab dem ersten Patienten, der zur Behandlung erscheint, über das Einholen einer Einwilligungserklärung das Erfordernis eines Datenschutzbeauftragten umgehen, da so das Erfordernis einer Vorabkontrolle entfallen würde. Zu beachten wäre dabei aber, dass es sich, da es um besondere Arten personenbezogener Daten geht, um eine genaue Einwilligungserklärung handeln muss. In einer bereits bestehenden Praxis existieren jedoch in den meisten Fällen bereits Datenbestände ohne eingeholte Einwilligung. Dann ist diese Umgehung der Vorabkontrolle jedoch nicht möglich.

3) Der letzte Ausnahmetatbestand ist für Arztpraxen nicht einschlägig, da besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG vorliegen. Nach dem Willen des Gesetzgebers sind die bereits genannten Erlaubnistatbestände als leges speciales zu verstehen, so dass in diesem besonderen Fall ein Rückgriff auf die Geschäftsbeziehung im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht zuzulassen ist. Zudem ist mit der wohl herrschenden Meinung davon auszugehen, dass eine elektronische Erfassung und Verarbeitung von Patientendaten nicht erforderlich im Sinne des Gesetzes ist.

Damit greift vorliegend kein Erlaubnistatbestand ein, der eine Vorabkontrolle entfallen lassen würde. Im Rückschluss muss nach § 4f Abs. 1 BDSG für die Arztpraxis ein Datenschutzbeauftragter bestellt werden.

Gründet man eine neue Praxis und baut einen neuen Patientenstamm auf, kommt auch die Möglichkeit der Einholung einer Einwilligungserklärung in Betracht.

Fazit

Grundsätzlich braucht nach derzeit geltender Rechtslage jede bestehende Arztpraxis, die Patientendaten elektronisch verarbeitet, ohne bei jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, einen Datenschutzbeauftragten. Wird kein Datenschutzbeauftragter bestellt müsste dies zu Abmahnungen durch die Aufsichtsbehörde und zur Erhebung von Bußgeldern führen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© czardases - Fotolia.com
Autor:
Dr. Sebastian Kraska
Rechtsanwalt

Besucherkommentare

Ist das so?

16.09.2018, 18:02 Uhr

Kommentar von Sven Adam

Der Erwägungsgrund 91 zu Art. 35 DS-GVO sowie die Entschließung der Datenschutzkonferenz gegen die Annahme einer „umfangreichen“ Datenverarbeitung durch einen einzelnen Arzt spricht gegen die Pflicht...

Arztpraxis: neues für die Klatschtanten

20.01.2010, 13:08 Uhr

Kommentar von Markus Gettmann

Sehr interessante Frage! Ich kann nur aus Erfahrung von meinem Hausarzt berichten: dieser befindet sich auf dem Land und dort ist es seit jeher ganz normal, dass der "Anmeldebereich" gerade nicht vom...

© 2005-2021 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller